miércoles, 19 de marzo de 2008

Aprendiz de hax0r



Cuando uno empieza a interesarse por el mundillo de la seguridad informática, se encuentra con dos obstáculos a superar. Lo primero que queremos saber es de ataques y vulnerabilidades, pero lo que dicen los sitios web y publicaciones serias sabe, a veces, demasiado a formalidad, y no te enseñan realmente "las tripas" de un ataque, de cómo se explota. Si ya sabes un poco, te encuentras con tu pepito grillo particular, que te dice "tío, quieres saber de esto, ¿pero realmente te atreves a correr el riesgo de ir a la cárcel?"...

Por fortuna no es necesario pensar en la delincuencia, ni tener contacto directo con la "hack scene" para empezar a aprender, afilarse uno las uñas y "jeiquear" un poco. No es difícil encontrar aplicaciones de entrenamiento que, en plan tutorial, expliquen las técnicas básicas, como puede ser WebGoat.

WebGoat en acción

Este tipo de aplicaciones están bien como aprendizaje inicial, pero una vez superada, ver otra parecida, con su enunciado y sus pistas para que no te atasques, sabe a poco. "¡Queremos desafíos! ¡Hacer 'trampas' de verdad!". Pero, otra vez, sin que la brigada de delitos telemáticos de la Guardia Civil decida que tiene que buscarnos... .

Hay disponibles también aplicaciones hechas adrede para ser vulnerables, que se pueden descargar desde internet e instalar en un equipo con un servidor de web, destinadas para aprender. Un ejemplo son las aplicaciones que Foundstone presenta como software libre, como son Hacme Bank o Hacme Books, entre otras.

Otra opción, que es el tema de este artículo, es buscar retos hacking en internet, o los llamados "wargames". Se presentan en forma de concurso ("los tres primeros que lleguen al nivel 10 se llevan una camiseta!"), y tienen pruebas chulísimas y técnicamente complejas.

Aquí en España, son conocidos los de elladodelmal, que ya lleva 6 ediciones, y que después explica cómo se superan las pruebas. Estos retos son utilizados en las ponencias que sus autores realizan posteriormente, sobre seguridad informática. El grupo elhacker.net también tiene una zona de wargames, con enlaces a algunos que siguen vivos, y algunos ya desaparecidos.

Por el mundo mundial ("Google dixit"), llaman la atención lugares como hackthissite.org, zero.webappsecurity.com, o smash the stack.

hackthissite.org


Sin pensar en dedicarte profesionalmente a ello, aprender en base a la experiencia, o sea, buscar trabajo en una de las empresas del sector, este tipo de juegos son una manera muy buena de practicar, ver técnicas nuevas, y conocer gente interesada en la seguridad informática.

Slds!



(Visto en legalidadinformatica) La última reforma del Código penal, en el artículo 197 de la Ley Orgánica 10/1995, agregó como epígrafe:

“3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años.

No hay comentarios: