13 nov 2013

Hoy os hablaremos de retoshacking.es

Sentido y oportunidad.
Llevo un tiempo haciéndome cargo de la asignatura de Seguridad Informática para Administradores de Sistemas y recuerdo que desde el principio observé un amplio abanico de sitios Web dedicados a plantear problemas relacionados con el “hacking”. En estos momentos una consulta simple a Google con los términos “hacking challenges” devuelve más de 106 sitios… En castellano, una consulta equivalente a (“retos hacking”) devuelve casi 105…, que aunque son referencias variadas que van desde el blog de Chema Alonso, el sitio de Flu-Project, hackxtrack, owasp, securitybydefault, dragonjar, neobits (por citar algunos de los sitios más relevantes), a multitud de foros, páginas de delegaciones de alumnos, congresos y jornadas varias, todo tipo de blogs más o menos profesionales, másteres y ofertas de formación variadas y un largo etcétera. Muchas de ellas contienen retos, enunciados de problemas (bajo el nombre alternativo de “war games”), análisis de soluciones,…
Un análisis inicial de todo ello puede llevar a varias conclusiones:
  • Hay un gran interés por aprender, por adquirir conocimiento, en este campo.
  • El conocimiento sobre este tipo de problemas está distribuido en una maraña inconexa y heterogénea (nada nuevo, eso es Internet), salvo en algunos portales específicos, la mayoría de los cuales en el mundo anglosajón.
Así pues recurrir, como herramienta metodológica docente en la asignatura de seguridad informática, a proponer retos o problemas de hacking (wargames) parecía un camino acertado para maximizar el esfuerzo por aprender de los alumnos. Además encaja con la filosofía del aprendizaje basado en problemas [1]
Ese el sentido del portal retoshacking.es.
Compartir y colaborar
Son los dos conceptos que están en el fondo (y en la forma) del avance en cualquier campo del conocimiento. Y hoy, tienen un vehículo mucho más avanzado que nunca: las redes de telecomunicaciones y, en particular, Internet.
Dichos conceptos son “nativos” en el sitio retoshacking.es; donde se colabora con los demás usuarios en la resolución de los retos mediante un sistema de foros:
 
 Y se comparten las soluciones (una vez superado el correspondiente reto) también mediante otro sistema de foros:

El propio sitio se ha creado bajo esa filosofía: está abierto sin restricciones de ningún tipo a cualquiera que esté interesado, distribuyendo el contenido mediante una herramienta  GNU como Moodle.
Organización y tipos de retos.
Después de revisar unos cuantos portales específicos dedicados a estos problemas (wechall, hackthissite, sinfocol, Rankk, Yashira, Valhalla,…) decidí la organización (acceso completo autenticado, sistema de puntuación y recompensas, sistema de comunicación entre usuarios, normas, publicidad de resultados,…), la forma de organizar los retos y la estructura común de los mismos.
Para empezar, antes de acceder a las categorías básicas de retos hay que superar un pequeño test sobre algunas nociones de informática. A partir de ahí se tiene acceso a un conjunto de categorías que agrupan una colección de problemas sobre criptografía, esteganografía, Google hacking, XSS, SQLinjection, hacking de sistemas (próximamente). Son problemas, más o menos básicos, que pertenecen a un primer nivel. En el siguiente nivel se pretenden recoger problemas más específicos y también más complejos: ingeniería inversa, estudio del hacking de sistemas CMS, análisis del diseño de virus y malware en general…y otros que vayan surgiendo.
Evaluación inicial
Después de algo más de un mes de su puesta en marcha las expectativas iniciales en cuanto a interés se han visto largamente sobrepasadas atendiendo al número de usuarios, de todos los países de habla hispana, que han creado una cuenta en el portal:
Obviamente no todos ellos mantienen una actividad regular (como era de esperar) por diversas razones que no vamos a entrar a valorar aquí.
Las interacciones van desde los más de 600 intentos de resolver el primer reto de programación:
A los más de 172 de resolución del primer reto de SQLinjection.
Muchos de los usuarios, seguramente, han creado una cuenta por pura curiosidad; tal vez buscando soluciones rápidas o fáciles a sus necesidades de formación en este tema. Pero los retos requieren esfuerzo, atención y paciencia, cualidades que no abundan; aquí no hay (en general) soluciones y resultados rápidos: adquirir conocimiento de hacker (o dominar el conocimiento de cualquier campo, que viene a ser lo mismo) requiere perseverancia y tesón que seguramante lleven a años de trabajo intenso…, algo que muy poca gente comprende. Pero por pocos que sean los que lo entiendan y por pocos que sean los que encuentren alguna utilidad en el sitio retoshacking.es, habrá merecido la pena

Artículo cortesía de Santiago Blanco

2 comentarios:

  1. Ya era hora de hacer las cosas de manera más organizada. Creo que la idea puede ser brillante.Gracias por compartir iniciativas como esta.

    ResponderEliminar
  2. Actualmente soy un usuario de la página y es bastante bueno la recomiendo al 100.PD: creo que te has equivocado con hackxtrack = hackxcrack

    ResponderEliminar