Tal como les contamos durante la tarde, Microsoft y el CLCERT de la Universidad de Chile han organizado un concurso de Ethical Hacking Challenge a partir del lunes 21 de abril. En este artículo ampliamos la información e incluiremos una entrevista al organizador.
Una de las enseñanzas más recordadas que nos dejó Sun Tzu en “El arte de la guerra” es la necesidad de conocernos a nosotros mismos y especialmente a nuestro enemigo, antes de ir a la batalla, pues con este conocimiento podríamos (por lo menos en teoría) librar numerosos combates sin riesgo.
Difícilmente Sun Tzu podría haberse imaginado que estas palabras sobrevivirían tantos siglos, pero este es justamente el caso, e incluso las vemos aplicadas no sólo en conflictos armados, sino también en ambientes tan disímiles como los son los nuevos campos de batalla virtuales entre hackers (o crackers) y expertos en seguridad, donde las reglas y armas son totalmente distintas, pero incluso en este inusual ambiente el principio se mantiene intacto.
Siguiendo esta filosofía nace el Ethical Hacking Challenge (EHC), una oportunidad para que los defensores se pongan en el lado del enemigo para intentar aquello contra lo que lucharían en un día común y corriente: comprometer la seguridad de un servidor.
Organizado por el Equipo de Respuesta Chileno a Emergencias Computacionales (CLCERT por sus siglas en inglés), el EHC es una oportunidad única para que los conocedores de seguridad computacional midan sus propias habilidades y las de sus pares en una competencia contra el tiempo, con premios y reconocimiento esperando a los ganadores.
Primero lo primero ¿Qué es el CLCERT?
El CLCERT (Chilean Computer Emergency Response Team) es un grupo de profesionales y académicos especializados en la seguridad informática, radicado en la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile. Aunque su nombre parezca pertenecer al de una especie de equipo SWAT computacional, la verdad es que el principal objetivo del CLCERT es prevenir ataques a servidores informando y educando a la comunidad acerca de temas como pueden el descubrimiento de nuevas vulnerabilidades y métodos para intentar comprometer un sistema, las posibles nuevas amenazas en la red, etcétera.
Para este fin, el CLCERT organiza cursos y charlas a profesionales del tema para estar al día con los últimos riesgos, que evolucionan rápidamente y requieren de atención constante. El CLCERT es uno de tantos CERT esparcidos por el mundo, que no se distinguen necesariamente por representar a un país entero (como este caso), sino que también puede ser conformado por cualquier equipo de interesados dispuestos a pasar por el proceso de convertirse en un CERT oficial.
Ethical Hacking Challenge Poniéndote en el lugar del enemigo
El CLCERT, con la ayuda de Microsoft, organizó el Ethical Hacking Challenge (Desafío de hacking ético), el primero de este tipo en nuestro país y que busca medir la calidad de nuestros profesionales de una forma inusual: colocándolos en el lugar de sus enemigos acérrimos y proponiéndoles la tarea de hackear un servidor especialmente dispuesto para la ocasión, el Challenge Server, cargado con Windows Server 2003 R2 SP2 con IIS 6.0 y ASP activados.
La prueba consta de tres fases, cada una con una duración de entre 30 y 60 días, y en las que se activarán tres vulnerabilidades en el equipo de forma intencional (una por fase), ya sea a nivel de configuración del servidor o por la ejecución de alguna aplicación interna. La tarea de los participantes es encontrar y explotar este agujero (o algún otro desconocido), lograr “entrar” al servidor y crear un archivo cuyos detalles serán anunciados oportunamente y que comprobará el éxito en la misión de uno de los participantes. En cada fase se escogerá un ganador, aquella persona que consiguió el objetivo propuesto y verificó el método usado con el jurado del encuentro.
La inscripción de participantes termina el próximo lunes 21 de abril, fecha en la que también empieza la primera fase del reto, y para ser aceptado se tiene que demostrar cierto nivel de conocimiento en el área de seguridad.
El premio para los tres ganadores consiste en 250.000 pesos chilenos (US$ 550 aproximadamente) y la participación en una ceremonia en la que se les reconocerá en público.
Preguntas y respuestas con el director del CLCERT
Intentando saber un poco más de esta inusual competencia conversamos en directo con Alejandro Hevia, académico de la Universidad de Chile y director del CLCERT, quien se ofreció a responder a algunas preguntas puntuales acerca del EHC, además de proveer la mayoría del material para este artículo.
¿Cómo se financia el CLCERT?
El CLCERT se autofinancia dictando cursos y mediante asesorías en la generación de políticas públicas concernientes a seguridad de sistemas informáticos (con el gobierno) y proyectos de colaboración, que normalmente involucran el estudio de ciertos problemas de seguridad.
¿Cuál es el objetivo del EHC?
El fin del Ethical Hacking Challenge es promover y crear consciencia acerca de la importancia que tiene la seguridad en los sistemas actuales.
El servidor Challenge es una máquina basada en Windows Server 2003 básicamente, ¿por qué se optó por un SO de Microsoft en vez de una distribución de Linux como RedHat?
Microsoft ya se había acercado interesado al CLCERT con anterioridad para ejecutar ciertos proyectos, la idea del EHC nació en parte gracias a esta colaboración, aunque el reto también podría haberse llevado sobre Linux si empresas como RedHat Chile se hubiesen acercado. A final de cuentas, la idea es ver el potencial de los participantes de buscar y explotar vulnerabilidades en un servidor cualquiera.
¿Qué pasa si un participante explota una vulnerabilidad que no estaba prevista entre las tres originales?
Si el logro es verificado entonces también se acepta como condición para ganar esa fase, pero el atacante no debe darla a conocer públicamente hasta que sea autorizado para ello por el CLCERT o hayan pasado 3 meses desde el término del desafío.
La idea es permitirle al CLCERT seguir la política de ‘notificación responsable’, esto es, comunicarle el detalle de las vulnerabilidades al fabricante del software y darle un tiempo (acotado) para arreglar el problema.
¿Qué tan buena es la formación de los profesionales en seguridad en Chile?
Normalmente se trata de ingenieros en computación que toman asignaturas cercanas a la seguridad. Al igual que todo ingeniero en computación, el especialista en seguridad debe estar muy actualizado respecto de las últimas amenazas que se detectan en Internet.
¿Qué nivel de seguridad tienen los servidores nacionales con respecto a otros países?
A nivel de sistemas f
inancieros (y otros servidores críticos), Chile está bastante bien posicionado, pero en comparación con países industrializados como EE.UU. o algunas naciones europeas aún falta por mejorar.
La situación de las empresas más pequeñas no es tan buena, en particular porque se trata de compañías más reacias a hacer públicas sus fallas de seguridad.
¿En qué otros proyectos trabaja el CLCERT?
En particular, el CLCERT tiene mucho interés en desarrollar capital humano, para lo que dicta clases relacionadas a seguridad en servidores para obtener un diploma de post-título emitido por la Universidad de Chile. El curso dura cerca de 4 meses e incluye 102 horas de trabajo.
Bases del concurso (en PDF):
http://www.clcert.cl/challenge/bases-challenge08.pdf
