HACKING ÉTICO - Unidad 2
OBJETIVOS
Los objetivos que esperamos que alcances en esta unidad son:
- Aprender a obtener información a partir de capturas de tráfico de Internet, utilizando sniffers o analizadores de protocolos.
- Conocer algunos ejemplos de ataques que se apoyan en debilidades de programación de las aplicaciones.
- Debatir sobre la ética del Hacker.
Después de haber visto en la unidad 1 algunas herramientas básicas y los pasos del proceso habitual que suele seguir un hacker, nos adentramos en esta segunda unidad en técnicas más avanzadas.
En particular te proponemos que aprendas cómo obtener información a partir de capturas de tráfico de Internet utilizando lo que llamamos sniffers o analizadores de protocolos.
Un sniffer es una aplicación que comprende los protocolos de red que se usan en Internet y nos puede ayudar a obtener información que viaja por la red, siempre que tengamos acceso al tráfico que nos interesa. Evidentemente si la información que se atrapa con un sniffer está cifrada con protocolos criptográficos no es de utilidad.
Llegamos así a un punto fundamental de la seguridad en el ciberespacio, y no es otro que el saber elegir las aplicaciones y los protocolos seguros con procesos que garanticen que no envían información sensible como contraseñas o información de acceso en texto plano.
Y en este contexto tenemos que hablar de una de las técnicas más importantes que usamos para asegurar nuestros activos digitales: la criptografía, de la que ya hemos hablado brevemente en la unidad 1.
La criptografía moderna, comenzó a utilizarse de manera habitual en la segunda guerra mundial para proteger las comunicaciones de los ejércitos.
Una figura muy interesante fue Alan Turing , al que podríamos considerar un hacker ético, ya que estudio y consiguió romper el código Enigma que usaban los alemanes, con lo que salvó miles de vidas desde su laboratorio.
No tan relevante pero igualmente interesante fue la Operación Magic, un proyecto estadounidense que tenía como objetivo descifrar las claves japonesas durante la Segunda Guerra Mundial.
Muchas veces los desarrolladores se preocupan de que sus aplicaciones funcionen, pero no de que sean seguras, y dejan de manera involuntaria puertas abiertas que luego los hackers se esfuerzan en descubrir. Es pues interesante analizar también los ataques que se apoyan en debilidades de programación de aplicaciones.
En particular te proponemos que aprendas cómo obtener información a partir de capturas de tráfico de Internet utilizando lo que llamamos sniffers o analizadores de protocolos.
Un sniffer es una aplicación que comprende los protocolos de red que se usan en Internet y nos puede ayudar a obtener información que viaja por la red, siempre que tengamos acceso al tráfico que nos interesa. Evidentemente si la información que se atrapa con un sniffer está cifrada con protocolos criptográficos no es de utilidad.
Llegamos así a un punto fundamental de la seguridad en el ciberespacio, y no es otro que el saber elegir las aplicaciones y los protocolos seguros con procesos que garanticen que no envían información sensible como contraseñas o información de acceso en texto plano.
Y en este contexto tenemos que hablar de una de las técnicas más importantes que usamos para asegurar nuestros activos digitales: la criptografía, de la que ya hemos hablado brevemente en la unidad 1.
La criptografía moderna, comenzó a utilizarse de manera habitual en la segunda guerra mundial para proteger las comunicaciones de los ejércitos.
Una figura muy interesante fue Alan Turing , al que podríamos considerar un hacker ético, ya que estudio y consiguió romper el código Enigma que usaban los alemanes, con lo que salvó miles de vidas desde su laboratorio.
No tan relevante pero igualmente interesante fue la Operación Magic, un proyecto estadounidense que tenía como objetivo descifrar las claves japonesas durante la Segunda Guerra Mundial.
Muchas veces los desarrolladores se preocupan de que sus aplicaciones funcionen, pero no de que sean seguras, y dejan de manera involuntaria puertas abiertas que luego los hackers se esfuerzan en descubrir. Es pues interesante analizar también los ataques que se apoyan en debilidades de programación de aplicaciones.
SQL Injection
Las bases de datos relacionales se utilizan para almacenar información como nombres de usuario y el resumen de las contraseñas de páginas web con identificación de usuario. Siguiendo el ejemplo de la identificación de usuarios en las páginas web, sería el motor o back-end del sistema el que analizaría la información proporcionada por el usuario, consultaría su existencia en la base de datos y en función del resultado proporcionaría acceso a la sección restringida de la página web.
En las bases de datos relacionales juega un papel importante el lenguaje SQL (Structured Query Language), un lenguaje de consulta o acceso a bases de datos relacionales, permitiendo especificar distintos tipos de operaciones entre los que se encuentran los comúnmente conocidos SELECT e INSERT. Estas operaciones permiten recuperar información así como hacer cambios en las bases de datos.
En este sentido, la inyección SQL o SQL injection, es un método de infiltración de código intruso que se vale de una vulnerabilidad informática, presente en una aplicación en el nivel de validación de las entradas, para realizar operaciones sobre una base de datos. El origen de la vulnerabilidad radica en el incorrecto chequeo o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro. Se conoce como Inyección SQL, indistintamente:
- al tipo de vulnerabilidad,
- al método de infiltración,
- al hecho de incrustar código SQL intruso, y
- a la porción de código incrustado.
Comentarios
Publicar un comentario