Todo empezó en primero de carrera cuando Pablo Garcia impartía clases de Algebra y unos cuantos compañeros de clase y yo escuchábamos las curiosidades que nos contaba sobre todo tipo de temas una vez la clase habia acabado, fruto de estas charlas conseguimos que nos permitiese ver el proyecto de su tesis doctoral, ESIDE-Depian.

Tras un tiempo aprendiendo conceptos dejamos de lado el proyecto ESIDE-Depian y comenzamos una nueva linea de investigación que es la que actualmente estamos llevando a cabo gracias a la ayuda de varias personas del S³Lab que es parte del Tecnologico de Deusto (DeustoTech).

Detección de Intrusiones basado en Cadenas de Markov es el nombre que usamos para definir el resultado de la investigacion sobre como detectar ataques a aplicaciones web como wordpress, phpBB, joomla, etc...

Una definición básica del objetivo de la investigación podría ser, detectar ataques a paginas web sin saber de antemano como va a ser el ataque, tal vez se entienda mejor con una explicación más cercana, asi que he elegido la red social Tuenti como ejemplo de la explicación.

Si os fijais atentamente, al acceder a Tuenti la direccion normalmente es algo asi:

http://www.tuenti.com/#m=home

Pero si continuais navegando por la web y os fijais, la direccion va cambiando:

http://www.tuenti.com/#m=Home&func=index
http://www.tuenti.com/#m=Profile&func=index
http://www.tuenti.com/#m=Message&func=index
http://www.tuenti.com/#m=Search&func=index
http://www.tuenti.com/#m=Video&func=index

El "truco" está en que al cambiar los valores de m y func la web de Tuenti accede a unos u otros contenidos, hasta aquí la cosa es normal. El problema reside en que cuando una persona malintencionada y con conocimientos le da valores diferentes de los debidos a estas variables se pueden conseguir datos comprometidos de los usuarios de Tuenti, o simplemente borrar todos los datos haciendo algo como lo siguiente:

http://www.tuenti.com/#m=Home&func=BorrarBasedeDatos
(Obviamente el ejemplo es absurdo, no os molestéis en intentarlo)

Esos "valores diferentes" son muchas veces impredecibles y no se pueden evitar, ahí es donde entramos nosotros. En nuestra investigación lo que hacemos para evitar esto es comprobar las direcciones donde entran los usuarios como las que os he puesto antes y detectar si algún valor no concuerda con el que debería tener basándonos en un trafico bueno que usuarios de confianza han hecho previamente.

La explicación es muy vaga y faltaría dar muchos detalles, pero esto simplemente es una breve explicación y creo que ya os ha aburrido bastante, además en unos meses si todo sale bien publicaremos un articulo que enlazaré para que el que este interesado lo pueda leer.