[HACK] Entrevista Ruben Santamarta: "Las mafias me han ofrecido cheques en blanco"

[merce]

23/01/08 18:21

(entrevista completa a continuación)


RUBÉN SANTAMARTA: "LAS MAFIAS ME HAN OFRECIDO CHEQUES EN BLANCO"


Mercè Molist
A sus 25 años, Rubén Santamarta es un buen ejemplo del alto nivel
español en seguridad informática. Cumple todos los tópicos:
autodidacta porque se aburría en la universidad, a los 10 años entró
el primer ordenador en su casa y a los 19 ya era un experto en
descubrir vulnerabilidades en programas. Hoy importantes empresas
como iDefense y ZDI le pagan por ello.

"Una parte fundamental de mi trabajo consiste en hacer ingeniería
inversa a sistemas operativos y "software" de terceros con el fin de
descubrir vulnerabilidades que podrían poner en riesgo la seguridad
de sus usuarios", explica. Entre sus descubrimientos destacan
diversos agujeros en productos Microsoft, incluído el "kernel" de
Windows.

Santamarta sabe que en su trabajo "hay que ser ético". El mercado
negro de códigos maliciosos que atacan estos agujeros es goloso: "Me
han ofrecido más de 20.000 dólares para cosas normalitas y, para
otras, más del triple. Las empresas legales pagan una décima parte
de lo que las mafias ofrecen. En una ocasión, ni siquiera pusieron
límite. Por supuesto, ni me digno en contestarles".

Hoy, explica, "acceder a la web se ha convertido en una actividad de
riesgo". Las empresas viven un peligro añadido: "Los ataques
personalizados a sus empleados, para espionaje industrial o robar
sus bases de datos". Los bancos, asegura, "tienen pérdidas
billonarias debido al "phishing"". Y los gobiernos "se enfrentan a
amenazas a la seguridad de infraestructuras críticas, como las
centrales de suministro de energía, debido a que muchos de sus
sistemas son obsoletos".

En este escenario, que califica de "inquietante y sin visos de
solucionarse a corto plazo", el futuro es "la detección proactiva de
estas amenazas, pensando de una forma multidisciplinar y aplicando
conceptos de la neurobiología, la genética, la estadística y otras
disciplinas". Predica con el ejemplo: su último trabajo, un detector
de ataques de "phishing", usa técnicas de visión artificial
habituales en robótica, medicina y control industrial, pero nuevas
en seguridad informática.


Su web
http://www.reversemode.com

Su empresa
http://www.wintercore.com




ENTREVISTA COMPLETA


-¿Quien eres? (edad, de donde eres, estudias, trabajas... los datos
personales que quieras dar sobre ti)

-Soy un chico castellano de 25 años, autodidacta por vocación ya que
no tuve el aguante de sacarme una carrera, perdía todo el interés en
el primer curso. Ahora soy trabajador autónomo.

-¿Como te metes en el mundo de la informatica y, mas concretamente,
de la seguridad? ¿A que edad? ¿Por que?

-Un día al llegar a casa me encontré con unos señores instalando
algo llamado "Olivetti PC 286", hasta entonces el único ordenador
que había visto era el de un amigo.

-¿Cuando fue esto?

-Pues no recuerdo exáctamente pero creo que fue por el año 92 o así.
Tenía 10 años. Lo compró mi padre para toda la familia. Más tarde,
con 16 años más o menos, empezamos a vivir el boom de internet y
todo se "descontroló"...

Por aquella época el "underground" informático estaba en auge; todo
se había simplificado, ya no hacía falta conectarse a costosas BBSs
para compartir información, ahora había docenas de fuentes de
información, ezines, teams, canales de irc donde podías adquirir
conocimientos rápidamente.Por si fuera poco, la Guardia Civil
detenía a chicos por conectarse gratis a internet a través de PBXs,
el caso Hispahack, el "hacking" estaba en los medios un día sí y
otro también...todo lo prohibido y excitante al alcance de la mano,
no había forma de resistirse. De entre todo ese conglomerado, me
llamaba bastante la atención lo relacionado con el estudio de las
protecciones del software, oficiosamente conocido como "cracking".
Todo lo que aprendí durante esos años me sirvió para empezar a
ganarme la vida a los 19 años como programador en una pequeña empresa.

-¿Dentro del campo de la seguridad, a que te dedicas? Veo en tu web
que pone Servicios de Ingenieria Inversa Avanzada. ¿Que es eso?

-La ingeniería inversa es una de las bases de la seguridad
informática ya que si quieres averiguar donde algo puede fallar, es
indispensable comprender cómo funciona.

Creo que para explicar fácilmente el concepto de ingeniería inversa
se podría utilizar el simil de un cocktel. Imaginemos un barman
mezclando diversas cantidades de alcohol en una cocktelera, una vez
servido, es dificil saber a simple vista de que está compuesto y sus
proporciones, necesitarías comprobar su textura, sabor, apariencia,
etc... La ingeniería inversa es todo el proceso que se sigue para
averiguar tanto los componentes del cocktel como sus cantidades
exactas, de tal manera que nos permitiera reproducir la misma bebida
sin conocer la receta original. Ahora cambiemos el cocktel por
software. Para que el ordenador lo ejecute corréctamente, es
necesario el uso de un compilador que traduzca el lenguaje original
en que fue programado a ensamblador. Este proceso inevitáblemente
destruye la apariencia original del código, pero mediante el estudio
del ensamblador resultante, podremos conocer la "receta" que usó el
programador.

Una parte fundamental de mi trabajo consiste en hacer ingeniería
inversa a Sistemas Operativos y Software de terceros con el fin de
descubrir vulnerabilidades que podrían poner en riesgo la seguridad
de sus usuarios.

-Veo en la web que has publicado diversos papers, advisories y otras
cosas. ¿Cuales destacarias por su importancia?

-Destacaría las vulnerabilidades que he descubierto en los productos
de Microsoft debido a que sus test de seguridad son exhaustivos. Si
a esto añadimos que hay cientos de researchers investigando sus
productos también, poder descubrir algo que los demás han pasado por
alto es siempre una satisfacción. También considero interesante el
paper en el que describo cómo aplicar reconocimiento de patrones a
traves de redes neuronales artificiales a la deteccion de malware.

-Un amigo me comento sobre ti: "Hace cosas chulas de reversing y se
le da bien el tema de los exploits de kernel y cosas muy chungas
técnicamente hablando. Creo que se gana la vida desde hace un par de
años vendiendo sus exploits a empresas como idefense". ¿Es asi?

-Sí más o menos. He puesto bastante empeño en investigar las
vulnerabilidades en drivers, en el Kernel de Windows etc... Es
cierto que colaboro con empresas como iDefense o ZDI que se dedican
a proteger a sus clientes de potenciales instrusiones. Dichas
empresas son éticas, tienen detrás a gigantes como Verisign o 3Com.
En este sentido, para trabajar en el mundo de las vulnerabilidades
hay que tener las ideas bien claras y ser ético. De lo contrario
podrías acabar donde no debes, ya que el mercado negro ofrece
grandes sumas en comparación con las empresas legales.

-¿A ti tambien?

-Sí, me han ofrecido bastante dinero por exploits.
Estamos hablando de más de $20.000 dólares para normalitas y para
algunas más del doble y del tripe que eso, auténticas burradas
comparado con lo que las empresas legales pagan. Digamos que las
empresas legales pagan es más o menos una décima parte de lo que las
mafias ofrecen.
Para que te puedas hacer una idea del negocio que mueve el malware.
En una ocasión, ni siquiera pusieron límite, símplemente decian que
el dinero no sería un problema. Por supuesto que ni me digno en
contestarles.

-¿Trabajas solo o estas en algun grupo?

-La mayor parte de las veces trabajo en solitario. Sin embargo, he
tenido la suerte de tener amigos de toda la vida que también se
dedican a este mundo, por lo que existen proyectos en común. Estamos
a punto de crear una empresa junto con un amigo para lanzar el tema
del phishing (www.wintercore.com). Puede que cuando se publique la
entrevista ya lo hayamos publicado.

-¿Como ves el mundo de la seguridad informatica? ¿Esta la cosa tan
chunga como parece? ¿Donde estamos? ¿De donde venimos? ¿A donde vamos?

-El escenario de la seguridad informática es complétamente diferente
al de hace años. Antes, en la mayoría de los casos, alguien hacía un
virus, penetraba un sistema o se ahorraba unas pesetas en las
cabinas por el mero hecho de aprender, superarse a sí mismo o a lo
sumo, obtener algo de reconomiento.Rápidamente el acceso a internet,
el ordenador y las nuevas tecnologías fue creciendo , a la par que
se hacía accesible a todo el mundo. Prácticamente todo lo que antes
se tenía que hacer de forma presencial, pasaba a poder hacerse a
través de Internet...y entonces surgió el negocio. Ese fue el punto
de inflexión, a partir de ahí apareció una profesionalización de
todo lo que antes era un "entretenimiento".

Un usuario doméstico tiene que enfrentarse hoy a malware, spam,
phishing, rootkits, exploits, etc... por lo que acceder a la web se
ha convertido en una actividad de riesgo. En cuanto a las empresas,
además de todo lo anterior sufren también ataques personalizados a
sus empleados, destinados al espionage industrial, o a sus redes con
el objetivo de robar sus bases de datos. Tampoco podemos olvidar las
perdidas billonarias de los bancos debido al phishing. Los gobiernos
además, se enfrentan a posibles amenazas a la seguridad de
infraestructuras críticas debido a vulnerabilidades en los sistemas
SCADA, muchos de ellos obsoletos y que a la hora de implementarse no
tuvieron en cuenta su seguridad. Reciéntemente el Gobierno de EEUU
ha dado a conocer ataques de este tipo contra centrales de
suministro de energía en su territorio. Aunque este tipo de ataques
necesitarían de un amplio conocimiento y sofitisticación, no pueden
obviarse y de hecho las empresas se están preocupando ya de estos
asuntos.

Desde un punto de vista de un usuario común, el malware está en
niveles epidémicos, literálmente hablando. Eugene Kasperksy
comentaba hace tiempo que no podía hacer frente a la cantidad de
malware que recibían cada día y pedía que las autoridades
intervinieran. Esto se puede extrapolar a todas las compañías. Día
tras día surgen nuevas variantes de malware cuyo objetivo va desde
robar las credenciales de los usuarios de banca online, convertir el
ordenador en un zombie esperando órdenes hasta cifrar los documentos
de la víctima y pedir un rescate a cambio de la clave. El futuro de
la seguridad informática pasa por la detección proactiva de todo
este tipo de amenazas.

Hay que pensar de una forma multidisciplinar, aplicar conceptos de
la neurobiología, la genética, la estadística y en general de varias
disciplinas científicas. Muchos Antivirus ya se han concienciado y
trabajan desde hace tiempo tratando de identificar los
comportamientos y clasificar las familias del malware con el fin de
prevenir antes que curar. Por ejemplo, nosotros estamos
desarrollando en esa dirección y sacaremos próximamente un producto
destinado a la detección proactiva y automática de ataques de
phishing, basándonos en técnicas de Computer Vision que son
aplicadas habitualmente en campos como la robótica, la medicina o el
control industrial pero que todavía no se ha extendido al de la
seguridad informática.

En definitiva, un escenario realmente inquietante, y que no tiene
visos de solucionarse a corto plazo.



Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.