[HACK] Los descubridores de fallos informaticos cotizan al alza

[merce]

12/02/10 13:22:42


LOS DESCUBRIDORES DE FALLOS INFORMÁTICOS COTIZAN AL ALZA


Mercè Molist
Como en una película del Oeste, Google ha prometido recompensas de
370 euros por cazar no a forajidos, sino fallos de seguridad en su
navegador Chrome. La práctica de dar importantes sumas a quien
encuentre estos agujeros, llamados "bugs" en la jerga informática,
es cada vez más habitual y ha creado un mercado en el que participan
los mejores programadores del planeta.

Rubén Santamarta es el "cazabugs" más conocido de España. Es de
León, tiene 27 años y entró en este mundo a los 24: "Cuando empecé
no sabía que había empresas que pagaban por ello, lo que me llamaba
la atención era el reto de buscar fallos en sistemas", explica. Hoy
asegura vivir de esto: "Con encontrar un par de "bugs" al año en
programas conocidos ya no tienes que preocuparte".

La profesión de Santamarta es muy minoritaria. En España hay otros
como él, explica, "pero no muchos, aunque muy buenos; tienen otros
trabajos y no se dedican por completo a esto". Suelen ser hombres
jóvenes, adolescentes o veinteañeros, que lo hacen por "hobby"; la
mayoría viven en Estados Unidos (un 25%), Gran Bretaña (5%),
Alemania e India (4%) y Francia, Brasil y España (3%), según
TippingPoint, una de las empresas que pagan a quien le lleve el
mejor "bug".

Encontrar un agujero puede ser cosa de horas o semanas de trabajo.
En teoría, es más fácil hallarlos en programas libres, ya que su
código fuente es público, pero como contrapartida hay más gente
buscando. Los programas propietarios como Windows, la especialidad
de Santamarta, tienen la dificultad añadida de que primero hay que
inferir su código, pues este no es público.

Para ello, se utiliza la "ingeniería inversa": "Imaginemos un barman
mezclando diversas cantidades de alcohol en una cocktelera. Una vez
servido, es difícil saber a simple vista de que está compuesto y sus
proporciones. La ingeniería inversa es el proceso que se sigue para
averiguarlo, de tal manera que nos permita reproducir la misma
bebida sin conocer la receta original", explica.

Los "cazabugs" no suelen trabajar por encargo: "Soy yo el que inicio
el análisis del programa que considero más interesante", afirma
Santamarta. Este análisis consiste, por un lado, en inferir el
código del programa mediante ingeniería inversa, para así poder
buscar errores en el mismo y, por otro, en aplicarle técnicas de
"fuzzing": "Es fuerza bruta, probar multitud de opciones hasta que
alguna hace cascar al programa".

Los fallos más rentables actualmente, explica Santamarta, "están en
los programas del lado cliente para sistemas Windows". Van muy
buscados los agujeros que pueden aparecer al visitar una página web
o al abrir un documento PDF, DOC, PowerPoint o Excel.

Una vez descubierto el fallo, lo vende a empresas de seguridad que
usarán esta información para mejorar sus programas de detección de
intrusos, ya que cuantas más vulnerabilidades conozcan, más
protegidos estarán sus clientes. Las principales empresas
compradoras de "bugs" son Zero Day Initiative (de TippingPoint, una
división de 3Com), iDefense (de VeriSign) e iSightPartners.

En estas empresas trabajan algunos "cazabugs" reconocidos
internacionalmente, como Aaron Portnoy, de Zero Day Initiative, cuyo
currículum está repleto de agujeros descubiertos en programas de
compañías tan importantes como Microsoft, Adobe, RSA, Citrix,
Symantec, Hewlett-Packard o IBM.

Otros se agrupan alrededor de proyectos de detección de
vulnerabilidades como los corporativos Secunia, Vupen y Core, o el
libre Metasploit. HD Moore, de 29 años, nacido en Hawai y célebre
"cazabugs", creó Metasploit en 2003 para contrarrestar el gran
número de herramientas de pago que detectan y explotan fallos
informáticos.

Pero la mayoría van por libre, como Santamarta o Alexander Sotirov,
de Alabama, descubridor de importantes fallos en Windows Vista y,
junto con un grupo internacional de expertos, de un agujero en la
función criptográfica MD5, que permite crear autoridades de
certificación falsas. En esta ocasión no vendieron el agujero sino
que lo presentaron gratuitamente en la conferencia de seguridad
Chaos Communication Congress 2008.

Cuando el investigador ha informado del "bug" a la empresa de
seguridad, esta avisa a la compañía creadora del programa
vulnerable, la cual publicará un parche, más pronto o más tarde. No
es tarea del "cazabugs" sino de la empresa de "software" encontrar
la solución al problema, aunque algunos ofrecen parches
provisionales o su consejo sobre cuál sería la mejor forma de
resolverlo.

Pero la historia no siempre acaba con un parche, asegura Santamarta:
"Hay canales de mercado, como algunos estados y corporaciones, donde
el "bug" vendido nunca llegará a conocerse, ni públicamente ni por
parte de la empresa afectada. La ciberguerra y el espionaje
industrial no son ninguna quimera". En los últimos tiempos, los
gobiernos se han convertido en los mejores compradores de fallos,
llegando a pagar hasta un millón de dólares por uno, según Pedram
Amini, de TippingPoint DVLabs.

Los "cazabugs" con poca ética tienen otro importante cliente en el
cibercrimen. No es el caso de Santamarta, aunque asegura haber
recibido tentadoras ofertas: "Más de 20.000 dólares para cosas
normalitas e incluso el doble y triple, en una ocasión ni siquiera
pusieron límite. Ni me digno en contestarles".

Entre las ofertas curiosas que le han llegado del mercado negro,
recuerda un encargo que consistía en romper un "captcha" (prueba de
validación) de audio para construir un programa automático que se
apoderaría de las mejores oportunidades en páginas de venta de
entradas, para luego poder revenderlas.

Pero lo más buscado en el mercado negro es un tipo especial de
"bugs", los "0days", que afectan a programas importantes y para los
que no existen parches porque el fallo no se ha hecho público, sólo
lo conoce el investigador o un pequeño círculo. Los "0days" pueden
usarse para ataques sin defensa posible 'a priori', como el
espionaje a empresas.

Su valor es muy alto y hay un gran hermetismo en cuanto a los
precios que llegan a pagarse por ellos. Hace unos años, un "0day"
muy famoso, que afectaba a los iconos .ANI de Windows, se vendía a
5.000 dólares en el mercado negro. Otros superan con creces esta
cantidad, sobre todo cuando afectan a programas muy populares, como
Internet Explorer o Firefox.

Algunos agujeros no se venden sino que se hacen públicos en
conferencias importantes de seguridad informática, como la Black
Hat, que en abril se celebrará en Barcelona. Es la vertiente más
lúdica de los "cazabugs": investigar agujeros por diversión y
hacerlos públicos gratuitamente. Santamarta desveló así que un
sistema de lotería español podía falsificarse.

En el otro extremo del negocio de los "bugs" están las empresas
responsables de los programas vulnerables, a las que no hace ninguna
gracia que les descubran fallos. Algunas han llegado a presionar a
investigadores para que no diesen a conocer importantes agujeros,
con amenazas de dejarles sin empleo o de denunciarles por meter las
narices en un código que no es público.

"Las empresas de "software" son las menos interesadas en incentivar
a gente externa a que busque vulnerabilidades en sus productos",
afirma Santamarta. Es por ello que los programas que recompensan a
estos llaneros solitarios se cuentan con los dedos de una mano y son
todos de código abierto: Mozilla, Ghostscript, Qmail y ahora Chrome,
de Google. Pagan un estándar de 370 euros por "bug", cantidad
considerada "ridícula" por Santamarta.

La falta de alicientes económicos y el riesgo de ser amonestados ha
provocado que cada vez sean menos los "cazabugs" que informan
directamente a la empresa de "software" de los fallos que
encuentran. Se quejan, además, de que la empresa les pide que
guarden silencio mientras ella crea un parche que puede tardar meses
o no publicarse nunca, ante la impotencia del investigador que ve
como el agujero sigue abierto.

En otras ocasiones la historia tiene un final feliz. Es el caso del
francés de 24 años, Thomas Garnier, quien empezó a trabajar como
"cazabugs" en 2007, cuando aún estaba estudiando. Pronto, su lista
de fallos descubiertos en Windows creció e impresionó: "La mayoría
eran importantes porque permitían saltarse barreras de seguridad y
escalar privilegios dentro de Windows, otros comprometían el
ordenador si visitabas una página web o abrías un archivo", explica.

Garnier informaba directamente a Microsoft de estos agujeros y, en
2008, cuando acabó sus estudios, la compañía le ofreció trabajar en
su equipo de ingenieros de seguridad. "Siempre tuve buenas
experiencias con la empresa; cuando les avisaba de fallos jamás
dejaron de responderme y se les veía muy interesados en mi trabajo,
así que acepté", afirma.




Recompensa de 500 dólares por descubrir agujeros del navegador
http://www.elpais.com/articulo/portada/Recompensa/500/dolares/descubrir/agujeros/navegador/elpepisupcib/20100204elpcibpor_5/Tes/

Rubén Santamarta
http://www.reversemode.com

Lotería instantanea for learning and non-profit
http://blog.48bits.com/2010/01/23/loteria-instantanea-for-learning-and-non-profit/

Proyecto Metasploit
http://www.metasploit.com

HD Moore
http://digitaloffense.net

Alexander Sotirov
http://en.wikipedia.org/wiki/Alexander_Sotirov

Aaron Portnoy
http://dvlabs.tippingpoint.com/team/aportnoy

Proyecto No More Free Bugs
http://nomorefreebugs.com

TippingPoint DVLabs
http://dvlabs.tippingpoint.com





CUÁNTO CUESTA UN 'BUG'


En los mercados de compra-venta de "bugs" impera el secretismo. Los
"cazabugs" no gritan lo que cobran a los cuatro vientos y los
agujeros no tienen un precio público y fijo. Depende de muchos
factores, según si afecta a un programa más o menos importante, si
el programa está instalado y funciona por defecto en el sistema
operativo, si el fallo afecta a servidores o a programas cliente, si
es fácil de explotar, si requiere la intervención del usuario, si
funciona en muchas versiones del programa, si lo conoce mucha gente
o quién es el comprador.

A partir de estos parámetros, Pedram Amini, de TippingPoint DVLabs,
ha elaborado una lista de precios orientativa:


Empresas de "software": entre 370 y 740 euros

Empresas de seguridad: entre 3.700 y 11.000 euros

Revendedores a gobiernos: entre 14.800 y 74.000 euros

Gobiernos: entre 74.000 y 740.000 euros

Mercado negro: entre 14.800 y 74.000 euros




LOS AGUJEROS DE CUARTANGO


M.M.
Juan Carlos García Cuartango, de Miranda de Ebro, fue el primer
"cazabugs" español que consiguió reconocimiento internacional, a
finales de los 90. Hoy tiene 49 años, es director del Instituto para
la Seguridad en Internet y ya no se dedica a ello, pero lo recuerda
con un guiño cómplice: "Yo no era un "cazabugs", eran los "bugs" los
que me encontraban a mí".

Los descubrimientos de Cuartango se refirieron mayoritariamente a
vulnerabilidades en productos Microsoft. Entre ellas destacó un
grave fallo en el navegador Internet Explorer, en octubre de 1998,
que bautizó como "agujero de Cuartango" y le dio la fama
internacional. El "bug" permitía a un sitio web extraer información
de los ordenadores que lo visitaban usando Internet Explorer.

Microsoft publicó rápidamente un parche, pero era incompleto y
dejaba abierto otro agujero, que Cuartango también descubrió y
bautizó como "El hijo del agujero de Cuartango". Hasta 2001, el
investigador español encontró muchos otros "bugs" en productos
Microsoft y fue mencionado como descubridor de los mismos en más de
diez boletines de seguridad de la compañía.

"Jamás cobré por ellos, entonces no había ningún mercado de
compra-venta de "bugs", al menos de forma pública", explica
Cuartango. Cuando descubría un nuevo fallo, lo comunicaba
directamente a la empresa de "software": "Microsoft tenía un buzón
para temas de seguridad, pero al final ya me dirigía directamente a
algunos técnicos de la compañía", afirma.

A pesar de haber puesto muchas veces a Microsoft en ridículo,
Cuartango asegura: "Es posible que de puertas adentro echasen pestes
sobre mi, pero me trataban con gran educación. Nunca recibí ninguna
compensación de ellos, ni siquiera una camiseta, lo cual dice mucho
a su favor, ya que no intentaron callarme vía prebendas".

Otras empresas sí le mostraron su agradecimiento, como Netscape: "Me
premió con una camiseta y un cheque de 1.000 dólares, como hacía con
todos los que le informaban de algún "bug"". O el SANS Institute,
que le dio 100 dólares "simbólicos, para irme a cenar con un
acompañante", por ser uno de los diez mejores colaboradores de
seguridad del año.

Cuartango considera que en sus tiempos era más fácil descubrir
"bugs", aunque no tenían las herramientas de ahora: "Internet se
diseñó como red para uso militar y académico, gente respetable, no
se necesitaba seguridad para ese tipo de usuarios. Los problemas
aparecen cuando pasa a ser una red pública con usos comerciales, ya
que no está preparada para la "chusma". Por esta razón en los 90
aparecieron grandes agujeros de seguridad".


Instituto para la Seguridad en Internet
http://www.instisec.com/

Juan Carlos García Cuartango
http://hackstory.net/index.php/Juan_Carlos_García_Cuartango




Copyright 2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.