Los descubridores de fallos informáticos cotizan al alza

12/02/10 13:22:42

LOS DESCUBRIDORES DE FALLOS INFORMÁTICOS COTIZAN AL ALZA

Mercè Molist
Como en una película del Oeste, Google ha prometido recompensas de 370 euros por cazar no a forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar importantes sumas a quien encuentre estos agujeros, llamados "bugs" en la jerga informática, es cada vez más habitual y ha creado un mercado en el que participan los mejores programadores del planeta.

Rubén Santamarta es el "cazabugs" más conocido de España. Es de León, tiene 27 años y entró en este mundo a los 24: "Cuando empecé no sabía que había empresas que pagaban por ello, lo que me llamaba la atención era el reto de buscar fallos en sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de "bugs" al año en programas conocidos ya no tienes que preocuparte".

La profesión de Santamarta es muy minoritaria. En España hay otros como él, explica, "pero no muchos, aunque muy buenos; tienen otros trabajos y no se dedican por completo a esto". Suelen ser hombres jóvenes, adolescentes o veinteañeros, que lo hacen por "hobby"; la mayoría viven en Estados Unidos (un 25%), Gran Bretaña (5%), Alemania e India (4%) y Francia, Brasil y España (3%), según TippingPoint, una de las empresas que pagan a quien le lleve el mejor "bug".

Encontrar un agujero puede ser cosa de horas o semanas de trabajo. En teoría, es más fácil hallarlos en programas libres, ya que su código fuente es público, pero como contrapartida hay más gente buscando. Los programas propietarios como Windows, la especialidad de Santamarta, tienen la dificultad añadida de que primero hay que inferir su código, pues este no es público.

Para ello, se utiliza la "ingeniería inversa": "Imaginemos un barman mezclando diversas cantidades de alcohol en una cocktelera. Una vez servido, es difícil saber a simple vista de que está compuesto y sus proporciones. La ingeniería inversa es el proceso que se sigue para averiguarlo, de tal manera que nos permita reproducir la misma bebida sin conocer la receta original", explica.

Los "cazabugs" no suelen trabajar por encargo: "Soy yo el que inicio el análisis del programa que considero más interesante", afirma Santamarta. Este análisis consiste, por un lado, en inferir el código del programa mediante ingeniería inversa, para así poder buscar errores en el mismo y, por otro, en aplicarle técnicas de "fuzzing": "Es fuerza bruta, probar multitud de opciones hasta que alguna hace cascar al programa".

Los fallos más rentables actualmente, explica Santamarta, "están en los programas del lado cliente para sistemas Windows". Van muy buscados los agujeros que pueden aparecer al visitar una página web o al abrir un documento PDF, DOC, PowerPoint o Excel.

Una vez descubierto el fallo, lo vende a empresas de seguridad que usarán esta información para mejorar sus programas de detección de intrusos, ya que cuantas más vulnerabilidades conozcan, más protegidos estarán sus clientes. Las principales empresas compradoras de "bugs" son Zero Day Initiative (de TippingPoint, una división de 3Com), iDefense (de VeriSign) e iSightPartners.

En estas empresas trabajan algunos "cazabugs" reconocidos internacionalmente, como Aaron Portnoy, de Zero Day Initiative, cuyo currículum está repleto de agujeros descubiertos en programas de compañías tan importantes como Microsoft, Adobe, RSA, Citrix, Symantec, Hewlett-Packard o IBM.

Otros se agrupan alrededor de proyectos de detección de vulnerabilidades como los corporativos Secunia, Vupen y Core, o el libre Metasploit. HD Moore, de 29 años, nacido en Hawai y célebre "cazabugs", creó Metasploit en 2003 para contrarrestar el gran número de herramientas de pago que detectan y explotan fallos informáticos.

Pero la mayoría van por libre, como Santamarta o Alexander Sotirov, de Alabama, descubridor de importantes fallos en Windows Vista y, junto con un grupo internacional de expertos, de un agujero en la función criptográfica MD5, que permite crear autoridades de certificación falsas. En esta ocasión no vendieron el agujero sino que lo presentaron gratuitamente en la conferencia de seguridad Chaos Communication Congress 2008.

Cuando el investigador ha informado del "bug" a la empresa de seguridad, esta avisa a la compañía creadora del programa vulnerable, la cual publicará un parche, más pronto o más tarde. No es tarea del "cazabugs" sino de la empresa de "software" encontrar la solución al problema, aunque algunos ofrecen parches provisionales o su consejo sobre cuál sería la mejor forma de resolverlo.

Pero la historia no siempre acaba con un parche, asegura Santamarta: "Hay canales de mercado, como algunos estados y corporaciones, donde el "bug" vendido nunca llegará a conocerse, ni públicamente ni por parte de la empresa afectada. La ciberguerra y el espionaje industrial no son ninguna quimera". En los últimos tiempos, los gobiernos se han convertido en los mejores compradores de fallos, llegando a pagar hasta un millón de dólares por uno, según Pedram Amini, de TippingPoint DVLabs.

Los "cazabugs" con poca ética tienen otro importante cliente en el cibercrimen. No es el caso de Santamarta, aunque asegura haber recibido tentadoras ofertas: "Más de 20.000 dólares para cosas normalitas e incluso el doble y triple, en una ocasión ni siquiera pusieron límite. Ni me digno en contestarles".

Entre las ofertas curiosas que le han llegado del mercado negro, recuerda un encargo que consistía en romper un "captcha" (prueba de validación) de audio para construir un programa automático que se apoderaría de las mejores oportunidades en páginas de venta de entradas, para luego poder revenderlas.

Pero lo más buscado en el mercado negro es un tipo especial de "bugs", los "0days", que afectan a programas importantes y para los que no existen parches porque el fallo no se ha hecho público, sólo lo conoce el investigador o un pequeño círculo. Los "0days" pueden usarse para ataques sin defensa posible 'a priori', como el espionaje a empresas.

Su valor es muy alto y hay un gran hermetismo en cuanto a los precios que llegan a pagarse por ellos. Hace unos años, un "0day" muy famoso, que afectaba a los iconos .ANI de Windows, se vendía a 5.000 dólares en el mercado negro. Otros superan con creces esta cantidad, sobre todo cuando afectan a programas muy populares, como Internet Explorer o Firefox.

Algunos agujeros no se venden sino que se hacen públicos en conferencias importantes de seguridad informática, como la Black Hat, que en abril se celebrará en Barcelona. Es la vertiente más lúdica de los "cazabugs": investigar agujeros por diversión y hacerlos públicos gratuitamente. Santamarta desveló así que un sistema de lotería español podía falsificarse.

En el otro extremo del negocio de los "bugs" están las empresas responsables de los programas vulnerables, a las que no hace ninguna gracia que les descubran fallos. Algunas han llegado a presionar a investigadores para que no diesen a conocer importantes agujeros, con amenazas de dejarles sin empleo o de denunciarles por meter las narices en un código que no es público.

"Las empresas de "software" son las menos interesadas en incentivar a gente externa a que busque vulnerabilidades en sus productos", afirma Santamarta. Es por ello que los programas que recompensan a estos llaneros solitarios se cuentan con los dedos de una mano y son todos de código abierto: Mozilla, Ghostscript, Qmail y ahora Chrome, de Google. Pagan un estándar de 370 euros por "bug", cantidad considerada "ridícula" por Santamarta.

La falta de alicientes económicos y el riesgo de ser amonestados ha provocado que cada vez sean menos los "cazabugs" que informan directamente a la empresa de "software" de los fallos que encuentran. Se quejan, además, de que la empresa les pide que guarden silencio mientras ella crea un parche que puede tardar meses o no publicarse nunca, ante la impotencia del investigador que ve como el agujero sigue abierto.

En otras ocasiones la historia tiene un final feliz. Es el caso del francés de 24 años, Thomas Garnier, quien empezó a trabajar como "cazabugs" en 2007, cuando aún estaba estudiando. Pronto, su lista de fallos descubiertos en Windows creció e impresionó: "La mayoría eran importantes porque permitían saltarse barreras de seguridad y escalar privilegios dentro de Windows, otros comprometían el ordenador si visitabas una página web o abrías un archivo", explica.

Garnier informaba directamente a Microsoft de estos agujeros y, en 2008, cuando acabó sus estudios, la compañía le ofreció trabajar en su equipo de ingenieros de seguridad. "Siempre tuve buenas experiencias con la empresa; cuando les avisaba de fallos jamás dejaron de responderme y se les veía muy interesados en mi trabajo, así que acepté", afirma.

Recompensa de 500 dólares por descubrir agujeros del navegador
http://www.elpais.com/articulo/portada/Recompensa/500/dolares/descubrir/agujeros/navegador/elpepisupcib/20100204elpcibpor_5/Tes/

Rubén Santamarta
http://www.reversemode.com

Lotería instantanea for learning and non-profit
http://blog.48bits.com/2010/01/23/loteria-instantanea-for-learning-and-non-profit/

Proyecto Metasploit
http://www.metasploit.com

HD Moore
http://digitaloffense.net

Alexander Sotirov
http://en.wikipedia.org/wiki/Alexander_Sotirov

Aaron Portnoy
http://dvlabs.tippingpoint.com/team/aportnoy

Proyecto No More Free Bugs
http://nomorefreebugs.com

TippingPoint DVLabs
http://dvlabs.tippingpoint.com

CUÁNTO CUESTA UN 'BUG'

En los mercados de compra-venta de "bugs" impera el secretismo. Los "cazabugs" no gritan lo que cobran a los cuatro vientos y los agujeros no tienen un precio público y fijo. Depende de muchos factores, según si afecta a un programa más o menos importante, si el programa está instalado y funciona por defecto en el sistema operativo, si el fallo afecta a servidores o a programas cliente, si es fácil de explotar, si requiere la intervención del usuario, si funciona en muchas versiones del programa, si lo conoce mucha gente o quién es el comprador.

A partir de estos parámetros, Pedram Amini, de TippingPoint DVLabs, ha elaborado una lista de precios orientativa:

Empresas de "software": entre 370 y 740 euros

Empresas de seguridad: entre 3.700 y 11.000 euros

Revendedores a gobiernos: entre 14.800 y 74.000 euros

Gobiernos: entre 74.000 y 740.000 euros

Mercado negro: entre 14.800 y 74.000 euros

LOS AGUJEROS DE CUARTANGO

M.M.
Juan Carlos García Cuartango, de Miranda de Ebro, fue el primer "cazabugs" español que consiguió reconocimiento internacional, a finales de los 90. Hoy tiene 49 años, es director del Instituto para la Seguridad en Internet y ya no se dedica a ello, pero lo recuerda con un guiño cómplice: "Yo no era un "cazabugs", eran los "bugs" los que me encontraban a mí".

Los descubrimientos de Cuartango se refirieron mayoritariamente a vulnerabilidades en productos Microsoft. Entre ellas destacó un grave fallo en el navegador Internet Explorer, en octubre de 1998, que bautizó como "agujero de Cuartango" y le dio la fama internacional. El "bug" permitía a un sitio web extraer información de los ordenadores que lo visitaban usando Internet Explorer.

Microsoft publicó rápidamente un parche, pero era incompleto y dejaba abierto otro agujero, que Cuartango también descubrió y bautizó como "El hijo del agujero de Cuartango". Hasta 2001, el investigador español encontró muchos otros "bugs" en productos Microsoft y fue mencionado como descubridor de los mismos en más de diez boletines de seguridad de la compañía.

"Jamás cobré por ellos, entonces no había ningún mercado de compra-venta de "bugs", al menos de forma pública", explica Cuartango. Cuando descubría un nuevo fallo, lo comunicaba directamente a la empresa de "software": "Microsoft tenía un buzón para temas de seguridad, pero al final ya me dirigía directamente a algunos técnicos de la compañía", afirma.

A pesar de haber puesto muchas veces a Microsoft en ridículo, Cuartango asegura: "Es posible que de puertas adentro echasen pestes sobre mi, pero me trataban con gran educación. Nunca recibí ninguna compensación de ellos, ni siquiera una camiseta, lo cual dice mucho a su favor, ya que no intentaron callarme vía prebendas".

Otras empresas sí le mostraron su agradecimiento, como Netscape: "Me premió con una camiseta y un cheque de 1.000 dólares, como hacía con todos los que le informaban de algún "bug"". O el SANS Institute, que le dio 100 dólares "simbólicos, para irme a cenar con un acompañante", por ser uno de los diez mejores colaboradores de seguridad del año.

Cuartango considera que en sus tiempos era más fácil descubrir "bugs", aunque no tenían las herramientas de ahora: "Internet se diseñó como red para uso militar y académico, gente respetable, no se necesitaba seguridad para ese tipo de usuarios. Los problemas aparecen cuando pasa a ser una red pública con usos comerciales, ya que no está preparada para la "chusma". Por esta razón en los 90 aparecieron grandes agujeros de seguridad".

Instituto para la Seguridad en Internet
http://www.instisec.com/

Juan Carlos García Cuartango
http://hackstory.net/index.php/Juan_Carlos_García_Cuartango

Copyright 2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

<<