Els descobridors de fallades informàtiques cotitzen a l’alça

Compartir

SeguretatCom en una pel·lícula de l’Oest, Google ha promès recompenses de 370 euros per caçar no pas facinerosos, sinó fallades de seguretat en el seu navegador Chrome. La pràctica de donar importants sumes a qui trobi aquests forats, anomenats bugs en l’argot informàtica, és cada cop més habitual i ha creat un mercat en el qual hi participen els millors programadors del planeta.

Mercè Molist – Rubén Santamarta és el "caçabugs" més conegut d’Espanya. És de Lleó, té 27 anys i va entrar en aquest món als 24: "Quan vaig començar no sabia que hi havia empreses que pagaven per això, el que em cridava l’atenció era el repte de buscar fallades en sistemes", explica. Avui assegura viure d’això: "En cas de trobar un parell de bugs a l’any en programes coneguts ja no t’has de preocupar".

La professió de Santamarta és molt minoritària. A Espanya n’hi ha d’altres com ell, explica, "però no gaires, tot i que molt bons; tenen altres feines i no es dediquen completament a això". Solen ser homes joves, adolescents o de mitjana edat, que ho fan per hobby; la majoria viuen als Estats Units (un 25%), Gran Bretanya (5%), Alemanya i Índia (4%) i França, Brasil i Espanya (3%), segons TippingPoint, una de les empreses que paguen a qui li porti el millor “bug”.

Trobar un forat pot ser cosa d’hores o setmanes de feina. En teoria, és més fàcil trobar-los en programes lliures, ja que el seu codi font és públic, però com a contrapartida hi ha més gent buscant. Els programes propietaris com Windows, l’especialitat de Santamarta, tenen la dificultat afegida de que primer cal inferir el seu codi, perquè aquest no és públic.

Per a això, s’empra l’"enginyeria inversa": "Imaginem un barman barrejant diverses quantitats d’alcohol en una coctelera. Un cop servit, és difícil saber a simple vista de què està composat i les seves proporcions. L’enginyeria inversa és el procés que es segueix per esbrinar-ho, de tal manera que ens permeti reproduir la mateixa beguda sense conèixer la recepta original", explica.

Els "caçabugs" no acostumen a treballar per encàrrec: "Sóc jo el que inicia l’anàlisi del programa que considero més interessant", afirma Santamarta. Aquesta anàlisi consisteix, d’una banda, en inferir el codi del programa mitjançant enginyeria inversa, per així poder buscar errades en el mateix i, d’una altra, en aplicar-li tècniques de "fuzzing": "És força bruta, provar multitud d’opcions fins que alguna fa trencar al programa".

Les fallades més rendibles actualment, explica Santamarta, "estan en els programes de la banda client per a sistemes Windows". Van molt buscats els forats que poden aparèixer en visitar una pàgina web o en obrir un document PDF, DOC, PowerPoint o Excel.

Un cop descoberta la fallada, la ven a empreses de seguretat que usaran aquesta informació per a millorar els seus programes de detecció d’intrusos, ja que quantes més vulnerabilitats coneguin, més protegits estaran els seus clients. Les principals empreses compradores de bugs són Zero Day Initiative (de TippingPoint, una divisió de 3Com), iDefense (de VeriSign) i iSightPartners.

En aquestes empreses treballen alguns "caçabugs" reconeguts internacionalment, com Aaron Portnoy, de Zero Day Initiative, el currículum del qual està ben ple de forats descoberts en programes de companyies tan importants com Microsoft, Adobe, RSA, Citrix, Symantec, Hewlett-Packard o IBM.

Altres s’agrupen al voltant de projectes de detecció de vulnerabilitats com els corporatius Secunia, Vupen i Core, o el lliure Metasploit. HD Moore, de 29 anys, nascut a Hawaii i cèlebre "caçabugs", va crear Metasploit en el 2003 per a contrarestar el gran nombre d’eines de pagament que detecten i exploten fallades informàtiques.

Però la majoria van per lliure, com Santamarta o Alexander Sotirov, d’Alabama, descobridor d’importants fallades en Windows Vista i, juntament amb un grup internacional d’experts, d’un forat en la funció criptogràfica MD5, que permet crear autoritats de certificació falses. Aquest cop no van vendre el forat sinó que el van presentar gratuïtament a la conferència de seguretat Chaos Communication Congress 2008.

Quan l’investigador ha informat del bug a l’empresa de seguretat, aquesta avisa a la companyia creadora del programa vulnerable, la qual publicarà un pegat, tard o d’hora. No és tasca del "caçabugs" sinó de l’empresa de programari trobar la solució al problema, encara que alguns ofereixen pegats provisionals o el seu consell sobre quina seria la millor manera de resoldre’l.

Però la història no sempre acaba amb un pegat, assegura Santamarta: "Hi ha canals de mercat, com alguns estats i corporacions, on el bug venut mai no s’arribarà a conèixer, ni públicament ni per part de l’empresa afectada. La ciberguerra i l’espionatge industrial no són cap quimera". En els darrers temps, els governs s’han convertit en els millors compradors de fallades, arribant a pagar fins a un milió de dòlars per una, segons Pedram Amini, de TippingPoint DVLabs.

Els "caçabugs" amb poca ètica tenen un altre important client en el cibercrim. No és el cas de Santamarta, malgrat que assegura haver rebut ofertes temptadores: "Més de 20.000 dòlars per coses força normals i fins i tot el doble i el triple, un cop ni tan sols van posar límit. Ni em digno en respondre’ls".

Entre les ofertes curioses que li han arribat del mercat negre, recorda un encàrrec que consistia en trencar un "captcha" (prova de validació) d’àudio per a construir un programa automàtic que s’apoderaria de les millors oportunitats en pàgines de venda d’entrades, per a després poder-les revendre.

Però el més buscat en el mercat negre és un tipus especial de bugs, els "0days", que afecten programes importants i per als quals no hi ha pegats perquè la fallada no s’ha fet pública, només el coneix l’investigador o un petit cercle. Els "0days" es poden usar per a atacs sense defensa possible ‘a priori’, com l’espionatge a empreses.

El seu valor és molt alt i hi ha un gran hermetisme pel que fa als preus que s’arriben a pagar per ells. Fa uns anys, un "0day" molt famós, que afectava a les icones .ANI de Windows, es venia a 5.000 dòlars en el mercat negre. Altres superen amb escreix aquesta quantitat, sobretot quan afecten programes molt populars, com ara Internet Explorer o Firefox.

Alguns forats no es venen sinó que es fan públics en conferències importants de seguretat informàtica, com la Black Hat, que a l’abril es celebrarà a Barcelona. És el vessant més lúdic dels "caçabugs": investigar forats per diversió i fer-los públics gratuïtament. Santamarta va revelar així que un sistema de loteria espanyol es podia falsificar.

A l’altre extrem del negoci dels bugs s’hi troben les empreses responsables dels programes vulnerables, a les quals no els fa gens de gràcia que els descobreixin fallades. Algunes han arribat a pressionar als investigadors per a què no donessin a conèixer importants forats, amb amenaces de deixar-los sense feina o de denunciar-los per ficar el nas en un codi que no és públic.

"Les empreses de programari són les menys interessad
es en incentivar a gent externa per a què busqui vulnerabilitats en els seus productes
", afirma Santamarta. És per això que els programes que recompensen a aquests “cowboys” solitaris es compten amb els dits d’una mà i són tots de codi obert: Mozilla, Ghostscript, Qmail i ara Chrome, de Google. Paguen un estàndard de 370 euros per bug, quantitat considerada "ridícula" per Santamarta.

La manca d’al·licients econòmics i el risc de ser amonestats ha provocat que cada cop siguin menys els "caçabugs" que informen directament a l’empresa de programari de les fallades que troben. Es queixen, a més, de que l’empresa els demana que guardin silenci mentre ella crea un pegat que pot trigar mesos o no ser mai publicat, davant la impotència de l’investigador que veu com el forat segueix obert.

Altres vegades la història té un final feliç. És el cas del francès de 24 anys, Thomas Garnier, el qual va començar a treballar com a "caçabugs" en el 2007, quan encara estava estudiant. Aviat, la seva llista de fallades descobertes en Windows va créixer i va impressionar: "La majoria eren importants perquè permetien saltar-se barreres de seguretat i escalar privilegis dins del Windows, altres comprometien l’ordinador si visitaves una pàgina web o obries un arxiu", explica.

Garnier informava directament Microsoft d’aquests forats i, en el 2008, quan va acabar els seus estudis, la companyia li va oferir treballar en el seu equip d’enginyers de seguretat. "Sempre vaig tenir bones experiències amb l’empresa; quan els avisava de fallades mai van deixar de respondre’m i se’ls veia molt interessats en la meva feina, així que vaig acceptar", afirma.

Recompensa de 500 dólares por descubrir agujeros del navegador

Rubén Santamarta

Lotería instantanea for learning and non-profit

Projecte Metasploit

HD Moore

Alexander Sotirov

Aaron Portnoy

Projecte No More Free Bugs

TippingPoint DVLabs

Copyright 2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Guillem Alsina