Los descubridores de fallos informáticos cotizan al alza
Como en una película del Oeste, Google ha prometido recompensas de 370 euros por cazar no a forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar importantes sumas a quien encuentre estos agujeros, llamados "bugs" en la jerga informática, es cada vez más habitual y ha creado un mercado en el que participan los mejores programadores del planeta.
Mercè Molist – Rubén Santamarta es el "cazabugs" más conocido de España. Es de León, tiene 27 años y entró en este mundo a los 24: "Cuando empecé no sabía que había empresas que pagaban por ello, lo que me llamaba la atención era el reto de buscar fallos en sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de "bugs" al año en programas conocidos ya no tienes que preocuparte".
La profesión de Santamarta es muy minoritaria. En España hay otros como él, explica, "pero no muchos, aunque muy buenos; tienen otros trabajos y no se dedican por completo a esto". Suelen ser hombres jóvenes, adolescentes o veinteañeros, que lo hacen por "hobby"; la mayoría viven en Estados Unidos (un 25%), Gran Bretaña (5%), Alemania e India (4%) y Francia, Brasil y España (3%), según TippingPoint, una de las empresas que pagan a quien le lleve el mejor "bug".
Encontrar un agujero puede ser cosa de horas o semanas de trabajo. En teoría, es más fácil hallarlos en programas libres, ya que su código fuente es público, pero como contrapartida hay más gente buscando. Los programas propietarios como Windows, la especialidad de Santamarta, tienen la dificultad añadida de que primero hay que inferir su código, pues este no es público.
Para ello, se utiliza la "ingeniería inversa": "Imaginemos un barman mezclando diversas cantidades de alcohol en una coctelera. Una vez servido, es difícil saber a simple vista de que está compuesto y sus proporciones. La ingeniería inversa es el proceso que se sigue para averiguarlo, de tal manera que nos permita reproducir la misma bebida sin conocer la receta original", explica.
Los "cazabugs" no suelen trabajar por encargo: "Soy yo el que inicio el análisis del programa que considero más interesante", afirma Santamarta. Este análisis consiste, por un lado, en inferir el código del programa mediante ingeniería inversa, para así poder buscar errores en el mismo y, por otro, en aplicarle técnicas de "fuzzing": "Es fuerza bruta, probar multitud de opciones hasta que alguna hace cascar al programa".
Los fallos más rentables actualmente, explica Santamarta, "están en los programas del lado cliente para sistemas Windows". Van muy buscados los agujeros que pueden aparecer al visitar una página web o al abrir un documento PDF, DOC, PowerPoint o Excel.
Una vez descubierto el fallo, lo vende a empresas de seguridad que usarán esta información para mejorar sus programas de detección de intrusos, ya que cuantas más vulnerabilidades conozcan, más protegidos estarán sus clientes. Las principales empresas compradoras de "bugs" son Zero Day Initiative (de TippingPoint, una división de 3Com), iDefense (de VeriSign) e iSightPartners.
En estas empresas trabajan algunos "cazabugs" reconocidos internacionalmente, como Aaron Portnoy, de Zero Day Initiative, cuyo currículum está repleto de agujeros descubiertos en programas de compañías tan importantes como Microsoft, Adobe, RSA, Citrix, Symantec, Hewlett-Packard o IBM.
Otros se agrupan alrededor de proyectos de detección de vulnerabilidades como los corporativos Secunia, Vupen y Core, o el libre Metasploit. HD Moore, de 29 años, nacido en Hawai y célebre "cazabugs", creó Metasploit en 2003 para contrarrestar el gran número de herramientas de pago que detectan y explotan fallos informáticos.
Pero la mayoría van por libre, como Santamarta o Alexander Sotirov, de Alabama, descubridor de importantes fallos en Windows Vista y, junto con un grupo internacional de expertos, de un agujero en la función criptográfica MD5, que permite crear autoridades de certificación falsas. En esta ocasión no vendieron el agujero sino que lo presentaron gratuitamente en la conferencia de seguridad Chaos Communication Congress 2008.
Cuando el investigador ha informado del "bug" a la empresa de seguridad, esta avisa a la compañía creadora del programa vulnerable, la cual publicará un parche, más pronto o más tarde. No es tarea del "cazabugs" sino de la empresa de "software" encontrar la solución al problema, aunque algunos ofrecen parches provisionales o su consejo sobre cuál sería la mejor forma de resolverlo.
Pero la historia no siempre acaba con un parche, asegura Santamarta: "Hay canales de mercado, como algunos estados y corporaciones, donde el "bug" vendido nunca llegará a conocerse, ni públicamente ni por parte de la empresa afectada. La ciberguerra y el espionaje industrial no son ninguna quimera". En los últimos tiempos, los gobiernos se han convertido en los mejores compradores de fallos, llegando a pagar hasta un millón de dólares por uno, según Pedram Amini, de TippingPoint DVLabs.
Los "cazabugs" con poca ética tienen otro importante cliente en el cibercrimen. No es el caso de Santamarta, aunque asegura haber recibido tentadoras ofertas: "Más de 20.000 dólares para cosas normalitas e incluso el doble y triple, en una ocasión ni siquiera pusieron límite. Ni me digno en contestarles".
Entre las ofertas curiosas que le han llegado del mercado negro, recuerda un encargo que consistía en romper un "captcha" (prueba de validación) de audio para construir un programa automático que se apoderaría de las mejores oportunidades en páginas de venta de entradas, para luego poder revenderlas.
Pero lo más buscado en el mercado negro es un tipo especial de "bugs", los "0days", que afectan a programas importantes y para los que no existen parches porque el fallo no se ha hecho público, sólo lo conoce el investigador o un pequeño círculo. Los "0days" pueden usarse para ataques sin defensa posible 'a priori', como el espionaje a empresas.
Su valor es muy alto y hay un gran hermetismo en cuanto a los precios que llegan a pagarse por ellos. Hace unos años, un "0day" muy famoso, que afectaba a los iconos .ANI de Windows, se vendía a 5.000 dólares en el mercado negro. Otros superan con creces esta cantidad, sobre todo cuando afectan a programas muy populares, como Internet Explorer o Firefox.
Algunos agujeros no se venden sino que se hacen públicos en conferencias importantes de seguridad informática, como la Black Hat, que en abril se celebrará en Barcelona. Es la vertiente más lúdica de los "cazabugs": investigar agujeros por diversión y hacerlos públicos gratuitamente. Santamarta desveló así que un sistema de lotería español podía falsificarse.
En el otro extremo del negocio de los "bugs" están las empresas responsables de los programas vulnerables, a las que no hace ninguna gracia que les descubran fallos. Algunas han llegado a presionar a investigadores para que no diesen a conocer importantes agujeros, con amenazas de dejarles sin empleo o de denunciarles por meter las narices en un código que no es público.
"Las empresas de "software" son las menos interesadas en incentivar a gente externa a que busque vulnerabilidades en sus productos", afirma Santamarta. Es por ello que los programas que recompensan a estos llaneros solitarios se cuentan con los dedos de una mano y son todos de código abierto: Mozilla, Ghostscript, Qmail y ahora Chrome, de Google. Pagan un estándar de 370 euros por "bug", cantidad considerada "ridícula" por Santamarta.
La falta de alicientes económicos y el riesgo de ser amonestados ha provocado que cada vez sean menos los "cazabugs" que informan directamente a la empresa de "software" de los fallos que encuentran. Se quejan, además, de que la empresa les pide que guarden silencio mientras ella crea un parche que puede tardar meses o no publicarse nunca, ante la impotencia del investigador que ve como el agujero sigue abierto.
En otras ocasiones la historia tiene un final feliz. Es el caso del francés de 24 años, Thomas Garnier, quien empezó a trabajar como "cazabugs" en 2007, cuando aún estaba estudiando. Pronto, su lista de fallos descubiertos en Windows creció e impresionó: "La mayoría eran importantes porque permitían saltarse barreras de seguridad y escalar privilegios dentro de Windows, otros comprometían el ordenador si visitabas una página web o abrías un archivo", explica.
Garnier informaba directamente a Microsoft de estos agujeros y, en 2008, cuando acabó sus estudios, la compañía le ofreció trabajar en su equipo de ingenieros de seguridad. "Siempre tuve buenas experiencias con la empresa; cuando les avisaba de fallos jamás dejaron de responderme y se les veía muy interesados en mi trabajo, así que acepté", afirma.
Recompensa de 500 dólares por descubrir agujeros del navegador
Lotería instantanea for learning and non-profit
Copyright 2010 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
