domingo, 9 de enero de 2011

RECURSO 3

Descubridores de fallos informáticos: "Cazabugs"

“Como en una película del Oeste, Google ha prometido recompensas de 370 euros por cazar no a forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar importantes sumas a quien encuentre estos agujeros, llamados "bugs" en creado un mercado en el que participan los mejores programadores del planeta”.

Los cazabugs suelen ser hombres jóvenes, adolescentes o veinteañeros, que lo hacen por "hobby"; la mayoría viven en Estados Alemania e India (4%) y Francia, Brasil y España (3%).
La técnica consiste, por un lado, en inferir el código del programa mediante inversa”, para así poder buscar errores en el mismo y, por otro, en aplicar "fuzzing".

Según Rubén Santamarta (cazabugs más conocido de España) una de la ingeniería inversa es:

"Imaginemos un barman mezclando diversas cantidades de alcohol en una coctelera. Una vez servido, es difícil saber a proporciones." La ingeniería inversa es el proceso que se sigue para averiguarlo, de tal manera que nos permita reproducir la misma bebida sin conocer la receta original.
Siendo la del fuzzing:

"Es fuerza bruta, probar multitud de opciones hasta que alguna hace cascar al programa". 
Una vez descubierto el fallo:
  • Se vende a empresas de seguridad que usarán esta información para mejorar sus programas de detección de intrusos, ya que cuantas más vulnerabilidades conozcan, más protegidos estarán sus clientes.
  • Algunos agujeros no se venden sino que se hacen públicos en conferencias importantes de seguridad informática, como la Black Hat, que en abril se celebrará en Barcelona. Es la vertiente más lúdica de los "cazabugs": agujeros por diversión y hacerlos públicos gratuitamente. Santamarta desveló así que un sistema de lotería español podía falsificarse.
  • Los "cazabugs" con poca ética tienen otro importante cliente en el cibercrimen (mercado negro). Lo más buscado en el mercado negro es un tipo especial de "bugs", los "0days", que afectan a programas importantes y para los que no existen parches porque el fallo no se ha hecho público, sólo lo conoce el investigador o un pequeño círculo. Los "0days" pueden usarse para ataques sin defensa posible 'a priori', como el espionaje a empresas. Su valor es muy alto y hay un gran hermetismo en cuanto a los precios que llegan a pagarse por ellos. Por un "0day" muy famoso, se ha llegado a pagar 5.000 dólares en el mercado negro. Pero otros superan con creces esta cantidad, sobre todo cuando afectan a programas muy populares, como Internet Explorer o Firefox.
No es tarea del "cazabugs" sino de la empresa de "software" encontrar la solución al problema, aunque algunos ofrecen parches provisionales o su consejo sobre cuál sería la mejor forma de resolverlo.
La falta de alicientes económicos y el riesgo de ser amonestados ha provocado que cada vez sean menos los "cazabugs" que informan directamente a la empresa de "software" de los fallos que encuentran.  
Las empresas les piden que guarden silencio mientras ellas crean un parche que puede
tardar meses o no publicarse nunca, ante la impotencia del investigador que ve como
el agujero sigue abierto.

No hay comentarios:

Publicar un comentario