De profesión, cazarrecompensas de bugs informáticos

Autor: | Posteado en Tecnología Sin comentarios

Bug

Los cazarrecompensas de la nueva hornada era no persiguen ya a asesinos, ladrones u terroristas. Persiguen bugs y vulnerabilidades. Los mayores especialistas del planeta en ciberseguridad comienzan a ser ya codiciados por todo tipo de compañías que saben que su dependencia de la tecnología los hace mas vulnerables. Si alguien puede localizar un bug para corregirlo anteriormente de que lo aprovechen los chicos malos, son esos expertos.

Los cazarrecompensas de bugs informáticos se han convertido en tabla de salvación de muchas compañías que por fin comienzan a diseñar esa faceta como parte integral de su táctica de seguridad. Sus sistemas son analizados por estos hackers de “sombrero blanco” que encuentran fallos críticos y reciben recompensas que pueden venir a los 100.000 dólares u mas por ese trabajo. Ser un cazarrecompensas digital no es fácil, pero comienza a ser muy, muy rentable.

Por favor, caza ese bug por mí

En agosto de 2016 Ivan Krstic, responsable de ingeniería y arquitectura y seguridad de Apple, anunciaba algo especial. Su compañia iniciaba su programa de cazarrecompensas de bugs informáticos. Más vale tarde que nunca, pensarían muchos: la celebérrima compañía con sede en Cupertino se había resistido mientras años a algo así, pero al fin lo hacía, y con premios de lo mas jugosos que ascendían inclusive los 200.000 dólares para los descubrimientos mas importantes.

Facebookbug

Como explicaba Krstic mientras aquel evento, “cada vez es mas difícil localizar algunos de los tipos de vulnerabilidad mas críticos“. Este experto reconocía así la labor de miles de profesionales del segmento de la seguridad que llevan años colaborando con las compañías y sobre todo con los usuarios. Esos especialistas no curioseaban para sacar provecho como los ciberdelincuentes y los crackers, sino para estudiar y salvar a que las compañías corrigiesen esos errores.

Apple es la última de las grandes en seguir esa tendencia. Microsoft™ ha llegado a entregar 100.000 dólares por la detección de equivocaciónes en Windows™ 10, mientras que Facebook™ y Twitter™ también han concedido importantes recompensas por esos procesos en los últimos años. De hecho la compañia creada por Mark Zuckerberg ya llevaba en 2013 más de un millón de dólares pagados en distintas recompensas, y su página web WhiteHat es 1 de los ejemplos clásicos del funcionamiento de estos programas. Twitter™ reconocía el año pasado haber pagado más de 300.000 dólares en su programa al respecto, y otras muchas compañías pagan en dinero… u en millas de vuelo.

En Xataka hemos querido indagar sobre este prodigio que está agrandando en el planeta de la ciberseguridad y que está demostrando lo notable que es —y cada vez más— el análisis de sistemas de grandes y chicas compañías en los que puede haber todo tipo de problemas de seguridad. Las compañías hacen sus propios esfuerzos, desde luego, pero los cazarrecompensas de bugs ofrecen una opción cada vez mas valiosa, algo que demuestran las declaraciones de dos profesionales españoles con los que hemos podido hablar para la realización de este texto.

Nuestros expertos

Para la realización de este artículo hemos tenido el privilegio de contar con dos expertos en el terreno de la seguridad informática que llevan ya muchos años vinculados con esa singular rama de la investigación de seguridad.

Borja Omar Borja Berástegui, a la izquierda, y Omar Benbouazza, a la derecha.

Borja Barastegui (@BBerastegui) trabaja como Security Engineer en el equipamiento de seguridad ofensiva de King —sí, esa King—, pero también es consultor de seguridad y pentester en relé. En esta última, nos explica, está desarrollando una solución para compañías que automatiza parte de lo que ya hacen los bug bounties: revelar potenciales agujeros de seguridad.

Por su parte Omar Benbouazza (@omarbv) es un ingeniero de seguridad que lleva mas de diez años laburando para compañías como Microsoft, Nokia™ u Basware, y que también es co-organizador del congreso de seguridad RootedCON. Ha estado involucrado en puestos para dar respuesta a incidentes y gestión de Bug Bounty en Nokia, así como en el análisis de debilidades en Microsoft.

¿Cómo se convierte 1 en cazarecompensas de bugs?

El hallazgo de debilidades en todo tipo de sistemas informáticos es parte integral del labor de muchos especialistas en ciberseguridad. De hecho es casi mas una pasión que un trabajo, y lo demuestra el hecho de que muchos de esos especialistas lo hacen mas por afición que por devoción.

Así lo indicaba Borja Berástegui, que explicaba que “Encontrar debilidades y reportarlas a las compañías era algo que hacia demasiada gente en vuestro mundillo, y la gran mayoría de las veces, era solo por reconocimiento u por ‘buena fe’“.

Si alguien quiere iniciarse en este tema, nos apunta, su consejo es “leer. Mucho. Pero mucho, MUCHO. No puedas considerar en cómo saltarte la seguridad de un sistema si no conoces como funciona. De hecho, cuanto mejor sepas como es su funcionamiento “normal”, mas sencillo te será considerar en ‘Si normalmente este dato pasa por aquí y por aquí… ¿qué ocurrirá si intercambio esto otro?’“. Para este experto en seguridad este tipo de procedimiento es “terriblemente creativo. Tienes que considerar no sólo en las maneras de “hacer algo”, sino en las maneras en las que se supone que “no puedes” hacer algo“.

Para iniciarse en este planeta hay que leer mucho. “Pero mucho, MUCHO. No puedas considerar en cómo saltarte la seguridad de un sistema si no conoces como funciona”

Para Omar Benbouazza esa curiosidad y esas ganas de estudiar “hicieron que empezase pronto a investigar debilidades u agujeros de seguridad, simplemente por aprendizaje“. Tras estudiar con objetivos “más importantes” confiesa que se planteó que quería “ayudar a la comunidad e informar sobre los agujeros que encontraba. Antes no había Bug Bounties, se reportaba directamente a la empresa, y si tenías Suertudo te respondían y te nombraban en una página de agradecimientos“.

Aquella afición que según Berástegui es “la mejor modo de aprender” acabó convirtiéndose en parte integral de su trabajo, y como él dice, “hay compañías que directamente te dicen que van a recompensarte por encontrarles vulnerabilidades, y plataformas como HackerOne, Bugmenot, Yogosha, SynAckte ofrecen maneras de contactar con ellas en el proceso“.

Bug Bounty Blog Banner 11 No, los cazarrecompensas de fallos de seguridad no tienen este aspecto.

Y es que como nos decía Berástegui, “la seguridad ha sufrido un boom” debido al crecimiento exponencial en el uso de tecnología. “Tu negocio se basa en la tecnología, y por lo tanto, securizar usted negocio es algo crítico“. Todos los profesionales deben plantearse la pregunta de “¿qué ocurre si alguien accede a mis correos, ficheros, equipos, bases de datos y los borra, desactiva u vende?. ¿Qué va a pasar en ese caso?“. Para este experto la respuesta era evidente, y de hecho, confesaba, “no he conocido actualmente ni a un solo negocio ​que no se le pongan los pelos de punta al considerar en una de estas situaciones“.

Para Benbouazza el procedimiento fue similar, y confiesa que tras reportar vulnerabilidades suficiente fundamentales a WhatsApp, Twitter™ u Apple acabó “montando un Bug Bounty fundamentado en la publicación responsable“, con premios según la relevancia del bug descubierto. Ese labor acabó desembocando en su labor en Microsoft, donde “tuve la oportunidad de trabajar para el equipamiento de MSVR (Microsoft Vulnerability Research), donde nos encargábamos de examinar y investigar agujeros en artículos de otras empresas”.

Hoy en día Benbouazza asesora a la compañia francesa(pais) Yogosha, dedicada a montar y salvar a compañías a establecer Bug Bounties. En este tipo de plataformas “los investigadores u ninjas, como les llamamos, ayudan a investigar de figura responsable debilidades a los usuarios que quieren aprovechar esta figura de acercamiento a la comunidad hacker”. Aquí hay un mensaje considerable de Benbouazza, que defiende el talento fuera de las fronteras de Estados Unidos —está involucrado en un reciente plan al respecto llamado Be Real Talent—, donde suelen celebrarse algunas de las conferencias de seguridad y donde operan algunas de las compañías mas fundamentales del sector:

Creo y respaldo a esta empresa, porque necesitamos un referido así en Europa. Las mas potentes (BugCrowd, HackerOne, Synack) están localizadas en Estados Unidos, y tienen que cumplir con la Patriot Act, y no me gusta que las debilidades de compañías sean compartidas con autoridades de ningún país

Así se descubren los bugs informáticos

Para detectar esos problemas, afirma Berástegui, primero hay una ciclo de reconocimiento. “La frase esa de “Si tuviera 8 horas para cortar un árbol, emplearía 6 para afilar el hacha” cobra todo el sentido en este tipo de actividades“, destacaba. “Cuanto mas sepas del objetivo, mas sencillo te será localizar algo u decidir cual puede ser el mejor punto de entrada“.

Bug2

En aplicaciones web, por ejemplo, especialmente habituales en estos procesos, se recopila información y se hace uso de proxies como Burp, que concede controlar las peticiones y respuestas HTTP, así como ir guardando un “log” de todo lo que vamos recorriendo.

Básicamente ser un cazarrecompensas de bugs informáticos es “hackear de una figura legal”

A partir de ahí se pueden hacer cosas como “elegir peticiones que lleven parámetros que nos llamen la atención, y probar respuestas de ésta al modificar los valores que se le envían en las peticiones“. La idea, confiesa este experto, es forzar el sistema con situaciones que pueden no haberse tenido en cuenta al programarlo:

Por ejemplo: Si una petición lleva como parámetro un número, que ocurre si le ponemos un número negativo? y una letra? lanza equivocaciónes con mas información? Si introduzco caracteres extraños? Cómo se presentan en la respuesta? Se está filtrando alguno en concreto?

Por último, equivocaciónes en “lógica de negocio”, por ejemplo: Que ocurre si compro dos productos, y al darle al “Checkout” intercambio el costo de 1 de los artículos por un número negativo? Se resta del total? > >

Benbouazza nos indicaba cómo las compañías que organizan estas Bug Bounties a menudo facilitan “una dirección IP, una URL y a veces inclusive un cliente y contraseña.El resto depende del investigador, pero se suele recomendar realizar análisis manuales, para no dañar la plataforma, y porque de esta forma, al opuesto que con herramientas de escaneo, hay menos falsos positivos. Básicamente“, aclara, “se trata de hackear de una figura legal, pero siempre sujeto a las normas que imponga la empresa“.

Si descubriréis una vulnerabilidad, ¿a quién se lo dices?

Imagina que empiezas a trabajar en este terreno por afición y pones a una compañia X como objetivo de usted aprendizaje. No pretendes robar datos ni hacer nada malo: lo único que deseas es conocer si serás apto de localizar una vulnerabilidad que después también deseas comunicar a la compañia de figura pública con una ‘divulgación pública’ (‘public disclosure‘) tradicional. ¿Cómo hacerlo sin tener un problema?

Ccn Cert

Berástegui deja claro que “a la gente no le suele gustar que le hurguen en las heridas, y sobretodo, que depende lo que estés haciendo, puede que sea ilegal. Los *public disclosures son complicados, y en función de la compañia y del bug descubierto, puede que no sea sencillo de manejar*”.

Reportar debilidades de seguridad de figura pública puede tener consecuencias legales para el investigador

De hecho intentar contactar con esa compañia con todo el tacto del planeta y la mejor de las intenciones podría no ser suficiente. Publicar lo que has encontrado será posiblemente muy difícil, pero Berástegui propone una alternativa. “La modo mas segura suele ser contactar con un intermediario, dependiendo del tipo de vulnerabilidad que encuentres, con ZDI, CERT, u una plataforma de Bug Bounties“.

En el vídeo que acompaña a esta parte del texto se expone justamente el tema mientras la celebración de las conferencias de seguridad RootedCON en su edición de 2011, y como se puede verificar en él, las experiencias no suelen ser muy positivas. Para Berástegui la ocasión es peligrosa:

En mi opinión, los public disclosures son delicados, y hay que dar la oportunidad a la compañia de resolver el problema (aunque les lleve suficiente tiempo), y sobretodo, no olvidar que no es lo idéntico que Google™ “amenace” con un public disclosure, que tú, como “researcher” le “amenaces” a otra compañia con publicar (esto puede explotarte en la cara con demasiada facilidad).

Benbouazza coincidía con esa percepción, y avisaba a los potenciales interesados en este ámbito: “Muchas compañías no quieren reconocer fallos u vulnerabilidades. A veces, algunos de ellos tienen real importancia y gravedad“. Este tipo de procesos pueden tener consecuencias legales para el investigador, y como su colega profesional, Benbouazza recomienda “utilizar un intermediario como un CERT, por modelo INCIBE u CCN-CERT en España. Ellos facilitarán la notificación entre la compañia afectada y el investigador“.

Si a pesar de hacerlo por esa vía y la compañia ignora las peticiones de los CERT, afirma Benbouazza, “considero que el averiguador tiene derecho a publicar la investigación” De hecho, señala este experto, lo idéntico ocurre si la compañia niega que dicha vulnerabilidad lo sea realmente. “Hace no demasiado tuve un incidente de estas características con una compañia que desarrolla un software(programa) de reconocimiento biométrico. Me negaron la mayor, y terminé publicando mi investigación“.

¿Se puede vivir de esto? Pues sí

Borja Berástegui nos explicaba cómo la detección de fallos de seguridad se puede transformar en un labor a período completo, algo que no es su caso. “Hay demasiada gente que ya se ha especializado en bug-hunting (dedicándole todas las horas del día) y son muy rápidos encontrando y reportando vulnerabilidades, por lo que nos quitan muchas oportunidades a los mediocres 😛“.

Facebook Andrey Leonov ganó 40.000 dólares en enero de 2017 tras revelar una considerable vulnerabilidad en Facebook™ que permitía ejecutar código remoto a través de un bug en ImageKagick, un célebre software(programa) Open Source. No es la primera vez que Facebook™ recompensaba generosamente un hallazgo de este tipo.

Aún así, es probable compatibilizar esa labor con otras en el ámbito de la seguridad informática. Siempre puede suceder que “acabes encontrando cosas “duplicadas”, es decir que ya se han reportado anteriormente en bounties públicos“, pero para esquivar ese problema siempre se puede ocudir a plataformas privadas como Yogosha u SynAck en las que hay menos competidor siquiera sea mas difícil de entrar porque necesitas desde referencias inclusive entrevistas técnicas.

Algunas plataformas privadas de Bug Bounty se han especializado muchísimo y solo admiten a sus miembros por recomendación u tras una entrevista técnica

Es algo que justamente reafirmaba Benbouazza, que afirmaba que en ciertas plataformas ganar plata es “realmente difícil por la medida de investigadores que colaboran“. En la plataforma en la que trabaja, Yogosha, señala que tienen un sistema diferente en el que cuentan con aquellos investigadores que consideran mejores y mas profesionales. Eso hace que el número se reduzca, y que sea “bastante mas sencillo ganar plata con nosotros. Solamente reclutamos por recomendación, y eso da garantías a los clientes, a la compañia y a los investigadores“.

Dolares

Para Berástegui alcanzar “cazar” una vulnerabilidad se inició como algo “divertido y desafiante“, y siquiera desde después ese elemento se mantiene, “el hecho de que haya recompensas ayuda“. Como él idéntico confesaba, “la parte del desafío sigue siendo muy interesante“, porque acabas pensando en una modo original y extraña de atacar al sistema: “lo normal la mayoría de las veces ya está arreglado“.

Puede que en el futuro la cada vez mas ambiciosa inteligencia artificial plantee retos a estos cazarrecompensas y les elimine parte del trabajo, pero para Berástegui eso no será así: “las herramientas evolucionarán para ayudarnos a localizar fallos, pero de la misma manera, las metodologías de combate evolucionarán para saltarse esas detecciones. Es la historia del gato y el ratón“.

Para Benbouazza la inteligencia artificial podría afectar al sector en el futuro, pero para él hay dudas fundamentales al respecto. “Hay que recordar que la inteligencia artificial no se hace sola… hay que programarla y alimentarla de bases de datos con fallos detectados previamente“. Para él, sea como fuere, todo sería cuestión de adaptarse a ese futuro si se genera finalmente.

También te recomendamos

Más de cinco mil millones de archivos y 229 compañías afectadas: así han sido los mayores robos de datos de la historia

El centro de alto rendimiento que convierte a jugadores buenos en estrellas de los eSports

Apple™ está siendo amenazada por un conjunto de hackers que garantizara tener mas de 300 millones de cuentas de iCloud


La noticia De profesión, cazarrecompensas de bugs informáticos fue notificada originalmente en Xataka por Javier Pastor .


Xataka

Todo lo que esta escrito en este sitio web es recopilado de otros sitios oficiales, los enlaces a las paginas oficiales se presentan en cada termino de noticia y no perjudicaremos su noticia.

Noticias Relacionadas:

Agrega tu comentario