De profesión, cazarrecompensas de bugs informáticos

Los cazarrecompensas de la nueva era no persiguen ya a asesinos, ladrones o terroristas. Persiguen bugs y vulnerabilidades. Los mayores expertos del mundo en ciberseguridad comienzan a ser ya codiciados por todo tipo de empresas que saben que su dependencia de la tecnología los hace más vulnerables. Si alguno puede encontrar un decisión para corregirlo antaño de que lo aprovechen los chicos malos, son esos expertos.

Los cazarrecompensas de bugs informáticos se han convertido en tabla de salvación de muchas empresas que por fin comienzan a proyectar esa forma como parte integral de su táctica de seguridad. Sus sistemas son analizados por estos hackers de “sombrero blanco” que encuentran fallos críticos y reciben recompensas que pueden obtener a los 100.000 dólares o más por ese trabajo. Ser un cazarrecompensas digital no es acomodaticio, pero empieza a ser muy, muy rentable.

Por servicio, caza ese bug por mí

En agosto de 2016 Ivan Krstic, responsable de ingeniería y cimentación y seguridad de Apple, anunciaba poco específico. Su empresa iniciaba su software de cazarrecompensas de bugs informáticos. Más vale tarde que nunca, pensarían muchos: la celebérrima compañía con sede en Cupertino se había resistido durante primaveras a poco así, pero al fin lo hacía, y con premios de lo más jugosos que ascendían hasta los 200.000 dólares para los descubrimientos más importantes.

Facebookbug

Como explicaba Krstic durante aquel evento, “cada vez es más difícil encontrar algunos de los tipos de vulnerabilidad más críticos“. Este habituado reconocía así la costura de miles de profesionales del segmento de la seguridad que llevan primaveras colaborando con las empresas y sobre todo con los usuarios. Esos expertos no curioseaban para sacar provecho como los ciberdelincuentes y los crackers, sino para formarse y ayudar a que las empresas corrigiesen esos errores.

Apple es la última de las grandes en seguir esa tendencia. Microsoft ha llegado a ofrecer 100.000 dólares por la detección de errores en Windows 10, mientras que Facebook y Twitter incluso han concedido importantes recompensas por esos procesos en los últimos primaveras. De hecho la empresa creada por Mark Zuckerberg ya llevaba en 2013 más de un millón de dólares pagados en distintas recompensas, y su página web WhiteHat es uno de los ejemplos clásicos del funcionamiento de estos programas. Twitter reconocía el año pasado acaecer pagado más de 300.000 dólares en su software al respecto, y otras muchas empresas pagan en metálico… o en millas de vuelo.

En Xataka hemos querido indagar sobre este engendro que está creciendo en el mundo de la ciberseguridad y que está demostrando lo relevante que es —y cada vez más— el prospección de sistemas de grandes y pequeñas empresas en los que puede acaecer todo tipo de problemas de seguridad. Las empresas hacen sus propios esfuerzos, desde luego, pero los cazarrecompensas de bugs ofrecen una alternativa cada vez más valiosa, poco que demuestran las declaraciones de dos profesionales españoles con los que hemos podido conversar para la realización de este texto.

Nuestros expertos

Para la realización de este artículo hemos tenido el privilegio de contar con dos expertos en el campo de la seguridad informática que llevan ya muchos primaveras relacionados con esa singular rama de la investigación de seguridad.

Foto2 Borja Berástegui, a la izquierda, y Omar Benbouazza, a la derecha.

Borja Barastegui (@BBerastegui) trabaja como Security Engineer en el equipo de seguridad ataque de King —sí, esa King—, pero encima es asesor de seguridad y pentester en relé. En esta última, nos explica, está desarrollando una posibilidad para empresas que automatiza parte de lo que ya hacen los bug bounties: descubrir potenciales agujeros de seguridad.

Por su parte Omar Benbouazza (@omarbv) es un ingeniero de seguridad que lleva más de 10 primaveras trabajando para empresas como Microsoft, Nokia o Basware, y que encima es co-organizador del congreso de seguridad RootedCON. Ha estado implicado en puestos para dar respuesta a incidentes y diligencia de Bug Bounty en Nokia, así como en el prospección de vulnerabilidades en Microsoft.

¿Cómo se convierte uno en cazarecompensas de bugs?

El descubrimiento de vulnerabilidades en todo tipo de sistemas informáticos es parte integral del trabajo de muchos expertos en ciberseguridad. De hecho es casi más una pasión que un trabajo, y lo demuestra el hecho de que muchos de esos expertos lo hacen más por simpatía que por devoción.

Así lo indicaba Borja Berástegui, que explicaba que “Encontrar vulnerabilidades y reportarlas a las empresas era poco que en torno a mucha multitud en nuestro mundillo, y la gran mayoría de las veces, era solo por agradecimiento o por ‘buena fe’“.

Si alguno quiere iniciarse en este tema, nos apunta, su consejo es “observar. Mucho. Pero mucho, MUCHO. No puedes pensar en cómo saltarte la seguridad de un sistema si no sabes como funciona. De hecho, cuanto mejor sepas como es su funcionamiento “común”, más acomodaticio te será pensar en ‘Si normalmente este noticia pasa por aquí y por aquí… ¿qué ocurrirá si cambio esto otro?’“. Para este habituado en seguridad este tipo de proceso es “terriblemente creativo. Tienes que pensar no sólo en las maneras de “hacer poco”, sino en las maneras en las que se supone que “no puedes” hacer poco“.

Para iniciarse en este mundo hay que observar mucho. “Pero mucho, MUCHO. No puedes pensar en cómo saltarte la seguridad de un sistema si no sabes como funciona”

Para Omar Benbouazza esa curiosidad y esas ganas de formarse “hicieron que empezase pronto a despabilarse vulnerabilidades o agujeros de seguridad, simplemente por formación“. Tras formarse con objetivos “más importantes” confiesa que se planteó que quería “ayudar a la comunidad e informar sobre los agujeros que encontraba. Antes no había Bug Bounties, se reportaba directamente a la empresa, y si tenías suerte te respondían y te mencionaban en alguna página de agradecimientos“.

Aquella simpatía que según Berástegui es “la mejor modo de formarse” acabó convirtiéndose en parte integral de su trabajo, y como él dice, “hay empresas que directamente te dicen que van a recompensarte por encontrarles vulnerabilidades, y plataformas como HackerOne, Bugmenot, Yogosha, SynAckte ofrecen maneras de contactar con ellas en el proceso“.

Bug Bounty Blog Banner 11 No, los cazarrecompensas de fallos de seguridad no tienen este aspecto.

Y es que como nos decía Berástegui, “la seguridad ha sufrido un prosperidad” adecuado al crecimiento exponencial en el uso de tecnología. “Tu negocio se cimiento en la tecnología, y por lo tanto, securizar tu negocio es poco crítico“. Todos los profesionales deben plantearse la pregunta de “¿qué ocurre si alguno accede a mis correos, ficheros, equipos, bases de datos y los sedimento, inutiliza o vende?. ¿Qué va a ocurrir en ese caso?“. Para este habituado la respuesta era evidente, y de hecho, confesaba, “no he conocido actualmente ni a un solo negocio ​que no se le pongan los pelos de punta al pensar en alguna de estas situaciones“.

Para Benbouazza el proceso fue similar, y confiesa que tras reportar vulnerabilidades asaz importantes a WhatsApp, Twitter o Apple acabó “montando un Bug Bounty basado en la publicación responsable“, con premios según la relevancia del decisión descubierto. Ese trabajo acabó desembocando en su costura en Microsoft, donde “tuve la oportunidad de trabajar para el equipo de MSVR (Microsoft Vulnerability Research), donde nos encargábamos de analizar y buscar agujeros en productos de otras empresas”.

Hoy en día Benbouazza asesora a la empresa francesa Yogosha, dedicada a valer y ayudar a empresas a establecer Bug Bounties. En este tipo de plataformas “los investigadores o ninjas, como les llamamos, ayudan a buscar de forma responsable vulnerabilidades a los clientes que quieren utilizar esta forma de acercamiento a la comunidad hacker”. Aquí hay un mensaje importante de Benbouazza, que defiende el talento fuera de las fronteras de Estados Unidos —está implicado en un nuevo tesina al respecto llamado Be Real Talent—, donde suelen celebrarse algunas de las conferencias de seguridad y donde operan algunas de las compañías más importantes del sector:

Creo y apoyo a esta empresa, porque necesitamos un referente así en Europa. Las más potentes (BugCrowd, HackerOne, Synack) están localizadas en Estados Unidos, y tienen que cumplir con la Patriot Act, y no me gusta que las vulnerabilidades de empresas sean compartidas con autoridades de ningún país

Así se detectan los bugs informáticos

Para detectar esos problemas, afirma Berástegui, primero hay una escalón de agradecimiento. “La frase esa de “Si tuviera ocho horas para cortar un árbol, emplearía seis para cortejar el hachote” cobra todo el sentido en este tipo de actividades“, destacaba. “Cuanto más sepas del objetivo, más acomodaticio te será encontrar poco o animarse cual puede ser el mejor punto de entrada“.

Bug2

En aplicaciones web, por ejemplo, especialmente habituales en estos procesos, se recopila información y se hace uso de proxies como Burp, que permite controlar las peticiones y respuestas HTTP, así como ir guardando un “log” de todo lo que vamos recorriendo.

Básicamente ser un cazarrecompensas de bugs informáticos es “hackear de una forma legal”

A partir de ahí se pueden hacer cosas como “designar peticiones que lleven parámetros que nos llamen la atención, y probar respuestas de ésta al modificar los títulos que se le envían en las peticiones“. La idea, confiesa este habituado, es forzar el sistema con situaciones que pueden no haberse tenido en cuenta al programarlo:

Por ejemplo: Si una petición lleva como parámetro un número, que ocurre si le ponemos un número agorero? y una documento? arroja errores con mas información? Si introduzco caracteres extraños? Cómo se muestran en la respuesta? Se está filtrando alguno en concreto?

Por extremo, errores en “lógica de negocio”, por ejemplo: Que ocurre si compro 2 productos, y al darle al “Checkout” cambio el precio de uno de los productos por un número agorero? Se resta del total?
>
>

Benbouazza nos indicaba cómo las empresas que organizan estas Bug Bounties a menudo facilitan “una dirección IP, una URL y a veces incluso un heredero y contraseña.El resto depende del investigador, pero se suele moralizar realizar prospección manuales, para no dañar la plataforma, y porque de esta forma, al contrario que con herramientas de escaneo, hay menos falsos positivos. Básicamente“, aclara, “se alcahuetería de hackear de una forma legítimo, pero siempre sujeto a las normas que imponga la empresa“.

Si descubres una vulnerabilidad, ¿a quién se lo dices?

Imagina que empiezas a trabajar en este campo por simpatía y pones a una empresa X como objetivo de tu formación. No pretendes robar datos ni hacer nulo malo: lo único que quieres es aprender si serás capaz de encontrar una vulnerabilidad que luego encima quieres comunicar a la empresa de forma pública con una ‘divulgación pública’ (‘public disclosure‘) tradicional. ¿Cómo hacerlo sin tener un problema?

Ccn Cert

Berástegui deja claro que “a la multitud no le suele pirrarse que le hurguen en las heridas, y sobretodo, que depende lo que estés haciendo, puede que sea ilegal. Los *public disclosures son complicados, y en función de la empresa y del decisión descubierto, puede que no sea acomodaticio de manejar*”.

Reportar vulnerabilidades de seguridad de forma pública puede tener consecuencias legales para el investigador

De hecho intentar contactar con esa empresa con todo el tacto del mundo y la mejor de las intenciones podría no ser suficiente. Publicar lo que has antitético será probablemente muy difícil, pero Berástegui propone una alternativa. “La modo más segura suele ser contactar con un intermediario, dependiendo del tipo de vulnerabilidad que encuentres, con ZDI, CERT, o alguna plataforma de Bug Bounties“.

En el vídeo que acompaña a esta parte del texto se expone precisamente el tema durante la celebración de las conferencias de seguridad RootedCON en su tiraje de 2011, y como se puede comprobar en él, las experiencias no suelen ser muy positivas. Para Berástegui la situación es peligrosa:

En mi opinión, los public disclosures son delicados, y hay que dar la oportunidad a la empresa de solucionar el problema (aunque les lleve asaz tiempo), y sobretodo, no olvidar que no es lo mismo que Google “amenace” con un public disclosure, que tú, como “researcher” le “amenaces” a otra empresa con editar (esto puede explotarte en la cara con mucha facilidad).

Benbouazza coincidía con esa percepción, y avisaba a los potenciales interesados en este ámbito: “Muchas empresas no quieren escudriñar fallos o vulnerabilidades. A veces, algunos de ellos tienen cierta importancia y gravitación“. Este tipo de procesos pueden tener consecuencias legales para el investigador, y como su colega profesional, Benbouazza recomienda “utilizar un intermediario como un CERT, por ejemplo INCIBE o CCN-CERT en España. Ellos facilitarán la comunicación entre la empresa afectada y el investigador“.

Si a pesar de hacerlo por esa vía y la empresa ignora las peticiones de los CERT, afirma Benbouazza, “considero que el investigador tiene derecho a editar la investigación” De hecho, indica este habituado, lo mismo ocurre si la empresa niega que dicha vulnerabilidad lo sea efectivamente. “Hace no mucho tuve un incidente de estas características con una empresa que desarrolla un software de agradecimiento biométrico. Me negaron la longevo, y terminé publicando mi investigación“.

¿Se puede existir de esto? Pues sí

Borja Berástegui nos explicaba cómo la detección de fallos de seguridad se puede convertir en un trabajo a tiempo completo, poco que no es su caso. “Hay mucha multitud que ya se ha especializado en bug-hunting (dedicándole todas las horas del día) y son muy rápidos encontrando y reportando vulnerabilidades, por lo que nos quitan muchas oportunidades a los mediocres 😛“.

Facebook Andrey Leonov ganó 40.000 dólares en enero de 2017 tras descubrir una importante vulnerabilidad en Facebook que permitía ejecutar código remoto a través de un decisión en ImageKagick, un célebre software Open Source. No es la primera vez que Facebook recompensaba ampliamente un descubrimiento de este tipo.

Aún así, es posible compatibilizar esa costura con otras en el ámbito de la seguridad informática. Siempre puede ocurrir que “acabes encontrando cosas “duplicadas”, es opinar que ya se han reportado antaño en bounties públicos“, pero para evitar ese problema siempre se puede ocudir a plataformas privadas como Yogosha o SynAck en las que hay menos competencia aunque sea más difícil de entrar porque necesitas desde referencias hasta entrevistas técnicas.

Algunas plataformas privadas de Bug Bounty se han especializado muchísimo y solo admiten a sus miembros por recomendación o tras una entrevista técnica

Es poco que precisamente confirmaba Benbouazza, que afirmaba que en ciertas plataformas triunfar metálico es “efectivamente difícil por la cantidad de investigadores que colaboran“. En la plataforma en la que trabaja, Yogosha, indica que tienen un sistema desigual en el que cuentan con aquellos investigadores que consideran mejores y más profesionales. Eso hace que el número se reduzca, y que sea “asaz más acomodaticio triunfar metálico con nosotros. Solamente reclutamos por recomendación, y eso da garantías a los clientes, a la empresa y a los investigadores“.

Dolares

Para Berástegui conquistar “cazar” alguna vulnerabilidad se inició como poco “divertido y desafiante“, y aunque desde luego ese componente se mantiene, “el hecho de que haya recompensas ayuda“. Como él mismo confesaba, “la parte del batalla sigue siendo muy interesante“, porque acabas pensando en alguna modo innovador y extraña de atacar al sistema: “lo común la mayoría de las veces ya está arreglado“.

Puede que en el futuro la cada vez más ambiciosa inteligencia industrial plantee retos a estos cazarrecompensas y les quiebro parte del trabajo, pero para Berástegui eso no será así: “las herramientas evolucionarán para ayudarnos a encontrar fallos, pero de la misma modo, las metodologías de ataque evolucionarán para saltarse esas detecciones. Es la historia del sagaz y el ratón“.

Para Benbouazza la inteligencia industrial podría afectar al sector en el futuro, pero para él hay dudas importantes al respecto. “Hay que rememorar que la inteligencia industrial no se hace sola… hay que programarla y alimentarla de bases de datos con fallos detectados previamente“. Para él, sea como fuere, todo sería cuestión de adaptarse a ese futuro si se produce finalmente.


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales