El cazador de agujeros

Como en una pel¨ªcula del Oeste, Google acaba de prometer recompensas de 370 euros por cazar no forajidos, sino fallos de seguridad en su navegador Chrome. La pr¨¢ctica de dar dinero a quien encuentre estos agujeros, llamados bugs en la jerga inform¨¢tica, es cada vez m¨¢s habitual y ha creado un mercado en el que participan los mejores programadores del planeta.

Rub¨¦n Santamarta es el cazabugs, o ya puestos, el cazabugeros espa?ol m¨¢s conocido. Es de Le¨®n, autodidacta, tiene 27 a?os y entr¨® en este mundo hace tres. "Cuando empec¨¦ no sab¨ªa que hab¨ªa empresas que pagaban por ello, lo que me llamaba la atenci¨®n era el reto de buscar fallos en los sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de bugs al a?o en programas conocidos ya no tienes que preocuparte".

La profesi¨®n de Santamarta es muy minoritaria. En Espa?a hay otros como ¨¦l, "no muchos, aunque muy buenos; tienen otros trabajos y no se dedican por completo a esto". Suelen ser hombres, adolescentes o veintea?eros, que lo hacen por afici¨®n. La mayor¨ªa de los cazabugeros viven en Estados Unidos (un 25%), el Reino Unido (5%), Alemania e India (4%) y Francia, Brasil y Espa?a (3%), seg¨²n Tipping Point, una de las empresas de seguridad que pagan a quien le lleve el mejor bug.Encontrar un agujero puede ser cosa de horas o de semanas. En teor¨ªa es m¨¢s f¨¢cil hallarlos en programas libres, ya que su c¨®digo fuente es p¨²blico, pero como contrapartida hay m¨¢s gente buscando. Los programas propietarios como Windows, la especialidad de Santamarta, tienen la dificultad a?adida de que primero hay que inferir su c¨®digo, pues ¨¦ste no es p¨²blico.

Los cazabugeros no suelen trabajar por encargo. "Soy yo el que inicia el an¨¢lisis del programa que considero m¨¢s interesante", afirma Santamarta. Este an¨¢lisis consiste, por una parte,en inferir el c¨®digo del programa mediante ingenier¨ªa inversa, para as¨ª poder buscar errores en ¨¦l, y por otra, en aplicarle t¨¦cnicas de fuzzing: "Probar multitud de opciones hasta que alguna hace cascar al programa".

Los fallos m¨¢s rentables, explica Santamarta, "est¨¢n en los programas del lado cliente para sistemas Windows". Van muy buscados los agujeros que pueden aparecer al visitar una p¨¢gina web o al abrir un documento PDF, DOC, Power Point o Excel.

Una vez descubierto el fallo, lo vende a empresas de seguridad, que usar¨¢n esta informaci¨®n para mejorar sus programas de detecci¨®n de intrusos, ya que cuantas m¨¢s vulnerabilidades conozcan, m¨¢s protegidos estar¨¢n sus clientes.

Las principales empresas compradoras son Zero Day Initiative (de Tipping Point, de 3Com), iDefense (de Veri Sign) e iSight Partners. En estas empresas trabajan algunos cazabugeros reconocidos, como Aaron Pornoy (Zero Day Initiative). Otros se agrupan en torno a proyectos de detecci¨®n de vulnerabilidades, como Secunia, Vupen y Core, o el libre Metasploit, creado por el hawaiano HD Moore para contrarrestar el gran n¨²mero de herramientas de pago que explotan fallos inform¨¢ticos.

Pero la mayor¨ªa va por libre, como Santamarta o Alexander Sotirov, descubridor de importantes fallos en Windows Vista y, junto con un grupo internacional de expertos, de un agujero en la funci¨®n criptogr¨¢fica MD5, que permite crear autoridades de certificaci¨®n falsas. En esta ocasi¨®n no vendieron el agujero, sino que lo presentaron en el Chaos Communication Congress de 2008.

Cuando el investigador ha informado del bug a la empresa de seguridad, ¨¦sta avisa a la compa?¨ªa creadora del programa vulnerable, la cual tarde o temprano publicar¨¢ un parche. Es tarea de la empresa de software encontrar la soluci¨®n al problema, aunque algunos cazadores ofrecen parches o su consejo para resolverlo.

La historia no siempre acaba con un parche, asegura Santamarta. "Hay canales de mercado, como algunos Estados y corporaciones, donde el bug vendido nunca llegar¨¢ a conocerse. La ciberguerra y el espionaje industrial no son ninguna quimera". En los ¨²ltimos tiempos, los gobiernos se han convertido en los mejores compradores de fallos, llegando a pagar hasta un mill¨®n de d¨®lares, seg¨²n Pedram Amini, de Tipping Point.

Los cazabugeros con poca ¨¦tica tienen otro importante cliente en el cibercrimen. No es el caso de Santamarta, aunque asegura haber recibido tentadoras ofertas: "M¨¢s de 20.000 d¨®lares para cosas normalitas; en una ocasi¨®n ni siquiera pusieron l¨ªmite. Ni me digno en contestarles".

Lo m¨¢s buscado en el mercado negro es un tipo especial de agujero, los odays, que afectan a programas importantes y para los que no existen parches porque el fallo no se ha hecho p¨²blico, s¨®lo lo conoce el investigador o un peque?o c¨ªrculo. Los odays pueden usarse para ataques sin defensa posible a priori, como el espionaje a empresas.

Su valor es muy alto, aunque hay un gran hermetismo en cuanto a los precios que se pagan. Hace unos a?os, un oday que afectaba a los iconos .ANI de Windows se vend¨ªa a 5.000 d¨®lares en el mercado negro. Otros superan con creces esta cantidad, sobre todo si afectan a programas muy populares, como Internet Explorer y Firefox.

Algunos agujeros no se venden, sino que se hacen p¨²blicos en conferencias de seguridad inform¨¢tica, como la Black Hat. Es la vertiente m¨¢s l¨²dica de los cazabugeros: investigar fallos por diversi¨®n y hacerlos p¨²blicos gratuitamente. As¨ª desvel¨® Santamarta que un sistema de loter¨ªa espa?ol pod¨ªa falsificarse.

En el otro extremo del negocio de los bugs est¨¢n las empresas responsables de los programas vulnerables. "Las empresas de software son las menos interesadas en incentivar a gente externa para que busque vulnerabilidades en sus productos", afirma Santamarta. Por eso los programas que recompensan a estos llaneros solitarios son escasos y todos de c¨®digo abierto: Mozilla, Ghostscript, Qmail y ahora Chrome, de Google. Pagan un est¨¢ndar de 370 euros por bug, cantidad "rid¨ªcula", a juicio de Santamarta.

La falta de alicientes econ¨®micos y el riesgo de ser amonestados ha provocado que cada vez sean menos los cazabugeros que informan directamente a la empresa de software de los fallos que encuentran. Se quejan, adem¨¢s, de que la empresa les pide que guarden silencio mientras ella crea un parche que puede tardar meses o no publicarse nunca, ante la impotencia del investigador que ve como el agujero sigue abierto.