Afecta a los ordenadores que mandan y reciben tu correo, a los que alojan las webs que visitas, a los que guardan los datos personales que has dado a una tienda en línea y, también, al ordenador de tu madre si usa Linux. Los deja indefensos, abiertos a quien quiera -y sepa- coger la información, manipularla, espiar, hacerse pasar por ti. Fermín J. Serna , un ingeniero madrileño de 36 años afincado en Seattle, ha liderado el equipo de Google que ha descubierto uno de los agujeros de seguridad informática más importantes del año.
Todo empezó cuando un ingeniero de Google descubrió que, al hacer una conexión cifrada de su ordenador a otro, acababa siempre bloqueándose, sin entender por qué. Preguntó a Fermín J. Serna, quien lidera un equipo de seguridad en Google. El olfato de 'hacker' de Fermín detectó que podía ser algo serio, así que su equipo se puso a trabajar en ello, buscando descubrir en qué condiciones se producía el fallo, qué lo causaba y cómo se podía reproducir.
"Es parte del instinto. Ya ha habido fallos en este área y, al ver un crash, rápidamente me puse a indagar el porqué... ¿es explotable? ¿en qué circunstancias? Un reto intelectual, vamos", explica Fermín a Teknautas, quien ha tenido claramente el papel protagonista en el descubrimiento, aunque no deja de hablar de "trabajo de equipo, ya en el post donde lo anunciamos, en el blog de Google, se agradece a mucha gente, incluído al equipo de RedHat que lo descubrió de forma paralela".
Fue en noviembre cuando el fallo llegó a manos de Fermín, con un "mira lo que pasa, que raro", explica: "En menos de una hora ya intuía la magnitud del fallo. Dos días después, tras muchas horas de depurar código, tenía ya un exploit (código de ataque) remoto desarrollado, saltándose todas las mitigaciones de seguridad. Después de eso hubo que desarrollar el parche, entender el fallo y sus implicaciones, cooperar con los desarrolladores de la librería glibc y anunciar todo de forma coordinada".
Hoy Fermín es uno de los 'hackers' más buscados por los medios y más felicitados por los otros 'hackers', pues el descubrimiento es realmente importante. Así lo han ratificado pesos pesados de la seguridad informática mundial como el experto en nombres de dominio Dan Kaminsky o el gurú de la ciberseguridad Bruce Schneier, quienes han avisado públicamente del gran riesgo que corre quien no aplique el parche creado por Fermín.
Técnicamente, es un fallo de la librería glibc, elemento presente en la inmensa mayoría de distribuciones del sistema operativo Linux y, según Fermín, "en el 99% de aplicaciones para Linux". Esto representa decenas o cientos de miles de ordenadores afectados. Por suerte, Android no usa esta librería, pero aún así nos pone a todos en riesgo, aunque no usemos Linux, porque este sistema operativo es predominante en las grandes máquinas de la red, que trasiegan nuestro correo, alojan nuestras webs y guardan nuestras tarjetas de crédito.
El peligro está en los programas Linux que para funcionar necesitan conectarse a Internet, y hay miles de funciones diarias de un ordenador que lo precisan, empezando por ponerse en hora o mandar un correo. Al acceder a la red, el ordenador hace una "resolución de nombres", donde "pregunta" a un servidor qué dirección IP (192.168.1.1 por ejemplo) corresponde al dominio que quiere visitar (elconfidencial.com por ejemplo) o a la inversa. Si el servidor al que pregunta está controlado por un delincuente, este puede mandar a nuestro ordenador una "respuesta" mayor de 2048 bits que lo dejará catatónico y abierto al atacante.
"Vas a una cafeteria, abres un navegador, miras tu correo y, si usas Linux, te infectas", explica Fermín a Teknautas, y añade: "Seguramente tu cliente de correo preguntará por el nombre del servidor donde enviar o recibir correo electrónico y, si hay un atacante en la misma red, puede explotar el fallo". El atacante conseguirá así el control total del ordenador y tendrá potestad de hacer absolutamente lo mismo que pueda hacer con él su propietario.
Si, en vez de un ordenador, el criminal ataca uno de los muchos routers que funcionan con Linux, podrá manipular o espiar la red wifi. Si ataca una cámara de vigilancia de niños, puede grabarlos o incluso hablarles. Si es el ordenador de una empresa, puede robarle secretos corporativos. Si es un monedero o nodo Bitcon, posiblemente robar dinero. El más grave problema está en los miles de cacharros de la Internet de las Cosas que funcionan con un sistema Linux embedido, pues es difícil aplicarles parches, explica Fermín: "Hay mucho dispositivo que por falta de infraestructura de actualización nunca será parcheado. Puede llevar años solucionar esto en el mundo del internet de las cosas".
El fallo se introdujo inadvertidamente en la librería glibc en 2008, al hacer cambios en el código... y nadie se dio cuenta hasta ahora. O eso parece. Dice Fermín: "Es probable que fuese descubierto antes y utilizado, pero nunca se sabrá". De todas formas, avisa, "el código es realmente difícil de entender y las condiciones para que se muestre su efecto no suceden muy habitualmente". Es, por tanto, difícil de encontrar, aunque no imposible. El fantasma de las agencias secretas está siempre presente: "Nosotros lo descubrimos de casualidad pero es probable que otros lo tengan y usen desde hace mucho tiempo", asegura.
No es este el primer fallo en un programa importante que se descubre después de muchos años, sin que nadie se haya percatado de su existencia. Alguno ha pasado desapercibido toda una década. Sí puede compartir sitio de honor en la galería de la fama de los más terroríficos agujeros de seguridad informática, como "HeartBleed" , descubierto en 2014 y que tiene incluso su propio logo
Fermín se ha negado expresamente a que su descubrimiento tuviese un nombre de película de miedo: "Me niego a que el nombre y logo sea lo que se recuerde. El fallo es sumamente importante, como HeartBleed, quizás más porque es ejecución de código, pero el trabajo técnico debe primar sobre la publicidad o el autobombo".
Quienes conocen a Fermín J. Serna no se sorprenden de la magnitud del descubrimiento ni de la austeridad de su descubridor. Fermín es un veterano de la escena 'hacker' española, en la que entró muy joven . Zhodiac, como le llamaban entonces, fue miembro de diversos colectivos 'hacker' en los años 90, entre ellos el famoso grupo de élite !Hispahack . Más adelante formó parte del equipo técnico fundador de una de las primeras empresas de 'hackers' éticos en España, S21sec. Hasta que, como tantos genios, emigró a Estados Unidos. Ha estado 4 años en Microsoft y ahora lleva unos cuantos como 'Staff security engineer' de Google.
Tampoco es este el primer agujero de seguridad que descubre Zhodiac. Tiene ya una buena colección . Y, como buen 'hacker' gris, no sólo ha descubierto agujeros por los que colarse, sino que también ha creado herramientas gratuitas de análisis y defensa, entre las que destaca EMET , para Windows.
Su última hazaña, paralela al fallo de glibc, ha sido saltarse una de las defensas de Windows 10 contra programas de ataque (exploits), lo que le ha reportado un premio de 25.000 dólares de Microsoft: "Hace unos meses empecé a investigar esta nueva mitigación llamada Control Flow Guard, lo último de lo último en el mundo Windows para parar exploits. Yo lo veo como un reto, a mi los retos me motivan y no paro hasta conseguirlo". No es la primera vez que consigue un premio de Microsoft, en 2013 recibía otro. Posicionado ya entre los mejores expertos en seguridad a nivel mundial, sólo sabe decir: "Estoy muy agradecido y honrado".
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario