Un hacker español está tras el descubrimiento de un grave agujero en Internet
19/02/2016Publicat a: El Confidencial
Afecta a los ordenadores que mandan y reciben tu correo, a los que alojan las webs que visitas, a los que guardan los datos personales que has dado a una tienda en línea y, también, al ordenador de tu madre si usa Linux. Los deja indefensos, abiertos a quien quiera -y sepa- coger la información, manipularla, espiar, hacerse pasar por tí. Fermín J. Serna https://www.linkedin.com/in/fjserna, un ingeniero madrileño de 36 años afincado en Seattle, ha liderado el equipo de Google que ha descubierto uno de los agujeros de seguridad informática más importantes del año.
Todo empezó cuando un ingeniero de Google descubrió que, al hacer una conexión cifrada de su ordenador a otro, acababa siempre bloqueándose, sin entender por qué. Preguntó a Fermín J. Serna, quien lidera un equipo de seguridad en Google. El olfato de *hacker *de Fermín detectó que podía ser algo serio, así que su equipo se puso a trabajar en ello, buscando descubrir en qué condiciones se producía el fallo, qué lo causaba y cómo se podía reproducir.
"Es parte del instinto. Ya ha habido fallos en este área y, al ver un crash, rápidamente me puse a indagar el porqué... ¿es explotable? ¿en qué circunstancias? Un reto intelectual, vamos", explica Fermín, quien ha tenido claramente el papel protagonista en el descubrimiento, aunque no deja de hablar de "trabajo de equipo, ya en el post donde lo anunciamos, en el blog de Google https://googleonlinesecurity.blogspot.com.es/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html, se agradece a mucha gente, incluído al equipo de RedHat que lo descubrió de forma paralela".
Fue en noviembre cuando el fallo llegó a manos de Fermín, con un "mira lo que pasa, que raro", explica: "En menos de una hora ya intuía la magnitud del fallo. Dos días después, tras muchas horas de depurar código, tenía ya un exploit (código de ataque) remoto desarrollado, saltándose todas las mitigaciones de seguridad. Después de eso hubo que desarrollar el parche, entender el fallo y sus implicaciones, cooperar con los desarrolladores de la librería glibc y anunciar todo de forma coordinada".
Hoy Fermín es uno de los *hackers *más buscados por los medios y más felicitados por los otros hackers, pues el descubrimiento es realmente importante. Así lo han ratificado pesos pesados de la seguridad informática mundial como el experto en nombres de dominio Dan Kaminsky http://www.theregister.co.uk/2016/02/20/glibc_kaminsky_cve_2015_7547/ o el gurú de la ciberseguridad, Bruce Schneier, quienes han avisado públicamente del gran riesgo que corre quien no aplique el parche creado por Fermín.
¿Cómo funciona el fallo?
Técnicamente, es un fallo de la librería glibc, elemento presente en la inmensa mayoría de distribuciones del sistema operativo Linux y, según Fermín, "en el 99% de aplicaciones para Linux". Esto representa decenas o cientos de miles de ordenadores afectados. Por suerte, Android no usa esta librería, pero aún así nos pone a todos en riesgo, aunque no usemos Linux, porque este sistema operativo es predominante en las grandes máquinas de la red, que trasiegan nuestro correo, alojan nuestras webs y guardan nuestras tarjetas de crédito.
El peligro está en los programas Linux que para funcionar necesitan conectarse a Internet, y hay miles de funciones diarias de un ordenador que lo precisan, empezando por ponerse en hora o mandar un correo. Al acceder a la red, el ordenador hace una "resolución de nombres", donde "pregunta" a un servidor qué dirección IP (192.168.1.1 por ejemplo) corresponde al dominio que quiere visitar (elconfidencial.com por ejemplo) o a la inversa. Si el servidor al que pregunta está controlado por un delincuente, este puede mandar a nuestro ordenador una "respuesta" mayor de 2048 bits que lo dejará catatónico y abierto al atacante.
"Vas a una cafeteria, abres un navegador, miras tu correo y, si usas Linux, te infectas", explica Fermín y añade: "Seguramente tu cliente de correo preguntará por el nombre del servidor donde enviar o recibir correo electrónico y, si hay un atacante en la misma red, puede explotar el fallo". El atacante conseguirá así el control total del ordenador y tendrá potestad de hacer absolutamente lo mismo que pueda hacer con él su propietario.
Si, en vez de un ordenador, el criminal ataca uno de los muchos routers que funcionan con Linux, podrá manipular o espiar la red wifi. Si ataca una cámara de vigilancia de niños, puede grabarlos o incluso hablarles. Si es el ordenador de una empresa, puede robarle secretos corporativos. Si es un monedero o nodo Bitcon, posiblemente robar dinero. El más grave problema está en los miles de cacharros de la Internet de las Cosas que funcionan con un sistema Linux embedido, pues es difícil aplicarles parches, explica Fermín: "Hay mucho dispositivo que por falta de infraestructura de actualización nunca será parcheado. Puede llevar años solucionar esto en el mundo de la Internet de las Cosas".
El fallo se introdujo inadvertidamente en la librería glibc en 2008, al hacer cambios en el código... y nadie se dio cuenta hasta ahora. O eso parece. Dice Fermín: "Es probable que fuese descubierto antes y utilizado, pero nunca se sabrá". De todas formas, avisa, "el código es realmente difícil de entender y las condiciones para que se muestre su efecto no suceden muy habitualmente". Es, por tanto, difícil de encontrar, aunque no imposible. El fantasma de las agencias secretas está siempre presente: "Nosotros lo descubrimos de casualidad pero es probable que otros lo tengan y usen desde hace mucho tiempo", dice nuestro hacker.
No es este el primer fallo en un programa importante que se descubre después de muchos años, sin que nadie se haya percatado de su existencia. Alguno ha pasado desapercibido toda una década. Sí puede compartir sitio de honor en la galería de la fama de los más terroríficos agujeros de seguridad informática, como "HeartBleed" https://es.wikipedia.org/wiki/Heartbleed, descubierto en 2014 y que tiene incluso su propio logo
Fermín se ha negado expresamente a que su descubrimiento tuviese un nombre de película de miedo: "Me niego a que el nombre y logo sea lo que se recuerde. El fallo es sumamente importante, como HeartBleed, quizás más porque es ejecución de código, pero el trabajo técnico debe primar sobre la publicidad o el autobombo".
Quienes conocen a Fermín J. Serna
http://es.cigtr.info/2015/06/nos-centramos-demasiado-en-solucionar.html
no se sorprenden de la magnitud del descubrimiento ni de la austeridad de su descubridor. Fermín es un veterano de la escena *hacker *española, en la que entró muy joven https://www.youtube.com/watch?v=5hVDMZC0RVQ. Zhodiac, como le llamaban entonces, fue miembro de diversos colectivos *hacker *en los años 90, entre ellos el famoso grupo de élite !Hispahack
Tampoco es este el primer agujero de seguridad que descubre Zhodiac. Tiene ya una buena colección http://zhodiac.hispahack.com/index.php?section=advisories. Y, como buen *hacker *gris, no sólo ha descubierto agujeros por los que colarse, sino que también ha creado herramientas gratuitas de análisis y defensa, entre las que destaca EMET
Su última hazaña, paralela al fallo de glibc, ha sido saltarse una de las defensas de Windows 10 contra programas de ataque (exploits), lo que le ha reportado un premio de 25.000 dólares de Microsoft https://twitter.com/fjserna/status/702909942475264000: "Hace unos meses empecé a investigar esta nueva mitigación llamada Control Flow Guard, lo último de lo último en el mundo Windows para parar exploits. Yo lo veo como un reto, a mi los retos me motivan y no paro hasta conseguirlo". No es la primera vez que consigue un premio de Microsoft, en 2013 recibía otro. Posicionado ya entre los mejores expertos en seguridad a nivel mundial, sólo sabe decir: "Estoy muy agradecido y honrado".
Mercè Molist