23/01/08 18:21

(entrevista completa a continuación)


RUBÉN SANTAMARTA: "LAS MAFIAS ME HAN OFRECIDO CHEQUES EN BLANCO"


Mercè Molist
A sus 25 años, Rubén Santamarta es un buen ejemplo del alto nivel español en seguridad informática. Cumple todos los tópicos: autodidacta porque se aburría en la universidad, a los 10 años entró el primer ordenador en su casa y a los 19 ya era un experto en descubrir vulnerabilidades en programas. Hoy importantes empresas como iDefense y ZDI le pagan por ello.

"Una parte fundamental de mi trabajo consiste en hacer ingeniería inversa a sistemas operativos y "software" de terceros con el fin de descubrir vulnerabilidades que podrían poner en riesgo la seguridad de sus usuarios", explica. Entre sus descubrimientos destacan diversos agujeros en productos Microsoft, incluído el "kernel" de Windows.

Santamarta sabe que en su trabajo "hay que ser ético". El mercado negro de códigos maliciosos que atacan estos agujeros es goloso: "Me han ofrecido más de 20.000 dólares para cosas normalitas y, para otras, más del triple. Las empresas legales pagan una décima parte de lo que las mafias ofrecen. En una ocasión, ni siquiera pusieron límite. Por supuesto, ni me digno en contestarles".

Hoy, explica, "acceder a la web se ha convertido en una actividad de riesgo". Las empresas viven un peligro añadido: "Los ataques personalizados a sus empleados, para espionaje industrial o robar sus bases de datos". Los bancos, asegura, "tienen pérdidas billonarias debido al "phishing"". Y los gobiernos "se enfrentan a amenazas a la seguridad de infraestructuras críticas, como las centrales de suministro de energía, debido a que muchos de sus sistemas son obsoletos".

En este escenario, que califica de "inquietante y sin visos de solucionarse a corto plazo", el futuro es "la detección proactiva de estas amenazas, pensando de una forma multidisciplinar y aplicando conceptos de la neurobiología, la genética, la estadística y otras disciplinas". Predica con el ejemplo: su último trabajo, un detector de ataques de "phishing", usa técnicas de visión artificial habituales en robótica, medicina y control industrial, pero nuevas en seguridad informática.


Su web
http://www.reversemode.com

Su empresa
http://www.wintercore.com



ENTREVISTA COMPLETA

¿Quien eres? (edad, de donde eres, estudias, trabajas... los datos personales que quieras dar sobre ti)


Soy un chico castellano de 25 años, autodidacta por vocación ya que no tuve el aguante de sacarme una carrera, perdía todo el interés en el primer curso. Ahora soy trabajador autónomo.

¿Como te metes en el mundo de la informatica y, mas concretamente, de la seguridad? ¿A que edad? ¿Por que?


Un día al llegar a casa me encontré con unos señores instalando algo llamado “Olivetti PC 286”, hasta entonces el único ordenador que había visto era el de un amigo. 

¿Cuando fue esto?

Pues no recuerdo exáctamente pero creo que fue por el año 92 o así. Tenía 10 años. Lo compró mi padre para toda la familia. Más tarde, con 16 años más o menos, empezamos a vivir el boom de internet y todo se “descontroló”...


Por aquella época el “underground” informático estaba en auge; todo se había simplificado, ya no hacía falta conectarse a costosas BBSs para compartir información, ahora había docenas de fuentes de información, ezines, teams, canales de irc donde podías adquirir conocimientos rápidamente.Por si fuera poco, la Guardia Civil detenía a chicos por conectarse gratis a internet a través de PBXs, el caso Hispahack, el “hacking” estaba en los medios un día sí y otro también...todo lo prohibido y excitante al alcance de la mano, no había forma de resistirse. De entre todo ese conglomerado, me llamaba bastante la atención lo relacionado con el estudio de las protecciones del software, oficiosamente conocido como “cracking”. Todo lo que aprendí durante esos años me sirvió para empezar a ganarme la vida a los 19 años como programador en una pequeña empresa.

¿Dentro del campo de la seguridad, a que te dedicas? Veo en tu web que pone Servicios de Ingenieria Inversa Avanzada. ¿Que es eso? 


La ingeniería inversa es una de las bases de la seguridad informática ya que si quieres averiguar donde algo puede fallar, es indispensable comprender cómo funciona.

Creo que para explicar fácilmente el concepto de ingeniería inversa se podría utilizar el simil de un cocktel. Imaginemos un barman mezclando diversas cantidades de alcohol en una cocktelera, una vez servido, es dificil saber a simple vista de que está compuesto y sus proporciones, necesitarías comprobar su textura, sabor, apariencia, etc... La ingeniería inversa es todo el proceso que se sigue para averiguar tanto los componentes del cocktel como sus cantidades exactas, de tal manera que nos permitiera reproducir la misma bebida sin conocer la receta original. Ahora cambiemos el cocktel por software. Para que el ordenador lo ejecute corréctamente, es necesario el uso de un compilador que traduzca el lenguaje original en que fue programado a ensamblador. Este proceso inevitáblemente destruye la apariencia original del código, pero mediante el estudio del ensamblador resultante, podremos conocer la “receta” que usó el programador.


Una parte fundamental de mi trabajo consiste en hacer ingeniería inversa a Sistemas Operativos y Software de terceros con el fin de descubrir vulnerabilidades que podrían poner en riesgo la seguridad de sus usuarios.

Veo en la web que has publicado diversos papers, advisories y otras cosas. ¿Cuales destacarias por su importancia?


Destacaría las vulnerabilidades que he descubierto en los productos de Microsoft debido a que sus test de seguridad son exhaustivos. Si a esto añadimos que hay cientos de researchers investigando sus productos también, poder descubrir algo que los demás han pasado por alto es siempre una satisfacción. También considero interesante el paper en el que describo cómo aplicar reconocimiento de patrones a traves de redes neuronales artificiales a la deteccion de malware.

Un amigo me comento sobre ti: "Hace cosas chulas de reversing y se le da bien el tema de los exploits de kernel y cosas muy chungas técnicamente hablando. Creo que se gana la vida desde hace un par de años vendiendo sus exploits a empresas como idefense". ¿Es asi?

Sí más o menos. He puesto bastante empeño en investigar las vulnerabilidades en drivers, en el Kernel de Windows etc... Es cierto que colaboro con empresas como iDefense o ZDI que se dedican a proteger a sus clientes de potenciales instrusiones. Dichas empresas son éticas, tienen detrás a gigantes como Verisign o 3Com. En este sentido, para trabajar en el mundo de las vulnerabilidades hay que tener las ideas bien claras y ser ético. De lo contrario podrías acabar donde no debes, ya que el mercado negro ofrece grandes sumas en comparación con las empresas legales.


¿A ti tambien?

Sí, me han ofrecido bastante dinero por exploits.
Estamos hablando de más de $20.000 dólares para normalitas y para algunas más del doble y del tripe que eso, auténticas burradas comparado con lo que las empresas legales pagan. Digamos que las empresas legales pagan es más o menos una décima parte de lo que las mafias ofrecen.
Para que te puedas hacer una idea del negocio que mueve el malware.
En una ocasión, ni siquiera pusieron límite, símplemente decian que el dinero no sería un problema. Por supuesto que ni me digno en contestarles.


¿Trabajas solo o estas en algun grupo?

La mayor parte de las veces trabajo en solitario. Sin embargo, he tenido la suerte de tener amigos de toda la vida que también se dedican a este mundo, por lo que existen proyectos en común. Estamos a punto de crear una empresa junto con un amigo para lanzar el tema del phishing (www.wintercore.com). Puede que cuando se publique la entrevista ya lo hayamos publicado.

¿Como ves el mundo de la seguridad informatica? ¿Esta la cosa tan chunga como parece? ¿Donde estamos? ¿De donde venimos? ¿A donde vamos?


El escenario de la seguridad informática es complétamente diferente al de hace años. Antes, en la mayoría de los casos, alguien hacía un virus, penetraba un sistema o se ahorraba unas pesetas en las cabinas por el mero hecho de aprender, superarse a sí mismo o a lo sumo, obtener algo de reconomiento.Rápidamente el acceso a internet, el ordenador y las nuevas tecnologías fue creciendo , a la par que se hacía accesible a todo el mundo. Prácticamente todo lo que antes se tenía que hacer de forma presencial, pasaba a poder hacerse a través de Internet...y entonces surgió el negocio. Ese fue el punto de inflexión, a partir de ahí apareció una profesionalización de todo lo que antes era un “entretenimiento”.

Un usuario doméstico tiene que enfrentarse hoy a malware, spam, phishing, rootkits, exploits, etc... por lo que acceder a la web se ha convertido en una actividad de riesgo. En cuanto a las empresas, además de todo lo anterior sufren también ataques personalizados a sus empleados, destinados al espionage industrial, o a sus redes con el objetivo de robar sus bases de datos. Tampoco podemos olvidar las perdidas billonarias de los bancos debido al phishing. Los gobiernos además, se enfrentan a posibles amenazas a la seguridad de infraestructuras críticas debido a vulnerabilidades en los sistemas SCADA, muchos de ellos obsoletos y que a la hora de implementarse no tuvieron en cuenta su seguridad. Reciéntemente el Gobierno de EEUU ha dado a conocer ataques de este tipo contra centrales de suministro de energía en su territorio. Aunque este tipo de ataques necesitarían de un amplio conocimiento y sofitisticación, no pueden obviarse y de hecho las empresas se están preocupando ya de estos asuntos.

Desde un punto de vista de un usuario común, el malware está en niveles epidémicos, literálmente hablando. Eugene Kasperksy comentaba hace tiempo que no podía hacer frente a la cantidad de malware que recibían cada día y pedía que las autoridades intervinieran. Esto se puede extrapolar a todas las compañías. Día tras día surgen nuevas variantes de malware cuyo objetivo va desde robar las credenciales de los usuarios de banca online, convertir el ordenador en un zombie esperando órdenes hasta cifrar los documentos de la víctima y pedir un rescate a cambio de la clave. El futuro de la seguridad informática pasa por la detección proactiva de todo este tipo de amenazas.

Hay que pensar de una forma multidisciplinar, aplicar conceptos de la neurobiología, la genética, la estadística y en general de varias disciplinas científicas. Muchos Antivirus ya se han concienciado y trabajan desde hace tiempo tratando de identificar los comportamientos y clasificar las familias del malware con el fin de prevenir antes que curar. Por ejemplo, nosotros estamos desarrollando en esa dirección y sacaremos próximamente un producto destinado a la detección proactiva y automática de ataques de phishing, basándonos en técnicas de Computer Vision que son aplicadas habitualmente en campos como la robótica, la medicina o el control industrial pero que todavía no se ha extendido al de la seguridad informática. 

En definitiva, un escenario realmente inquietante, y que no tiene visos de solucionarse a corto plazo.

 
Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
 

<<