El español que saca los colores a los antivirus: “Vi que era un pozo sin fondo”
Con cierta frecuencia, los 'hackers' descubren y sacan a la luz fallos y vulnerabilidades que descubren en los sistemas de antivirus. Este verano fue el programador Tavis Ormandy, con los productos de Symantec, y antes Sergio Alvarez reveló más de ochenta vulnerabilidades en programas de seguridad como Avast.
En esta cruzada contra las grandes firmas de antivirus se encuentra Joxean Koret, un programador vasco que ha expuesto a las grandes marcas al publicar un compendio con algunos de sus fallos más graves y comprometidos. 'The Antivirus Hacker's Handbook', un libro escrito mano a mano con Elias Bachaalany, es también una guía que enseña a otros 'hackers' cómo detectar los puntos débiles de estos programas, precisamente los que deberían garantizar la protección de empresas y particulares.
Koret, que lleva ocho años trabajando como investigador en seguridad, comenzó a explorar el código de los antivirus cuando trabajaba en otro proyecto. Lo que encontró le dejó sin palabras: “Vi que era un pozo sin fondo de lo mal que estaba”, explica a HojaDeRouter.com.
Tras un par de años estudiando, decidió revelar públicamente los vacíos de seguridad revelar públicamente los vacíos de seguridadque había descubierto. Lo hizo en una conferencia en el congreso SyScan de 2014, en Singapur. Un año después, la editorial Wiley publicó su libro. “Decidí sacar los datos a la luz para que las empresas de seguridad cambiaran”, cuenta Koret.
El programador decidió no contactar con la mayoría de empresas a las que estaba criticando porque su intención, afirma, era que se esforzaran para corregir sus errores. Y eso solo podía conseguirlo si sacaba a la luz sus trapos sucios. “El libro no está hecho principalmente para atacar, aunque sí que se puede utilizar para ello”, reconoce. “Mi idea es que lo puedan utilizar los trabajadores de las compañías de antivirus”.
Al margen de la intención de Koret, las empresas no se tomaron demasiado bien su publicación. Muchas de ellas le tacharon de irresponsable, algo que él niega. “La gente que hace 'malware' [programas maliciosos] se dedica a investigar antivirus como una parte integral de su trabajo. No es que haya publicado algo que no se utilizara ya”, señala. Más bien lo que ha hecho es forzar la máquina, haciendo público un secreto a voces, para meter presión a los que dicen velar por la seguridad de todos.
Lo cierto es que los expertos de seguridad llevan más de una década publicando los fallos de los antivirus. La diferencia, y el problema que los responsables de estos sistemas tienen con su libro, según nos cuenta el español, es que lo escribió sin haber colaborado previamente con las compañías. No lo hizo de la forma que se considera “responsable”.
Lo usual es que los 'hackers' que encuentran puntos débiles en un 'software' informen a los afectados y trabajen con ellos antes de hacerlos públicos. En opinión del informático, este procedimiento hace que las empresas se beneficien gratuitamente del trabajo de los demás y, sobre todo, que con el tiempo vuelva a suceder lo mismo. “Para el año siguiente, hay otras vulnerabilidades diferentes pero del mismo tipo”.
Koret se negó a seguir estos pasos y optó por procurar que su trabajo tuviera repercusión. “Cuando sale a luz y no les has dado ventana de tiempo, lo que haces es que salga en noticias y eso les crea una publicidad que no les resulta beneficiosa y que les fuerza a tener que cambiar las cosas”.
Uno de los pocos avances que la denuncia del 'hacker' forzó en la industria de los antivirus fue la adopción de los programas de recompensas conocidos como 'bug bounty'. Si hay uno en marcha, cuando el 'hacker' encuentra una vulnerabilidad en un producto e informa al vendedor, en este caso un firma de seguridad, la empresa le abona cierta cantidad de dinero a modo de gratificación. “En el momento en el que yo investigué, solo Avast tenía 'bug bounty', y yo dije que eso era una buena idea. Ahora hay un buen número de antivirus con el sistema”.
La respuesta de la industria
Koret acabó entre ceros y unos por casualidad. Estudiaba un curso de calderería que no le apasionaba demasiado y, para escabullirse de las clases, fingió que se lesionaba. Cuando le relegaron al aula de informática, su interés por los ordenadores creció, lo que le llevaría a costearse un curso de programación. A partir de entonces seguiría estudiando por su cuenta.
El programador vasco afirma que la publicación del libro no le ha supuesto consecuencias profesionales, pero sí alude a “tácticas un poco sucias” por parte de las empresas de antivirus. Algunas escribieron en sus blogs diciendo que lo publicado era mentira y otras llegaron a acusarle de ser un ciberdelincuente y trabajar en la industria del 'malware'. “Una empresa intentó decir que el estudio que yo había hecho venía a decir que todos los antivirus estaban mal menos el suyo, y que eso indicaba que tenía que comprar todo el mundo el suyo”, relata.
Sin embargo, la respuesta más habitual fue un muro de silencio y, sobre todo, caso omiso ante las advertencias difundidas. Pero aunque externamente hayan hecho oídos sordos, parece que internamente sí ha influido el mensaje del libro. Koret cuenta que su manual se utiliza regularmente dentro de las compañías, según le han comentado algunos compañeros. “El CEO de una empresa de antivirus me dijo que es uno de los libros que regularmente se da a los nuevos que entran”.
No es algo que vayan a reconocer fácilmente. “La mayor parte de empresas hace como que esto no existe porque para ellos es mala publicidad”, sentencia el programador.
Para corregir los problemas de seguridad de los antivirus, Koret apuesta por la adopción de un enfoque defensivo, es decir, que las empresas inviertan recursos para proteger sus propios programas: “Estoy todavía por ver un solo antivirus que tenga un medio de protección para sí mismo”.
Todo programa que se instala en un ordenador, móvil o tableta aumenta el riesgo de vulnerabilidades por el mero hecho de que se convierte en un punto más donde atacar. Lo mismo sucede con los antivirus, aunque sean los encargados de monitorizar buena parte de lo que sucede en un sistema. Si no se protegen a sí mismos, las posibilidades de penetrar en una red o un equipo que lo tenga instalado se incrementan.
Sin embargo, las compañías “se preocupan más de las campañas de 'marketing', que sí que ven que revierten, que de las cosas realmente técnicas”, se lamenta Koret. “No investigan porque cuesta dinero y destinan más dinero para 'marketing' que para tecnología defensiva”.
Así las cosas, y según el investigador, ¿es recomendable instalar un antivirus? Koret sí está de acuerdo con que una persona corriente, sin conocimientos de informática, se instale un programa de protección. Eso sí, siempre que procure no relajarse al navegar por internet y no caer en una falsa sensación de seguridad. “Si estamos hablando de otro tipo de 'target', como una empresa o un gobierno, realmente es más el peligro que crea”. En otras palabras, el remedio puede ser peor que la enfermedad.
-------------
Las imágenes que aparecen en este artículo son propiedad de Rooted CON (1,3), Wiley (2), y Ilan Costica (4)