Desde que las empresas informáticas se dieron cuenta que podían ser vulnerables en cualquier momento, y que no siempre podían detectar todos los fallos del software que desarrollaban nació una nueva manera de entender el hacking, el Bug Bounty.
Los programas Bug Bounty son iniciativas de las empresas de software y de desarrolladores web que buscan detectar fallos y vulnerabilidades en sus desarrollos. Para ello se valen de recompensas y reconocimiento a los hackers que descubren estos fallos en el software. De este modo las dos partes ganan, de un lado las empresas lanzan aplicaciones y webs mucho más seguras y ampliamente testadas; del otro, los hackers ganan prestigio o ganan un premio económico.
Hasta aquí parece que es una dinámica Win-Win, pero algún caso reciente parece indicar lo contrario. Hablamos del reciente problema que ha sufrido Ubiquity, un conocido fabricante de dispositivos de mejora de la conexión inalámbrica; es decir, un fabricante de componentes muy sensibles a cualquier alteración en la red.
R4S-TEAM entra en escena…
Recientemente el grupo de hackers español R4S-TEAM ha estado trabajando a través de la plataforma HackerOne reportando y solucionando una serie de vulnerabilidades detectadas en el firmware de los dispositivos de este fabricante. Habitualmente las vulnerabilidades de ejecución de código, RCE, suelen ser las más graves. Según Ubiquiti, las recompensas por reportar este tipo de fallos pueden ser de entre 100 y 25.000 dólares. El año pasado sin ir más lejos Ubiquity ofreció 2000$ por la detección de uno de estos fallos RCE que, no obstante, requería las credenciales del dispositivo.
Pero esta vez los hackers han detectado un fallo RCE que no requiere autenticación y que se puede usar para congelar cámaras de grabación o hacer ataques Cross-Site Scripting (XSS), es decir inyectar código malicioso en las webs de confianza que visitamos desde nuestro navegador.
Un rifi-rafe para reconocer el fallo
Ubiquity, sin embargo, consideró en un primer momento que no existía el problema y que debía dejarse todo como estaba. Por ello, estos dispositivos no iban a actualizarse y la vulnerabilidad persistiría a día de hoy, lista para que algún malintencionado la explote. Es muy grave que un fabricante de dispositivos de red, los cuales están conectados directa y permanentemente a Internet, se niegue a reconocer estas vulnerabilidades y a reconocer el trabajo de verdaderos expertos de seguridad y a solucionar fallos tan graves como este. Por otro lado, no podemos dejar de aplaudir el comportamiento verdaderamente ético de los hackers de R4S-TEAM, que han decidido no publicar el exploit. ¿Qué pasaría si lo publicaran o aún peor, lo vendieran en el mercado negro para sacar un beneficio de su trabajo? R4S-Team ha demostrado una actitud responsable, al igual que los son los servicios de Hacking Ético de Metafrase, puestos al servicio de toda empresa que los requiera.
Ubiquity finalmente cedió a la presión mediática y ha admitido el fallo y lo solucionará, aunque no admite que sea tan grave y no recompensará debidamente a los hackers. A la hora de elegir fabricante, recordemos que la seguridad debe ser tan prioritaria para ellos como lo es para nosotros; por ello no debemos escatimar unos pocos euros y exponernos a fallos tan peligrosos.
En el siguiente vídeo se muestra una prueba de concepto de cómo esta vulnerabilidad puede ser explotada de forma muy sencilla.
