A rebufo de los periodos temáticos de vulnerabilidades, se anunció en varias listas que el día dos de abril comenzaría la semana de los fallos en Windows Vista. Incluso se publicó una primera vulnerabilidad. Los autores han destapado el engaño y han confesado que todo se trataba de una broma, urdida alrededor del «día de los inocentes» anglosajón y perfectamente orquestada con alevosía y premeditación.
Los autores de la broma confiesan en su página lo que llaman «la verdad». Pensaron en una broma para celebrar el día de los inocentes («April’s Fools Day»). Aprovechando el tirón mediático de las periodos temáticos, tomaron a Vista como objetivo, para hacer la broma más atractiva hacia quienes consideraban su objetivo principal: Los medios. «Les encanta todo lo sensacionalista». Inventaron nombres pseudoanónimos («Jerome A», «Brett M»…) inspirándose en investigadores reales como «HD Moore», creador de esta moda. Los personajes ficticios participaron activamente durante los días previos al engaño en foros especializados en seguridad para darse a conocer.
Comenzaron con la broma (anunciando el evento) el 30 de marzo, 48 horas antes del día en cuestión, para evitar sospechas. Prepararon una página ya conocida, securityinfos.info con autenticación SSL del servidor para «dar mayor credibilidad a los medios». Con sólo anunciar su idea en Bugtraq consiguieron posicionar la página bien alto en Google.
Finalmente el día dos, ya fuera del momento oficial para las bromas, lanzaron lo que sería el primer bug de la semana: «Bypassing Vista Firewall: Flying Over Obstructive Line». Un título con mensaje, pues se puede formar «Fool» con la primera letra de cada palabra, que significa «tonto», «inocente». Prometieron una segunda vulnerabilidad «Bypassing UAC: For fun and profiterole» jugando con el mítico título creado por Aleph One «Smashing the Stack for Fun and Profit» en el que se explican los desbordamientos de memoria intermedia. Solo que ellos lo llamaron «… profiterole».
La primera y única vulnerabilidad ficticia se explicaba con muchas imágenes (algunas de ellas deliberadamente irrelevantes) y en principio, muy profusamente. Una lectura tranquila demostraba que no tenía demasiado sentido. Cuando menos, el supuesto fallo en el cortafuegos estaba explicado de forma confusa y abstracta. Para muchos, el simple hecho de que la explicación abarcara varias páginas, se adjuntaran imágenes y tuviese como víctima a Vista (un objetivo siempre apetecible), era suficiente para dar crédito al fallo.
Finalmente, como hemos podido observar, muchos medios le han dado incondicionalmente esa credibilidad tan trabajada y buscada por parte de los autores. Han conseguido demostrar lo que querían, engañar a los medios, la importancia del factor humano en la seguridad y la necesidad de confiar en hechos que se puedan demostrar. Como efecto colateral, han obtenido un buen puñado de visitas en su página y la satisfacción de que muchos hablen de ellos en este momento.
Apuntan finalmente que Microsoft no se puso en contacto en ningún momento con ellos, quizás, dicen, porque estaban demasiado ocupados con la vulnerabilidad en ficheros ANI (esta, desafortunadamente muy real) que está intentando ser parcheada estos días.
De nuevo, muchos medios (especializados y no) han picado con este bulo, aplicando la conocida norma que reza: «No dejes que la verdad te estropee un buen titular». Conviene no creer todo lo que se lee en Internet, ya sea el día de los inocentes o cualquier otro momento del año.
ssantos@hispasec.com
Más información:
The week of Vista Bugs: The Truth
https://www.securinfos.info/english/the-week-of-vista-bugs-the-truth.php
+»Week of Vista Butgs» -hoax
http://www.google.es/search?q=%22week+of+vista+bugs%22+-hoax&hl=es&start=10&sa=N
Deja un comentario