La saga «El mes de los fallos en» comenzó en julio de 2006, cuando H.D Moore decidió dedicar un mes completo a publicar vulnerabilidades no parcheadas en los navegadores, a razón de una al día. La iniciativa, por lo original y relevante de la propuesta, fue todo un éxito. Otros investigadores le siguieron, creando el mes de los fallos en los núcleos (de cualquier sistema operativo) en noviembre de 2006, el mes de los fallos en Apple en enero de 2007… y algunos otros. Ahora es el momento de la Web 2.0.
Aviv Raff usará julio de 2009 como el mes de los fallos en Twitter. Su objetivo, como el de todos estos meses temáticos, es el de mejorar la seguridad a través de la presión mediática, y no solo la de Twitter. El resto de plataformas 2.0 puedan aprender algo de los problemas ajenos y por tanto prevenir. Por ejemplo, algunas de las vulnerabilidades encontradas hace tres años en el «Mes de los fallos en los navegadores» se creían «simples fallos» en el sentido de que no podían ser aprovechadas por atacantes. El hecho de hacerlas públicas llamó la atención de ciertos creadores de malware y consiguieron finalmente, meses después, aprovechar algunos de estos «bugs» para ejecutar código. En ese sentido supuso una buena alarma sobre los «bugs» a los que no se les da demasiada importancia.
«Month of Twitter Bugs» (MoTB) se centra en la API de Twitter, pero según Raff, bien podría tratarse de cualquier servicio 2.0 del momento. twitpwn.com es el dominio elegido para alojar el blog que publicará las vulnerabilidades. Raff reconoce que algunas vulnerabilidades son lo suficientemente peligrosas como para que se pueda crear un gusano, así que avisará con 24 horas de antelación al fabricante para que puedan ser corregidas. El blog es seguido por personal de Twitter, que participan en los comentarios activamente. De hecho, han corregido en cuestión de horas fallos ya publicados.
A medida que el escritorio se entiende menos sin conexión remota y se traslada hacia la red (o «la nube», como término de moda) y la línea que separa aplicaciones y servicios se difumina (casi siempre detrás de un navegador) no es de extrañar que las páginas y APIs de estas webs sean objetivo de ataques. Campañas llamativas como esta pueden ayudar a desvelar y prevenir vulnerabilidades, pero desde luego no las eliminarán. En el mundo de la programación y la informática en general se tiende insidiosamente a tropezar en la misma piedra siempre que se tiene la oportunidad. Por ejemplo, a medida que los sistemas operativos se han protegido (tarde, pero lo han hecho en cierta medida) contra ataques y malware, parece que nadie más a aprendido la lección, y los servicios en remoto que hoy en día se puede decir que forman parte de «la nube» (que a su vez forma parte del escritorio) parecen condenadas a repetir el mismo error.
ssantos@hispasec.com
Más información:
Month of Twitter Bugs
http://aviv.raffon.net/2009/06/15/MonthOfTwitterBugs.aspx
TwitPwn (ab)using twitter since 2008!
http://twitpwn.com/
Deja una respuesta