eldiario.es

Menú

Hoja de Router Hoja de Router

Heartbleed, Shellshock... ¿Quién pone nombre a los agujeros de seguridad?

Cuando en Codenomicon detectaron Heartbleed no tenían ningún equipo dedicado a bautizar ‘bugs’. Tampoco quienes dieron con Shellshock o Sandworm habían establecido un proceso para decidir cómo llamar a sus hallazgos. Los descubridores de estas vulnerabilidades nos han contado el origen de los apelativos: “No sabíamos que iba a convertirse en algo icónico y viral”. Cada día salen a la luz nuevos fallos de seguridad, pero ¿todos necesitan un nombre?

- PUBLICIDAD -
El logo de Heartbeat es una creación de la diseñadora Leena Snidate

El logo de Heartbeat es una creación de la diseñadora Leena Snidate

Para los personajes de una de las obras de Oscar Wilde, llamarse Ernesto sí tenía importancia. Aunque ninguno de los dos protagonistas de la pieza teatral a la que nos referimos hubiera sido bautizado con ese nombre (ambos fingían), Wilde tenía razón: no sabemos si elegir un apelativo u otro para un bebé marca su vida, pero en el mundo del ‘marketing’, seleccionar el nombre de un producto es clave para atraer al público.

Pero, ¿y si el producto no es una muñeca ni una colonia, ni tampoco una chocolatina? ¿Y si el es un ’malware’ o una vulnerabilidad informática que hay que difundir y enmendar?

“Cuando descubrimos Heartbleed, en Codenomicon no había un proceso formal para poner nombre a las vulnerabilidades”, explica a HojaDeRouter.com Mark Van Elderen, experto en seguridad de la empresa finlandesa, comprada por Synopsys este verano. Tres investigadores de Codenomicon detectaron la tristemente célebre vulnerabilidad, la CVE-2014-0160, en abril de 2014, poco después de que lo hiciera el ingeniero de Google Neel Mehta (los de Mountain View habían sido discretos al respecto).

Tras encontrar un nuevo agujero de seguridad, se le otorga un identificador que denota la fecha del hallazgo. Los números van precedidos de las siglas CVE, de ‘Common Vulnerabilities and Exposures’, para su inclusión en una lista homónima que constituye una especie de directorio estandarizado de vulnerabilidades. En el registro, elaborado a partir de la Base de Datos Nacional de Vulnerabilidades estadounidense, cada entrada tiene un código de referencia único.

En el año que acabamos de despedir, se han incluido un total de 6.412 nuevos fallos de seguridad en el CVE. Sin embargo, lo más seguro es que la mayoría de ellos no hayan sido bautizados: solo los más peligrosos tienen este honor.

Cada 'bug' recibe un número identificativo según la fecha de su descubrimiento

Cada 'bug' recibe un número identificativo según la fecha de su descubrimiento

Van Elderen nos indica la procedencia del nombre que ellos eligieron: “Se trata de un juego de palabras derivado de la naturaleza y el contexto del agujero de seguridad”. La vulnerabilidad afectaba a la funcionalidad ‘heartbeat’ de la biblioteca OpenSSL y permitía filtrar (‘leak’ en inglés) datos de un servidor. Las herramientas de OpenSSL son una pieza fundamental en el cifrado de las comunicaciones de muchas páginas web, que Heartbleed dejaba al descubierto.

Una imagen vale más que mil palabras

En Codenomicon no solo le pusieron nombre, sino también cara con un logo, obra de la diseñadora Leena Snidate, en el que aparecía un corazón sangrante. La noticia y la ilustración se extendieron como la pólvora gracias a los medios. “No sabíamos que iba a convertirse en algo icónico y viral”, admite Van Elderen. Su intención inicial era desvelar su existencia y ponerle remedio.

Logo de Heartbleed

Logo de Heartbleed

No obstante, Van Elderen no cree que su rápida difusión se deba a la imagen ni a su apelativo. “Fueron ingredientes menores en la tormenta perfecta que se produjo en los medios. El factor más importante es que afectaba a la mayoría de servidores y, por tanto, a muchas empresas y consumidores”, explica.

Algunos meses después de aquella tempestad, en septiembre, otro agujero de seguridad se hacía hueco en las portadas digitales de los periódicos: Shellshock, cuyo calificativo inicial, CVE-2014-6271, también era bastante menos creativo. 

La vulnerabilidad, descubierta por el experto en seguridad Stephane Chazelas, aprovechaba un fallo de la herramienta Bash, el intérprete de la línea de comandos presente en muchos sistemas Unix, Linux y en todos los ordenadores Mac.

Chazelas comunicó su hallazgo a Chet Raimey, el principal desarrollador de Bash, y la noticia pasó a partir de ahí a empresas, instituciones y distribuidores de sistemas Linux

Chazelas no fue quien bautizó el fallo: “ Yo sugerí el nombre de ‘bashdoor’ [por ‘backdoor’] durante las primeras discusiones sobre el ‘bug’”, confiesa. Su propuesta no tuvo demasiado éxito. El afortunado fue Andreas Lindh, otro investigador en seguridad, que sugirió Shellshock por primera vez en Twitter.

“Supongo que necesitas un nombre si quieres conseguir un buen efecto de ‘marketing’”, opina Chazelas. Además, apunta, al difundirse tan rápidamente, “muchas empresas no tuvieron más remedio que arreglar la vulnerabilidad en sus productos”. Van Elderen señala otro de sus efectos positivos: “Un apelativo y un logo ayudan a entender la vulnerabilidad, y facilita que se hable de ella en círculos no profesionales”.

La ficción como referente

El equipo de iSIGHT encontró cierto paralelismo entre los actores que explotaban la vulnerabilidad que habían detectado (CVE-2014-4114) y la saga de libros Dune, que ha inspirado una película y varias miniseries de televisión. Se trataba de una serie de grupos de ciberespionaje a los que llamaron Sandworm Team.

El nombre acabó siendo utilizado para designar a la vulnerabilidad en sí, que afectaba a todas las versiones de Windows posteriores a Vista. El logo también hace alusión a la ficción con un enorme gusano de arena como el que aparece en el filme y las series.

Logo de Sandworm, inspirado en la saga de libros y series 'Dune'

Logo de Sandworm, inspirado en la saga de libros y series 'Dune'

Tras la experiencia con Heartbleed, Van Elderen afirma que siguen sin tener un equipo con la función específica de nombrar a sus hallazgos. “Es útil asociar un apodo a un agujero de seguridad cuando dar a conocer el peligro ayude a subsanarlo, pero creo que no es necesario en la mayoría de casos que se descubren diariamente”, sostiene.

Pese a que ellos dieron en el clavo, el responsable de Synopsys tampoco cree que haya una fórmula mágica para conseguir que un nombre tenga tirón. ¿Habrá algún día un Ernesto en la familia?

------------------------------------------------------------------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de snoopsmaus y Mark Rain

- PUBLICIDAD -

Comentar

Enviar comentario

Enviar Comentario

Comentarios

Ordenar por: Relevancia | Fecha