Google creó un equipo de hackers para amenazar Apple y Microsoft
Google les da un ultimátum a sus colegas de la tecnología:corrijan las vulnerabilidades de su software en 90 días o las daremos a conocer.
Un equipo de élite formado por hackers y programadores de Google escarba en el software propio y el de sus competidores buscando fallas de seguridad, y emplaza a las empresas para que las solucionen. Google quiere que las compañías de software actúen rápido porque los ciberdelincuentes proceden con la velocidad del rayo cuando detectan problemas, dice.
El tema es delicado. Rivales como Microsoft y Apple se negaron a hablar de la táctica, pero otros en el sector dicen que la ayuda no siempre es bienvenida, usurpa una función que compete más al Estado y puede debilitar la seguridad.
“No sé quién convirtió a Google en el árbitro del mercado para la notificación de vulnerabilidades”, dijo John Dickson, director de la firma de seguridad Denim Group. Presionar a las empresas para que solucionen las fallas es buena idea, dijo, pero “está por verse la nobleza de los motivos de Google, dado que básicamente revelaron vulnerabilidades de sus mayores rivales”.
Google creó el equipo en julio, y lo llamó Project Zero por las temidas fallas de seguridad del “día cero” que son aprovechadas antes de que los desarrolladores las constaten. Dice que se propone ayudar a todos, además de proteger sus propios productos que funcionan en dispositivos y software de otros.
Es una actividad que, a los ojos de algunos expertos, resulta más apropiada para un organismo público. El propio presidente Obama se refirió a la cooperación entre el sector público y el privado en una cumbre sobre ciberseguridad realizada el viernes en Palo Alto, California.
Algunos se preguntan, sin embargo, cuánta cooperación se puede esperar si las mayores empresas de Internet no pueden llevarse bien.
Apple se negó a comentar Project Zero. Microsoft se limitó a remitir a un comunicado previo el cual decía que la táctica de Google se parece a un juego de “gotcha” (característica de un programa que trabaja de un modo que es correcto desde el punto de vista formal pero no es lo que se espera de él).
Los detractores de la práctica de Google dicen que pone en peligro la seguridad revelando grietas antes de que se las pueda tapar.
Cuando se descubren problemas, los hackers se mueven rápido para explotarlos. El año pasado, intrusos apoyados por los chinosaprovecharon el error de seguridad online conocido como Heartbleed para atacar el grupo hospitalario Community Health Systems más de una semana después de que se diera a conocer la falla.
En enero, Apple le pidió a Google que esperara una semana para que Apple solucionara tres fallas en el sistema operativo Mac OS X, según una fuente con conocimiento.
Google sabía que la solución ya llegaba, dijo la fuente. Así y todo, se negó y divulgó detalles de las fallas.
Por su parte Microsoft pidió dos días de prórroga para arreglar una deficiencia en Windows. Google no se los dio y publicó el error.
“Los que pueden salir perjudicados son los clientes”, escribió Chris Betz, director del centro de respuestas a incidentes de seguridad de Microsoft, el 11 de junio en un blog, la única referencia pública al tema que hizo la firma hasta la fecha. “Lo que es bueno para Google no siempre es bueno para los clientes”.
Microsoft pide que los investigadores revelen las fallas en forma privada a los proveedores de software, y trabajar con ellos hasta contar con una solución, dijo Betz.
Los defensores de Google sostienen que el enfoque duro de Google puede alterar sustancialmente las prácticas de la industria del software, cuyas empresas llegan a tardar meses o años en encontrar parches para fallas.
Según un análisis de Risk Based Security, Project Zero identificó 39 vulnerabilidades en productos de Apple y 22 en los de Microsoft. También detectó 37 fallas en el software de Adobe.Y divulgó detalles antes de que estuviese disponible una solución 16 veces en el caso de Apple, tres con Microsoft y una con Adobe.
La “estrictez de Google es buena para el sector”, dijo Tom Gorup, gerente de Rook Security. “Una persona común no tiene la influencia de Google: si grandes empresas como Microsoft, Apple y Google pulsean por una mejora de la seguridad, todos salimos ganando”.
Google creó Project Zero después de conocerse la falla Heartbleed y el espionaje de la Agencia Nacional de Seguridad de EE.UU. “Deberíamos poder usar la Web sin miedo a que un delincuente o alguien de parte de un gobierno aproveche fallas de software para infectar nuestras computadoras o robar secretos”, decía la entrada de blog del 15 de julio que anunciaba Project Zero. “Nuestra meta es reducir la cantidad de personas perjudicadas por ataques dirigidos”.
“Si bien algunos utilizan ataques de día cero para detectar víctimas, son muchos los atacantes que siguen abordando vulnerabilidades conocidas para las cuales ya se han emitido parches, aprovechando lo lento de los procesos de remiendo y las decisiones de riesgo de los dueños de redes, que no parchean ciertas vulnerabilidades”, dijo el FBI en una alerta de fines de enero.
Un plazo de 90 días quizás no sea práctico para grandes compañías que tienen que examinar miles de líneas de código y asegurarse de que los parches no afecten otro software en forma negativa, dijo Craig Young, investigador senior de seguridad de Tripwire.
Pero también a veces las empresas son negligentes. “Hemos tenido muchos casos de proveedores que no parecen preocuparse por algo a menos que salga en los diarios”, concluyó Young.