jueves, mayo 20, 2021

Una charla con Luis Márquez Carpintero tras su bug de WhatsApp

Han pasado ya varias semanas desde que se hizo público el bug de WhatsApp que permitía, weaponizando varias medidas de seguridad, hacer un ataque de Denegación de Servicio a usuarios remotamente. Este bug fue descubierto y publicado por Luis Márquez Carpintero y Ernesto Canales Pereña, y acabó siendo publicado en Forbes y en cientos de blogs por todo el mundo para que WhtatsApp lo arreglara.

Figura 1: Una charla con Luis Márquez Carpintero tras su bug de WhatsApp

Como ha pasado algo de tiempo, he querido hacer una pequeña entrevista a Luis Márquez Carpintero para que me cuente más de él y de cómo ha sido la experiencia de encontrar, notificar y publicar un bug como este en WhtasApp, que ha tenido tanto impacto.

Como podréis ver, a veces los fallos de seguridad que afectan a plataformas de comunicación o de trabajo que utilizamos tan constantemente en nuestra vida están delante de nosotros, y no somos capaces de verlos hasta que alguien nos hace mirar las cosas de otra forma. Espero que os guste la entrevista.

Saludos Malignos!

1.- ¿Luis, os esperabais un impacto tan grande con la vulnerabilidad de WhatsApp?

Para ser honestos cuando descubres un error así y corroboras que efectivamente no ha sido publicado antes, se te pasan por la cabeza todo tipo de escenarios posibles, tanto para bien como para mal. Por fortuna, nos encontramos en el mejor de los escenarios que nos podíamos imaginar, donde un prestigioso medio internacional como Forbes publica el fallo, y el resto de los medios se van haciendo eco. Recuerdo como al principio nos hacía especial ilusión y entre nosotros nos enviábamos los artículos donde nos mencionaban y poco a poco se fue haciendo inviable compartir todos los artículos.

No obstante, en un momento dado sí que llegamos a pensar que la noticia la habíamos sobredimensionado y que no importaba a nadie, estuvimos una semana entera mandando mails a redactores y solo nos respondió uno, que nos solicitó absolutamente toda la información para luego desaparecer y no saber nada más de él ¿No le pareció interesante? ¿Quería la información para otro fin? Nos resultó muy extraño.

En ese momento pensamos en desistir, pero como no teníamos nada que perder continuamos un par de días más enviando emails, en ese momento solo nos respondieron dos personas más. Zak, el redactor de Forbes, y un blog español relativamente pequeño. La diferencia entre publicarlo con el medio español y con Forbes era significativa, solo Forbes Tech cuenta con 2.7 millones de seguidores en Twitter, mientras que el blog contaba con 200 mil.

Éramos conscientes que no publicarlo con Forbes significaba que la noticia hubiese muerto en el momento de la publicación. Y aún, siendo la misma noticia en Forbes que en el medio nacional, ni The Telegraph, The Sun ni incluso medios que inicialmente rechazaron la exclusiva se hubiesen hecho eco. Y el fallo seguiría todavía sin reparar. Es algo frustrante, especialmente para gente con un perfil técnico, pero pesa más como lo sepas mover por los medios que el descubrimiento en sí.


2.- ¿Lo reportasteis a WhatsApp?¿Os contestaron?

Sí, fue lo primero que hicimos, incluso antes de hablar con los medios. Por desgracia, la compañía de mensajería automatiza la mayoría de las respuestas que les llegan por mail, de hecho, la vulnerabilidad explotaba este punto. A título personal, intentamos contactar con ellos hasta en hasta cuatro ocasiones, pero la respuesta estaba automatizada, solo en una ocasión el mensaje lo firmó una empleada, pero su contenido no era distinto al del resto de correos automatizados, respondiendo algo que no era pertinente con la cuestión planteada.

La última noticia que supimos de Whatsapp de forma directa fue por medio de Forbes que como modus operandi acuden para contrastar la noticia y recoger las declaraciones de la empresa implicada. El redactor, Zak, nos dio a entender que estaban nerviosos e intentaron parar la noticia, llegaron a decir que de ser cierto el fallo, incumpliría los términos y condiciones de uso de la propia aplicació
n.

Tras este contacto el resto lo hemos podido saber por declaraciones que ha concedido a otros medios, una vez la repercusión ha sido internacional. Lo que nosotros jamás contemplamos era que se demorasen tanto en poner una solución definitiva.

3.- ¿Qué hace Luis hoy en día?

Bueno, ahora que han pasado ya unas semanas y está todo más calmado me encuentro concentrado finalizando los estudios de máster en ciencia de datos por la facultad de estadística de la Universidad Complutense de Madrid y participando como voluntario en la fundación cibervoluntarios que, para quién no lo sepa, promueve el uso de nuevas tecnologías para paliar y reducir brechas sociales, con prestigio internacional, y en la cuarentena, bajo mi opinión tuvo un papel imprescindible a la hora de asesorar a personas mayores que quizás estaban solas a utilizar las tecnologías.

Estas dos actividades ocupan prácticamente todo mi tiempo. Pero si a lo largo de la semana me sobra alguna hora intento relajarme haciendo deporte o yendo al cine.

4.- ¿Cómo te metiste en el mundo de la ciberseguridad?

Es un área muy llamativa desde fuera, y cuando empiezas los estudios de informática y te planteas hacer un sistema seguro, no tardas mucho en hacerte la pegunta inversa ¿Cómo se puede romper? Por ese mismo motivo, yo creo que fue en primero de carrera cuando por hobby probé a hacer SQL Injection en un servidor de prácticas de la universidad y por “desgracia” se lo tragó.

Los meses siguientes los pasé un poco mal, fue un susto bastante importante donde una vez te “cazan” y te citan a reuniones se barajan qué medidas tomar, si expulsarte de forma definitiva de la universidad, demandarte, o expedientarte.

Después de esto, continué de forma más comedida haciendo mis cosas, por ejemplo, una plataforma que suplantaba la dirección de correo elecetrónico de origen en un e-mail, u otra, que le pedía al usuario una URL y un e-mail y duplicaba la web esa URL modificando solo los formularios para que recopilase los datos de esos formularios y llegasen a su correo electrónico. Una de las última fue descubrir que se podía modificar la encuesta de los profesores que debían aparecer en la orla del grado para favorecer a algunos docentes.

Algunas de estas cuestiones terminaron situándome ante problemas importantes. En mi opinión, para minimizar muchos de estos fallos de seguridad creo que cualquier profesional debería interesarse y conocer ciertos aspectos de la seguridad informática, tanto si eres desarrollador de software como ingeniero de datos.

5.- ¿Qué otras investigaciones de seguridad estás haciendo hoy en día?

Ahora mismo, todo mi tiempo lo consumo en un proyecto que estoy realizando para el máster sobre analítica de datos relacionados precisamente con Whatsapp, de hecho, fue lo que nos dio la primera pista para empezar a tirar del hilo. Sin querer adelantar mucho, la idea del proyecto es, mediante técnicas de Social Network Analysis, ser capaz de desarrollar un algoritmo que detecte la afinidad de las personas en un grupo de Whatsapp. A día de hoy, ya somos capaces de detectar qué personas se llevan mal, o quienes forman un subgrupo dentro del grupo.

Esto podría tener grandes ventajas en el sector de la empresa o en el caso de menores que sufren ciberbullyng, pudiendo ser capaces de observar tendencias y actuar a tiempo. Lo ideal sería poder publicarlo como extensión o plataforma web y de momento los resultados de la investigación están siendo concluyentes, con suerte esperamos publicarlo a mediados de Julio o incluso antes.


6.- ¿Quiénes han sido tus referentes en el mundo de la ciberseguridad?

Por supuesto tú has sido muy importante en todo lo relacionado con promover no solo la seguridad informática, sino informática o tecnología en general, ya te seguía incluso antes de empezar a estudiar informática, por lo que tu presencia obviamente me influyó mucho.

Pero de forma general soy más de fijarme en charlas o conferencias, más que de personas concretas, me viene a la mente una ponencia en particular sobre seguridad informática aplicada al día a día de cualquier persona, así contado es un poco loca la idea, pero te diría que es mi preferida y con diferencia, la dio
@informaticaeloy en unas paellasCon, y sinceramente me encantó, desde ese día le sigo en Twitter para enterarme de todo lo que hace.

7.- ¿Has mirado el fallo de WhatsApp en otras plataformas de mensajería?

Claro, fue una de las exigencias de Forbes para continuar con el artículo, antes de la publicación debimos mirar minuciosamente Signal y Telegram para ver si era un fallo extensible a todas las apps de mensajería o solo a Whatsapp. Esto hubiese cambiado mucho las normas del juego y el artículo en sí.

Por suerte para los usuarios, y por desgracias para Whatsapp, este fallo solo se encuentra en la empresa de Facebook, ya que la particularidad está en la forma que nos preconciben veracidad cuando indicamos que hemos perdido nuestro móvil.


8.- Recomiéndanos tres libros que hayan impactado en tu vida.

La mayoría de los libros que me han marcado son aquellos que leí de joven, probablemente porque era más susceptible, por eso el Principito lo posicionaría en el número uno. Luego, a modo profesional hay un libro que intento releer de vez en cuando que es “El método LeanStartup” de Eric Ries sin ser una novela me parece muy bueno y desde un punto de vista profesional me ha influido mucho.


Y, para terminar, sería un pecado no mencionar cualquiera de las novelas de Sherlock Holmes, las leo desde niño y soy super fan, la forma que tiene de pensar y enfrentarse a los problemas, como llega a conclusiones elaboradas a partir de observaciones más simples que todo el mundo pasa por alto me encanta. Además, le encuentro mucha relación con el famoso divide y vencerás, creo que la forma de pensar va muy en la línea del sector de la ingeniería o de la seguridad informática.


9.- ¿Qué le recomendarías a un chaval joven que quiera dedicarse a hacer research en seguridad?

Lo primero es que tenga paciencia, cuando investigas en casi cualquier ámbito el resultado no tiene por qué ser proporcional con el tiempo dedicado, puede que en una hora consigas un gran avance, y luego estés una semana por un camino que no lleva a ningún lado. Otra de las cosas que le diría es que en mi opinión una vez tengas un proyecto o un hallazgo en el que confíe, esto se ve mucho con las apps, no tengas la idea que muchas veces tenemos de publicarla o subirla y ya está, que si es buena “triunfará sola”. Por desgracia, no necesariamente es así.

Hay muchas ideas buenas que han fracasado por cuestiones estratégicas o de marketing y muchas malas que han triunfado por ese mismo motivo. Cada vez que pensamos, cómo es posible que una aplicación tan simple haya triunfado lo más seguro es que se deba a un buen trabajo de marketing o de comercialización.

Y, por último, que antes de probar las cosas en cualquier plataforma o empresa, lo hagan de una forma responsable, es decir, sin afectar a terceros o siendo conscientes de los problemas legales en los que pueden estar incurriendo. Si detectas alguna vulnerabilidad que no funciona como debería, notificarlo inmediatamente a las personas pertinentes.

10.- Y la última… ¿Has usado alguna vez la FOCA en tu vida? :)

Sí que al conocer de tu trayectoria sabía de la existencia de FOCA, y el uso que tiene, es uno de esos programas que me parecen muy interesantes, pero nunca llego a encontrar el momento para utilizarlo, o bien, porque no tengo un objetivo sobre el que realizar la investigación, o bien, cuando si puedo disponer de un objetivo por falta de tiempo.

Se me ocurre por ejemplo que hace unos años quise mirar la web de la empresa en la que estaba un amigo para ver qué podíamos encontrar y avisar al jefe, pero por tiempo no pudimos hacerlo, y a los pocos meses ese amigo dejó de trabajar para dicha empresa.

Nota de Chema Alonso: Después de la respuesta a la última pregunta, Luis Márquez Carpintero ha sido "Deprecated" }:P

No hay comentarios:

Publicar un comentario