Un hacker ético descubrió una asombrosa y simple táctica con la que pudo vulnerar las brechas de Apple, Microsoft, PayPal, Tesla y más de 30 compañías en los últimos meses.
Alex Birsan publicó su investigación en su blog el pasado martes: ya ha recibido más de 130,000 dólares en recompensas de las compañías por las vulnerabilidades que ha detectado.
Las firmas señaladas pudieron cerrar todas esas vulnerabilidades para prevenir ataques similares antes de que Birsan los expusiera. Sus descubrimientos pueden tener implicaciones a largo plazo sobre cómo las grandes tecnológicas utilizan repositorios de código abierto y comparten las técnicas para minimizar riesgos, advirtieron los expertos.
Birsan pudo diseñar su ataque informático tras leer detenidamente el código que muchas compañías comparten en repositorios de código abierto en plataformas como GitHub, detalló en su blog.
Mientras analizaba el código de PayPal con otro investigador, Birsan se dio cuenta de que este incluía dependencias públicas —o líneas de código que activarían automáticamente el código público encontrado en el repositorio— así como dependencias privadas que parecían hacer referencias al código que se almacenaba de forma interna.
Esto hizo que Birsan se hiciese una gran pregunta: ¿Qué pasaría si se suben paquetes de código malicioso a los repositorios públicos con el mismo nombre que en las dependencias públicas se le da al código oculto?
Efectivamente, el sistema priorizó las versiones públicas y ejecutó de forma autónoma el código “malicioso” de Birsan simplemente porque tenía el mismo nombre.
Su código no hizo daño alguno a los sistemas, simplemente le valió para que el hacker se diese cuenta de que sus “víctimas” habían instalado de forma efectiva sus paquetes. Con esto también pudo extraer información básica sobre los sistemas que estaban ejecutando dicho código.
La estrategia de Birsan tiene similitud con el typosquatting, una táctica de hacking con la que los ciberdelincuentes pueden instalar paquetes maliciosos en un código y esperar a que un desarrollador escriba mal un solo carácter de una línea de código para que se ejecute el hackeo.
El problema es que lo que logró Birsan es mucho más peligroso: nadie tenía que incurrir en error alguno para ejecutar el código malicioso. Funcionaba solo por la naturaleza con la que trabaja el sistema con estos repositorios públicos.
“Reemplazar paquetes internos mediante sus nombres fue un método casi infalible para acceder a las redes de las mayores plataformas tecnológicas del mundo; gracias a esto se puede ejecutar código en remoto y unos ciberdelincuentes podrían instalar puertas traseras durante su trabajo”, advertió Birsan en su blog.
El hacker consiguió instalar su propio malware en los sistemas internos de firmas como Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp o Uber.
También detalló que todas las compañías pudieron parchear esta vulnerabilidad en sus propios sistemas antes de que divulgara sus descubrimientos.
Así, consiguió más de 130,000 dólares en recompensas de bug bounty—cazadores de bug—, según los registros de HackerOne, una de las principales plataformas para reclamar estos premios.
De esos 130,000 dólares, 30,000 son de PayPal, y 40,000 de Microsoft. Birsan también afirmó que Apple se puso en contacto con él para premiarlo con otros 30,000 dólares. El fabricante del iPhone confirmó la información a Business Insider.
Los expertos también detallaron que hay pasos muy claros a seguir para que las compañías puedan evitar ataques similares. En un white paper que recoge los hallazgos de Birsan, Microsoft advirtió que las marcas deberían configurar sus códigos para que prioricen los paquetes privados y no los públicos que tengan el mismo nombre; además de centrar el foco sobre los paquetes públicos sobre los que sí se puede confiar.
Las firmas también pueden intentar mitigar los ataques de typosquatting creando paquetes con nombre similares a los auténticos, pero que tengan pequeños errores de redacción, de acuerdo con Ax Sharma, un investigador de ciberseguridad que trabaja para la compañía de software Sonatype.
En un correo electrónico remitido a Business Insider, el director tecnológico de Sonatype, Brian Fox, reconoció que este incidente puede hacer reaccionar a muchas compañías que usan repositorios de código.
“Este tipo de descubrimientos ayudan a concienciar a más gente sobre vulnerabilidades estructurales. Un cambio real puede llevar tiempo, pero cuando estas cosas afectan a grandes compañías, se consigue mucha más atención sobre estos agujeros”, opinó Fox.
Birsan predijo que en un futuro muchos ataques podrían emplear técnicas similares; aumentarán a medida que las firmas confien cada vez más en estos repositorios de código.
“Tengo la sensación de que todavía hay mucho que descubrir”, consideró en su artículo.
“Descubrir nuevas formas más inteligentes de filtrar los paquetes privados de un código expondrá a sistemas cada vez más vulnerables; y buscar lenguajes de programación alternativos y repositorios sobre los que poner el objetivo también desvelará nuevas superficies de ataque”, advertió.
AHORA LEE: Reddit recaudó 250 millones de dólares y duplicó su valoración a 6,000 mdd tras la saga comercial de GameStop
TAMBIÉN LEE: Los inversionistas de WallStreetBets dejan GameStop y ahora se lanzan por acciones de marihuana legal