domingo, 20 de septiembre de 2015

Joxean Koret: "Las empresas de antivirus me han puesto a parir"

Joxean Koret. Autor de "The Antivirus Hacker's Handbook".


Joxean Koret forma parte, como Pancake, Hugo Teso o Reversemode, del colectivo 48bits, un grupo de excelentes hackers amantes de la ingeniería inversa, activos internacionalmente y en pleno fulgor de la treintena. Joxean, nacido en Portugalete, llegó a la seguridad informática, como él dice, estudiando por su cuenta: "Estaba haciendo un curso de calderería y soldadura y hice que me lesionaba porque no me apetecía estar en el taller, arriesgándome a tener accidentes, de ese modo me relegaron al aula de informática a diseñar estructuras metálicas. Cuando acabé, comencé a trabajar como soldador y a pagarme un curso de programación".

"En 6 meses estaba trabajando en una consultora como programador de Visual Basic 6 (todos tenemos un pasado oscuro), con un contrato de media jornada, haciendo 12 horas al día y ganando menos del 40% de lo que ganaba como soldador. Pero estaba feliz porque tenía acceso a un ordenador. Durante 4 años salté de una "empresa de servicios informáticos" a otra, siempre sub-sub-contratado y/o con contratos ilegales. En 2004 vi un aviso de vulnerabilidades de un escocés, David Litchfield, que afectaba a Oracle Database. Vi que eran fáciles de buscar y antes de que me diera cuenta comencé a buscar yo más y a crearme mis propias herramientas para ello".



- Acaba de salir un libro del que eres co-autor, "The Antivirus Hacker's Handbook". ¿Cómo se te ocurrió la idea?

- Estuve trabajando en un antivirus hace años y lo dejé. Años después, me pidieron si podía dar una charla estilo "Fuzzing for dummies" en una conferencia muy underground (LaCon) y para probar la suite utilicé antivirus. Luego me puse a mirarlos más en profundidad y me di cuenta del peligro real que eran. Llevaré investigándolos 2 años más o menos y sólo con el primer año tenía para varias ediciones de este libro... Un día me dio por preguntar en Twitter si alguien estaría interesado en un libro así y un compañero de trabajo me respondió: "Sí, (la editorial) Wiley".

- Pierluigi Paganini, de SecurityAffairs, ha dicho que la mayoría de vulnerabilidades que mostrais en el libro "no son nada nuevo", pero que es la primera vez que se desvelan públicamente. 

- No. La primera vez que alguien lo mostró fue Sergio Álvarez (shadown) con su charla "Antivirus (In)Security" en el 2007. Habló de más de 80 vulnerabilidades, pero no se hicieron públicas, así pues nada cambió. El año siguiente Feng Xue, en BlackHat, volvió a hacer lo mismo. Tavis Ormandy, en el 2012, sacó un bonito informe de un análisis en profundidad de Sophos y, al hacerlo todo público, al menos Sophos se vio forzada a cambiar (un poco). Más tarde, en 2014, publiqué los primeros resultados de mi investigación, en la SyScan Singapur.

- ¿Y abriste la Caja de Pandora?

- No mostré nada que no se supiera. Simplemente lo hice de modo "irresponsable" según la mayoría de las casas antivirus: publiqué multitud de 0days y técnicas y me negué a colaborar "for free" con quienes no me contactaban o simplemente no me daba la gana. Este fue el punto de inflexión. Las razones son varias pero, principalmente, que me niego a colaborar con empresas multi-millonarias que son totalmente irresponsables y se dedican a vender humo con interfaces gráficas "chulis" y una etiqueta con letras fosforitas que dice "SAFE". Eso por no hablar del cáncer que suponen para la seguridad informática las campañas de marketing de los antivirus diciendo cosas como "Instala y olvídate!", máxime cuando empresas como Kaspersky han sido hackeadas por adversarios de nivel de estado/nación sin enterarse hasta mucho después (como era lógico) y sus herramientas de "protección" no valieron para nada (algo que yo entiendo como "¡Compra nuestro software! No valió de nada cuando Israel nos atacó, pero... ¡Da igual!".

- ¿Qué parte del libro le dirías a un amigo: "No te la puedes perder"?

- El capítulo 2, que es de reversing de antivirus :) Es una de las partes más tediosas, pero da sus frutos. En dicho capítulo, por ejemplo, enseño cómo se pueden crear bindings en Python para un AV (Avast en este caso) y cómo hacerlos nativos para otros (Comodo, en el caso de este libro).

- ¿Alguna casa antivirus te ha metido una cabeza de caballo en la cama?

- No, no. Pero sí que he recibido acusaciones divertidas como que estaba en la industria del malware, que trabajaba para la NSA o yo que sé. Pero nada que tenga realmente importancia, solo algunos enfados y entradas en blogs corporativos poniéndome a parir y diciendo que no tengo ni idea. O intentos infructuosos de utilizar mis investigaciones para promocionar sus productos. Mientras, sus trabajadores me escriben mensajes no públicos dándome las gracias y/o riéndose y, lo que es más llamativo, otras personas, investigadores de seguridad y siempre de modo no
público, me dicen cosas como "kudos for going public".

- Hablando de la industria, ¿cómo ves la última de FireEye, denunciando a reversers por descubrir agujeros en sus programas?

- Era de esperar dicha respuesta. Un software no auditado 100% seguro que basa toda su seguridad en campañas de marketing y en que es difícil de adquirir, por lo cual difícil de auditar, y una empresa que se enfada cuando en cuanto alguien consigue auditarlo, encuentra cosas tan triviales como un stack overflow analizando tráfico IRC cuando se envía el comando "/NICK <long-string>", y encima quiere hacer esa información pública. Que malo es Felix [Felix es el researcher].

-Eres autor, entre otras herramientas, de Diaphora, que busca diferencias entre binarios, de la suite de fuzzing Nightmare, y has encontrado un montón de vulnerabilidades, destacando entre ellas la "Oracle TNS Poison", que permite hacer ataques de hombre en el medio en bases de datos Oracle. ¿Por cuál te gustaría ser recordado?

- Preferiría ser recordado por incitar a más gente a entrar en este mundo que por cosas así.

- ¿Tienes algún ritual para concentrarte antes de zambullirte en un código?

- Ninguno en especial. Leer documentación, buscar fallas viejas, empezar a fuzzear de modo tonto y abrir el código en IDA (o Understand). Lo más parecido podría decirse que es utilizar ciertas piezas de música clásica para hacer reversing.

- ¿Y para desconectar?

- Desconectar... ¿Podrías explicarme ese extraño concepto? Ahora en serio: me cuesta mucho y no sé hacerlo bien. Una historieta: una vez, hablando con un txabal al que había conocido hacía 2 días, empezamos a hablar de posibles vulnerabilidades lógicas en MySQL después de la cena con unas cervezas mediante. Saqué el móvil y empecé a buscar lo que yo creía que podría haber. Entonces otro amigo me dijo: "Are you auditing MySQL in Taipei at night with your mobile?". Creo que puede dar una idea de lo fácil que es para mí desconectar. Es problemático que tu trabajo sea también tu hobbie.

- Por último, ¿de dónde viene tu segundo nick, matalaz?

- Matalaz (pronunciado más o menos "matalas"), era el alias de Bernard de Goyheneche, cura vasco de la provincia de Zuberoa, que organizó una revolución contra la nobleza francesa en el año 1661. La revuelta fue aplastada en 3 días. Él fue decapitado y su cabeza puesta en la plaza de Maule hasta que alguien la cogió y desapareció.


Texto: Mercè Molist

0 comentarios:

Publicar un comentario