Cuando vender un 0-Day en el mercado negro sale más rentable

El caso del investigador palestino Ḱhalil Shreateh vuelve a sacar a la palestra un tema que aquí en España tenemos muy presente, y es que frente a la razón que como desarrollador y emprendedor entiendo como correcta de favorecer a aquellos que con sus conocimientos y su tiempo, se hayan prestado a encontrar fallos y vulnerabilidades en mis servicios, volvemos a estar ante el caso contrario: Empresas que te tachan de cracker y puede que hasta te denuncien.

mercadonegro

Volviendo al tema principal, seguramente ya habréis oído estos días sobre el hacker que, aprovechándose de un no-bug, consiguió escribir en el muro de Zuckerberg (EN) (CEO de Facebook), sin tenerlo como amigo, claro está.

Pongo las palabras anteriores en cursiva para señalar la incompetencia del equipo de diagnóstico de Facebook, que tacharon al exploit como un “no-bug“, y por tanto no era compensatorio (la empresa, como muchas otras, ofrece recompensas a quien informe de exploits en su sistema).

Lo más gracioso de todo es que después de demostrarle que ese “no-bug” quizás al final pudiera ser una gran putada, Facebook decidió (EN) cerrar su cuenta temporalmente (evitando así que cualquiera pudiera ponerse en contacto con el susodicho para llegar a algún tipo de acuerdo más provechoso), y hasta hoy que el pobre hombre no ha recibido ninguna compensación al respecto (alegan abuso de cuentas de terceros sin su consentimiento).

¿Qué podemos aprender de esto? Pues que quizás, la próxima vez que Ḱhalil Shreateh vuelva a estar delante de un 0-Day, prefiera venderlo en el mercado negro, donde seguramente obtendrá mucho más dinero, que avisar a la compañía.

Y en este caso hablamos de él porque ha sido sonado, pero como este a patadas.

Para concluir, varios puntos que me parecen interesantes al respecto:

  • Extrapolándolo al caso Español, no es la primera vez (ni será la última) que un experto en seguridad informática se ve envuelto en una denuncia por parte de una compañía por el mero hecho de informarles que son vulnerables. En estos casos, siempre es recomendable hablarlo primero con el Grupo de Delitos Telemáticos de la Guardia Civil (ES), que hacen de intermediarios para salvaguardar el anonimato del investigador (que se tenga que llegar a esto de por sí ya es bastante triste).
  • Con medidas como las implantadas por Facebook, se favorece la proliferación y explotación de vulnerabilidades: El trabajo de un investigador es un trabajo, y por tanto, se espera remuneración. Si la compañía no te lo va a dar, acabarás recurriendo a quien te lo de, que ten por seguro que lo va a usar para fines maliciosos. Y ello acabará repercutiendo en más gasto para la compañía (robo de datos asociado a denuncias colectivas, gastos de abogados, pérdida de reputación, valor de acciones o participaciones,…).
  • De verdad no logro entender cómo una empresa como Facebook, donde entiendo hay equipos expertos en publicidad y marketing, tomen la decisión de sortear esta “crisis” de la manera que lo han hecho. Una postura muy defensiva (del plan “han atacado a nuestro CEO“), que solo saca a relucir un cambio de mentalidad de startup a gran empresa, que no es bueno, y que de seguro traerá consecuencias nefastas para el futuro de la misma.

 

Edit a día 23 de Agosto del 2013: Al final el investigador va a recibir su dinero, pero no de la compañía, sino de una campaña de crowdsourcing que va por algo más de 12 millones. Para luego perder la esperanza en el ser humano…