Los informes de fallos informáticos son un yacimiento inexplorado para hackers.
Un hacker logró desentrañar el misterio de la interrupción de CrowdStrike utilizando simples informes de fallos, lo que pone de manifiesto la gran cantidad de información que contienen esos documentos sobre posibles errores y vulnerabilidades.
El reciente fallo en una actualización de software de la firma de seguridad CrowdStrike causó un verdadero caos digital a nivel mundial, comenzando con los temidos pantallazos azules en computadoras con Windows. A medida que sitios web y servicios dejaban de funcionar, la confusión reinaba y se difundía información contradictoria e incorrecta. En medio de este tumulto, el investigador en seguridad de Mac, Patrick Wardle, decidió que la mejor manera de desentrañar la situación era consultar los informes de fallos de las computadoras afectadas.
Wardle, aunque no se especializa en Windows, sintió curiosidad por lo que estaba sucediendo y notó una falta de información confiable. En su análisis, se dio cuenta de que muchos atribuían el problema a Microsoft, pero él descubrió que no había relación alguna. A través de los informes de crashes, que considera como la verdad definitiva, pudo identificar la causa subyacente mucho antes de que CrowdStrike emitiera un comunicado oficial.
En la conferencia de seguridad Black Hat en Las Vegas, Wardle defendió el uso de informes de fallos como una herramienta poco aprovechada. Estos informes ofrecen a los desarrolladores y mantenedores del software una visión clara de posibles problemas en su código. Wardle subraya que estos datos son especialmente útiles para identificar vulnerabilidades explotables, siendo valiosos tanto para defensores como para atacantes.
Durante su presentación, expuso varios ejemplos de vulnerabilidades que había descubierto en software a partir de informes de fallos. Los usuarios de Windows, macOS, y Linux pueden acceder fácilmente a sus propios informes de crashes, mientras que en Android e iOS también están disponibles, aunque su acceso es más complicado en dispositivos móviles. Aunque se necesita un conocimiento básico de código de máquina para interpretar estos informes, Wardle resalta que los beneficios justifican el esfuerzo.
En su intervención en Black Hat, mostró vulnerabilidades que había encontrado al revisar informes de fallos de sus dispositivos, incluyendo errores en la herramienta de análisis YARA y en la versión actual de macOS. Un caso destacado ocurrió en 2018, cuando descubrió que un bug en iOS provocaba que las aplicaciones se bloquearan al mostrar el emoji de la bandera de Taiwán. Este hallazgo reveló que Apple había cedido a demandas de China para censurar dicho emoji, pero su código de censura contenía un error.
Wardle enfatiza que si él ha podido detectar tantas vulnerabilidades simplemente revisando informes de fallos, los desarrolladores de software deberían hacer lo mismo. Los actores criminales sofisticados y los hackers respaldados por estados igualmente probablemente están obteniendo ideas valiosas de sus propios informes de fallos. Agencias de inteligencia, como la NSA de EE.UU., también han sido reportadas analizando estos registros. Además, los informes de fallos son útiles para detectar malware, ya que pueden indicar actividades anómalas sospechosas. Un ejemplo es el Grupo NSO, que incluía mecanismos en su malware para eliminar informes de crashes inmediatamente tras la infección de un dispositivo.
Con los informes de fallos, se puede acceder a una fuente rica de información. Como concluye Wardle, "la verdad está ahí fuera... o, mejor dicho, dentro".
- Seguridad Informática
- Vulnerabilidades
- Análisis de Software
