Hace unas dos semanas, nos sorprendimos cuando se anunció que Chrome
había sido hackeado, en el marco de la conferencia Pwn2Own. El grupo que
había logrado la hazaña era Vupen, una compañía francesa que se dedica a vender exploits a gobiernos y agencias de inteligencia alrededor del mundo por abultadas sumas de dinero.
Pese a lo que parecía en un principio, Vupen nunca tuvo ninguna intención de entregarle a Google la información que habían descubierto sobre el navegador - exploits de día cero que permitían tomar control de un PC sin que el usuario se enterara siquiera.
Aunque Google le pagó USD$60.000 a los dos hackers
que presentaron los resultados, bajo la condición de que le informarán a
la empresa cada detalle del ataque y ayudarán a reparar las
vulnerabilidades que usaron, el CEO de Vupen, Chaouki Bekrar, aseguró
que la compañía no tiene intenciones de decirle a Google las técnicas
que usaron – menos por USD$60.000 a cambio.
“No compartiríamos esto con Google ni por USD$ 1 millón. No queremos
darles ningún conocimiento que les ayude a reparar este exploit u otros
exploits similares. Queremos dejar esto para nuestros clientes”, dijo Bekrar a Forbes.
Lo cierto es que esos clientes no intentarán reparar Chrome – son
agencias de gobiernos alrededor del mundo que buscan espiar o invadir
computadores y equipos de personas que están siendo investigadas por
crímenes, “objetivos de inteligencia”, etc.
Aunque no lo parezca, este tipo de comercio es legal. Según Bekrar,
sólo le venden las vulnerabilidades a países de la OTAN y eligen con
cuidado para que las vulnerabilidades no caigan en “malas manos”, pero
no pueden asegurar que ello no ocurra. “Si le vendes un arma a alguien,
no hay manera de asegurar que ellos no se la venderán a otra agencia”,
dice Bekrar.
Algunos han criticado que lo que hace Vupen es precisamente eso:
vender armas para la ciberguerra. No les interesa qué se hace con los
exploits, y si personas inocentes se verán afectadas por ello
(espionaje, violaciones a la privacidad, etc).
Volviendo a la vulnerabilidad en Chrome, en Google no están muy contentos y algunos han llamado a Bekrar un “oportunista falto de ética”. Las declaraciones de Bekrar hacen dudar también de las informaciones emitidas por Google respecto a un parche para Chrome.
El hacker no parece afectado por quienes lo tachan de oportunista. “No
trabajamos tan duro para ayudar a compañías multimillonarias a hacer que
su código sea más seguro”, dice.
Fuente: http://www.fayerwayer.com/
Ya saben, si encuentran algún Bug, por nada del mundo acepten 60 mil dolares de Google, mejor se lo venden a alguna
agencia de gobierno... ¿ Qué es lo éticamente correcto ?
[+] Salu2
Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.
0 Notaciones:
Publicar un comentario