En internet podemos encontrar casi cualquier cosa: lo único que necesitamos es tener un buscador y tendremos en unos segundos lo que buscamos, documentos, videos o artículos específicos. Pero, ¿y si eres un hacker y lo que te interesa de los sitios web no son los textos ni imágenes que alberga, sino las vulnerabilidades que ofrece a potenciales atacantes?
La buena y mala noticia es que esta clase de usuarios también contarán, a partir de ya, con un buscador especializado destinado a tal fin. Su nombre es PunkSpider, y será lanzado en unos días, con ocasión de la popular conferencia hacker Defcon.
Más bien, cabe decir que será ‘resucitado’, pues este buscador ya estuvo en activo entre 2013 y 2015 (y llegó a recibir fondos de DARPA, la Agencia de Proyectos de Investigación Avanzados de Defensa).
El nuevo Google de los ciberataques
Como hace seis años, PunkSpider constará de un clúster con cientos de máquinas capaces de escanear cientos de millones de sitios diariamente, para luego analizar los sitios web e identificar las vulnerabilidades ‘hackeables‘ de los mismos, y así permitir buscarlas tan cómodamente como quien busca en Google.
PunkSpider permitirá buscar con base en tres criterios: keywords mencionadas en la URL, tipo de vulnerabilidad y gravedad de la misma. Y más fácil aún: si instalamos la extensión oficial para Chrome, podremos ir consultando automáticamente las vulnerabilidades de los sitios según los vayamos visitando.
Tanto el buscador como la extensión clasificarán los sitios web mediante un sistema de puntuación que, en lugar de las típicas estrellas, mostrarán contenedores de basura ardiendo: mayor puntuación equivaldrá a una mayor vulnerabilidad del sitio.
Pero, ¿cómo le hace PunkSpider para identificar esas vulnerabilidades? Fácil: recurriendo al ‘fuzzing‘. Esto es, a procesos —generalmente automatizados— consistentes en ingresar datos aleatorios en un programa y analizar los resultados para encontrar errores potencialmente explotables.
Entre estos, el buscador intentará localizar vulnerabilidades de categorías como la inyección de código SQL, el cross-site scripting (o XSS), los ataques de directorio transversal, etc. Nada excesivamente intrincado, y por ello mucho más fácil de encontrar en la mayoría de servidores web.
¿Una peligrosa herramienta para hackers?
«¿No sería genial poder escanear toda la WWW en busca de vulnerabilidades? Y para hacerlo aún más divertido, ¿no sería genial liberar todas esas vulnerabilidades de forma gratuita?».
Quien así habla es Alejandro Cáceres, co-creador (junto a Jason Hopper, también empleado de la startup de ciberseguridad QOMPLX) de PunkSpider. Ambos reconocen que, al dejar acceder a cualquiera a esta herramienta, están exponiendo a ciberataques potenciales a todos los sitios web indexados.
Sin embargo, ellos afirman confiar en que la visibilidad obligue a los administradores de dichos sitios a reconocer que sus sitios web contienen errores de configuración evidentes y, en algunos casos, peligrosos… y en que, con suerte, eso les motive a darles solución.
«Sabes que tus clientes pueden verlo, y que tus inversores también pueden verlo, así que vas a arreglar rápidamente el problema».
Sin embargo, hasta organizaciones frecuentemente pro-hackers como la Electronic Frontier Foudation (EFF) han reaccionado negativamente al relanzamiento de PunkSpider. Según declaraciones de la analista de EFF Karen Gullo a WIRED,
«[…] Hacer públicas estas vulnerabilidades podría empujar a los administradores a solucionarlos, sí. Pero no lo recomendamos: los actores maliciosos pueden explotar las vulnerabilidades más rápido de lo que los administradores pueden parchearlas, lo que llevará a más infracciones».
A regañadientes, Cáceres y Hopper han ofrecido la opción de usar el user-agent de su bot de búsqueda para que los administradores de las webs puedan evitar ser escaneados, así como una función de exclusión voluntaria en el buscador en el caso de que ya hayan sido indexados.
Por otro lado, esas mismas objeciones fueron las que provocaron, hace seis años, la suspensión del proyecto: el propio ‘mundillo’ de la ciberseguridad acusó a Cáceres y Hopper de ayudar a los hackers ‘black hat’ con su creación, y Amazon llegó a despojarles de sus cuentas de AWS.
Así, para comienzos de 2015 (el año de su primer cierre), el motor de búsqueda ya sólo escaneaba la Red en busca de vulnerabilidades una vez al año. Sin embargo, la reciente compra de la startup que ambos compartían (Hyperion Gray) por QOMPLX, se convirtió en una oportunidad para actualizar y relanzar el buscador.