Adam Gowdiak, experto en temas de seguridad, ha encontrado 14 agujeros de seguridad en la implementación de Java ME de los Nokia serie 40. Algunos de estos agujeros pueden permitir al atacante instalar aplicaciones Java ME en el terminal atacado sin necesidad de autorización del usuario, y después realizar llamadas, enviar SMS o grabar vidrio o audio, entre otros.
Adam ha hecho llegar a Nokia información bastante limitada acerca de estos fallos. Pero pide 20.000 € a cambio de toda la información, dinero que dice es necesario para cubrir los gastos de la investigación que realizó para encontrar dichos fallos. Nokia ha reconocido que es cierto que existen estas vulnerabilidades y que permiten hacer lo que Adam afirma.
Al margen del grave problema de seguridad (los Nokia serie 40 son uno de los terminales móviles más extendidos) esta noticia pone de manifiesto una situación bastante polémica. Hay múltiples investigadores que se dedican a encontrar fallos de seguridad en software y que, en muchas ocasiones, no son debidamente recompensados por las compañías dueñas de los productos en los que se encontraron los fallos. A veces esta situación lleva a los investigadores a "convertirse al lado oscuro" y a vender los agujeros de seguridad a delincuentes que los quieren explotar con fines económicos y que, a diferencia de las compañías, si que están dispuestos a pagar por ellos.
Esta situación ha llevado incluso a crear un "Ebay" de agujeros de seguridad. En él, cualquiera (compañía, o delincuente) puede registrarse y comprar o vender vulnerabilidades. La compañía que está detrás de este "Ebay" afirma que lo que pretende es que se trate de modo justo a los investigadores que han dedicado mucho tiempo y esfuerzo a encontrar agujeros de seguridad y que se les compensa adecuadamente. Si bien el fin es encomendarle, también es cierto que este portal es una estupenda herramienta para los delincuentes.
¿Qué opináis acerca de esta situación?
Etiquetas: j2me, Seguridad, Nokia, vulnerabilidad
Como todas las noticias de seguridad, esta no es muy clara:
En el primer artículo se afirma que ha descubierto vulnerabilidades en Java ME y que ha avisado también a Sun. Pero por lo que se escribe en los dos artículos, ha descubierto una manera de:
"Gowdiak posted some details earlier this month, with claims that by exploiting the flaws he could remotely install an application onto a Series 40 handset, and then provide that application with enough security permissions to execute any command he wished."
Con lo cual, entiendo que lo que ha descubierto es una vulnerabilidad en el sistema operativo de las series 40 que permite instalar una aplicación Java, de forma que el SecurityManager de Java ME no sirva para nada. Lo cual yo entiendo que es una vulnerabilidad de Nokia, y no de JavaME; ya que el proceso de instalación de una aplicación JavaME es de cada fabricante (por ejemplo, esos teléfonos que no permiten instalar apps via bluetooth).
Pero el autor dice que esa vulnerabilidad también puede estar en otros fabricantes, por lo que ya no entiendo nada. No es algo nuevo (el ataque blueline engañaba a los usuarios de los motorola para dar permisos a una conexión bluetooth entrante ) engañar al usuario para que de ciertos permisos... pero tal vez los tiros van por otro lado.
Respecto a la ética de pedir dinero... pues no sé. Adam Gowdiak tiene una empresa que se dedica a buscar vulnerabilidades, osea que pedir dinero por sus descubrimientos es el objetivo de esa empresa. Y vulnerabilidades siempre habrá.
Lo que no tengo claro es que una empresa que se dedicase a estudiar como reventar cajas fuertes, y ofreciese esos datos al mejor postor, sería legal. O una que, ya puestos, planease robos o asaltos.
Salu2
A mí me parece bien que saquen dinero de ese trabajo. Es más, creo que tendría que estar regulado. Quien tendría la primera opción de comprarlo es la empresa responsable, en este caso Nokia. Que no quiere hacerlo, lo cual en cierto modo es un desprecio a sus usuarios por no velar adecuadamente por su seguridad, pues entonces que se pueda vender a quien quiera comprarlo siempre y cuando no sea un delincuente reconocido, obviamente. Y lo que haga el que compra la información es responsabilidad del comprador.
Si quien la compra no es el dueño del aparato para arreglar el problema... ¿que otras intenciones puede tener otra gente para comprarlo que no sean las que todos pensamos?
Eso de Y lo que haga el que compra la información es responsabilidad del comprador. me parece bastante ingenuo en este caso, donde no hay muchas opciones sobre lo que puede hacer.
como se graba un vidrio??
Ingenuo no, seguramente hay otras opciones pero obviamente las que todos pensamos están a la orden del día. Ahora bien, lo que no es de recibo es que la empresa se desentienda de algo así, por lo que me parece justo joder a la empresa. O bien legalmente se establece una obligación de que atienda determinados informes de seguridad so pena de ser severamente sancionada o bien se la ataca indirectamente de este modo. Claro que así puede perjudicar a los usuarios, es verdad, pero de manera indirecta se perjudica la imagen de la empresa porque desaparece la confianza de los usuarios en ella. Si siempre ha habido piratas informáticos, no vamos a impedir que sigan existiendo por prohíbir esas subastas: simplemente se llevarían a cabo bajo bambalinas.
Al anónimo: ¿mande?
Saludos.
Hola, no soy el anonimo anterior, pero creo que la pregunta es puesta por que abraham escribió mal video y creo que puso vidrio.
Una pregunta jomaveger, eres de ecuador ??
Al último anónimo: ah vale, leí lo de vidrio pero inmediatamente puse vídeo en mi cabeza así que no me acordaba de eso. No, no soy de ecuador, soy español ¿lo dices por el "mande"? Si es por eso es una expresión jocosa usada para preguntar, como "¿lo cualo?"
Saludos.
Si... vigilo un banco durante semanas, apunto donde tienen las cámaras de seguridad, los turnos de los guardias, cuando enferma uno, si uno de los cajeros no cierra bien la puerta, si las alarmas se apagan a ciertas horas... y creo un plan perfecto para atracar ese banco... ¿debe comprarmelo el banco antes de venderselo a alguien?
Lo siento pero creo que se está desvirtuando el concepto de hacker, cuando hablamos de crackers a sueldo: una especie de chantaje virtual a determinadas empresas.
Salu2
Por cierto la verdad es que si las empresas apostaran a invertir mejor en sus desarrollos informaticos que implementan en esos equipos, estamos siempre en la misma ya que siempre se encontrarán agujeros ó vulnerabilidades, como quieran llamarlos algunos. Miren el gigante de Microsoft de cuantas veces se lo ha tomado de tonto cuando crackean las autenticaciones de seguridad de todas las versiones que ha producido. Por ejemplo, no hace mucho, que el iPod contenía alrededor de más de 30 anomalias de funcionamiento y el afortunado descubridor pidió a Apple que le pague por su inversión en este desarrollo y si no le satisfacía, hacía público todo lo encontrado.
Veo que es un modo de extorción todo esto que se esta haciendo de dedicarse a encontrar huecos de seguridad en equipos móbiles, iphones, reproductores inteligentes ó softwares y luego venderlo; lo que también hace a la competencia de acceder a esta info y usarla en contra de los mismos perjudicados.
Debería existir un punto ético entre todo esto, donde las empresas tenga un punto en decir: "bueno, al que encuentre algo interesante que valga la pena cambiar, se le dará tanta $ ó beneficios, en parte de recompensa". Pero si todo se lo hace por el lado izquierdo ó de mala gana esto generará cada vez más complejidades y abusos de este tipo de negocio "raro".
Saludos de Argentina, muchas gracias por su tiempo.
Ingenuo no, seguramente hay otras opciones pero obviamente las que todos pensamos están a la orden del día
"Amos" a ver, si las dos opciones son: o te lo compra la empresa o vamos a joder a la empresa por no hacer caso, entonces ciertamente retiro lo de ingenuo. Es hipocresía pura.
No entro en si tienes o no razón y que las empresas deberían ponerse las pilas, pero las cosas claras y el chocolate espeso. Si uno lo va a hacer para joder a la empresa, pues lo reconoce y punto. Encima ir de bueno me parece demasiado.
Escribe tu comentario