Buscando fallas… El adolescente uruguayo que hackeó a Google

in #spanish7 years ago (edited)

ServiSaberlo contactó a Ezequiel Pereira, estudiante uruguayo de Ingeniería de Computación en la Udelar, recientemente mencionado en la prensa local como el uruguayo que hackeó a Google, tras detectar fallas en el gigante tecnológico y así ganar $36.337 (dólares) en el marco del Google Vulnerability Rewards Program...

Untitled-3.jpg

¿Qué estas estudiando y en qué área te gustaría especializarte? ¿Dónde te ves trabajando en un futuro, dónde te interesaría aportar tus conocimientos?

Estudio "Ingeniería en Computación" en la UdelaR, y espero en el futuro hacer alguna maestría o especialización en seguridad informática.

En el futuro me gustaría trabajar para alguna empresa u organismo grande, en el equipo de seguridad informática. Me gustaría irme a algún país más desarrollado que Uruguay, donde los sueldos son mucho mayores y las oportunidades de empleo en el área de seguridad informática abundan, al punto de que se pronostican millones de puestos de seguridad informática vacantes en los próximos años.

En lenguaje lo más criollo posible, como para que lo entienda mi abuela (o mi vieja), contame sobre las fallas que detectaste de Google y en qué marco fue...

Las fallas me permitían, potencialmente, acceder a información de Google que no debería ser accesible al público, y realizar acciones que podrían haber dañado el sistema. Encontré todo esto en el marco de un programa de Google donde recompensan a cualquier persona bien-intencionada que reporte fallos sin causar daños ni revelando los fallos hasta que hayan sido solucionados.

Untitled-5.jpg

¿Vos escribiste el documento este sobre los errores encontrados? (Gran inglés y nivel de redacción).

Lo escribí yo sí, pasé unas horas intentando explicar lo mejor posible mi hallazgo, muy fácilmente podría haber quedado un entrevero de palabras que usualmente se pueden usar en varios sentidos, pero yo necesitaba que se tomase en un único sentido (Por ejemplo, "API" y "service", al principio, me habían quedado muy mal puestas y se confundían).

Además de la recompensa económica por encontrar esos errores, ¿qué más te dijo Google? ¿Llegó a pedirte algo en específico?

Google va haciendo un ranking de las personas que reportan fallos (En bughunter.withgoogle.com ), y vas subiendo en el ranking dependiendo de la severidad del fallo. Además de subir en ese ranking, el dinero y las gracias, la empresa no me dió nada más, pero yo tampoco esperaba (ni espero) nada más por su parte.

Screenshot_21.png

Lo único que me pidió fue tiempo para solucionar el fallo antes de hacerlo público, por eso lo publiqué hace unos días y no a mediados de marzo.

En la prensa local ya aparecés como "el uruguayo que hackeó a Google". ¿Es color? ¿Fue, en rigor, un hackeo?

Depende de la definición de hackeo.
No causé ningún daño y no ví nada de información sensible interna a Google, simplemente encontré un fallo que tenía el potencial de lograr eso.

Si sos capaz de encontrar esta clase de fallas de una empresa de la escala de Google, ¿es lógico pensar que podrías crear sistemas o barreras efectivas a nivel de seguridad? ¿Te interesa ese campo?

Encontrar fallos es mucho más fácil que arreglarlos o crear barreras efectivas; es comparable a un jugador con cero experiencia en informática, que encuentra un error en un videojuego, él no tendría idea de cómo arreglarlo.

Tengo ideas básicas de cómo se arreglan los errores y cómo se previenen las intrusiones, pero más allá de eso, todavía me falta mucho por aprender para llegar a poder desarrollar sistemas de seguridad efectivos.
Y sí, me interesa muchísimo ese campo, en el futuro espero poder trabajar en eso.

¿Tenés experiencia anterior, pese a tu edad, en hackeos u otro tipo de detecciones de errores en la red? ¿O el de Google fue el primero y último?

Tengo experiencia en otros "hackeos", cuando tenía 15 años me metí en problemas (no legales) debido a eso y terminé suspendido en mi UTU por un mes y limpiando salones y pisos hasta el fin de las clases en 2015. Desde ese entonces, me mantuve fuera de problemas.

laptop-iphone-computer-macbook-mac-writing-1092360-pxhere.com.jpg

La gente sigue cayendo en tácticas fraudulentas como el "phishing", tal como acaba de suceder esta semana de mayo en Uruguay, con clientes del BROU. ¿Es posible evitar estos problemas? Suena extraño que un banco así, con el equipo informático que debe (o debería) tener, no pueda sortear estos robos virtuales, ¿o no es posible evitarlo?

El phishing es muy difícil de evitar, debido a que requiere educar a la gente sobre el tema, por eso es que la gente mayor es la más vulnerable a esos ataques. La otras soluciones, además de la educación, requieren más pasos para iniciar sesión o realizar una transacción, tal como mandar un SMS con un código de confirmación o usar aparatos específicos para demostrar la identidad de uno (Como la llave electrónica).

El BROU en sí, al menos hasta el año pasado, no tiene un equipo de seguridad informática, cuando hablé con el gerente de informática del banco (debido a un proyecto en la UTU), aproveché para preguntarle sobre el tema y nos dijo que en realidad la seguridad informática sería algo dentro del equipo informático pero que no tiene un equipo en sí.

Honestamente no me da la impresión de que el BROU se preocupe por la seguridad de sus clientes más que por la seguridad de su negocio, ya que no ha implementado cosas básicas como tarjetas con chips en lugar de banda magnética, pero sí cajeros con sistema de entintado.

Dada la naturaleza descentralizada y distribuida de la tecnología blockchain, una de las cualidades que suelen destacar sus impulsores es, precisamente, su seguridad, pues sería "prácticamente" imposible de hackear (habría que meterse en miles de computadoras al mismo tiempo, etc.). ¿Existe tal cosa: un sistema no hackeable? ¿Qué sabés al respecto de blockchain como tecnología para el almacenamiento o transferencia de datos (más allá de las criptomonedas)? ¿Te atrae?

No sé casi nada sobre blockchain, solo sé que varias computadoras llevan registro de todo lo que pasa y por medio del azar prácticamente se elige quién tiene la razón (Aunque quizás estoy terriblemente errado).

Igualmente no me atrae el blockchain, prefiero especializarme en seguridad informática en lugar de distintos tipos de redes, pero probablemente me sea útil conocer sobre el tema en el futuro.

Y no creo que haya un sistema inhackeable, a menos que dicho sistema tenga cero acceso (incluso físico) por parte de seres humanos, pero en ese caso sería casi inútil guardar información. (Un caso "útil" que se me ocurre de un sistema inhackeable serían las naves Voyager con sus discos con la información sobre nosotros, ya que con lo lejos que están no tendremos acceso a ellos).

¿Cuál es el lenguaje, tecnología, plataforma qué más te interesa de la actualidad?

Pues me gusta Python como lenguaje y tengo preferencia por sistemas Linux, ya que es lo que uso desde mi primera computadora. Me agarro tremendo lío al usar Windows, incluso si es alguna tarea simple como usar el navegador de archivos.

Personas que consideres referentes, sean del área de la tecnología, la ingeniería, el arte, quien se te ocurra.

Flavio Danesse, es un genio para hacer que jóvenes se interesen por la tecnología. Es un profesor de San José que me metió en la programación a los 11/12 años, y gracias a su tremendo apoyo inicial varios jóvenes que han aprendido gracias a él ahora se encuentran trabajando en/para el exterior, y han ganado competencias internacionales organizadas por empresas tal como Google.

*Documento completo escrito (en inglés) por Ezequiel, explicando las fallas encontradas en Google


Sort:  

Excelente artículo, excelentes retos a la capacidad de la juventud.
Saludos desde Venezuela