Fabián Cucchietti es una hacker especialista en seguridad que se dedica a encontrar vulnerabilidades en grandes compañías como Google o Micro$oft y las denuncia a cambio de una recompensa. El mendocino, de 22 años, nacido en Luján y domiciliado en Maipú, se dedica intensamente a atacar distintas empresas con el objetivo de obtener recompensas que van desde los u$s300 a los u$s100.000.
Una larga entrevista que publicaremos en tres partes de acuerdo a los tópicos que se fueron dando durante la charla y que fue realizada en Septiembre de 2013, por lo que responde a ese contexto histórico.
En un principio Cucchietti tomó notoriedad producto de una serie de ataques que realizó en el pasado. Hoy los caracteriza como errores «necesitaba trabajo», nos dice. Actualmente este mendocino es una analista e investigadora especializada en seguridad que cuenta con reconocimiento internacional y el respaldo de gigantes como Micro$oft, Google, Paypal y Mozilla, entre otras empresas.
Su empresa, Blind Security, se especializa en funciones de seguridad y evaluación de aplicaciones como pruebas de penetración, revisión de código y pruebas de penetración móvil. Asiste a una amplia cartera de clientes públicos y privados. Otro cracker que se transforma en especialista.
En esta primera entrega hablamos de sus inicios, el cracking y su vida cotidiana.
¿Cómo te presentás a vos mismo? Hacker? Un tipo que busca errores?
Yo soy un amante de la seguridad informática. Un tipo al que le gusta cazar recompensas, que es como me conociste, buscar vulnerabilidades, explorar. Hacker es un título muy grande, yo creo que para llegar a Hacker hay que ser muy muy muy bueno. Yo soy un amante de la seguridad informática que ayuda y obviamente busca ganar dinero.
¿Cómo y a qué edad arrancaste con este laburo? ¿Cómo fueron tus inicios?
Empecé a los 12 años a meterme en este tema, desde el under. Después, como todo el mundo empieza, lo hice metiendo mano, probando, cometiendo errores. Llegó un punto en que decidí cambiarme el sombrero. En lugar de ponerme el negro, me puse el blanco. Si bien fui conocido, tuve algunos problemas con la justicia. Pero fue un error. Pasó el tiempo y me dí cuenta de que era mejor no hacer daño y eso me ha dado el sustento que hoy tengo, con Google con Microsoft. Con varias compañías del exterior como Netwatch o Seven Safe, en Miami.
¿Y cómo te contactan?
Por la publicidad que me dan las empresas gigantes. Si entrás en el Hall of Fame de Google me encontrás, aparece mi correo y a través de eso se comunicaron conmigo.
Cómo es el proceso de encontrar una vulnerabilidad? ¿A qué sector te dedicas?
Yo lo primero que hago es probar con dos máquinas, a ver qué pasa si yo ataco al cliente. El cliente es un usuario final. En base a eso desarrollo un xploit, lo pruebo online a ver si funciona, porque no es lo mismo probarlo localmente que en la nube. Una vez que tengo un informe lo reporto. No lo exploto, no me aprovecho de esa vulnerabilidad sino que voy a la recompensa. Hay recompensas de u$s5.000, u$s 7.000, u$s 10.000. Depende del objetivo que sea.
Cuando denunciás una vulnerabilidad, ¿lo hacés sólo por cuestiones económicas, o también hay un tema ético detrás?
De los dos.
¿Cómo te suena el calificativo de cazarrecompensas?
Me suena como algo muy lindo. Sirve para muchos investigadores de seguridad informática. Yo lo tomo como que te pagan por estudiar. Porque tenés una barrera y ahí se prueban tus habilidades. Hasta dónde podés llegar. Vos rompés esa barrera, y atrás te está esperando una bolsa de dinero. Rompés la pared y atrás está ese diamante en bruto que querés. Por eso lo tomo como un estudio, porque me pagan por probar mis habilidades.
Entonces tu motivación no es económica sino educativa
Sí, también es eso.
Alguna vez, metiéndome en el under del hacking, conocí a un cracker al que una empresa de telefonía le pagaba para tirar abajo los servicios de otra empresa competidora. Me pareció un laburo muy simpático, casi una venganza por los atropellos con los derechos de los usuarios, aunque, claro, lo hacía para beneficiar a una empresa que también violaba los derechos de los usuarios. ¿Qué cosas te han sorprendido en este laburo? ¿Te has codeado con ese costado del ambiente?
Sí, cuando era más chico lo conocí, conocí a muchas personas que estaban en ese mundo. Yo comencé en el under, en el lado malo. Porque es la única forma de conocer y saber qué estás haciendo para luego pasar al lado bueno.
¿Cuántos hackers han sido agarrados y terminan como profesionales en seguridad informática?
La mayoría…
Mirá Kevin Mitnick, empezó mal, empezó haciendo daño, robando información, y hoy tiene una empresa consultora que es sumamente importante. El tipo está en la Black Hat, en la Defcon, en todos lados. Y hacen años lo tenían como un malvado, pero hoy como un dios.
¿No te parece que hay una contradicción en cambiarse de bando? Te digo porque por ahí, yo no llamaría under al sector del sombrero negro, y hasta me plantearía que su sombrero no es negro sino gris, porque creo que cualquier ataque también reporta vulnerabilidades. Hasta los mp3 reportan vulnerabilidades de las industrias discográficas, explotan una vulnerabilidad del modelo de negocios de la música. Me parece que un cracker también beneficia encontrando vulnerabilidades, sólo que la recompensa se la paga él mismo.
Sí, mirá, a ver. Si yo tengo un sombrero gris, como decís vos, lo que hago es antes de reportar, aprovechar esa vulnerabilidad o dar una prueba de concepto muy básica, no detallada, que me dé tiempo para explotar la vulnerabilidad en mi favor, hasta que sea corregido. Yo ahí estoy trabajando por mi cuenta. Lo que hago yo es denunciar esas vulnerabilidades. Yo encontré vulnerabilidades en Google, podía robar sesiones o cuentas de Gmail con un click, nunca me aproveché de eso porque estaba enfocado en la recompensa. Tienen recompensas importantes. Eso no me hace pensar en mis enemigos, en lugar de pensar en ellos, preferí buscar la recompensa que me va a dar tranquilidad e inclusive fama.
¿Tenés alguna otra motivación que el estudio y la cuestión económica?
Es una superación personal, levantarme un día y ser mejor de lo que era ayer. Mi idea es por un lado llegar a la Black Hat, quiero llegar ahí, tengo que presentar una herramienta para llegar ahí, espero que me la tomen como algo importante. Yo creo que para todo investigador de seguridad informática, lo más importante es ese evento tan importante en el que están todos reunidos. Es como mi casa, son todos tipos que hacen lo mismo que yo, y se divierten del a misma manera.
¿Cómo es tu día laboral?
Mi día comienza en la noche y termina al mediodía. En el día trato de hacer otra actividad, como ir al gimnasio, estar con la familia. Una vida normal, que en la noche se convierte en otro estilo de vida. Trabajo a la noche porque es mucho más tranquilo, estás más relajado. Durante el día está el televisor, la música, el DVD, está todo prendido. Trabajo en silencio, a veces con un poco de música para no escuchar lo que está pasando afuera.
¿Alguna vez dejaste de ver la realidad y seguiste viendo código?
Lo que me pasa es que me pongo a pensar. Cuando duermo, duermo dos o tres horas, pero el resto de la noche estoy despierto pensando cómo puedo hacer para quebrantar un sistema. Me ha pasado con Mozilla que no todos los días se encuentra una vulnerabilidad. Me la he pasado pensando cómo alterar la memoria de Mozilla para hacerlo caer, o encontrar una vulnerabilidad muy crítica, en los servidores de Mozilla. Te lleva mucho tiempo, te hace pensar mucho en la noche.
¿Te dedicás sólo a servidores? ¿En qué más has trabajado?
Trabajo en varios sistemas. Cuando trabajaba para Netwatch teníamos varios objetivos que no eran servidores. Había uno de IBM que era IBM 400, creo, y teníamos que explotarlo, porque en EEUU se usa mucho IBM 400. Si nosotros encontrábamos una vulnerabilidad en ese sistema, teníamos muchos clientes. Fijate el ejemplo de Mac, que sufre una vulnerabilidad muy crítica.
Si retrocedés el reloj al primero de enero de 1970 tenés acceso como usuario root, es una vulnerabilidad demasiado crítica para mi gusto. Metasploit creó un xploit que permite hacer esto. Esto es así porque es el año de nacimiento de Mac, y al ponerlo en esa fecha, el sistema cree que está en desarrollo, por eso te da acceso root. Porque no había credenciales, no había nada. Metasploit desarrolló ese xploit sin necesidad de hacer nada más. Alguien abre el archivo, se retrocede el reloj y listo. Hace cinco meses que está publicada esa vulnerabilidad y todavía no ha sido corregida.
¿Cómo elegís tus objetivos?
Tengo un portfolio, un listado de objetivos dividido en categorías y me ordeno por fechas. Por ejemplo, en Firefox me digo que en uno o dos meses tengo que encontrar una vulnerabilidad, y así voy trabajando. Me planteo el trabajo por día, uno me digo, por ejemplo, hoy me toca trabajar sobre Mozilla.org, mañana sobre bugzilla.mozilla.org, pasado tanto. Todos los días tengo un objetivo distinto.
En Google trabajo sobre unos 30 subdominios. Esto me lleva mucho más tiempo, en lugar de un día trabajo hasta tres sobre un sólo subdominio, tratando de encontrar aunque sea una cosa simple, porque es muy alta la recompensa. Con un error me salvo un mes. Son u$s5000, son $25.000 en un día para vivir un mes, está bien, ¿no? (risas). Pero también es complicado. Por ejemplo en PayPal he reportado alrededor de 60 vulnerabilidades, de esas 60 me pagaron solamente 5, que eran consideradas críticas. Estoy en su top 10 de su Security Researchers.