Buscar

2011/06/20

La vida y recompensas de un cazador de errores informáticos

A veces, cuando los programadores informáticos escriben su código, cometen errores.
Las causas son las mismas que las de las erratas en el periodismo: cansancio, inexperiencia y, en muy raras ocasiones, malicia.

En los viejos tiempos de la programación, la revisión del código por otros miembros del departamento era una forma común de encontrar estos defectos antes de que llegaran a los sistemas de producción, algo muy similar a lo que ocurre cuando un editor de estilo de un diario corrige el texto de un corresponsal antes de enviarlo a la imprenta.
Pero en estos días, con presupuestos más ajustados y una intensa presión para que el producto esté listo para su fecha de lanzamiento, el código no se comprueba tan a fondo y aumenta la frecuencia de errores.
Antes de la llegada de internet no era un problema demasiado grave porque se podía frenar. Si el código tenía errores, tal vez el sistema de procesamiento de comandos de una computadora central podía caerse o el mostrador de reservas de una aerolínea podía quedarse sin funcionar toda una tarde.
Hoy en día, un error en un producto de software puede significar violaciones masivas de seguridad para los clientes y un desastre financiero y de reputación para un negocio.

Microsoft

Es algo que Bill Gates llegó a entender con algo de retraso. En una misiva, hoy famosa, que envió por email a todos los empleados a tiempo completo de Microsoft en 2002 hacía hincapié en un cambio fundamental en las prioridades.

"Ahora, cuando afrontemos una elección entre añadir una nueva característica (a cualquiera de los productos) o solucionar un problema de seguridad, escogeremos la seguridad", escribió.
Si uno les da a los fabricantes de software el beneficio de la duda, el énfasis en la seguridad en los últimos años es una respuesta diligente a la explosión del fraude en línea.
Una visión más crítica es que parece que los malos de la película siempre llevan la delantera y lo que hacen los buenos es tratar de ponerse al día.

Dinero en efectivo

Ahí es donde entran los cazadores de recompensas.
Mozilla, fabricante del navegador Firefox, fue el primero en iniciar un programa de estímulos por descubrir errores, en 2004.
Su premio en la actualidad es de US$3.000 y ha pagado unos US$40.000 al año desde entonces.
Su principal ganador es un estudiante de Alemania, que ha hecho unos US$30.000 gracias a una serie de descubrimientos.
Este año, el programador ruso Serguéi Glazunov se convirtió en la primera persona en reclamar la más generosa recompensa de Google, de US$3133,70, por encontrar un punto débil en su navegador Chrome.

Gravedad

Brian Rukowski, gerente de productos de Chrome, dijo que la compañía ha pagado hasta el momento más de US$50.000 en recompensas por errores. Por lo general, el monto depende de la gravedad de los errores encontrados.

La cantidad que ofrece Google busca atraer a un tipo específico de personas. Rukowski explicó que, en un alfabeto alternativo al inglés usado por los hackers, el número 3133,70 representa la palabra "elite".
Además de ganar un poco de dinero y prestigio, es también una forma ideal para los programadores de mostrar sus habilidades. Para los realmente brillantes, el premio podría ser incluso una oferta de trabajo.
Chris Hofmann, director de proyectos especiales de Mozilla, dijo: "Estamos constantemente buscando contratar a participantes del programa de seguridad de recompensas por errores".
Es una opinión compartida por Brian Rukowksi de Google: "Hemos encontrado un par de personas que, bien informando fallos o simplemente trabajando en la propia fuente, parecían muy prometedoras y las hemos contratado".

Magia

Aaron Portnoy, de 25 años de edad, ha estado localizando errores desde que era apenas un adolescente.

Se dio cuenta de que podría ser una carrera potencialmente lucrativa cuando los cobradores de impuestos estadounidenses llamaron a su puerta, para preguntarle cómo había ganado US$60.000. Todavía no había cumplido los 20 años.
Él describe la sensación de buscar errores como "una experiencia estimulante. Es como si fuéramos magos con las computadoras".
Aunque se las arregló para obtener algunos ingresos, Portnoy sintió que la mayoría de los investigadores de seguridad no estaban recibiendo el reconocimiento que merecían de los fabricantes de software.
"Los proveedores simplemente añadían un 'gracias' en la versión revisada. En los últimos cuatro o cinco años hemos visto que un montón de investigadores no sienten que eso sea suficiente. Darles un pequeño agradecimiento, una miseria, no basta", dijo.
Al descubrir un hueco en el mercado, Portnoy convirtió este descontento en una oportunidad de negocios y en 2006 se unió a la empresa de software Tipping Point. El equipo que dirige tiene un objetivo simple.
"Buscábamos una manera de no sólo crear un modelo de negocios, sino también de premiar a los investigadores por su trabajo", señala.

¿Cómo funciona el modelo?

En lugar de notificar directamente a una compañía de software, un buscador de errores le informa a Tipping Point sobre su descubrimiento.
El equipo de Portnoy investiga y si la falla se verifica, se le pagan honorarios al investigador.
Se notifica al fabricante y se espera que empiece a trabajar en una solución permanente. Mientras tanto, Tipping Point crea una solución temporal que se envía a sus suscriptores de pago.
Tipping Point ahora forma parte de la empresa Hewlett-Packard y los cazadores de recompensas "Platino" del programa pueden obtener pagos únicos de US$20.000.

Concurso

En estos momentos, Portnoy ayuda a dirigir el concurso anual Pwn2Own.

En el evento, los programadores compiten por encontrar fallas en productos populares de software y hardware.
Este año, el programador irlandés Stephen Fewer ganó US$15.000 cuando logró hacer caer al Internet Explorer de Microsoft.
Para los fabricantes, Pwn2Own es una situación en la que nadie pierde. Es una buena manera de probar que sus productos están hechos a prueba de balas, si sobreviven al ataque. Por otro lado, si se viola su seguridad, tienen la ventaja de enterarse sobre una falla importante en un entorno controlado.

Es por eso que empresas como Google participan activamente, según Brian Rukowski.
"En el último par de años a Chrome le ha ido muy bien. Hemos tenido la distinción de ser el único navegador que quedó en pie al final de la competición, así que ahora somos el blanco de todos y es un desafío que nos emociona", dijo.

BBC Mundo

No hay comentarios: