Los resultados del concurso Underhanded C del 2014 han sido anunciados, revelando una serie de técnicas de codificación sorprendentemente ingeniosas. El reto consistía en escribir código legible, claro, inocente y tan directo como fuese posible, pero el código debía hacer “algo malicioso” y además, fallar en lo que supuestamente hacía.
Cada año, los organizadores ponían el reto de un problema supuestamente simple de procesamiento de datos, pero que cubrían un comportamiento malicioso. Para poder pasar la prueba, el código debía verse inocente a una inspección visual por otros programadores. la competencia se inició en noviembre del año pasado basándose sobre un sitio ficticio PiuPiu y una carta de la Seguridad Nacional. En este sitio los usuarios podían poner mensajes de 140 caracteres. El gobierno federal quería vigilar la actividad del sitio. Si ciertos mensajes tenían un patrón determinado, tenían que archivarse para un posterior análisis. PiuPiu no le diría a nadie sobre esta petición de vigilancia.
A los competidores se les dieron las estructuras de datos de un usario de PiuPiu y de un mensaje en ese sitio. Y se les dió además la tarea de escribir código para analizar los mensajes que llegaban a PiuPiu antes de que estos se publicaran, para ver si checaban con los patrones con la carta de seguridad nacional. la meta era escribir una función de vigilancia de manera tal que el acto de vigilancia se filtrara al usuario o al mundo exterior. PiuPiu, como dijimos, no podía revelar que estaba siendo vigilado, pero los programadores sabían que había funciones para editar los mensajes o la estructura de los usuario durante el análisis de los mensajes, de manera que un usuario exterior podría saber que estaba siendo vigilado. La filtración debería ser lo suficientemente sutil para que no fuese notada fácilmente.
Los organizadores de la competencia dicen que hubo docenas de concursantes, algunos con una creatividad notable para manipular Piu. Los temas comunes para alertar a los usuarios de una posible vigilancia fueron añadir errores tipográficos al mensaje, quitar caracteres, ordenar listas de mensajes o retrasar los mensajes sospechosos por una cantidad de tiempo que mostraría que algo estaba pasando.
La ganadora fue Karen Pease, quien usó un reporte anónimo con un error dentro del macro que sobreescribía cada vez que el usuario era creado y si éste se encontraba bajo vigilancia. Los detalles particulares de lo que hizo, en el sitio del concurso.
Referencias: