4 errors de codi que han costat milions

La caiguda d'Amazon al febrer va deixar sense servei el 31% dels web del món, una situació provocada per l'error humà i que va costar 140 milions de dòlars

Els problemes informàtics sovint venen causats per errors humans
Els problemes informàtics sovint venen causats per errors humans
PJ Armengou
24 de Març de 2017
La majoria de filtracions de dades i caigudes de sistemesinformàtics són originades per ciberatacs. Tot i això, els errors humans segueixen sent culpables d'una part molt important de les bretxes de seguretat. De fet, aquests errors són el que moltes vegades aprofiten els delinqüents per atacar. Un sol caràcter mal posat o una falta d'ortografia pot suposar pèrdues milionàries.

Amazon ho sap prou bé. La companyia ha reconegut aquesta setmana que un error humà va ser el causant de la caiguda dels seus serveis a Internet el passat 28 de febrer. Segons ha informat l'empresa, un treballador que realitzava tasques de manteniment va introduir un comandament erroni que va produir l'apagada massiva dels servidors d'Amazon Web Services.

L'error no només va afectar la companyia de Jeff Bezos. Segons Forbers, el 31% de les webs de tot el món utilitzen les infraestructures d'Amazon, pel que empreses com Apple, Netflix, Spotify o Slack també estan entre les damnificades. La broma li ha costat al gegant del comerç electrònic 140 milions de dòlars.

No és la primera vegada que un error humà posa en perill el sistema informàtic mundial. Repassem quatre exemples més en què pobres programadors, en un passat recent o llunyà, van posar en risc milions de dòlars o el conjunt de la world wide web.

1 – El Cuc Morris (1988)
En la prehistòria d'Internet (llavors, ARPANET), l'error d'un estudiant de 23 anys, Robert T. Morris, va estar a punt d'acabar amb bona part dels ordinadors de l'època. Dels 60.000 servidors connectats a Internet el 1988, fins a 6.000 (el 10%) es van veure afectats pel que seria el primer malware de la historia: el cuc Morris.

El programa aconseguia esbrinar les contrasenyes de diversos ordinadors, per després introduir-s'hi i replicar-se a si mateix indefinidament. Així deixava gairebé inservibles els dispositius. A més, el cuc passava d'un ordinador a altre tot infectant la xarxa sencera.

Robert Morris va declarar que tot va ser un accident i que mai va pretendre que el cuc es propagués tant. Va ser condemnat a tres anys de llibertat condicional, una multa i 400 hores de treballs socials. Entre els organismes afectats hi havia, entre d'altres, el Pentàgon, la NASA i l'MIT, que anys després contractaria Morris com a professor. Les pèrdues es van calcular en 96 milions de dòlars.

2 – Y2K (1999)
Un dels errors de codi més coneguts és el que havia de produir l'anomenat "efecte 2000". Més que de l'equivocació d'un programador en concret, es tractava d'una pràctica problemàtica que molts informàtics havien adoptat abans del canvi de segle. Amb l'objectiu d'economitzar memòria, molts programadors ometien les dues primeres xifres dels anys que començaven amb 19. Amb l'arribada de l'any 2000, doncs, molts serveis informàtics passarien de l'any 99 al 00, i corrien el risc de fallar i errar en els càlculs.

Finalment el drama no va ser tal. La majoria de problemes van ser menors: una biblioteca a Pennsylvania fer un recàrrec per tenir prestats uns llibres cent anys; les factures de telèfon a Itàlia es van enviar durant un temps amb data del 1900... A Espanya es van detectar alguns problemes menors a les centrals nuclears de Garoña i Zorita, i alguns parquímetres van deixar d'acceptar els tiquets.

Si els problemes no van anar a més, però, va ser per la gran inversió que molts governs i empreses van fer per evitar-los. Als Estats Units, segons la consultora IDC, es van gastar entre 200.000 i 600.000 milions de dòlars per evitar el desastre. Una despesa total d'uns 365 dòlars per ciutadà. Algun dels quals, per cert, va passar cap d'any amagat en búnquers, pres de la paranoia.

3 - HeartBleed (2012)
L'anomenat "error Seggelmann" o HeartBleed (Hemorràgia de cor) també va tenir lloc una nit de cap d'any. El 31 de desembre de 2011, els responsables de la llibreria d'encriptació de codi obert OpenSSL van introduir noves funcions al programari. Els canvis havien estat dissenyats pel jove programador alemany Robin Seggelmann i aprovats pel seu supervisor. Ningú va advertir els problemes de codi que estaven introduint.

L'error no va ser advertit públicament per ningú fins a l'any 2014, en què un enginyer de Google i l'empresa de seguretat Codenomicon van donar l'alarma. Durant anys, els serveis que utilitzaven OpenSSL havien estat susceptibles d'atacs per obtenir dades privades dels usuaris. L'error va afectar portals com Tumblr, Reddit o Wikimedia, l'empresa responsable de la Viquipèdia.

No se sap del cert quants ciberdelinqüents van poder aprofitar l'error ni les seves conseqüències econòmiques. Per evitar problemes en el futur, però, la fundació sense ànim de lucre Linux va anunciar el 2014 que formaria un equip internacional per vetllar pels serveis d'OpenSSL. Entre les empreses que van prometre invertir-hi es trobaven Google, IBM, Intel, Facebook o Microsoft.

4 – Zcoin (2017)
La darrera relliscada cibernètica data del passat 19 de març. Zcoin, una empresa de divises digitals semblant a Bitcoin, va perdre 320.000 lliures esterlines (369.800 euros) a mans d'un hacker que encara no ha estat identificat. L'atacant va aprofitar un error en el codi per emportar-se 370.000 Zerocoins (629.950 €) de les quals va poder bescanviar més de la meitat.

El responsable de tot plegat va ser un sol caràcter. Segons la companyia, un error tipogràfic (hi havia un caràcter de més al codi) va permetre a l'atacant crear transaccions de Zerocoins addicionals sense gastar més. L'error no va afectar les dades dels usuaris de la plataforma, que segons la companyia es mantenen anonimitzades. La reputació de la companyia, però, ja ha quedat malmesa.