Repost This

martes, 2 de noviembre de 2010

EL GUSANO STUXNET, CIBERGUERRAS Y TECNOLIBERACIÓN

CUANDO LA FICCIÓN TORNA CIENCIA

Una sofisticada arma informática dañó la infraestructura de una central nuclear iraní. Para los expertos en seguridad, se trata de la primer super-arma cibernética y una nueva era para las TIC’s y la carrera armamentista.
Para su lectura, te recomiendo actives la música; se trata de la canción "Corto" de Pescado Rabioso, grupo liderado por Luis Spinetta en la década del '70. El tema se encuentra en el disco "Pescado Rabioso 2". Ahora sí...


 Tal vez el gusano descubierto en junio de 2010, tenga mucho que contar. O quizá solo fue programado para destruir instalaciones industriales y allí termine su ‘misión imposible’. Y como en la famosa saga de TV luego llevada al cine, la misión se ejecuta con éxito.
Pocos lo conocían el 17 de julio, cuando Wikileaks reveló que "una serie asociada con el programa nuclear de Irán" había producido un gran accidente nuclear en Natanz.
Luego Wikileaks "perdió el contacto con la fuente" y el gobierno iraní desmintió todo. Wikileaks publicó que días después del hecho, Gholam Reza Aghazadeh, responsable de la Organización de Energía Atómica de Irán, dimitiría “bajo misteriosas circunstancias”.
Fue una explosión de tres kilotones, una quinta parte del tamaño de la bomba de Hiroshima", explicaría Nicolas Falliere, un especialista de Symantec. El caso quedó sumido en el misterio.

Panta Nuclear de Natanz. Foto: GlobalSecurity.org

A fines de septiembre, Irán admitió que 30.000 ordenadores y varias laptops de científicos que trabajan en la central de enriquecimiento de uranio en Bushehr, habían sido atacados por un virus informático; entonces el gusanito tuvo nombre: ‘Stuxnet’.

¿Quién es Stuxnet? El primer virus informático que causa destrucciones físicas. A diferencia de los virus tradicionales, que dañan o toman el control de computadoras y programas, Stuxnet ataca las comunicaciones de los sistemas automatizados para dañar la infraestructura de una industria, hasta su destrucción física completa.

¿Cómo lo logra? Imaginen por ejemplo, que un transformador de una central eléctrica recibiera mucha más carga que la capacidad para la que fue construido, ¿qué sucedería?; sencillamente explotaría por sobrecarga. De trabajos así, se encarga el gusanito: altera el sistema de automatización para permitir ‘sobrecargas’. Por cierto, como efecto colateral, podría retrasar la explotación de uranio en Bolivia.


El video es la demostración que el experto en seguridad de Symantec, Lyam O Murchu, realizó durante la 20° Conferencia Internacional Virus Bulletin, llevada a cabo en Vancouver entre el 29 de septiembre y el 1 de Octubre de 2010. Aquí se aprecia un globo que es inflado durante 5 segundos, luego se infecta el sistema y nuevamente, con el sistema infectado, se infla otro globo. Observen la diferencia para comprender al gusanito...

Irán y China

Pero Irán no había sido el único país atacado. Unos días después, el 30 de septiembre, el periódico South China Morning Post, informaba que el Stuxnet había atacado los sistemas informáticos de las industrias clave de China, dañando unas 6 millones de computadoras y más de mil plantas industriales.
China aportaba más información: el gusano no sólo destruye infraestructura física, sino que roba y transmite los datos sensibles de los equipos infectados, amén de dejar una puerta abierta para el control remoto de éstos y su manipulación.


Primer súper-arma cibernética

Según los expertos, Stuxnet es algo así como la primer super-arma cibernética; para expandirse no necesita de Internet, apenas una simple llave de memoria USB. Una vez en la computadora, busca los sistemas Supervisory Control and Data Acquisition (SCADA) de Siemens, que utilizan la gran mayoría de industrias en el mundo para monitorear maquinaria automatizada; una herramienta clave en el control de centrales nucleares, oleoductos, centrales eléctricas e instalaciones industriales. Es probable que para el gusanito, esto sea lo más divertido: centrales nucleares y oleoductos. Demás está señalar que la central de Bushehr fue construída por Siemmens y que le brindaba mantenimiento.

El siguiente video, muestra el funcionamiento de un sistema SCADA


Veamos ahora como funciona un sistema SCADA que controla una Planta de Tratamiento de Aguas residuales



Stuxnet y la Caja de Pandora

La empresa de seguridad informática Kaspersky Labs, (su antivirus para PC está considerado el mejor del mundo) comunicó que “Stuxnet funciona como arma cibernética y lleva al desarrollo de una nueva clase de carrera armamentística en el mundo. Es 10 o 20 veces mayor que los demás virus. Impresiona el grado de sofisticación de este desarrollo, su profesionalismo y el uso de zonas vulnerables que aún no se habían detectado”.
Representa un punto de inflexión, el amanecer de un nuevo mundo, porque antes sólo nos enfrentábamos a cibercriminales, pero me temo que estamos asistiendo al nacimiento de la era del ciberterrorismo, de las armas y las guerras virtuales”, reflexionó Eugene Kaspersky, CEO de la compañía, quien calificó a Stuxnet como “la apertura de la Caja de Pandora”.


¿Quién está detrás de Stuxnet?

Una cosa en que los expertos están de acuerdo es que Stuxnet no fue idea de un chico en el sótano de sus padres, sino que debió crearse por una organización grande, e incluso, un país.
El hecho que la gran mayoría de las infecciones tuvieron lugar en Irán (60%), llevó a los expertos a señalar a Israel como su probable creador.

‘The New York Times’, publicó que varios investigadores afirman que dentro del código del virus existía una críptica alusión al Antiguo Testamento: la palabra ‘Myrtus’, nombre de un fichero contenido en el código y que los expertos interpretan como una alusión, en hebreo, al Libro de Esther, que relata un complot persa para destruir Israel pero la reina se adelanta al ataque y lo frustra.

La tesis parece reforzada dado que el gusanito tiene una clave, 05091979, que utiliza para activar o desactivar los sistemas SCADA. Se trataría de una fecha, 05/09/1979, cuando Habib Elghanian, hombre de negocios iraní de origen judío, fue ejecutado por la revolución de los ayatollahs.

El periódico menciona que esto, puede ser interpretado como una firma que involucraría al estado israelí en la fabricación del virus, tanto como un intento de sus reales autores de crear falsas sospechas hacia Israel.
Otros analistas creen que sería extraño que el Mossad ‘firmara’ un trabajo, dado que no es su costumbre dejar pistas o señales. Por el momento, Israel no se ha pronunciado sobre el ataque.


El futuro llegó y no es un video-juego

El futuro está aquí y no viene envasado en forma de video-juego, sino de una extraña y sorda rivalidad entre quienes desarrollan la ciberguerra y quienes se enfocan en un uso humanitario de la tecnología. Los primeros trabajan con códigos cerrados y guardan bajo siete llaves, los conocimientos patentables; los otros, abriendo los códigos del software para que cualquiera lo pueda utilizar y mejorar, e intentando que todo conocimiento sea de dominio público. Entre ambos, el mundo virtual y las tecnologías de información, parecieran avanzar a una velocidad a la que nuestra capacidad, difícilmente accede.
Todo lo que Ud., amigo lector, imagine que podría pasar en el mundo de la tecnología, en verdad ya está aquí; está sucediendo ahora, mientras lee esta nota…


¿Qué es una ciberguerra?

La ciberguerra es una guerra informática que afecta a las Tic’s (tecnologías de Información y Telecomunicaciones) y hace referencia al desplazamiento del conflicto bélico de los campos de batalla convencionales al ciberespacio, como escenario principal.
Las armas son los virus informáticos, que vulneran seguridad de los sistemas militares, bancarios, comunicaciones e infraestructura industrial.


Tecnología de la liberación o tecno-liberación

Software libre, colectivos de interferencia, redes de intercambio p2p, blogosfera, net-art, gadgets, cyberpunk, código abierto o web2.0 eran, hasta hace pocos años, términos familiares solo para los amantes de la literatura de ciencia ficción. Hoy, son los paradigmas de una utopía en pleno desarrollo, que sostiene que la tecnología es un instrumento de liberación y expansión del ser humano y por tanto, todos deben tener acceso libre a ella y al conocimiento científico y técnico.
Sus propuestas no se encuentran registradas en ensayos sociológicos o escritos tecno-científicos; sólo, en las novelas de ciencia ficción, como 'El instante Aleph' (Distress, en el original), del australiano Greg Egan, entre tantas otras.
Los seguidores de este género, en los últimos tiempos, han tenido acceso a las novedades de los desarrollos tecnológicos antes que sean de dominio público, gracias a la investigación rigurosa -disfrazada de ficción- realizada por los autores.


ANTECEDENTE DE LA CIBERGUERRA
Promis, el software espía del Mossad

Promediando la década de los ’80, el Mossad realizó una de sus acciones más temerarias y a la vez, más exitosas: pirateó un software desarrollado por una pequeña compañía norteamericana, Inslaw, que permitía seguimientos a cualquier persona, transacción económica o de tecnología de punta y lo vendió como propio a todas las agencias de inteligencia del mundo.

Tras conseguir una copia de muestra, los técnicos del Mossad lo rearmaron con varias mejoras: podía almacenar las señales únicas de los submarinos británicos, chinos o rusos; efectuar cálculos balísticos precisos; encaminar de manera automática un avión de combate para burlar los radares y misiles… A todo ello, le habían agregado un detalle significativo; un pequeña ‘puerta’ que permitía al Mossad espiar las actividades de las centrales de inteligencia que hubieran adquirido el software. Por cierto, el software fue vendido a casi todas ellas: rusa, norteamericana, china, inglesa, alemana, francesa, jordana, iraní…

Durante algo más de una década, el Mossad tuvo un perfecto conocimiento de cada paso que daba cada servicio secreto del mundo entero. Ni siquiera se molestaron en cambiarle el nombre; solamente lo simplificaron de Enhaced Promis a Promis (‘promise’, promesa). Hoy, ya está en manos de grupos como Al Qaeda y otros. Sin embargo, fue el primer antecedente importante del ciberespionaje y boicot a los planes de seguridad de los estados que Israel consideraba sus enemigos.


DETALLES TÈCNICOS DEL GUSANO

El StuxNet explotó en su momento tres debilidades llamadas 'de día cero' (aquellas que carecen de solución) de Windows y una debilidad 'zero-day' del software SIMATIC de Siemens. "El software SIMATIC es el entorno de configuración y programación universal para todos los controladores SIMATIC, incluidos los sistemas HMI y los sistemas de control de procesos", promociona la firma en su web.
Se propaga vía USB o recursos compartidos (network shares), contiene tecnología rootkit [1] y usa certificados digitales -que habrían sido robados para este propósito- para instalar sus propios drivers dentro de Windows. Su gran tamaño, 1.5 MB, significa que es altamente complejo.
Quienes lo diseñaron aprovecharon una contraseña de SCADA que no se puede cambiar –hard coded-).
StuxNet contiene un pedazo de código escrito específicamente para manipular los controles de una planta nuclear.



LA PLANTA DE BUSHEHR

El 13 de agosto de 2010, la Federal Rusa de Energía Atómica (Rosatom) anunció que el primer reactor de la central nuclear de Bushehr sería cargado con combustible nuclear el 21 de agosto de 2010. De allí en adelante la instalación de Bushehr sería calificada como una planta de energía nuclear operativa. El proceso para transferir el combustible a la piscina situada cerca del corazón del reactor demoró 8 días.
El reactor se construyó en virtud de un acuerdo entre los gobiernos ruso e iraní por $ 800 millones. Originalmente, en la década de 1970, el reactor fue de fabricación alemana, mas precisamente, había sido desarrollado por Siemmens. Abandonado en su momento, el nuevo reactor se re-construyó según las especificaciones de diseño ruso, aunque los edificios del reactor original continuaron siendo los mismos y se utilizó el sistema de Siemmens. Había dos reactores de Bushehr, uno se encontraba en una fase avanzada de realización; el otro no se había trabajado durante algún tiempo y fue programado para ser completado a partir de 2006.
http://www.globalsecurity.org/wmd/world/iran/bushehr.htm  

Observen la maqueta de la Planta de Bushehr.




Planta de Bushehr. Foto: GlobalSecurity.org


 Manual para ciberusuarios

1. No ser consumidor pasivo de tecnologías; antes de comprar, investigar los pro y contra de cada aparato o software –existen numerosos foros de usuarios que pueden orientar- y, sobre todo, indagar que estén debidamente testeados. Por lo general, la tecnología sale al mercado sin haber sido del todo probada su seguridad.

2. Los sistemas operativos de código abierto como Linux, son preferibles, por ser más seguros y robustos, que los de código encriptado como Windows.

3. Saber que es ilegal la utilización, por parte de terceros, de los datos personales que se suben a las redes sociales o a cualquier página web que los solicite; aún cuando se hayan aceptado las condiciones de uso.

4. Todo software, hardware, gadget o dispositivo móvil o electrónico –incluso impresoras- posee un código único que lo hace rastreable.

5. Involucrarse en los desarrollos tecnológicos, participar en foros, exigir códigos abiertos.

6. Comprar accesorios o gadgets de empresas pequeñas que certifiquen que no existen códigos ocultos. Además, suelen ser más robustos.


7. Sobre celulares:
Si le roban el celular
Solo hay que obtener el número de serie; para eso solo se marca *#06# SIN LLAMAR y, en el visor del celular, aparecerá un código de varios números. Este código es único en todo el mundo. Basta anotarlo y conservarlo en un lugar seguro. Si le roban el móvil, avisa al operador de su compañía y le pasa ese código. Esto va a permitir que el móvil sea bloqueado completamente, aunque el ladrón cambie la tarjeta SIM. Tampoco es posible venderlo porque nunca va a funcionar. Si todos utilizaran este pequeño truco, el robo de móviles sería inútil.

Batería de reserva
Todos los celulares tienen una reserva de carga en sus baterías, que al marcar *3370# automáticamente se activa.

SOS
El número de emergencias en todo el mundo es 112; aunque el aparato esté bloqueado, igual se puede marcar este número.

¿Olvidó las llaves dentro del auto?
Suponga que extravió u olvidó las llaves del auto. ¿Qué hacer? Llame a su casa y que alguien acerque el mando de apertura, al teléfono. Solo tiene que mantener el teléfono a 20 cms de distancia de la puerta del coche y... ¡los seguros se destraban! También sirve para el maletero.



[1] El término viene de la unión de “root” y de “kit”. “Root” se refiere al usuario con máximos derechos en sistemas tipo Unix (puede ser Unix, AIX, Linux, etc). Es el superusuario, el “administrador”, en definitiva, es la expresión máxima de autoridad sobre un determinado sistema informático. Por su parte, “kit” se refiere a un conjunto de herramientas, por lo que un rootkit se puede entender como un conjunto de herramientas con categoría de administrador de un sistema.

Los rootkits, en la práctica, son programas que una vez instalados en un sistema, efectúan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada. Fundamentalmente, los rootkits tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. La única limitación es la imaginación del creador.

No hay comentarios: