Tag Archive: Ciberguerra


Anonymous, ¿amigos o enemigos?

El grupo de ciberactivistas ha bloqueado en pocas horas 5.500 cuentas vinculadas al Estado Islámico y también pretende recabar información para ceder a Estados Unidos

anonymous-ataque--620x349

“Continúa la Operación ISIS, pero primero tenemos que aclarar algunas cosas: nosotros somos musulmanes, cristianos, judíos. Somos hackers, crackers, hacktivistas, agentes, espías o simplemente el tipo que vive en la puerta de al lado. Somos estudiantes, administradores, trabajadores, clérigos, desempleados, ricos y pobres. Viejos, jóvenes, homosexuales y heterosexuales. Somos de todas las razas, países, religiones y etnias. Estamos unidos. Somo Anonymous. Pero recuerden, los terroristas que se hacen llamar “el Estado Islámico” (ISIS) no son musulmanes.”

Cuando el viernes 13 de los atentados de París aún parecía un día normal, por la mañana se informaba de la última acción los ciberactivistas de Anonymous: en Japón estaban intensificando sus ataques a diversas webs oficiales en protesta por la caza de delfines. Horas después, ese mismo grupo declaraba la guerra contra el Estado Islámico. «Estos ataques no pueden quedar impunes», aseguraban en un vídeo con su ya emblemática máscara del héroe de «V de Vendetta» y su voz modulada.

A esta red global de piratas informáticos, sin estructura jerárquica ni número concreto de efectivos, les ha dado tiempo a realizar muchas y variadas acciones desde que surgieran en 2003 y se reconvirtieran en «activistas políticos» en 2010: han accedido a información sensible de la web del Gobierno de Estados Unidos; tienen a varios de sus miembros en prisión, como Jeremy Hammond, condenado en EE.UU. a diez años de prisión tras filtrar cinco millones de correos electrónicos de una empresa de inteligencia; han atacado a la iglesia de la Cienciología; han colaborado con Wikileaks y defendido, a su manera, a su creador Julian Assange. En España atacaron la web del Congreso, la del PSOE y la de la SGAE cuando la Ley Sinde amenazaba con bloquear los «sites» de descarga de contenidos que vulneraran los derechos de autor.

¿Qué tienen todos estos actos en común? De alguna forma, Anonymous respondió a esa pregunta cuando la OTAN les calificó en un informe de 2011 de «amenaza». «Nos gustaría recordaros que gobierno y pueblo son diferentes entidades que frecuentemente tienen diferentes metas y deseos», replicaron, para asegurar que cuando hay un conflicto de intereses entre ambos, el pueblo es su prioridad. Y por eso mismo, decían, la OTAN les calificaba como amenaza: por impedir que los gobiernos queden impunes tras tomar decisiones contrarias a la gente.

> Cronología de su lucha contra Estado Islámico

rev-anon-2

Dado el cariz de sus «cruzadas» más famosas hasta la fecha, a algunos les ha tomado por sorpresa el anuncio de los ciberactivistas contra el Estado Islámico. Pero su lucha contra el grupo yihadista no es nueva, sino que tiene ya más de un año.

Los inicios se remontan a julio de 2014, como reacción a las actividades del grupo islamista en Irak. Según recogía Forbes, los objetivos eran «las naciones a las que consideraban responsables de financiar o de armar al grupo terrorista». Bajo el hastag #No2ISIS, Anonymous lanzó «su mensaje» a webs gubernamentales de Turquía, Arabia Saudí y Qatar, entre otras.

Hasta ahora, tanto en esta como en otras de sus acciones, han usado el mismo modus operandi. Alguno de sus miembros más comprometido eligen un objetivo desde algún canal de chat IRC. Un hacker programa la aplicación necesaria para cumplir con el objetivo, que luego se difundirá para que la use quien quiera. Aquellos que voluntariamente quieran colaborar, actúan entonces al unísono como un enjambre. Su lema en todo este tiempo no ha cambiado: «Somos anónimos. Somos una legión. No perdonamos. No olvidamos. ¡Espéranos!».

Así, en enero de este 2015, tras el atentado en Francia contra el semanario Charlie Hebdo, la red de ‘hackers’ volvió a actuar. Entonces se decantaron por identificar, publicar y bloquear miles de cuentas en Twitter de los yihadistas. Una acción que, si bien les cortaba el canal de comunicación y propaganda a los terroristas, también se lo cortaba a los servicios de inteligencia como posible vía de investigación e identificación.

Tras los últimos atentados de París, ya hay una nueva cuenta en Twitter sobre la #OpParis y #OpISIS, en la que aseguran, poco después de iniciarla, que había cerca de 5.500 usuarios bloqueados. Pero la novedad en esta ocasión es que los activistas informáticos no solo están bloqueando usuarios o atacando sus «sites» sino que también están recabando información y ya hay algunas cuentas ligadas a Anonymous que piden enviar la información sacada de alDepartamento de Defensa de Estados Unidos. Incluso, según informa «The Independent» han publicado ya una dirección física de un supuesto reclutador del Estado Islámico en Europa.

Anonymous también ha publicado una lista de más de 100 páginas web relacionadas a ISIS, algunas de las cuales usarían para comunicarse. Hasta ahora, Anonymous ha logrado dar de baja más de 150 páginas web de ISIS, 100.000 cuentas de Twitter y casi 6000 vídeos. Pero esto dicen que es solo el comienzo en su guerra declarada. [The Intependent vía The Next Web].

Desde Secur-IT os iremos informando sobre los progresos del hacktivismo en lo que ya a todos ojos parece, esta guerra sin cuartel.

Anuncios

En 2010 salía a la luz Stuxnet, un malware que había infectado la central nuclear Natanz, en Irán. El grupo de seguridad Langner ha estado durante todo este tiempo investigando qué hacía y cómo burló los sistemas de seguridad, y finalmente han publicado un análisis exhaustivo de lo que ha pasado.

 Stuxnet viene con sorpresas. Vamos a repasar ese análisis y tratar de explicar la historia de lo que ya se considera el primer ciber-arma, un precedente de lo que los gobiernos tendrán que enfrentar durante los años venideros.

StuxnetAtaque

> ¿Qué hacía Stuxnet?

Siempre que hemos oído hablar de Stuxnet hemos oído que “infectó una central nuclear”. ¿Qué significa exactamente eso? ¿Qué conseguían los creadores de Stuxnet al infectar la central?

Según la investigacion de Langner, el propósito de Stuxnet era retrasar el programa nuclear iraní. Para entenderlo mejor tenemos que hablar del diseño de la central de Natanz. No profundizaremos demasiado, pero si os interesa el análisis en PDF tiene toda una sección dedicada al funcionamiento de la central.

EsquemaAtaqueLa central iraní usa centrifugadoras para enriquecer uranio. El diseño es el IR-1, originalmente desarrollado en Europa en los años 60, robado por A.Q. Khan, un traficante de secretos nucleares, que lo entregó a Irán en los años 80. Los ingenieros iraníes no lograron dominar la complejidad del sistema por completo y no lo pudieron poner a funcionar pleno rendimiento. Sin embargo, sí consiguieron producir esas centrifugadoras a escala industrial, de tal forma que podían sustituirlas más rápido de lo que se rompían.

Y es que otro de los problemas de esas centrifugadoras que fabricaba Irán es que no eran muy robustas. Se rompían con relativa facilidad, así que idearon un sistema que las aislaban y permitían a los ingenieros reemplazarlas. Sin embargo, para poder hacer eso había que parar las centrifugadoras de la siguiente etapa a la que hubiese fallado.

Al parar las centrifugadoras, la presión del sistema subía y los rotores sufrían más daño. Si la presión superaba un límite máximo podría llegar a explotar la instalación. Hubo que diseñar válvulas que liberasen la presión si subía por encima de un límite. Estas válvulas son el primer punto débil del diseño de la central de Natanz.

El otro punto débil eran los rotores de las centrifugadoras. El diseño del IR-1 es extramadamente crítico: para llegar a la velocidad normal de operación (63.000 rpm), los rotores pasaban por varias velocidades críticas o armónicos. A estas velocidades se producía un fenómeno de resonancia que hacía vibrar los rotores. Como podréis imaginar, esto no les sentaba muy bien. Estas velocidades son el segundo punto débil de la central.

> Primera versión de Stuxnet: agresiva pero discreta

La primera versión de Stuxnet tenía como objetivo los controladores industriales Siemens S7-417, los encargados de controlar las válvulas y sensores de presión de las centrifugadoras. En aquel entonces, Stuxnet venía en forma de un archivo de configuración para el software de Siemens. Por fuera parecía normal, pero explotaba algunos fallos para poder ejecutar sus acciones.

La infección de esos controladores fue muy poco glamurosa: alguien tuvo que abrir manualmente ese archivo de configuración, ya fuese a través de un USB o llevándolo guardado en uno de los portátiles que se usaban para configurar los sistemas. Stuxnet no tenía por aquel entonces ningún método de autopropagación.

Cuando el archivo malicioso se cargaba, se saltaba el código propio de la ejecución y tomaba el control del sistema, pero de forma muy discreta. Reemplazaba las funciones del sistema que permitían al código legítimo acceder a las lecturas de los sensores, y después dejaba que todo se ejecutase normalmente como si no pasara nada.

Sin embargo, cuando se daban una serie de condiciones, Stuxnet entraba en acción. Grababa 21 segundos de lecturas de los sensores y entonces los reproducía en bucle. Más concretamente, sobreescribía las regiones de memoria en las que se almacenaban los datos leídos con los que había grabado. De esta forma, cuando el sistema de control SCADA (en otro ordenador, externo al controlador Siemens) pidiese las lecturas, el controlador devolvería las lecturas reproducidas de Stuxnet y ni los ingenieros ni los sistemas automáticos verían nada anormal.

Una vez que Stuxnet había echado el telón, se ponía a trabajar aislando etapas de las centrifugadoras, de tal forma que la presión del sistema comenzaba a subir. En este momento, las válvulas de escape deberían actuar y dejar salir el exceso de presión. Pero no lo hacían.

Estas válvulas tienen sensores de presión analógicos: para traducir esa señal a una digital que pueda entender un ordenador tienen que calibrarse manualmente. Stuxnet los descalibraba, de tal forma que las válvulas no detectaban presiones anormalmente altas y por lo tanto no se abrían. La presión dentro del sistema empezaba a subir hasta que Stuxnet decidía parar el ataque. ¿Por qué?

> Stuxnet aprieta pero no ahoga

Los creadores de Stuxnet podrían haber destrozado totalmente las instalaciones nucleares de Natanz. Sin embargo, no lo hicieron porque había otra forma mejor de conseguir sus propósitos: retrasar el programa nuclear iraní.

Un fallo catastrófico en la central habría llevado a los ingenieros a analizar exhaustivamente qué había pasado, y probablemente habrían detectado y corregido el problema. Esto, junto con la capacidad iraní de producción de centrifugadoras, habría supuesto un retraso no demasiado grande.

Stuxnet simplemente modificaba periódicamente las condiciones de las centrifugadoras, causando mucho más estrés a los rotores y provocando fallos y reemplazos más frecuentes. De esta forma, lograban tener a los ingenieros frustrados buscando qué provocaba una tasa de fallos tan grande en los sistemas (obviamente, no buscaban malware sino fallos en el diseño o construcción) en lugar de avanzar para mejorar el rendimiento de la central.

> Versión 2: la NSA toma las riendas

Langner menciona en el análisis que mientras la primera versión de Stuxnet parece hecha por un grupo de expertos industriales y programadores, en la segunda se aprecia la influencia de gente muy relacionada con el mundo de la seguridad. Los sospechosos principales son los ingenieros de la NSA.

La primera diferencia de la versión 2 es el método de propagación. Parece ser que perdieron el acceso directo a los sistemas de la central, así que tuvieron que inventar otro método para infiltrarse.

Usando cuatro vulnerabilidades 0-day (no descubiertas previamente), Stuxnet infectaba unidades USB para transmitirse de un ordenador a otro. Además, usaba una vulnerabilidad en el sistema RPC de Windows para infectar a los ordenadores de una misma red privada (conectados por un mismo router).

Y por si esas cuatro vulnerabilidades fueran pocas, Stuxnet también había sido firmado con certificados digitales robados. De esta forma, Windows lo detectaba como un driver legítimo y confiable y no notificaba al usuario de la infección.

Stuxnet se movía ahora por redes privadas y confiables. Pero sigue habiendo un problema: ¿cómo llevarlo hasta la central de Natanz? Desde luego, pasar todos los sistemas de seguridad no era fácil. Pero había otro punto débil: contratistas externos que trabajaban en la central. Infectando uno de sus ordenadores, menos protegidos, Stuxnet acabaría entrando más tarde o más temprano en los sistemas de Natanz: sólo hace falta que ese contratista conecte su portátil o su USB a un ordenador de la central. Entonces sería cuestión de tiempo que Stuxnet llegase a su objetivo, los controladores Siemens S7-315.

Estos controladores se encargaban de los rotores, el segundo punto débil que habíamos comentado antes. Más o menos una vez al mes, Stuxnet tomaba el control del sistema que se encargaba de gestionar la velocidad de los rotores. Reducía la velocidad hasta casi pararlos (120 rpm) y después los llevaba de nuevo a la velocidad normal. Como comentamos antes, para llegar ahí los rotores pasan por varias velocidades críticas que los hacen vibrar y por lo tanto los dañan reduciendo su vida útil.

En este caso, Stuxnet no necesitaba falsificar las lecturas de velocidad de los rotores. Como normalmente los rotores operan a un número constante de revoluciones por minuto, no hacía falta reproducir lecturas anteriores. El malware simplemente se encargaba de que no se ejecutase el código que actualiza en memoria las lecturas de velocidad.

Como el software de control SCADA obtenía los valores de las lecturas de la memoria y no comunicándose con los sensores del rotor, siempre obtendría la misma lectura, la de la última vez que se actualizó. Por lo tanto todo parecería normal a ojos de cualquier sistema de monitorización, automático o humano.

> ¿Sigilo? ¿Para qué?

TraficoStuxnet

La segunda versión de Stuxnet no era precisamente sigilosa. Como alguno ya se habrá imaginado, llevar varios cientos de rotores de 63.000 rpm a 120 rpm no es algo que pase desapercibido si estamos atentos al ruido que hacen. Sin embargo, los ingenieros iraníes llevaban auriculares protectores siempre y no oían los cambios de velocidad.

Además, Stuxnet se comunicaba a través de la red para sincronizar los ataques en varios controladores al mismo tiempo, lo que generaba un tráfico sospechoso y fácilmente detectable si se estuviese monitorizando.

El análisis de Langner también ha revelado que Stuxnet no tenía ningún tipo de “interruptor” que permitiese a sus controladores desactivarlo. De hecho, en agosto de 2010, el ISP nacional iraní bloqueó las direcciones IP de los servidores de control de Stuxnet, de tal forma que el malware pasó a ejecutarse autónomamente desde entonces.

Tal y como estaba diseñado Stuxnet, se transmitía entre redes privadas sin ningún tipo de discriminación. Precisamente a través de esos contratistas externos con los que entró a Natanz, también logró salir y expandirse cada vez un poco más, con pequeños saltos que lo hicieron llegar finalmente a las compañías de seguridad informática que lo sacaron a la luz.

Todo esto nos hace pensar que los creadores no estaban ya tan preocupados por no ser detectados, sino que estaban viendo hasta dónde podían llegar con esta creación. Estaban experimentando con lo que ya sabían que sería el primer paso de la ciberguerra.

> El pionero de la ciberguerra

Stuxnet se puede considerar el primer ciberarma. Es el pionero en este mundo, y señala varios puntos e ideas en los que centrarán sus sucesores en el futuro.

Lo primero es la muestra de lo vulnerables que pueden llegar a ser los sistemas industriales. Los fallos de los que se aprovechó para introducirse en los controladores Siemens son fallos de diseño de software, no simples bugs, y por lo tanto es más difícil que se corrijan con un parche aplicado rápidamente. El fabricante de ese software de control se mostró muy reacio a reconocer y corregir esos fallos, lo que nos da una idea de hasta qué punto pueden llegar a ser vulnerables los sistemas de control industriales.

Por otra parte, también tenemos el problema de la seguridad y el control de acceso a esos sistemas. La segunda versión usó varias vulnerabilidades 0-day en Windows, pero la primera se introdujo manualmente y sin tanta virguería informática. Hay muchos puntos de acceso a esos sistemas vulnerables y es muy difícil controlarlos todos.

Y todo esto ha ocurrido en una central nuclear. Imaginad qué puede ocurrir en otro tipo de infraestructuras civiles menos protegidas. Este tipo de infraestructuras también son mucho más vulnerables por la estandarización: es mucho más fácil conseguir los diseños y encontrar fallos de los sistemas en ellas que en centrales nucleares ultrasecretas.

¿Y los recursos necesarios para preparar Stuxnet? En este caso específico sólo un Estado ha podido crear el malware, ya que según Langner se habría necesitado hasta una copia real de la planta de enriquecimiento para probar los efectos de las modificaciones ejecutadas por Stuxnet. Pero si un atacante no quiere ser tan sigiloso como fueron los creadores de Stuxnet y no quiere atacar una planta de enriquecimiento secreta, no necesitará tantos recursos. La capacidad de crear ciberarmas similares a Stuxnet no es exclusiva de las agencias de seguridad estatales.

Como decíamos, Stuxnet es todo un pionero y el que ha marcado los pasos a seguir para las futuras ciberarmas. Veremos cómo reaccionan los Estados y los fabricantes de sistemas de control industriales frente a esta nueva amenaza.

Fuente | Ralph Langner

rrr

Durante los últimos diez años se viene anunciando que los próximos conflictos internacionales podrían ser, de hecho, guerras en el ‘ciberespacio’. O al menos tendrán un enorme componente de lucha en red.

Estados, pero también empresas y ciudadanos, se ven cada vez más afectados por estos ataques, que pueden tener diferentes objetivos, desde el robo de la propiedad intelectual hasta la desestabilización de infraestructuras críticas.

¿Ha llegado la hora de afirmar que la ‘ciberguerra’ ya está aquí, o se trata de una exageración fruto de la ‘fantasía’ de los medios de comunicación y alimentada por las compañías de seguridad informática?

Varios acontecimientos en los últimos tiempos marcan la importancia de un fenómeno de dimensiones globales. Uno de los más recientes y graves fue protagonizado por el célebre virus Stuxnet contra Irán en 2010, que fue capaz de dañar y retrasar el programa nuclear iraní y cuya autoría fue enseguida atribuida a Israel y EEUU.

Un ataque similar cuyo origen está también en Israel y EEUU fue protagonizado por el virus Flame, cuya detección fue publicada en 2012 y categorizado como el ‘software’ de espionaje más complejo descubierto hasta la fecha.

Otro caso destacado fue la serie de ‘ciberataques’ contra Estonia procedentes de Rusia en 2007 -con bloqueos a sitios oficiales, bancos y medios- a raíz de un conflicto diplomático desembocó en la apertura de un importante centro de análisis de ciberamenazas de la OTAN en ese país.

También Corea del Sur ha sufrido algunos ‘ciberataques’ sonados en 2009 y 2011, de los cuales acusa invariablemente a su vecino y enemigo, Corea del Norte.

No todo son amenazas creadas por estados para atacar a otros estados. El surgimiento de grupos como Anonymous o Lulzsec han llegado acomprometer instituciones públicas y compañías de varios países con sus intrusiones en algunos sitios web -aprovechando fallos de seguridad- y la publicación de datos comprometedores. Parece que nadie está a salvo, ni siquiera el FMI o la mismísima CIA.

> Años de experiencia

EEUU lleva años acumulando experiencias y desarrollando ‘ciberarmas’, pero ha sido en los últimos años y bajo el mandato de Barak Obama cuando parece haber pisado el acelerador, con la creación de un mando específico.

De hecho, Estados Unidos planea considerar los ataques cibernéticos como acciones de guerra, a las que podría responder con armas convencionales. Otros países, como Alemania, han anunciado a bombo y platillos la creación de centros especializados en la lucha contra el cibercrimen.

Desde hace años, este tipo de información ya no se oculta. Tal y como afirmó en 2010 Ian Lobban, director del Cuartel General para las Comunicaciones Gubernamentales del Reino Unido (GCHQ), varios países ya están utilizando técnicas de ‘ciberguerra’ para atacarse entre ellos y necesitan permanecer alerta todo el día para proteger sus sistemas informáticos.

> Compañías

Mientras tanto, el propio diario The New York Times remarca que cada vez más compañías reconocen en público haber sufrido ‘ciberataques’, cosa impensable hasta hace relativamente poco por la mala imagen que se proyecta.

Las empresas quizá se ven amparadas por un efecto cadena que hace que reconocer estos ataques no les hace parecer ‘descuidadas’, sino ‘víctimas’. No en vano, nombres tan destacados del sector de Internet y las nuevas tecnologías como TwitterFacebook y Apple ya han admitido recientemente haber sido víctimas de ataques de mayor o menos gravedad, un camino marcado en su día por Google que en 2010 denunció intrusiones en GMail desde China. Incluso meduios como elWall Street Journal y el Washington Post han admitido ser objeto de ataques.

Recuerda el diario neoyorquino el gran impacto que tuvo un informe de la compañía antivirus McAfee, que aseguraba que cerca de 80 organizaciones, entre las que se encontrarían Naciones Unidas y gobiernos y empresas en todo el mundo, se vieron afectadas por un masivo ‘ciberataque’. Y el pasado año, la compañía de procesos de pago Global Payments reconoció a regañadientes una intrusión en sus sistemas que afectó a MasterCard, Visa, American Expressy Discover Financial Services, junto con bancos y otras franquicias contarjetas de pago vinculadas a dichio servicio.

Empresas tan sensibles como Lockheed Martin, el principal proveedor de tecnología del Pentágono, tuvo que reconocer en 2011 frecuentes ‘ciberataques’ tras publicarse uno de ellos, cuyas consecuencias trató de minimizar.

Mientras que en Washington el presidente Obama quiere fomentar un mayor intercambio de información sobre ‘ciberamenazas’ entre el Gobierno y las empresas privadas -aunque de forma voluntaria-, laComisión Europea quiere ir un poco más allá y anunció en Bruselas su intención de obligar legalmente a determinadas empresas y administraciones públicas a informar sobre ‘ciberataques’ u otros incidentes de seguridad digitales.

A %d blogueros les gusta esto: