SEGURIDAD Y DEFENSA: ATAQUE DIGITAL

Por Yaakov Katz
14/1/11

Eric Byres estaba anonadado. Sentado en su oficina en Vancouver, Canada pocas semanas atras, el comenzo a tamizar algunos de los pedidos enviados a traves de Internet para obtener acceso a partes bloqueadas de la website de su compañia, Tofino Security, la cual provee soluciones de seguridad informaticas para grandes industrias.
Uno de los pedidos capturo su mirada. Era el nombre de una persona que el conocia de una de las grandes industrias con las cuales trabaja Tofino.
Byres llamo a su conocido para saber por que el estaba registrandose en el sitio nuevamente si el ya tenia una cuenta. El amigo estaba asombrado y dijo que alguien mas debia haberse hecho pasar por el. Eso encendio una alarma que envio a Byres a examinar las listas de nuevos pedidos que habia recibido en los ultimos meses. Lo que encontro fue asombroso.
“Lo que llamo nuestra atencion fue que el año pasado nosotros quizas tuvimos una o dos personas de Iran intentando acceder a areas de seguridad de nuestro sitio", dijo Byres. “Iran nunca estuvo en el mapa para nosotros y de pronto estamos ahora teniendo cantidades masivas de gente yendo a nuestro sitio web y gente que podemos identificar como de Iran."
Byres dijo que algunas personas se identificaban abiertamente como iranies cuando pedian permiso para registrarse en su sitio, mientras que otros estaban haciendose pasar por empleados de industrias con las que el trabaja frecuentemente.
“Hay una gran cantidad de gente intentando acceder a areas de seguridad directamente desde Iran y otra gente que esta poniendo identidad falsa", dijo. "Nosotros estamos hablando de cientos. Podria ser gente que es curiosa sobre lo que esta sucediendo, pero somos un sitio tan especializado que solo tendria sentido que estas personas esten involucradas en sistemas de control."
PERO PARA COMENZAR, por que visitar la website de Tofino? La respuesta se llama Stuxnet, a veces nombrado como un gusano, un virus o malware y sospechoso de haber causado serio daño a las instalaciones nucleares de Iran, particularmente a su planta de enriquecimiento de uranio de Natanz.
Algunos expertos en seguridad han llamado a Stuxnet un “arma,” afirmando que el daño que ha causado ha sido tan efectivo como un ataque militar, posiblemente retrasando el programa nuclear de Iran. Uno de ellos, Ralph Langer de Hamburgo, fue una de las primeras personas en estudiar el codigo de Stuxnet, al cual ha descripto como tan sofisticado como el escrito por los misiles crucero.
Sin acceso a Iran, no obstante, es dificil validar las afirmaciones, aunque eso podria haber sido lo que el saliente jefe del Mossad Meir Dagan intento hacer a principios de enero cuando dijo a periodistas que Iran no podria producir un arma nuclear hasta el 2015, un ligero retroceso de estimados anteriores que decian que alcanzaria esa etapa en el año proximo mas o menos.
Estados Unidos esta tambien segun se informa trabajando para ajustar las evaluaciones sobre el programa nuclear de Iran y en breve emitira un Estimado Nacional de Inteligencia actualizado.
Otros expertos son mas cautos respecto al impacto de Stuxnet, afirmando que incluso si causo daño ha sido probablemente reparado.
SEA CUAL SEA el caso, Stuxnet es una señal que ha llegado una nueva era de guerra- la era de la ciber-guerra.
“Luchar en la ciber dimension es tan importante como la presentacion de la lucha en la dimension aerea a principios del siglo XX", dijo el ex jefe de Inteligencia Militar Mayor General (res.) Amos Yadlin en un discurso politico el año pasado. "Preservar el liderazgo en este campo es especialmente importante, dado el vertiginoso ritmo de cambio... Como los aviones no tripulados, es un uso de fuerza que puede atacar sin importar distancia o duracion, y sin poner en peligro las vidas de los combatientes."
El no estaba exagerando. Dijo que era un campo en el que Israel tenia mucho para beneficiarse de un pequeño pais con limitadas capacidades militares. A traves de la ciber guerra, dijo Yadlin, incluso los pequeños paises podrian hacer cosas una vez reservadas a las superpotencias.
Stuxnet fue descubierto por primera vez por una compañia de seguridad informatica en Bielorrusia, pero solo llego a los titulares mundiales despues que los medios de comunicacion iranies anunciaron que el pais habia sido el blanco de un ciber ataque coordinado. En diciembre, el presidente Mahmoud Ahmadinejad admitio que Stuxnet habia infectado la instalacion de Natanz, pero menosprecio la extension del daño.
"Ellos tuvieron exito en crear problemas para una cantidad limitada de nuestras centrifugadoras con el software que habian instalado en partes electronicas. Pero el problema ha sido resuelto", dijo.
Eso podria no ser tan preciso. Byres, quien ha hecho algun trabajo para compañias israelies, dice que el interes continuo irani en el sitio web de su compañia es probablemente un indicio que el malware esta aun atacando las computadoras y sistemas de control de Natanz. “De otra manera, por que ellos estarian mirando tan de cerca mi sitio", pregunta.
PARA OCCIDENTE, es extremadamente dificil medir la extension del daño que causo Stuxnet. En septiembre, la firma de ciber seguridad
Symantec determino que mas de 30000 sistemas de computadoras habian sido infectados.
Pocos dias mas tarde, no obstante, Iran puso un firewall para evitar que la informacion sobre sus sistemas llegue al mundo exterior.
Aun tiene que ser quitado.
Pero lo que Symantec pudo determinar es que Stuxnet fue diseñado para apuntar a sistemas que tienen un convertidor de frecuencia, un tipo de aparato que controla la velocidad de un motor, como una centrifugadora.
El codigo de Stuxnet modifica controladores logicos programables en los drives del convertidor de frecuencia usados para controlar los motores. Cambia las frecuencias, primero a mas de 1400 Hz y luego baja a 2 Hz – acelerandolo y luego casi frenandolo – antes de establecerlo en mas de 1000 Hz. Iran generalmente hace correr sus motores a 1007 ciclos por segundo para evitar el daño, mientras que Stuxnet parecio incrementar la velocidad del motor a 1064 ciclos por segundo, un pequeño incremento pero suficiente, de acuerdo a expertos, para causar daño.
“Si tu comienzas a cambiar la velocidad, hay vibraciones y ellas se vuelven tan severas que pueden romper el motor", dijo David Albright, un experto en proliferacion nuclear radicado en Washington que estudio Stuxnet. "Si es cierto que esta atacando el IR-1, entonces esta cambiando la velocidad para atacar el motor.”
Durante su investigacion, Albright descubrio que a principios del año pasado, 1000 centrifugadoras, un decimo de las de Natanz, fueron misteriosamente desguazadas.
El hecho que solo 1000 fueron dañadas podria significar que Stuxnet – si causo el daño – estaba destinado a ser sutil y trabajar lentamente causando pequeñas cantidades de daño sin llevar a que los iranies sospecharan que algo extranjero habia infiltrado sus computadores.
PERO LA PREGUNTA CONTINUA - como infiltro Stuxnet las centrifugadoras, para comenzar? De acuerdo a un analisis de Stuxnet, sus creadores tomaron ventajas de archivos defectuosos especialmente armados colocados en drives USB para ejecutar malware automaticamente tan pronto como el archivo es leido por un sistema operativo.
En terminos mas simples, una vez que el disk-on key con el malware fue conectado a una de las computadoras de la red de Natanz, fue bajado automaticamente y comenzo a difundirse. Otro rasgo unico fue la inclusion de un rootkit, software diseñado para esconder la presencia del gusano. Esta parte del gusano fue llamada WinNT/Stuxnet.A.
La segunda fase del gusano, WinNT/Stuxnet.B, inyecta archivos encriptados en la memoria de la computadora infectada. Cada archivo tiene un proposito diferente – algunos estan destinados a ser utilizados para difundirse a otras computadoras y algunos son drivers, destinados a tomar control del motor de la centrifugadora.
Quien sea que haya escrito el codigo se aseguro de cubrir sus huellas. En vez de escribir un certificado digital falso, los creadores supuestamente robaron el certificado- esencialmente una pieza de la tarjeta de llamada del software- de una compañia de chips informaticos radicada en Taiwan. Como fue robada no esta claro pero la compañia no esta sospechada de involucramiento.
Ademas, la complejidad del gusano ha llevado a los expertos a concluir que hubo al menos cinco o seis escritores trabajando en el codigo simultaneamente, supervisados por equipos de control de calidad y gestion de proyectos, probablemente llegando a ser un equipo de muchas docenas en un periodo de muchos años. Un analista extranjero afirmo que el codigo era de la calidad del tipo de software que tu podrias encontrar en los misiles crucero.
De acuerdo a Langer, el experto aleman en informatica, todo lo que el atacante tuvo que hacer fue infectar la computadora de un contratista externo que trabaja en Natanz. “Tu no necesitas ingresar el drive infectado en Natanz; todo lo que tienes que hacer es asegurarte que alguien que tenga acceso a la instalacion tenga su computadora infectada y luego la conecte al servidor,” dijo.
Algunos informes de noticias se han referido a posibles pistas dejadas en el codigo de 15000 lineas de Stuxnet. Una posible pista fue la utilizacion de la palabra "Mirto" como el nombre de uno de los archivos, una posible referencia a Hadassah, el nombre de nacimiento de la Reina Esther, quien esta enterrada en Persia. Otra supuesta pista fue el numero 19790509 que aparece en el codigo y podria referirse al 9 de mayo de 1979, el dia en que un importante judio persa fue ejecutado en Teheran.
Las posibilidades que estas sean pistas reales son bajas, de acuerdo a Byres. Aunque hay una tradicion en la industria del software de dejar tarjetas de llamada dentro de codigos, en casos como Stuxnet, tendria mas sentido arrojar dentro un cebo para desviar la atencion lejos del creador real.
NADIE HA asumido la responsabilidad por el ataque pero los dedos han apuntado en su mayoria a Israel. Langer dijo que en su opinion al menos dos paises- posiblemente Israel y EEUU- estaban detras de Stuxnet.
Aunque todos en los mas altos escalones politico y de defensa de Israel creen que el programa nuclear de Iran tiene que ser frenado, muchos estan preocupados por la represalia, incluido Dagan. Si Stuxnet puede evitar a Israel esa guerra, no hay cuestion que vale la pena.
Hay una cantidad limitada de agencias que podrian haber estado involucradas en escribir tal programa. La primera es la Unidad 8200 de la Inteligencia Militar, el equivalente a la Agencia de Seguridad Nacional americana, la cual es responsable por señales de inteligencia, escuchas al enemigo y decodificacion de codigos y se le confiaron en 2009 las capacidades ciberneticas ofensivas de Tzahal.
Otra posibilidad es el Mossad, el cual tambien tiene fuertes capacidades tecnologicas pero es ligeramente inferior a la Unidad 8200, la mas grande unidad dentro de Tzahal.
El Mossad ha recibido un importante aliento en su presupuesto en los ultimos años para ayudar a adquirir los recursos necesarios para combatir efectivamente el programa nuclear de Iran. Su foco esta en operaciones encubiertas tales como actos de sabotaje y asesinatos similares al tipo que mato a un alto cientifico en Teheran en noviembre, el cual fue atribuido al Mossad, y la guerra cibernetica.
El anuncio irani que una red de espias del Mossad habia sido atrapado en Teheran esta semana – sea que la historia es cierta o no – es un indicio de cuan nerviosos estan los ayatollahs.
Fuente: THe Jerusalem Post- Este articulo fue traducido especialmente para el blog de OSA Filial Cordoba.