Ciberarmas

En el pensar de...Cuando se habla de ciberguerra algunas personas siguen pensando en alguna obra de postcyberpunk[1]; ojalá fuera así, sin embargo, más que una ficción esto ya es una realidad. Si la ciberguerra existe,  ¿entonces las ciberarmas también?

Últimamente se ha hablado de ciberarmas y hay tres de ellas que vale la pena revisar, cada una diseñada, aparentemente, con un propósito en particular y un inicio común:

Stuxnet

  1. Nombre: Stuxnet.
  2. Alias: W32/Stuxnet-B, Rkit/Stuxnet.A, W32.Temphid, Backdoor/Win32.Stuxnet, Trojan-Dropper:W32/Stuxnet, RootKit.Win32.
  3. Objetivo: sabotear los sistemas SCADA (Supervisor Control and Data Acquisition) iraníes de la marca Siemens.
  4. Métodos de propagación:
    • Vulnerabilidades tipo Día Cero a nivel sistema operativo Windows y sistema SCADA.
    • Dispositivos USB.
  5. Posible origen: Estados Unidos[2] e Israel[3].
  6. Fecha de detección: junio, 2010.
  7. Fecha de posible inicio de operaciones: marzo o abril, 2010.
  8. Características especiales:
    • Stuxnet es el primer código malicioso (malware) destinado para atacar infraestructura de control SCADA.
    • Desarrollado en diversos lenguajes de programación como C y C++, lo cual es inusual en el desarrollo de malware.
    • Capacidad de realizar un ataque de hombre en medio (MiM) para evitar que un sistema de control se reinicie, aun en un funcionamiento anómalo[4].
    • Uso de un controlador (driver) firmado digitalmente por dos compañías diferentes: JMicron y Realtek, lo cual le permite instalarse como un rootkit a nivel kernel (kernell-mode rootkit)[5]

Duqu

  1. Nombre: Duqu.
  2. Alias: W32.Duqu.
  3. Objetivo: obtener información de sistemas de control SCADA.
  4. Métodos de propagación: vulnerabilidades tipo día cero a nivel sistema operativo Windows y paquetería de Office.
  5. Posible origen: Estados Unidos.
  6. Fecha de detección: 1º  de septiembre de 2011.
  7. Fecha de posible inicio de operaciones: se sospecha que al menos un año antes de su detección.
  8. Características especiales:
    • La estructura de Duqu ha hecho pensar que es una plataforma de ataque para cualquier tipo de sistema, lo cual lleva a la posibilidad de realizar ataques físicos, sistemas con acceso a equipos físicos y no solo lógicos, desde ella.
    • Se identificó en un caso de infección el uso de un certificado digital válido, firmado por la empresa C-Media[6].
    • Es configurado para ejecutarse por 36 días, después automáticamente se remueve.
    • Dentro del malware existe una sección de código en la cual no se podía identificar el lenguaje de programación, lo que hizo pensar que fue desarrollado en un nuevo marco de trabajo (framework) diseñado especialmente para esto; sin embargo, tiempo despuSin embargo la menera en que hoy se aborda este tema sigue siendo compleja por ejemplo s gobiernos no pueden ni deben dejar ver és se identificó que fue desarrollado en Objective C y compilado en Microsoft Visual Studio 2008[7].

 

Flame

  1. Nombre:  Flame.
  2. Alias: sKyWiper.
  3. Objetivo: programa de espionaje que puede capturar tráfico de red, actividad del teclado, llamadas de Skype y descarga de datos vía Bluetooth  de los equipos infectados.
  4. Métodos de propagación:
    • Vía dispositivos USB.
    • Actualización de seguridad falsa.
    • Exploit de vulnerabilidades conocidas.
  5. Posible origen: Estados Unidos[8].
  6. Fecha de detección: 28 de mayo de 2011.
  7. Fecha de posible inicio de operaciones: alrededor del año 20079].
  8. Características especiales:
    • Se detectó en diversos países como Irán, Sudán, Siria, Líbano, Arabia Saudita y Egipto.
    • Utiliza cinco métodos de cifrado para guardar la información que obtiene.
    • Emplea dos vulnerabilidades que Stuxnet usa para contaminar otros sistemas.
    • Fue desarrollado para falsificar un certificado de Microsoft, el cual hizo pasar como una licencia válida de Microsoft Terminal Services en sistemas Windows 7 y 2008. Incluso empleó una nueva tcnica de coliciones en el algoritmo md5ia de Microsoft Terminal Services, en sistemas Windows 7, 2008 incluso empleo una nueva técnica de colisiones en el algoritmo MD5[10], con lo cual parecía ser un programa original de Microsoft.
    • Algunos investigadores han encontrado que podría haber una relación entre los creadores de Stuxnet y Flame[11].

Aún después de ver algunas de las características de estos códigos maliciosos, podríamos simplemente cerrar los ojos y dejar de ver lo que sucede. Hoy lo que parece ser una realidad es que no solo grupos de aficionados, piratas informáticos o bandas criminales están desarrollando ciberarmas, por ello los gobiernos nacionales no pueden ni deben menospreciar los alcances del ciberespacio.

Incluso la manera en que hoy se aborda este tema sigue siendo controversial; un ejemplo es cuando Richar Bejtlich[12] dijo que no estaba de acuerdo y que los argumentos, que expongo más adelante, manejados por Chris Soghonian y  Mikko Hypponen eran los más tontos que había escuchado. Durante el Personal Democracy Forum 2012[13] Cris comentó lo siguiente “Debido a que comprometió el canal de actualizaciones de Microsoft, el gusano Flame ha dañado la confianza en las actualizaciones automáticas y eso es algo malo porque ellas han hecho mucho por la seguridad de los consumidores”. Mikko, durante una entrevista para el International Business Times[14], comentó que estaba planeando escribir una carta a Barack Obama pidiéndole que su gobierno detuviera el programa de cibersabotaje.

Una de las cuestiones interesantes a resaltar es que hoy en día han aparecido estos códigos que literalmente pueden ser considerados armas; estos se aprovechan incluso de vulnerabilidades del tipo día cero (0day, zero day), el cual representa un mercado muy lucrativo, y se cree que el gobierno de los Estados Unidos es el comprador número uno de ellos.

Este tema tiene varias aristas y a medida que se observa desde puntos diferentes los aspectos relacionados con la ética comienzan a aparecer, algunos análisis incluso plantean que la ciberguerra no es más que invenciones de algunas pocas personas, sin embargo me gustaría citar a la ENISA[15] (European Network and Information Security Agency) respecto a las botnets: “Son redes de computadoras silenciosamente secuestradas por organizaciones criminales. Estas son ciberarmas criminales usadas para ataques serios que amenazan la economía europea y la privacidad de los ciudadanos.”

Discutir sobre lo bueno y lo malo de una ciberguerra o ciberarmas es más un ejercicio filosófico y difícilmente se llegará a un consenso general, pero es importante evitar cerrar los ojos y solo dejar que los acontecimientos fluyan, es necesario estar conscientes de nuestra realidad y nuestras limitaciones porque esto nos permitirá estar mejor preparados.

[email protected]


[1] Postcyberpunk, Wikipedia, http://en.wikipedia.org/wiki/Postcyberpunk#Postcyberpunk

[2] Zetter Kim, Report: Obama Ordered Stuxnet to Continue After Bug Caused It to Spread Wildly, Wired ,Estados Unidos, 1 junio 2012

[3] Sanger David, Obama Order Sped Up Wave of Cyberattacks Against Iran, The New York Times, Estados Unidos, 1 junio 2012

[4] Steven Cherry ,Sons of Stuxnet, IEEE Spectrum, 14 diciembre 2011, http://spectrum.ieee.org/podcast/telecom/security/sons-of-stuxnet

[5] Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. “Stuxnet Under the Microscope”, 24 September 2010, ESET

[6] ZetterKim, Son of Stuxnet Found in the Wild on Systems in Europe,  18 de octubre 2011, Wired, http://www.wired.com/threatlevel/2011/10/son-of-stuxnet-in-the-wild/

[6] Soumenkov Igo, The mystery of Duqu Framework solved

[7] Soumenkov Igo, The mystery of Duqu Framework solved, http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved

[8] Nakashima Ellen, Miller Greg, Tate Julio, U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say, 19 junio 2012, Washinton Post,Estados Unidos, http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html

[9] Sterling Bruce, Flame a cyberweapon that makes Stuxnet look cheap, 28 de mayo 2012, Wired, http://www.wired.com/beyond_the_beyond/2012/05/flame-a-cyberweapon-that-makes-stuxnet-look-cheap

[10] Stevens Marc, TECHNICAL BACKGROUND OF THE FLAME COLLISION ATTACK, CWI, 7 de junio 2012, http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware

[11] Aleks, Back to Stuxnet: the missing link, http://www.securelist.com/en/blog?weblogid=208193568

[12] Bejtlich Richard, Flame hypocrisy,  http://taosecurity.blogspot.mx/2012/06/flame-hypocrisy.html

[13] Soghoian Chris, Lessons from the Bin Laden Raid and Cyberwar, http://www.youtube.com/watch?v=pJu0qEha2I0

[14] Gilbert David, US Government Behind Flame Virus According to Expert, http://www.ibtimes.co.uk/articles/352232/20120614/flame-government-obama-cyber-espionage.htm

[15] ENISA, Policy Statement on Botnets, ENISA, 11 Mayo 2011, http://www.enisa.europa.eu/media/news-items/policy-statement-on-botnets

Eduardo Patricio Sánchez. CISSP, CISM, GCIH, GWAPT, CEH y CHFI

Se considera un entusiasta de la seguridad informática que ha trabajado como consultor en seguridad de la información. Ha colaborado en la implementación, auditoría y administración de herramientas de seguridad. Durante varios años sus esfuerzos estuvieron enfocados a la respuesta a incidentes de seguridad y las pruebas de penetración, actualmente es responsable de los laboratorios de investigación SCILabs (Scitum CyberIntelligence Laboratories) desde donde apoya a sus clientes a entender la manera de afrontar los nuevos riesgos cibernéticos a los que se enfrentan 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.