Cuando la defensa por oscurantismo no es suficiente

Sorprendía el fin de semana Routers con un reportaje en el que entrevistaba a varios ex-asesores en ciberseguridad de la Casa Blanca, llegando a la conclusión que el gobierno de Estados Unidos es el principal comprador de malware a nivel mundial.

Sorprendentes las palabras de Richard Clarke (uno de los asesores) que definía su antiguo trabajo de la siguiente manera:

Mi trabajo se basaba en tener 25 zero-days en un pen drive preparados para ser usados.

Y es que en el mundo de la seguridad informática, y en especial en el de la de infraestructuras críticas, la única defensa que se está alzando contra los ataques es el oscurantismo, un hecho que en su día resultó fuertemente útil, pero que en la época del acceso a la información a un click es totalmente inútil.

«El desconocimiento de los procesos industriales por parte del lado oscuro es el dedo que tapona el agujero en el dique impidiendo que las aguas del mar invadan el terreno que éste protege«, leía hace tiempo en una entrada de Óscar Navarro, y no le falta razón.

Si algo podemos aprender de Stuxnet, es que lejos de abordar un problema como es el de la vulnerabilidad de un sistema informático, el ataque se dirigió partiendo del conocimiento de los sistemas físicos usados en la industria.

Un poco de repaso a la física de una central nuclear

Stuxnet fue diseñado atacar directamente al proceso de obtención de uranio enriquecido, esto es, ²³⁵U (más ligero) y el ²³⁸U (más pesado). Puesto que para la producción militar de uranio, se precisa de concentraciones superiores al 90% del isótopo más ligero, y éste aparece en la naturaleza en porciones inferiores al 1%, se recurre a enriquecerlo mediante centrifugadoras, que hacen girar el gas a velocidades convenientemente estipuladas.

Debido a la diferencia de peso entre los dos isótopos, el más pesado recibe más fuerza centrífuga, y por tanto, acaba por situarse en los márgenes superiores de la centrifugadora, mientras que el de menor peso, queda relegado al inferior, donde es succionado, y después del paso por varias etapas, acabamos obteniendo la pureza deseada.

Hablamos por tanto de un proceso largo, en el que intervienen varias maquinarias industriales (centrifugadoras), y qué son controladas por variadores de frecuencia.

Conocido el proceso de obtención del uranio enriquecido, los creadores de Stuxnet decidieron el objetivo del ataque.

Vivimos en un mundo profundamente conectado, no solo desde el punto de vista de internet, sino desde el proceso de producción de todo lo que nos rodea, de tal forma que bastó con conocer qué marca de variadores de frecuencia usaban en las fábricas objetivo, SIEMENS (con sus respectivas marcas en cada país). Un estudio pormenorizado de este componente en particular, dio como resultado un extenso informe sobre sus prestaciones, tanto físicas como digitales, siendo una de las más importantes para el caso que nos afecta, la necesidad de trabajar en intervalos de frecuencia entre 807 Hz y 1.210 Hz ¿Veis ya por dónde vamos, verdad?

Decidido el objetivo, toca centrarse en el ataque, muy bien.

Hablamos de un sistema físico que tiene que funcionar en un abanico de frecuencias estipulado, ya que en caso contrario, la separación entre los dos isótopos no se haría correctamente, y obtendríamos una pureza inferior. Es así como Stuxnet gestó durante meses su cometido, alterar los ciclos correctos de agitado del uranio en periodos de 27 días, de tal forma que algunas centrifugadoras (no todas, para que sea aún más complicado percatarse), paraban súbitamente hasta los 2 Hz, volviendo instantáneamente a frecuencias superiores a los 1000Hzs. Esta situación durante meses, indetectable, y aparentemente insulsa, que no disparaba ninguna alerta más que el simple hecho de una posible bajada de tensión, que era revisada, y «arreglada».

Stuxnet no destruía el producto, ni tampoco el programa, o el propio sistema. Stuxnet fue diseñado para destruir la credibilidad de la propia industria, alterando sus valores de tal forma que sea únicamente el cliente quien acabe por percatarse de que la empresa lo está engañando (le está vendiendo un producto con menores prestaciones). Los operarios que trabajaban en la maquinaria fueron incapaces, durante meses, de descubrir que estaban siendo atacados, por el simple hecho de que los algoritmos usados habían sido desarrollados para que el humano, y los sistemas de alerta del programa, no vieran peligro alguno en lo que ocurría.

El éxito de Stuxnet radicaba en que era indetectable por la sencilla razón que toda la defensa que había sido diseñada (tanto humana como logística) era incapaz de sentirse víctima de un ataque en acontecimientos tan aparentemente aleatorios y repartidos en el tiempo. Stuxnet cumplió a la perfección su cometido ya que hoy en día, somos incapaces de relacionar pautas de comportamiento distintas e individuales con un objetivo superior sino ocurren paralelamente.

Estamos preparados para enfrentarnos a situaciones de peligro inminente (te encuentras con un león en la sabana, el ordenador se apaga súbitamente), pero no para peligros débiles durante meses (situación constante de ansiedad, Stuxnet).

¿Qué podemos aprender de Stuxnet?

Que el objetivo de los ataques ha evolucionado: Actualmente podemos estar infectados con malware dirigido a terceros, por la simple razón que algún componente nuestro resulta eficaz para atacarlos.
Que no estamos programados para este tipo de ataques: Biológicamente somos incapaces de defendernos contra ataques de poca importancia y continuos, y nuestra tecnología se basa precisamente en eso.
Que la protección por oscurantismo no funciona: Internet es una ingente base de datos con información técnica suficiente para atacar cualquier sistema actual, por muy moderno que sea. Todo sistema tiene partes de terceros, o ha sido eleborado siguiendo procesos de terceros, por lo que si hay suficiente interés, es posible vulnerar cualquier dispositivo.
Que los ataques sofisticados buscan el mayor perjuicio: y este no es destruir la tecnología, sino usarla incorrectamente para que a la larga se traduzca en millones y millones de pérdidas. Desacreditación, pérdida de stock, informes modificados, malestar en el cliente.

Stuxnet es ante todo la creación maligna de mundo globalizado y profundamente conectado. Y defenderse contra él (y los que vendrán) va a resultar extremadamente complejo, puesto que basa todo su potencial en los pilares sobre los que se levante la sociedad de la información actual.

Trackbacks / Pingbacks

Hackstory. | Bit- Bat Informatika - […] bocas (o por el simple miedo que otro pudiera hacer uso de la misma y acabar con su trabajo). Información guardada bajo…

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

COMENTARIO

Nombre *

Correo electrónico *

Web

Notificarme nuevos comentarios por correo electrónico.

Información básica de protección de datos.

Es mi deber informarte de que el Responsable del Tratamiento de los datos que facilitas es Pablo F. Iglesias (es decir, yo), y se tratan con el fin de participar en la página web a través de comentarios y/o atender tu petición de recibir semanalmente información sobre tecnología y seguridad y/o participar en sorteos, por lo que la legitimación deriva de ti como interesado. Los datos solo se cederán: a) a terceros directamente si existe amparo legal para ello; b) a Encargados de Tratamiento; c) en otros casos, se te solicitaría consentimiento previo y expreso. Tienes derecho a saber si se tratan sus datos y a acceder, rectificar, oponerte, portar, limitar su tratamiento y a no ser objeto de decisiones automatizadas, así como a suprimirlos y cancelarlos en los casos legales, y puedes ejercitarlos dirigiendo tu solicitud a [email protected].

Se conservan en los plazos legales y contractuales aplicables según el caso. Puedes acceder a información más amplia sobre privacidad en esta página.

Current ye@r *

Cuando la defensa por oscurantismo no es suficiente

Un poco de repaso a la física de una central nuclear

¿Qué podemos aprender de Stuxnet?