Cuando la defensa por oscurantismo no es suficiente

Sorprendía el fin de semana Routers con un reportaje en el que entrevistaba a varios ex-asesores en ciberseguridad de la Casa Blanca, llegando a la conclusión que el gobierno de Estados Unidos es el principal comprador de malware a nivel mundial.

parlamento-europeo-critico

Sorprendentes las palabras de Richard Clarke (uno de los asesores) que definía su antiguo trabajo de la siguiente manera:

Mi trabajo se basaba en tener 25 zero-days en un pen drive preparados para ser usados.

Y es que en el mundo de la seguridad informática, y en especial en el de la de infraestructuras críticas, la única defensa que se está alzando contra los ataques es el oscurantismo, un hecho que en su día resultó fuertemente útil, pero que en la época del acceso a la información a un click es totalmente inútil.

El desconocimiento de los procesos industriales por parte del lado oscuro es el dedo que tapona el agujero en el dique impidiendo que las aguas del mar invadan el terreno que éste protege“, leía hace tiempo en una entrada de Óscar Navarro, y no le falta razón.

Si algo podemos aprender de Stuxnet, es que lejos de abordar un problema como es el de la vulnerabilidad de un sistema informático, el ataque se dirigió partiendo del conocimiento de los sistemas físicos usados en la industria.

Un poco de repaso a la física de una central nuclear

Stuxnet fue diseñado atacar directamente al proceso de obtención de uranio enriquecido, esto es, 235U (más ligero) y el 238U (más pesado). Puesto que para la producción militar de uranio, se precisa de concentraciones superiores al 90% del isótopo más ligero, y éste aparece en la naturaleza en porciones inferiores al 1%, se recurre a enriquecerlo mediante centrifugadoras, que hacen girar el gas a velocidades convenientemente estipuladas.

Debido a la diferencia de peso entre los dos isótopos, el más pesado recibe más fuerza centrífuga, y por tanto, acaba por situarse en los márgenes superiores de la centrifugadora, mientras que el de menor peso, queda relegado al inferior, donde es succionado, y después del paso por varias etapas, acabamos obteniendo la pureza deseada.

Hablamos por tanto de un proceso largo, en el que intervienen varias maquinarias industriales (centrifugadoras), y qué son controladas por variadores de frecuencia.

Conocido el proceso de obtención del uranio enriquecido, los creadores de Stuxnet decidieron el objetivo del ataque.

Vivimos en un mundo profundamente conectado, no solo desde el punto de vista de internet, sino desde el proceso de producción de todo lo que nos rodea, de tal forma que bastó con conocer qué marca de variadores de frecuencia usaban en las fábricas objetivo, SIEMENS (con sus respectivas marcas en cada país). Un estudio pormenorizado de este componente en particular, dio como resultado un extenso informe sobre sus prestaciones, tanto físicas como digitales, siendo una de las más importantes para el caso que nos afecta, la necesidad de trabajar en intervalos de frecuencia entre 807 Hz y 1.210 Hz ¿Veis ya por dónde vamos, verdad?

Decidido el objetivo, toca centrarse en el ataque, muy bien.

Hablamos de un sistema físico que tiene que funcionar en un abanico de frecuencias estipulado, ya que en caso contrario, la separación entre los dos isótopos no se haría correctamente, y obtendríamos una pureza inferior. Es así como Stuxnet gestó durante meses su cometido, alterar los ciclos correctos de agitado del uranio en periodos de 27 días, de tal forma que algunas centrifugadoras (no todas, para que sea aún más complicado percatarse), paraban súbitamente hasta los 2 Hz, volviendo instantáneamente a frecuencias superiores a los 1000Hzs. Esta situación durante meses, indetectable, y aparentemente insulsa, que no disparaba ninguna alerta más que el simple hecho de una posible bajada de tensión, que era revisada, y “arreglada”.

Stuxnet no destruía el producto, ni tampoco el programa, o el propio sistema. Stuxnet fue diseñado para destruir la credibilidad de la propia industria, alterando sus valores de tal forma que sea únicamente el cliente quien acabe por percatarse de que la empresa lo está engañando (le está vendiendo un producto con menores prestaciones). Los operarios que trabajaban en la maquinaria fueron incapaces, durante meses, de descubrir que estaban siendo atacados, por el simple hecho de que los algoritmos usados habían sido desarrollados para que el humano, y los sistemas de alerta del programa, no vieran peligro alguno en lo que ocurría.

El éxito de Stuxnet radicaba en que era indetectable por la sencilla razón que toda la defensa que había sido diseñada (tanto humana como logística) era incapaz de sentirse víctima de un ataque en acontecimientos tan aparentemente aleatorios y repartidos en el tiempo. Stuxnet cumplió a la perfección su cometido ya que a día de hoy, somos incapaces de relacionar pautas de comportamiento distintas e individuales con un objetivo superior sino ocurren paralelamente.

Estamos preparados para enfrentarnos a situaciones de peligro inminente (te encuentras con un león en la sabana, el ordenador se apaga súbitamente), pero no para peligros débiles durante meses (situación constante de ansiedad, Stuxnet).

¿Qué podemos aprender de Stuxnet?

  • Que el objetivo de los ataques ha evolucionado: Actualmente podemos estar infectados con malware dirigido a terceros, por la simple razón que algún componente nuestro resulta eficaz para atacarlos.
  • Que no estamos programados para este tipo de ataques: Biológicamente somos incapaces de defendernos contra ataques de poca importancia y continuos, y nuestra tecnología se basa precisamente en eso.
  • Que la protección por oscurantismo no funciona: Internet es una ingente base de datos con información técnica suficiente para atacar cualquier sistema actual, por muy moderno que sea. Todo sistema tiene partes de terceros, o ha sido eleborado siguiendo procesos de terceros, por lo que si hay suficiente interés, es posible vulnerar cualquier dispositivo.
  • Que los ataques sofisticados buscan el mayor perjuicio: y este no es destruir la tecnología, sino usarla incorrectamente para que a la larga se traduzca en millones y millones de pérdidas. Desacreditación, pérdida de stock, informes modificados, malestar en el cliente.

Stuxnet es ante todo la creación maligna de mundo globalizado y profundamente conectado. Y defenderse contra él (y los que vendrán) va a resultar extremadamente complejo, puesto que basa todo su potencial en los pilares sobre los que se levante la sociedad de la información actual.