Varias veces he hablado de las ciberguerras. Stuxnet ha sido una versión de baja intensidad y alta localización de la ciberguerra, y es un ejemplo de cómo puede ir cambiando el panorama.
La idea es fácil, la implementación complicada: un virus (técnicamente un gusano) dirigido no a computadoras sino a un controlador lógico programable, el tipo de hardware que se encuentra en una máquina industrial y que dirige sus procesos. Normalmente, los PLC no están conectados a la Internet de la misma forma que lo hacen las computadoras, es decir a través de aplicativos que pueden ser controlados por el usuario, sino que usan la Internet para enviar y recibir data de equipos similares o para diagnósticos, de maneras muy precisas y sin intervención de usuarios no entrenados. En otras palabras, los PLC son seguros.
Pero muchas veces en las plantas industriales, se cuenta con computadoras que permiten monitorear el trabajo de los PLC y extraer data para seguimiento de procesos. Stuxnet fue diseñado para que cuando estuviera en una computadora, cualquiera esta fuera, buscara conexiones con un PLC preciso, diseñado por Siemens, que se sabía Irán había comprado para manejar sus centrifugadoras de material nuclear. Este virus cambiaba el funcionamiento de la centrifugadora, ocultando su acción, y así modificando el proceso industrial hasta hacerlo inútil.
Al parecer, Stuxnet fue creado por una agencia gubernamental, por su sofisticación; existen indicios que habría sido Israel, a través de su Unidad 8200, la creadora de este gusano; lo que no solo tiene sentido sino que es casi una excelente noticia, porque con un virus habrían logrado lo que antes requería un bombardeo. Lo interesante no yace aquí, sino en su conexión con el concepto mismo de ciberguerra.
No se trata de hacer escándalo, porque nada indica que los países vecinos estén interesados en forma alguna de guerra contra nosotros, sino más bien de destacar que es relativamente simple para un agente no oficial hacerse de herramientas para ataques informáticos. Los casos discutidos anteriormente, y el caso mismo de Wikileaks en estos días, sujeta a constantes ataques DDS, no necesariamente provenientes de agencias estatales, sirven como ejemplos. Pero la existencia de herramientas que permiten ataques tan sofisticados como el de Stuxnet llevan inevitablemente a pensar cuánto tomará para que caigan en manos de terceros.
Aunque todo indica que el caso de Stuxnet es el resultado de un descuido (alguien que metió el USB equivocado en el puerto indebido), es casi imposible impedir que haya errores como estos, en donde alguien simplemente mete la pata y permite un ataque al dejar una rendijita abierta. Basándose en este principio, los ciberatacantes solo tienen que confiar en que alguien cometerá un error para lograr su objetivo, que es penetrar la línea de seguridad y hacer que una red o sistema colapse. El resultado puede ser peor que un ataque convencional, porque hace un daño comparable pero no permite saber de dónde vino, o cómo se hizo, o cómo evitarlo.
Lecciones para ir preparándonos: las ciberguerras no son ni poca cosa ni algo para el futuro.
Addenda: una explicación técnica más detallada, otra más, en formato de pregunta y respuesta.
Mostrando entradas con la etiqueta Malware. Mostrar todas las entradas
Mostrando entradas con la etiqueta Malware. Mostrar todas las entradas
domingo, 5 de diciembre de 2010
sábado, 17 de enero de 2009
Downadup: un gusano peligrosísimo de Windows
La última emergencia que afecta la Internet y el Windows se llama downadup; también se lo llama Conficker. Es un gusano que está propalándose con velocidad impresionante hace pocos días (F-Secure considera que está cerca de 9 millones de infecciones hacia el viernes por la tarde). Ataca una vulnerabilidad ya parchada de Windows 2000 y XP (pero no Vista), gracias a la falta de cuidado de muchos usuarios que no han instalado el parche aún.
Aunque no está claro exactamente qué haría este gusano, lo cierto que las redes infectadas están comprometidas y bien podría darse el caso que organizaciones enteras caigan a partir de una sola infección.
¿Solución? Si en la organización en la que trabajas / eres cliente no ha tomado la previsión de parchar la vulnerabilidad por ti, pregunta y exige que lo hagan. Si tienes actualizaciones sin instalar en Windows, hazlo aunque signifique instalar otras cosas. Si ya estás infectado, infórmate de cómo corregir el problema con tus wizards. El patch se encuentra aquí; usalo si tienes privilegios de instalación. También puedes seguir las instrucciones preventivas que ofrece F-Secure.
El patch, sin embargo, es prevención: si ya estás infectado la situación es más grave porque no hay una solución aparente todavía. Como dice F-Secure, cada vendedor de antivirus tendrá su propia solución, porque la desinfección este gusano es compleja y podría requerir apagar partes de la red local.
Addendum viernes 23 de enero: F-Secure ha estimado un conteo de infecciones por países, y hay una buena noticia: el Perú tiene alrededor de 0.1% de las infecciones reportadas, frente a Brasil con casi 12% y China con 15%. Un dato fascinante más: al parecer no infecta computadoras con teclados en ucraniano... a pesar del alto conteo de infecciones en Ucrania, que podrían ser computadoras con teclados en ruso o idiomas europeo occidentales.
-
Aunque no está claro exactamente qué haría este gusano, lo cierto que las redes infectadas están comprometidas y bien podría darse el caso que organizaciones enteras caigan a partir de una sola infección.
¿Solución? Si en la organización en la que trabajas / eres cliente no ha tomado la previsión de parchar la vulnerabilidad por ti, pregunta y exige que lo hagan. Si tienes actualizaciones sin instalar en Windows, hazlo aunque signifique instalar otras cosas. Si ya estás infectado, infórmate de cómo corregir el problema con tus wizards. El patch se encuentra aquí; usalo si tienes privilegios de instalación. También puedes seguir las instrucciones preventivas que ofrece F-Secure.
El patch, sin embargo, es prevención: si ya estás infectado la situación es más grave porque no hay una solución aparente todavía. Como dice F-Secure, cada vendedor de antivirus tendrá su propia solución, porque la desinfección este gusano es compleja y podría requerir apagar partes de la red local.
Addendum viernes 23 de enero: F-Secure ha estimado un conteo de infecciones por países, y hay una buena noticia: el Perú tiene alrededor de 0.1% de las infecciones reportadas, frente a Brasil con casi 12% y China con 15%. Un dato fascinante más: al parecer no infecta computadoras con teclados en ucraniano... a pesar del alto conteo de infecciones en Ucrania, que podrían ser computadoras con teclados en ruso o idiomas europeo occidentales.
-
Suscribirse a:
Entradas (Atom)