Category: BADBIOS / DUQU / FLAME / MINI FLAME / REGIN / STUXNET / STUXNET II/


“I’ll hazard I can do more damage on my laptop sitting in my pajamas before my first cup of Earl Grey than you can do in a year in the field…”

La frase con la que inicio este artículo es un diálogo extraído de la famosa película Skyfall (2012), donde el protagonista, el agente James Bond 007, nuevamente lucha ferozmente contra los enemigos de la corona inglesa, solo que en esta entrega en particular los villanos se valen mayormente de computadoras y virus informáticos para lograr sus amenazas. Dicha frase encierra el gran poderío que un “hacker/cracker” de un extraordinario nivel técnico puede blandir tan eficazmente si se propusiera lanzar un ataque informático a gran escala que consiguiera afectar no solamente a un individuo u organización, sino que fuera capaz de poner en jaque a una nación entera. Sabemos de antemano que el filme cae dentro del género de la ciencia ficción, pero aún con todo, llama poderosamente la atención que esta pequeña frase se pueda volver tan real en nuestro mundo de hoy en día. Por supuesto, es importante que la mayoría de las personas se percaten de las implicaciones de estos ataques mayúsculos en su vida cotidiana, así como la altísima probabilidad de su inminente (y recurrente) aparición en los próximos años.

De la misma forma que la bomba atómica al final de la Segunda Guerra Mundial marcó el inicio de la era atómica, el virus informático nombrado como “Stuxnet”, descubierto en el año 2010, marcó para muchos expertos el comienzo de la era de la ciberguerra. En esta era, la característica principal, como se puede inferir, es que las armas estarán basadas en el software e Internet y las redes serán el escenario de las operaciones militares.

Luego del hallazgo de Stuxnet -que atacó directamente las centrales nucleares en Busher, Irán- aparecieron más amenazas informáticas sin precedentes en su complejidad y ejecución. Por señalar algunas, Flame en el 2012, que se situó geográficamente en el Medio Oriente y fue un malware construido para el espionaje; Gauss, descubierto en el mismo año y especializado en espiar transacciones bancarias; y muy recientemente, Equation en el 2015, un malware silencioso y potente capaz de vivir permanentemente en el hardware de la máquina y efectuar operaciones de espionaje y sabotaje jamás vistas por los analizadores de malware y los expertos en seguridad.

En este punto, se puede mencionar que de desatarse una guerra mundial será una ciberguerra y aquí podemos señalar otro punto que es claramente diferencial con respecto a las guerras pasadas y “convencionales”: la posibilidad de una guerra asimétrica. Esto significa que, bajo el contexto de guerra cibernética, no importaría realmente el tamaño de los contendientes, (una persona contra una organización, un grupo contra una nación, una nación pequeña contra una más grande). El hecho de utilizar armas cibernéticas da la ventaja de eliminar la probable desproporción de fuerza militar.

Podemos darnos cuenta entonces de lo que una ciberguerra implicaría y los activos que se verían afectados en caso de suceder, pero también es cierto que la mayoría de la infraestructura tecnológica de los países no está “aún” online y si bien el internet de las cosas está llegando muy pronto a la convivencia con el ser humano, ahora mismo una tormenta de lluvia es mucho más peligrosa para una instalación eléctrica de una ciudad que un hacker.

Está claro que no hay que ser fatalistas, hay que crear conciencia del daño que en primera instancia un hacker puede lograr y después lo que traería una guerra cibernética creada con estos sofisticadísimos virus informáticos, que como dijo Stephen Hawking, desafortunadamente es la única forma de vida que hemos creado los seres humanos hasta el momento, y es puramente destructiva.

 

Por Fernando Velázquez

Fuente: wsimag.com

Anuncios

El código malicioso Regin se ha mantenido activo por varios años en el país, del total de sus ataques, 48% fue hacia micro empresas y a particulares

México es atacado con un malware 'altamente complejo'. Foto Thinkstockphotos

CIUDAD DE MÉXICO.- México se ubica en el tercer puesto de los países afectados por un código malicioso, malware, conocido como Regin, que sirve como herramienta de ciberespionaje y monitoreo que se ha mantenido activo por varios años, alertaron expertos de Symantec. El atacante puede controlar funciones como el mouse, robar contraseñas, monitorear el tráfico de la red, hacer capturas de la pantalla y recuperar archivos borrados, entre otras acciones que puede ir personalizando dependiendo del objetivo.

La investigación realizada por la empresa de ciberseguridad reveló que Regin fue utilizado en campañas de espionaje informático entre 2008 y 2011, presentándose una segunda versión de este código malicioso que permite infectar equipos y monitorear sus actividades a partir de 2013.

La forma de exponerse a este malware es visitar versiones falsas de sitios web conocidos, ya que permite que se instale el código a través del navegador o mediante alguna aplicación.

De hecho, en una computadora revisada por Symantec se encontró que Regin fue instalado por medio de Yahoo! Instant Messenger.

Una vez instalado en el equipo, para lo que tiene que pasar por 5 etapas, el atacante puede controlar funciones como el mouse, robar contraseñas, monitorear el tráfico de la red, hacer capturas de la pantalla y recuperar archivos borrados, entre otras acciones que puede ir personalizando dependiendo del objetivo.

Algunas de las acciones avanzadas identificadas en Regin fue el monitoreo del tráfico del servidor web y también rastrear las estaciones base de telefonía móvil.

  Los blancos

Symantec precisó que, entre los ataques identificados, 48 por ciento fue hacia pequeñas empresas e individuos particulares y en segundo lugar, con 28 por ciento, se encontraron las empresas de telecomunicaciones.

Destaca que éstas últimas fueron blancos de los cibercriminales porque así podían tener acceso a las llamadas telefónicas, lo que les permite acceder a un mayor rango de información.

Otras industrias vigiladas fueron los hospitales, el sector energético, las aerolíneas y las organizaciones dedicadas a la investigación.

Con respecto a los países que fueron víctimas, los especialistas de la empresa de ciberseguridad identificaron a 10 siendo los más afectados Rusia, con 28 por ciento, seguido de Arabia Saudita, con 24 por ciento y en tercer lugar México, con nueve por ciento.

Symantec calificó a Regin como una amenaza “altamente compleja” cuyos principales componentes siguen sin ser descubiertos, ya que puede tener funciones y versiones adicionales que hasta el momento no han sido descubiertas.

 

Por Aura Hernández

Fuente: dineroenimagen.com

Investigadores de seguridad cibernética identificaron un virus informático sumamente complejo que al parecer ha sido utilizado por un gobierno aún no identificado para espiar bancos, compañías de telecomunicaciones, agencias oficiales y otras organizaciones alrededor del mundo.
El software malicioso conocido como “Regin” está diseñado para recolectar información durante meses o años, penetrando en la profundidad de las redes informáticas mientras cubre sus rastros para no ser detectado, alertaron analistas de Symantec, la empresa de seguridad en Silicon Valley que reveló la existencia del programa esta semana en un reporte.
Citando factores que incluyen su complejidad y la posibilidad de que tomó años desarrollarlo, el gerente de seguridad de Symantec Vikram Thakur dijo el lunes “nosotros pensamos que no pudo haber surgido de nadie excepto una nación estado organizado y extremadamente bien financiado”.
A diferencia de software malicioso que ha sido utilizado para ingresar ilegalmente a sistemas de procesamiento de pagos de algunas tiendas departamentales, el virus Regin no está enfocado en recolectar números de tarjetas de crédito o información de cuentas financieras, dijo Thakur. En lugar de ello, tiene un objetivo más preciso y puede ser utilizado para recolectar pantallas de captura, copiar archivos borrados, robar contraseñas y monitorear comunicaciones digitales, incluidas llamadas de teléfonos celulares.
Evidencia de computadoras contaminadas muestra que el virus ha sido utilizado desde al menos 2008, con la mitad de los casos descubiertos en Rusia y Arabia Saudí, indicó Symantec. Con base en su diseño y comportamiento, expertos de Symantec y otras compañías no creen que haya sido desarrollado en Rusia o China, dos países a quienes con frecuencia se atribuye ataques cibernéticos alrededor del mundo.
Dos sitios de noticias en línea —Wired.com y The Intercept— citaron vínculos circunstanciales para sugerir que el programa fue usado en ataques cibernéticos europeos que Edward Snowden, el ex contratista de la Agencia de Seguridad Nacional (NSA), ha atribuido a agencias de inteligencia de Estados Unidos y Gran Bretaña. Sin llegar a esa conclusión, investigadores de Symantec Corp. y otras empresas dijeron que el diseño de Regin hacía recordar un programa complejo conocido como Stuxnet, el cual según reportaron The New York Times y The Washington Post fue desarrollado por agencias de Estados Unidos e Israel.
Cuando se le preguntó respecto a los reportes, una vocera de la NSA dijo a The Associated Press, “nosotros no vamos a comentar sobre conjeturas”.
Otros expertos advirtieron que es difícil rastrear la fuente del virus.
“No es difícil hacer que una pieza de software malicioso parezca que viene de cualquier parte del mundo”, dijo Adam Kujawa, de la empresa de seguridad Malwarebytes Labs.
Fuente: univision.com

Como si de una tenebrosa película de ciencia ficción se tratara, el riesgo de ataques cibernéticos que afecten a infraestructuras y a la integridad de las personas, ya es real. Los estados están alertas y no descartar utilizar armas convencionales para responder a esos ataques.

Guerra de Kosovo: escenario de la primera batalla cibernética.

La desintegración de la antigua Yugoslavia una década después de la muerte del dictador Tito, provocó una sucesión de conflictos entre las nacionalidades que la conformaban que aireó las vergüenzas de Europa. La magnífica Comunidad Económica Europea, garante de la paz y la prosperidad, veía como a sus puertas se producía un horror inimaginable y era incapaz de hacer nada para evitarlo.

En la etapa final de este terrible episodio de la historia europea, en 1999, la OTAN decidió intervenir en Kósovo, amenazando con bombardeando elementos estratégicos del ejército serbio, que se enfrentaban a las fuerzas separatistas de etnia albanesa de esa provincia.

En ese momento el capitán Dragan Vasiljković, muy afín al presidente Solbodan Milošević, decidió reunir a un grupo de hackers de diversas nacionalidades para intentar contrarrestar esas amenazas.

Según la información que ha trascendido de aquellos acontecimientos, lograron entrar en varios equipos estratégicos de la OTAN, de la Casa Blanca e incluso en el portaaviones estadounidense Nimitz.

Advertidos de lo que estaba pasando, los mandos de la OTAN informaron a sus presidentes y Bill Clinton decidió que se contraatacara con ataques de denegación de servicios a las webs de las instituciones serbias más relevantes. También se planteó dejar a la República Federal de Yugoslavia (integrada en aquel momento por Serbia y Montenegro) totalmente desconectada de Internet, aunque esta acción no se materializó.

Finalmente los bombardeos comenzaron y se extendieron entre el 24 de marzo y el 10 de junio de aquel año, momento en que fue declarado el final de la guerra.

Estas acciones cibernéticas previas a los bombarderos, han pasado a la historia como la primera batalla cibernética conocida.

 

Las batallas han continuado.

Desde entonces las acciones cibernéticas hostiles entre gobiernos se han sucedido. Por una parte están los casos de espionaje, por motivos económicos, políticos o militares. Por otra, las acciones deliberadas para provocar daños en el adversario.

Taiwán lleva una década denunciado intrusiones chinas en sus sistemas, dirigidas al robo de información, pero también a afectar a sus infraestructuras.

Estonia denunció públicamente en 2007 a Rusia, por un ataque que afectó gravemente a entidades gubernamentales, bancarias y medios de comunicación.

Otro ejemplo es Holanda, que sufrió un enorme ataque de denegación de servicio distribuido (DDoS) en 2013, que dejó anulado el sistema de firma digital que permitía a sus ciudadanos presentar la declaración de la renta. Este ataque afectó a 10 millones de personas.

Hay más casos de batallas cibernéticas y entre todos ellos destaca el más espectacular, sofisticado y sibilino: el caso Stuxnet.

 

Stuxnet: objetivo el programa nuclear iraní.

La histórica enemistad entre Irán y Estados Unidos, desde que el Ayatolá Jomeini llegase al poder en 1979, se exacerbó durante la década pasada, cuando los dirigentes del país árabe decidieron poner en marcha un importante programa nuclear.

Mahmud Ahmadineyad, presidente de la República Islámica de Irán, defendía públicamente que se trataba de un programa con fines pacíficos y totalmente legítimo, orientado a abastecer de energía a su país. Otros países, con Estados Unidos e Israel al frente, desconfiaban abiertamente de que esa fuera la única finalidad.

La tensión iba en aumento y en ciertos momentos se temía una intervención militar americana similar a las de Irak o Afganistán.

En ese clima de tensión fue en el que se desarrolló la operación Stuxnet.

 

Características de Stuxnet.

Se creo un troyano muy sofisticado, que aprovechaba varias debilidades “zero day” de los sistemas operativos Windows y de ciertos modelos de autómatas programables de la marca Siemens.

Además era capaz de suplantar el funcionamiento legítimo de sistemas de control SCADA, se actualizaba mediante protocolos P2P y, algo muy singular, sacaba partido de un experto conocimiento de las forma en que operan las centrales nucleares y de ciertos aspectos concretos de las que estaban situadas en territorio iraní que sólo era posible conocer mediante tácticas de espionaje tradicional.

Otro factor sorprendente es que el método de propagación estaba basado en simples pendrives. Alguien había “soltado” unos pendrives contaminados por Oriente Medio, había aguardado pacientemente que se extendiera el troyano, hasta que alcanzó centrales nucleares iraníes. El troyano era “tan listo”, que sabía distinguir que estaba en una de ellas: no en cualquier otro lugar o en cualquier otra central nuclear de cualquier país. Operaba exclusivamente en centrales nucleares de Irán.

Una vez activo, Stuxnet falseaba el funcionamiento de los sistemas SCADA, para que los distintos elementos de la central nuclear hicieran una cosa, pero informaran de otra. También provocaba ciertas averías aparentemente “normales”. No se trataba de hacer explotar las centrales nucleares, tan solo de retrasar a los científicos iraníes, bloqueado sus pasos y haciéndoles llegar a conclusiones erróneas en sus experimentos.

Y según parece ser, Stuxnet funcionó perfectamente, logrando su cometido durante varios años.

 

El destape de Stuxnet.

Stuxnet fue descubierto, con bastante de casualidad, por una empresa especializada en ciberseguridad de Bielorrusia, llamada VirusBlokAda en junio de 2010.

Debido al grado de sofisticación del troyano, y la finalidad tan clara que tenía, expertos de todo el mundo han concluido que es el resultado de el esfuerzo conjunto de las unidades especializadas en guerra cibernética de los ejércitos de Estados Unidos e Israel.

Ninguno de los dos gobiernos lo han reconocido, pero periódicos tan prestigioso como The New York Times se han atrevido a defender abiertamente esa atribución con argumentos de peso.

 

¿Y el futuro?

Teniendo en cuenta que el ser humano tiene una lamentable tendencia destructiva, que las sociedades actuales cada vez dependen más de la tecnología y que estamos muy lejos de que ésta sea segura, es más que previsible que en los próximos años las batallas cibernéticas se sucedan. Y que en algún momento se de un salto cualitativo y se comiencen a provocar sabotajes en infraestructuras que provoquen pérdidas de vidas humanas.

El General de División del Ejército de Tierra de España, José Manuel Roldan, declaraba abiertamente en el programa “En Portada”, en su emisión del 1 de octubre de 2012, que los ejércitos contemplan responder con armamento convencional, es decir, con misiles o intervenciones militares sobre el terreno, a eventuales ataques cibernéticos. La cosa es seria, no hay duda.

Y para finalizar…

 

Recomendaciones: una película y una canción.

La cuarta entrega de la franquicia La Jungla de Cristal, “La jungla 4.0”, fantaseaba sobre un ataque terrorista a los Estados Unidos, que bloquearía el funcionamiento de los ordenadores que controlan los sistema de comunicación, transporte y suministro de energía, provocando el caos en el país.

Se trata de una trepidante película de acción, dirigida por John McTiernan y protagonizada por Bruce Willis, que avanza algunos de los desastre que una próxima ciberguerra podría provocar.

Y como canción: una de AC DC.

Según la información que publicaron varios periódicos en julio de 2012, una mutación de Stuxnet, probablemente realizada por Anonymous, volvió a atacar las centrales iraníes. Aunque en esta ocasión no afectaba a los mecanismos de producción nuclear, sino que hacían sonar la canción “Thunderstruck” de AC DC a todos volumen a altas horas de la madrugada. ¡Alucinante!

 

Esta magnífica canción fue incluida en su disco “The Razors Edge”, de 1990, y fue un gran éxito en muchos países del mundo.

 

Por Florián Manuel Pérez Sánchez

Fuente: cantabriatic.com

El movimiento global de hacktivistas descentralizados Anonymous ha cobrado amplia resonancia internacional a raíz de sus actuaciones en la Primavera Árabe, OccupyWallStreet o el caso Assange. La forma de actuar de Anonymous, sin jerarquía ni liderazgo unificado, propicia campañas como OpIsrael, lanzada el 7 de abril de 2013, día en el que se recordaba a las víctimas del Holocausto, y por la que atacó, entre otros, a la ONG israelí Larger than Life, que se encargade proveer una buena calidad de vida a los niños enfermos de cáncer y a sus familias, sin importar su sexo, raza o religión, y al Yad Vashem, el museo que recuerda a seis millones de víctimas del nazismo. Según los activistas de OpIsrael, el objetivo era “borrar a Israel del ciberespacio” –trágica extensión de las palabras de Ahmadineyad en 2005: “borrar a Israel del mapa”–. El portavoz de Hamás en la Franja de Gaza, Ihab al Ghusain, escribió:

Dios proteja el espíritu y la misión de los soldados de esta guerra electrónica.

El ciberataque contra Israel se ha fijado para todos los 7 de abril. Pero en el de este año los hackers israelíes no se han quedado de brazos cruzados: han expuesto las fotos, nombres, e-mails, localizaciones, IP y cuentas en redes sociales de los hackers antiisraelíes.

Israel es el país que más ciberataques recibe a diario. Las líneas aéreas, los bancos, los ministerios, todo está en la mira de los hackers. La compañía eléctrica nacional (IEC, por sus siglas en inglés),informa su director, Ron Tal, recibe la friolera de 20.000 ataques al día. La IEC ha creado recientemente el Cyber Gym, con el objetivo de entrenar a sus empleados para defenderse de los ciberaataques. En junio de 2013 expertos de todo el país se reunieron en Tel Aviv en una Conferencia de Ciberseguridad, y el general reservista Yitzchak ben Yisrael, miembro de la Oficina Nacional Cibernética, creada hace dos años para el desarrollo de la ciberseguridad en el país, afirmó que Israel recibe 100.000 ciberataques diarios. No obstante, es notorio que se están haciendo los deberes. Israel es, junto a Finlandia y Suecia, el país más ciberseguro del mundo, según uninforme que hizo la SDA, patrocinado por McAfee, publicado en febrero de 2012.

El pasado mes de enero, Netanyahu declaró en Cybertech, una feria internacional sobre tecnología cibernética que atrae a más de 5.000 expertos al año, que Israel lidera la lucha occidental en materia de ciberseguridad. Según el director de la Oficina Cibernética Nacional, Eviatar Matania, el número de empresas israelíes que se dedican a la ciberseguridad ronda los 220, y representan entre un 5 y un 10% del mercado mundial de ciberseguridad.

El gran bastión israelí de la ciberseguridad está en la ciudad de Bersheba, en el complejo CyberSpark. A principios de este año IBM, Cisco, EMC, Lockheed Martin RSA y Deutsche Telekom anunciaron que crearán centros de I+D sobre seguridad cibernética en CyberSpark.

La ciberpotencia israelí no sólo se mide en sus defensas, también en sus armas. Como David Pollock y Michael Eisensdat señalaron en noviembre de 2012 en la revista Foreign Affairs,

la I+D militar israelí es pionera en muchas de las tecnologías de vanguardia que están transformando el rostro de la guerra moderna, incluyendo las de las armas cibernéticas.

En junio de 2010 salió a la luz el intento más exitoso hasta ahora para frenar las ambiciones nucleares de Irán por parte de Israel: el virus Stuxnet. Se trata de un gusano informático diseñado para el espionaje que subvierte los sistemas industriales. Fue el primero en incluir un kit de automatización con el fin de atacar los sistemas de control industrial de tecnología Siemens, el utilizado en las instalaciones nucleares iraníes. El gusano Stuxnet se propagó a países como Pakistán, India, Indonesia y Azerbaiyán. En agosto de 2010 la firma de ciberseguridad Symantec dijo que el 60% de los ordenadores infectados en todo el mundo estaban en Irán. En 2011 la ciberarma contra Irán fue Duqu. Según McAfee, una de sus acciones consiste en robar certificados digitales (y las claves privadas correspondientes, tal como se usa en la criptografía de clave pública) de las computadoras atacadas para ayudar a que los futuros virus aparezcan como software seguro. En 2012 fue Flame, que según el Washington Post es una ciberarma desarrollada, al igual que el Stuxnet, en conjunto por la CIA y el Ejército israelí.

La prosperidad y el bienestar de Israel son una realidad gracias, entre otras cosas, a sus extraordinarios sistemas defensivos. Netanyahu lo dejó muy claro en Cybertech:

Para sobrevivir a estos ataques, y para prosperar como nación, realmente no tenemos otra opción. Quiero decir, tenemos que ser buenos. Para estar aquí, tenemos que ser muy buenos, y en algunos cosas tenemos que ser los mejores.

 

Fuente: libertaddigital.com

El descubrimiento de Stuxnet en 2010 pareció anunciar una nueva era del conflicto que parece no haberse materializado aún

Al igual que con la bomba atómica en los últimos días de la Segunda Guerra Mundial, el virus informático conocido como Stuxnet, descubierto en 2010, pareció marcar el comienzo de una nueva era de guerra. En la era de la ciberguerra, según advirtieron los expertos, en vez de explosivos, tanques y ametralladoras, tendremos ataques silenciosos y basados ​​en software, o al menos serán el primer paso antes de la artillería pesada.

O tal vez no. Casi cuatro años después de que fuera identificado por primera vez en público, Stuxnet es una anomalía: es la primera y única ciberarma que, según se sepa, haya sido desplegada. Algunos expertos en ciberseguridad e infraestructura crítica quieren saber por qué. ¿Hay un menor número de objetivos realistas de los que se sospechaba? ¿Son este tipo de armas más difíciles de construir de lo que se pensaba? ¿O es que, sencillamente, la actual generación de ciberarmas está muy bien escondida?

Estas preguntas rondaban la mente de los principales expertos del mundo en seguridad de sistemas de control industrial la semana pasada durante la conferencia anual S4 celebrada en las afueras de Miami (EEUU). S4 reúne a los mejores expertos del mundo en seguridad de reactores nucleares, redes eléctricas y líneas de montaje.

En S4 casi todos estuvieron de acuerdo en que, mucho después de que el nombre de Stuxnet haya desaparecido de los titulares, algunos sistemas de control industrial, como los Controladores Lógicos Programables Siemens, siguen siendo vulnerables.

El investigador de seguridad de la firma IOActive, Eireann Leverett, aseguró a los asistentes de la conferencia que las prácticas de seguridad comunes en el mundo de la tecnología de la información dentro de las empresas siguen siendo algo poco común entre los proveedores que desarrollan sistemas de control industrial (ver “El enorme reto de proteger las redes eléctricas frente a los ‘hackers‘”). Leverett observó que los sistemas de control industrial modernos, que se venden por miles de dólares la unidad, a menudo vienen con tipo de software que carece de los controles de seguridad básicos, como la autenticación de usuarios, la firma de código para evitar actualizaciones de software no autorizadas, o el registro de eventos para permitir a los clientes realizar un seguimiento de los cambios en el dispositivo.

También está claro que, en los años transcurridos desde que Stuxnet salió a la luz, tanto las naciones desarrolladas como en desarrollo han aprovechado las operaciones cibernéticas como nueva y fructífera vía para la investigación y el desarrollo (ver “Bienvenidos a la industria del software malicioso“). La exanalista de inteligencia del Departamento de Defensa de EEUU, Laura Galante, que ahora trabaja para la firma Mandiant, señaló que EEUU no sólo está haciendo un seguimiento de las actividades de naciones como Rusia y China, sino también de Siria y el objetivo preferido de Stuxnet: Irán. Galante señaló que las armas cibernéticas dan a las naciones más pequeñas y pobres una forma de aprovechar fuerza asimétrica contra enemigos mucho más grandes.

Aun así, las armas cibernéticas verdaderamente eficaces requieren un nivel de experiencia extraordinario. Ralph Langner, quien tal vez sea la máxima autoridad mundial en cuanto al gusano Stuxnet, sostiene que la mera piratería de sistemas críticos no cuenta como guerra cibernética. Por ejemplo, Stuxnet fue noticia por haber usado cuatro vulnerabilidades de agujeros de “día cero” (o no descubiertos previamente) en el sistema operativo Windows. Pero Langner señala que la experiencia metalúrgica necesaria para entender la construcción de las centrifugadoras de Irán era mucho más impresionante. Los que crearon Stuxnet necesitaban saber la cantidad exacta de presión o el par necesario para dañar los rotores de aluminio por dentro y sabotear, así, la operación de enriquecimiento de uranio del país.

Concentrarse en herramientas basadas en software que puedan causar daño físico establece un listón mucho más alto para los debates relacionados con las armas cibernéticas, señala Langner. Según ese estándar, Stuxnet fue una verdadera ciberarma, pero el ataque Shamoon de 2012 contra la gigante petrolera Saudi Aramco y otras compañías petroleras no entran en esa categoría, a pesar de que se borraran los discos duros de los ordenadores infectados.

Hay quienes argumentan que las condiciones para el uso de una ciberarma tan destructiva simplemente no han surgido de nuevo, y no es probable que surjan por algún tiempo. Operaciones como Stuxnet, es decir, proyectos sigilosos diseñados para degradar lentamente la capacidad de enriquecimiento de Irán a lo largo de los años, son la excepción y no la regla, señaló Thomas Rid desde el Departamento de Estudios de Guerra en el Kings College de Londres (Reino Unido). “No hay demasiados objetivos que se presten a una campaña encubierta como la de Stuxnet”, señaló Rid.

Rid aseguró a los asistentes que la calidad de la inteligencia reunida sobre un objetivo concreto marca la diferencia entre una cirberarma eficaz y un fracaso.

También es posible que se hayan utilizado otras armas cibernéticas, pero las circunstancias que rodean a su uso son un secreto, protegido por los gobiernos como información “clasificada”, o por estrictos acuerdos de confidencialidad.

De hecho, Langner, que trabaja con algunas de las principales empresas y gobiernos industriales del mundo, afirmó que conoce otro ciberataque físico, en este caso vinculado a un grupo criminal. Pero no quiso hablar de ello.

Los profesionales del control industrial y académicos se quejan de que la información necesaria para investigar ataques futuros se mantiene fuera del dominio público. Y las compañías eléctricas, las empresas industriales y los propietarios de las infraestructuras críticas están tomando conciencia de que los sistemas que, según creían, estaban fuera del alcance del internet público, muy a menudo no lo están.

Mientras tanto, la tecnología está impulsando cambios cada vez más rápidos y transformadores como parte de lo que se conoce como el internet de las cosas. La conectividad general a internet, en combinación con ordenadores y sensores de bajo coste y minúsculos, pronto permitirá a los sistemas autónomos comunicarse directamente entre sí (ver “La nevera que enviaba ‘spam’“).

Si no se incluyen medidas de seguridad apropiadas en los productos industriales desde el primer momento, el potencial de ataques y el daño físico aumentan de forma espectacular. “Si seguimos ignorando el problema, vamos a tener serios problemas”, señaló Langner.

 

Por Paul F. Roberts

Traducido por Francisco Reyes

Fuente: technologyreview.es

tRADUCIDO

El surgimiento del malware BadBios, que se estaría propagando por medio de ultrasonidos, representa un nuevo nivel dentro de la clase de “supervirus” conocidos recientemente como Stuxnet, Flame o Duqu. Algunos funcionarios y mandos militares consideran que el BadBios podría, al igual que sus antecesores, provocar un conflicto, desactivar sistemas de defensa o situaciones similares. La amenaza del BadBios llega también de la mano del descubrimiento del Stuxnet II.

CIUDAD DE BUENOS AIRES (Urgente24) – En el pasado ya se ha alertado acerca de la posibilidad que algún sofisticado virus desate alguna clase de conflicto armado entre potencias. El surgimiento de Stuxnet, un supercódigo malicioso que infectó el programa nuclear iraní presumiblemente procedente de algún país de occidente, dio lugar a una serie de apariciones de virus informáticos ultrasofisticados que ponen en peligro grandes sistemas.

Luego se conocieron el Duqu y el Flame, aún más potentes que su antecesor. Ahora la nueva amenaza se llama Bad Bios, un supervirus que ataca al BIOS de la computadora y se propaga por ultrasonido.
El BadBios se trata de un sistema de envío de información a través de sonidos de alta frecuencia. Afecta directamente al BIOS (Sistema Básico de Entrada/Salida, por sus siglas en inglés) de la computadora y consigue interconectar unos equipos con otros a través de ultrasonidos emitidos por los altavoces y detectados por los micrófonos de los equipos víctima, sin que el oído humano sea capaz de percibirlos. Fue descifrado por el experto en seguridad Dragos Ruiu después de haber estado sufriendo sus efectos durante casi tres años.
A pesar de que numerosos expertos dudan de la existencia de malware de este tipo, Hagerott se mostró muy preocupado por las amenazas que este podría suponer para la Marina. Este tipo de virus, capaces de atravesar “las brechas aéreas” y afectar los sistemas que no estén conectados a Internet, podrían paralizar el software de precisión de tiro de las naves, apagarlo o incluso desviarlo, insistió Hagerott durante una cumbre en Washington dedicada a cuestiones de seguridad cibernética.
Esto “podría interrumpir el equilibrio mundial del poder”, subrayó. Según él, para evitar tal amenaza la Marina podría retroceder en el tiempo y volver a usar los instrumentos de control que se empleaban hace un siglo, a inicios de los años 1900.
Siempre se ha escuchado hablar de los virus y sus variantes evolutivas. Pero también de las aplicaciones de protección y las medidas de seguridad que son implementadas a diario para protegerse de estos gusanos que tanto daño hacen a la sociedad digital.
Lo sorprendente es que salió una publicación de una revista electrónica de Estados Unidos donde se anuncia la aparición de un virus que se trasmite a través de ultrasonido, infectando cualquier sistema operativo, desde pc, Mac, Linux, etc. Lo cierto es que se ha descubierto el papá y el señor de todos los virus.
Todo inicia hace tres años cuando Dragos Ruiu, consultor de seguridad trabajaba en su laboratorio y reconoce que algo poco usual pasaba en su MacBook Air. Después de instalar la última versión del sistema operativo de Apple, de la nada el equipo actualizó su versión de firmware del arranque. Más extraño aún, también intentó arrancar la máquina desde CD y tampoco pudo. Para mayor sorpresa la máquina empezó a borrar datos y hacer cambios de configuración sin preguntar. Este evento dio inicio a largas horas de trasnocho de los investigadores.
En los meses siguientes, Ruiu observó fenómenos cada vez más extraños que parecían salir de una de película de ciencia ficción. Para sorpresa de todos, un equipo que ejecutaba el sistema operativo BSD abierto también comenzó a modificar su configuración y borrar sus datos sin explicación o preguntar.
Su red empezó a mandar datos específicos de protocolo de red IPv6, incluso desde equipos que se suponía que tenían IPv6 completamente deshabilitadas. Lo más extraño de todo fue la capacidad de los equipos infectados para transmitir pequeñas cantidades de datos de la red con otras máquinas infectadas aun cuando sus cables de alimentación y los cables Ethernet fueron desconectados y su Wi – Fi y las tarjetas Bluetooth se habían retirado.
Hay que formatear. Típica solución ante un cáncer informático de este calibre. La sorpresa fue que demoraba más reinstalar la máquina que el virus propagarse nuevamente.
Cuentan los investigadores, que en uno de esos días de trabajo se encontraban en una máquina que habían reinstalado con Windows, mientras exploraban el registro en búsqueda de anomalías o evidencia observaron que el virus había tomado el control evitando que pudieran seguir con su trabajo forense ¿da susto no?
Después de especular, de probar una y otra cosa sin resultados, los investigadores optaron por “desvalijar”, literalmente, un equipo y ver en qué momento sucedía la infección. Lo encontrado fue sorprendente: la máquina dejo de infectarse cuando le desconectaron el controlador de sonido, es decir el virus se trasmitía por los parlantes e infectaba a los demás por el micrófono usando un ultrasonido. Recuérdese que este tipo de sonidos se emiten en frecuencias que no son detectadas por el oído humano.
Aunque parezca “descabellado”, el virus infectaba cualquier máquina independiente del sistema operativo, el método de activación era el ultrasonido trasmitido por los parlantes, de memorias USB infectadas. Con solo insertarlas en un computador (ya sea Windows, Linux o Mac OS X) el rootkit se transmite infectándolo.
No obstante, cabe resaltar que para otros expertos en seguridad esta información no es del todo real y no han tardado en exponer las dudas sobre la misma, de hecho dicen que son trucos que intentan mostrar como reales.
Cierto o no, cuesta trabajo creer que un virus de este calibre pueda propagarse a través de ultra sonidos y que por arte de magia sea capaz de llegar a infectar la capa de sistema operativo de un computador. Como dicen por ahí: “yo no creo en brujas pero que las hay las hay”. Si esto es real no sería extraño que una gran potencia mundial esté invirtiendo recursos para lograr cosas como estas, entonces no se trata del trabajo de un hacker de garaje, es otro nivel.
El gemelo del Stuxnet
En su artículo para ‘Foreign Policy’, el especialista en seguridad informática, Raph Langner escribe que, tras llevar a cabo una investigación escrupulosa de tres años, está seguro de que el virus que intentó cambiar las velocidades de los rotores en una centrífuga de la central iraní de Natanz fue bastante insignificante y rutinario. Asimismo, advierte que este ataque bastante simple fue precedido años antes por otro, mucho más sofisticado y peligroso, y acentúa que sin aquel gemelo sigiloso de Stuxnet, complicado y potente, que habría pasado desapercibido para la atención pública, el virus, probablemente, no habría escapado para afectar a medio mundo.
El Stuxnet II, la última y más simple versión del malware, intentó hacer que los rotores de las centrifugas que enriquecen el uranio girasen demasiado rápidamente, a unas velocidades que habrían de causar su ruptura. El Stuxnet original, en cambio, debía sabotear los sistemas de protección de las centrifugas de Natanz.
Estos sistemas constan de tres válvulas de cierre instaladas en cada centrifugadora. En caso de incidente, una vibración lo pone al descubierto y las válvulas se cierran, aislando la centrifuga accidentada del resto del sistema. En otras palabras, el proceso sigue su curso mientras los ingenieros sustituyen la centrifuga dañada. El sistema de protección en Natanz se basa en los mandos industriales Siemens S7-417, que operan las válvulas y sensores de presión. El Stuxnet I estaba diseñado para tomar el control completo de estos mandos, es decir, de los sistemas informáticos incorporados, directamente conectados con un equipamiento físico como las válvulas, algo inimaginable hasta entonces.
Un mando infectado con el Stuxnet I es desconectado de la realidad física. El sistema del control empieza a ver solo lo que el virus quiere que vea. Lo primero que hace el malware es tomar medidas para ocultar su presencia. Graba los valores de los sensores del sistema durante un período de 21 segundos. Luego reproduce estos 21 segundos en una trayectoria circular mientras se realiza el ataque (los asaltos se sucedían una vez al mes), de tal forma que para el centro de control todo va bien, tanto para los operadores humanos como para cualquier sistema automático.
Mientras tanto, el Stuxnet I empieza su trabajo sucio: Cierra las válvulas de aislamiento para las dos primeras y las dos últimas etapas del enriquecimiento, bloqueando de tal modo la salida del hexafluoruro de uranio (el gas que sirve para obtener el uranio enriquecido) y aumentando la presión sobre las centrifugas. El aumento de la presión da lugar a que en las centrifugas se acumule más gas de lo debido, generando más estrés para el rotor mecánico. La presión puede provocar, además, que el hexafluoruro de uranio gaseoso se solidifique y dañe la centrifuga fatalmente.
Según destaca Langner, la solidificación del gas en Natanz desembocaría en una destrucción simultánea de centenares de centrifugas por cada mando infectado. Sin embargo, el experto insiste que esto no fue el objetivo de los ‘hackers’, porque, en este caso, los especialistas iraníes no habrían tardado mucho en descubrir el origen del desastre. En cambio, hacían todo lo posible para frenar los ataques a tiempo, antes de que se desencadenara una reacción catastrófica. Su objetivo fue más bien incrementar la carga sobre los rotores para que quedaran fuera del servicio, pero no en el momento del propio asalto, concluye Langner. Al mismo tiempo, el especialista destaca que se desconoce el resultado final de esta estrategia y que a partir de 2009 los agresores cambiaron del instrumento.
Cabe destacar que Langner no es el único especialista que denuncia la existencia de las dos versiones de Stuxnet. A inicios de este año los investigadores de Symantec Corp (SYMC.O) también declararon que había sido una versión del virus informático Stuxnet la que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007.
Fuente: urgente24.com

Años después de su descubrimiento, el Stuxnet, primer arma cibernética revelada públicamente, sigue envuelta en sombras. Quizá porque, en realidad, no es un arma, sino dos, según el especialista en seguridad cibernética Ralph Langner.

En su artículo para ‘Foreign Policy’, Langner escribe que, tras llevar a cabo una investigación escrupulosa de tres años, está seguro de que el virus que intentó cambiar las velocidades de los rotores en una centrífuga de la central iraní de Natanz fue bastante insignificante y rutinario. Asimismo, advierte que este ataque bastante simple fue precedido años antes por otro, mucho más sofisticado y peligroso, y acentúa que sin aquel gemelo sigiloso de Stuxnet, complicado y potente, que habría pasado desapercibido para la atención pública, el virus, probablemente, no habría escapado para afectar a medio mundo.

El Stuxnet II, la última y más simple versión del malware, intentó hacer que los rotores de las centrifugas que enriquecen el uranio girasen demasiado rápidamente, a unas velocidades que habrían de causar su ruptura. El Stuxnet original, en cambio, debía sabotear los sistemas de protección de las centrifugas de Natanz.

Estos sistemas constan de tres válvulas de cierre instaladas en cada centrifugadora. En caso de incidente, una vibración lo pone al descubierto y las válvulas se cierran, aislando la centrifuga accidentada del resto del sistema. En otras palabras, el proceso sigue su curso mientras los ingenieros sustituyen la centrifuga dañada. El sistema de protección en Natanz se basa en los mandos industriales Siemens S7-417, que operan las válvulas y sensores de presión. El Stuxnet I estaba diseñado para tomar el control completo de estos mandos, es decir, de los sistemas informáticos incorporados, directamente conectados con un equipamiento físico como las válvulas, algo inimaginable hasta entonces.

Un mando infectado con el Stuxnet I es desconectado de la realidad física. El sistema del control empieza a ver solo lo que el virus quiere que vea. Lo primero que hace el malware es tomar medidas para ocultar su presencia. Graba los valores de los sensores del sistema durante un período de 21 segundos. Luego reproduce estos 21 segundos en una trayectoria circular mientras se realiza el ataque (los asaltos se sucedían una vez al mes), de tal forma que para el centro de control todo va bien, tanto para los operadores humanos como para cualquier sistema automático.

Mientras tanto, el Stuxnet I empieza su trabajo sucio: Cierra las válvulas de aislamiento para las dos primeras y las dos últimas etapas del enriquecimiento, bloqueando de tal modo la salida del hexafluoruro de uranio (el gas que sirve para obtener el uranio enriquecido) y aumentando la presión sobre las centrifugas. El aumento de la presión sa lugar a que en las centrifugas se acumule más gas de lo debido, generando más estrés para el rotor mecánico. La presión puede provocar, además, que el hexafluoruro de uranio gaseoso se solidifique y dañe la centrifuga fatalmente.

Según destaca Langner, la solidificación del gas en Natanz desembocaría en una destrucción simultánea de centenares de centrifugas por cada mando infectado. Sin embargo, el experto insiste que esto no fue el objetivo de los ‘hackers’, porque, en este caso, los especialistas iraníes no habrían tardado mucho en descubrir el origen del desastre. En cambio, hacían todo lo posible para frenar los ataques a tiempo, antes de que se desencadenara una reacción catastrófica. Su objetivo fue más bien incrementar la carga sobre los rotores para que quedaran fuera del servicio, pero no en el momento del propio asalto, concluye Langner. Al mismo tiempo, el especialista destaca que se desconoce el resultado final de esta estrategia y que a partir de 2009 los agresores cambiaron del instrumento.

Cabe destacar que Langner no es el único especialista que denuncia la existencia de las dos versiones de Stuxnet. A inicios de este año los investigadores de Symantec Corp (SYMC.O) también declararon que había sido una versión del virus informático Stuxnet la que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007.

Fuente: rt.com

El virus Stuxnet, famoso por atacar las centrifugadoras del centro nuclear iraní de Natanz, no era el primero en su especie. Los expertos creen que si se usaran nuevas versiones del software contra hospitales o aeropuertos se generaría un caos total.

“Estamos viviendo una revolución dentro de lo que es el mundo de los virus, los gusanos, los troyanos y todo este tipo de sistemas de infiltración dentro de las infraestructuras de otros países”, asegura José Luis Camacho, investigador de conspiraciones y bloguero.

El investigador asegura que en el mundo de hoy hemos pasado a una nueva etapa o nueva “dimensión” en lo que concierne a las tecnologías de los virus, en este caso el Stuxnet.

“Ese sistema fue capaz de atacar las centrifugadoras de uranio de Irán. Qué podría hacer un sistema similar si atacase aeropuertos, imagínese el caos aéreo. Qué podría hacer si atacase hospitales, modificar todas las fichas o cambiar los sistemas de suministro de medicamento”, agrega Camacho.

El bloguero también se pregunta “qué podría hacer dentro de los sistemas de generación de electricidad de ciertos países”, en caso de que logre acceder a sus infraestructuras y sus telecomunicaciones, “podría producir el más absoluto de los caos”, sugiere.

Estos virus pueden llegar a producir muchísimo daño dentro de los sistemas industriales, pero parece ser que aquellos que están desarrollando estos software dañinos “tienen grandes presupuestos, ya no podemos pensar que se trata de ‘hackers’ en un garaje”, concluye el investigador.

Fuente: rt.com

En este año 2013 se ha duplicado la destrucción de las ciberarmas, diseñadas para robar , destruir datos confidenciales o sabotear estructuras críticas. Durante el 2012 experots de la empresa Rusa Kaspersky Lab detectaron cuatro programas maliciosos de esta clase: Duqu, flame, miniflame y Gauss. Todos ellos buscaban extraer información desde las redes informáticas del medio oriente y fueron creados con el apoyo financiero de estructuras públicas que se encuentran en naciones avanzadas.

Las ciberarmas se encuentran en el top 100 de las armas más peligrosas del mundo ocupando el lugar 99 “Muchos países ahora mismo se han fijado mucho en este último año en este tipo de armas, cabe esperar la duplicación de este tipo de sistemas” Señaló Alex Góstev, experto jefe de la empresa Rusa Kaspersky Lab en materia antivirus.

Este tipo de datos roban materia de inteligencia que más tarde pueden llegar a usarse para desarrollar programas como Stuxnet, el gusano que en el 2010 causó daños a equipos de importancia crítica, en varias instalaciones nucleares de Irán.

Así pues, los virus destructores como wiper y shamoon, se usaron en el 2011 para borrar la información en los ordenadores de varias empresas petroleras de Irán y Arabia Saudí.

La consecuencia de las ciberarmas son las siguientes:

La aparición del software malicioso por accidente o por algún efecto boomerang golpea la infraestructura crítica y es capaz de desencadenar desastres sociales, económicos o ecológicos a nivel local y mundial.

El uso de armas covencionales en respuesta a armas cibernéticas.

Una imitación o malinterpretación de un ataque cibernético creando una especie de Pearl Harbor cibernético.

Los gobiernos solo comprenden la magnitud del problema cuando se ven afectados y la comunidad internacional debe llegar a un acuerdo sobre la aplicación y la proliferación de las ciberarmas. Esto no va a resolver los problemas pero al menos ayudará en algunas reglas del juego en contra del desarrollo incontralado de estas ciberarmas.

Las infraestructuras críticas industriales, financieras, sistemas de transporte, servicios públicos, y otros sectores deben reconsiderar su enfoque a la seguridad de la información sobre todo en términos de aislamiento a través de internet.

Aunque la industria de la seguridad se ha centrado contra la lucha de las epidemias de  comunicación durante muchos años su arsenal incluye tecnologías de protección en contra de  las ciberarmas. Sin embargo, esto requiere que los usuarios replanteen el paradigma de la seguridad e introduzcan un sistema de protección multinivel.

Los virus como ciberarmas son pocos aún pero se espera que descubriremos nuevos ejemplos muy pronto.

 

Por Betto Sibaja Oaxaca

Fuente: yourbanclash.com

En Maryland, en una zona boscosa, se alza el vallado de la base militar de Fort Meade, sede de la agencia más secreta del mundo y de los principales centros de espionaje militar de Estados Unidos, donde se libra una muy discreta guerra.

La base encierra bajo estrictas normas de seguridad una pequeña ciudad en crecimiento para 17 mil militares y sus familias, con nuevos proyectos de casas y, como no podía ser menos, un centro comercial con planes de expandirse en el que no faltan las primeras cadenas de comida rápida y tiendas de parafernalia militar.

Bajo esta discreción idílica y campestre se levantan las sedes de la Agencia de Seguridad Nacional (NSA) y el Servicio de Seguridad Central (CSS), que conforman la mayor agencia secreta del mundo; el Cibercomando del Pentágono, encargado del aspecto más militar del espionaje, y la DISA, el departamento que diseña la red de comunicaciones de Defensa.

La NSA, cuyo presupuesto secreto se ha multiplicado en la última década y podría superar ya los 10 mil millones de dólares –el mayor de toda la red de inteligencia–, es el motor de la bonanza de Fort Meade.

En la agencia trabajan alrededor de 35 mil empleados civiles y militares, a los que se espera sumar una decena de miles en los próximos 15 años.

El estacionamiento de la NSA, equivalente a 45 campos de futbol, da fe de la dimensión de este grupo de ciberespionaje que se complementa con un centro cercano de empresas privadas, también en expansión, que incluye a grandes subcontratistas como Northrop Grumman, SAIC, General Dynamics o Computer Sciences Corp.

A la cabeza de este imperio está Keith Alexander (de 61 años), un general de cuatro estrellas que en 2010, al asumir tras cinco años como director de la NSA/CSS también la jefatura del Cibercomando se ha convertido en el zar del ciberespionaje y la inteligencia digital.

Además de buscar pistas sobre amenazas terroristas en el mundo, Alexander está encargado de mejorar las capacidades de EU en la “ciberguerra fría” con potencias como China, Rusia o naciones como Irán.

El Washington Post reveló a comienzos de este mes una directiva firmada por el presidente Barack Obama en octubre que ordena a los responsables de seguridad nacional, entre los que Alexander ocupa un lugar central, que desarrollen capacidades ofensivas para realizar un ataque cibernético si es necesario “con poco o nulo preaviso”.

Alexander dirige un cuerpo de expertos matemáticos, criptográficos e informáticos en la NSA y sus adjudicatarias privadas que tiene la capacidad de tumbar infraestructuras de red vitales para un país o inhabilitar armamento con un alto componente digital.

Una pista del modus operandi de estas operaciones fue el virus Stuxnet (creado a mediados de la pasada década por la NSA, la CIA y los servicios secretos israelíes), que permitía manipular el sistema de control industrial que se utiliza en complejos como plantas de tratamiento de agua o una central nuclear.

El virus, ampliamente estudiado tras darse a conocer en 2010, permitió dañar miles de centrifugadoras que enriquecían uranio en la central iraní de Natanz, un ataque del que Estados Unidos nunca se ha responsabilizado.

Para la agencia de ciberseguridad europea ENISA, Stuxnet “fue realmente un cambio de paradigma… una nueva clase y dimensión del malware (virus informático) por su complejidad y sofisticación al combinar, por ejemplo, cuatro vulnerabilidades diferentes de Windows”.

Recientemente, un portavoz de Microsoft, creador del sistema operativo Windows, reconoció que trabajan de manera estrecha y constante con la NSA, a la que avisan con antelación de las vulnerabilidades que encuentran en sus programas antes de hacer públicas sus actualizaciones.

Con unos presupuestos que parecen ajenos a crisis, las agencias de Fort Meade ayudan a levantar trincheras virtuales, perfeccionar el armamento del futuro y filtrar el vasto ruido de internet por el bien de la seguridad nacional de Estados Unidos.

 

Fuente: diario.mx

Desde el momento en que se revelóla existencia del gusano Stuxnet y su capacidad de afectar al programa nuclear iraní, se especuló que el malware había sido desarrollado en conjunto por Estados Unidos e Israel. En ese entonces imaginamos que nunca se sabría la verdad, pero con Edward Snowden dentro de la ecuación, el rumor parece haber sido confirmado. En una reciente entrevista para la revista Der Spiegel, Snowden dijo sin mayores rodeos que la Agencia de Seguridad Nacional (NSA) e Israel escribieron juntos a Stuxnet, además de compartir detalles perturbadores sobre la información que pasa por el Reino Unido, y cómo es registrada.

Entre junio y septiembre de 2010, la Web prácticamente explotó de información sobre el gusano Stuxnet, diseñado para afectar a los sistemas industriales Siemens que el gobierno iraní utiliza en su programa de enriquecimiento de uranio. Debido a lo sensible del objetivo, las cabezas rápidamente giraron hacia Estados Unidos e Israel, su principal aliado en la región. En junio de 2012, un periodista del New York Times reportó que la acción de Stuxnet había sido parte de una ola de ciberataques contra Irán, ordenada por el presidente Obama. Otro aspecto que se ha cuestionado sobre Stuxnet es el de su efectividad neta. De acuerdo a las estimaciones internas de la administración Obama, el programa iraní fue retrasado unos 18 meses, equivalente a un impacto en el corto plazo.

Ahora, ¿fue realmente Stuxnet desarrollado por Estados Unidos e Israel? Un“experto” en programas secretos que ha surgido recientemente es Edward Snowden, quien continúa recibiendo ofertas de asilo en varios países. Se supone que Snowden todavía en Rusia, aunque nadie ha podido determinar eso con precisión. Aún así, Snowden encontró la forma de dar una entrevista a la revista alemana Der Spiegel, en donde sencillamente confirmó que Stuxnet fue una creación conjunta de la NSA y el gobierno de Israel. Snowden indicó que la NSA posee una amplia sección interna enfocada en estos procesos de cooperación, llamada “Directorio de Asuntos Externos”, lo que nos lleva a asumir que el despliegue de Stuxnet fue coordinado a través de esa sección.

Ante la pregunta de cuáles son los programas de vigilancia que están activos hoy, y la clase de aliados internacionales que posee la NSA, Snowden mencionó a los “Cinco Ojos”: Estados Unidos, Canadá, Gran Bretaña, Australia y Nueva Zelanda. Y también hizo una referencia al programa Tempora británico como el primer proyecto dentro del mundo de la inteligencia que “guarda todo”, sin importar el tipo de datos, o las leyes que viole al hacerlo. De acuerdo a Snowden, Tempora puede guardar unas 72 horas de tráfico, pero eso será optimizado eventualmente. A la hora de hablar sobre las compañías privadas que cooperan con la NSA, Snowden dijo que es más difícil de probar, pero que como regla general, cualquier multinacional con cuarteles en los Estados Unidos está bajo sospechaLa saga de Snowden, aún no ha terminado…

 

Por Lisandro Pardo

Fuente: neoteo.com

(17/5/2013) – Internet fue un invento militar: los científicos de EEUU buscaban una herramienta de comunicación deslocalizada en el contexto de la Guerra Fría. En el año 2013, la red es casi omnipresente, y la cantidad e importancia de la información que se mueve a través de ella la ha convertido en un objetivo militar de primer orden. Tanto que se perfila como el campo de batalla del siglo XXI: EEUU culpó esta semana a las Fuerzas Armadas chinas de los ciberataques que sufre el país; por otro lado, la potencia occidental mantiene una intensa ’ciberguerra’ contra Irán y, en España, las Fuerzas Armadas toman posiciones en el ciberespacio y colaboran activamente con la OTAN en este sentido. Se trata de un nuevo tipo de conflicto ante el que los contendientes ya están tomando posiciones activas.

Este mismo lunes, el Pentágono presentaba su informe anual ante el Congreso de EEUU y sus conclusiones eran claras: detrás de los ciberataques que está sufriendo EEUU están las Fuerzas Armadas de China.

Por el momento, se trata de ataques de espionaje al sector privado norteamericano, a empresas de diversos sectores que interesan, por motivos económicos, a China. No hay, según destacan los observadores internacionales ni la más mínima intención de guerra. Sin embargo, el hecho de que el ejército chino pueda acceder a los sistemas internos de empresas estratégicas no es demasiado halagüeño para EEUU, cada vez más preocupado por este asunto.

Durante su visita a China este mismo abril, el jefe del Estado Mayor estadounidense, el general Martin Dempsey, subrayó ante su homólogo chino que las consecuencias de un ciberataque “pueden ser tan graves como las de una bomba nuclear”, según recogió el diario New York Times.

Pero el ejército de EEUU dista mucho de no estar preparado para un ciberataque en toda regla, tanto en el plano defensivo, como en el ofensivo. En 2009, durante el Gobierno de George W. Bush, se creó el cibercomando de las Fuerzas Armadas del país. Su primera operación conocida fue todo un éxito. Los estadounidenses lograron introducir un virus informático —a través de un USB- en el sistema de control de los centrifugadores que enriquecen uranio en Natanz, Irán. El virus daba órdenes erróneas para que el sistema se autodestruyera, algo que trajo de cabeza a los iraníes. El virus, apodado Stuxnet, está llamado a cambiar la manera en que se hace la guerra y llegó a oídos de la opinión pública de manera casual, debido a un error de programación que le llevó a expandirse por Internet.

Tan buen resultado dio este golpe, coordinado por EEUU junto a Israel, que cuando Obama llegó a la Casa Blanca no sólo ordeno continuar los ciberataques sobre Irán, sino que incluso los intensificó, según desvela el periodista norteamericano David Sanger en su libro ’Confort and Conceal’.

El mazazo militar y moral llevó a Irán a anunciar que sus sistemas de enriquecimiento de uranio no estaban dañados y a asegurar que habían puesto en marcha su propia ciberunidad militar para combatir en el mundo de la red.

En un terreno más propagandístico, también comenzó lo que se llamó la “primera guerra informática” contra EEUU y cuyo “campo de batalla” era Wikileaks, según declaró en Twitter el cofundador de Electronic Frontier Foundation, una organización a favor de los derechos civiles y la libertad de expresión, John Perry Barlow.

¿Y, en España?

Parece claro que todas las naciones están desarrollando sus propias armas cibernéticas para hacer frente a las amenazas que llegan por el nuevo camino de las redes informáticas, pero, ¿qué ocurre en España. Hasta ahora, el CNI ha encabezado las operaciones de defensa del ciberespacio, aunque recientemente las Fuerzas Armadas españoles han creado su propia unidad de ciberdefensa, en funcionamiento desde el pasado mes de febrero.

En el Boletín Oficial del Ministerio de Defensa puede leerse que los ciberataques son “una amenaza actual, real y en crecimiento para los intereses nacionales”. Para hacer frente a ello, se ha creado esta unidad cuyo nombre oficial es Mando Conjunto de Ciberdefensa de las Fuerzas Armadas.

Desde el Ministerio de Defensa subrayan a este diario la importancia de Internet como “nuevo escenario” de contiendas y se resalta que la OTAN también ha creado su propio organismo de ciberdefensa en Tallín, Estonia, un centro en el que también participa España.

De esta manera, los diferentes países están tomando posiciones en las redes del ciberespacio —concepto más amplio que Internet, porque también engloba las redes protegidas militares- y desde allí atacan y se defienden con armas más sutiles que las tradicionales pero con el mismo potencial mortífero: piénsese en el ’hackeo’ del sistema de control de una central nuclear, por ejemplo.

En España, y según figura en el Boletín Oficial del Ministerio de Defensa, la creación de la unidad de ciberdefensa no ha costado dinero a las arcas públicas. En EEUU, sin embargo, el gasto en este apartado cobra importancia en los presupuestos. La Administración Obama planea aumentar el presupuesto en ciberdefensa hasta los 4.700 millones de dólares, 800 millones más que el gasto actual, mientras recorta el gasto general del Pentágono.

Se trata de otra señal más de que las ciberguerras ya están aquí.

 

Por D. Villagrasa

Fuente: elimparcial.es

 

El Virus informático Stuxnet(mejor dicho un gusano informático o un worm) ataco 5 veces la Central de Enriquecimiento de Uranio en Natanz, Irán, desde Junio de 2009 a Mayo de 2010. Stuxnet ocupo 4 zero-days(o brechas de seguridad que no habían sido detectadas) y 2 Certificados digitales, de la mas prestigiosa y reconocida firma en este ámbito, VeriSign.

  • 25 de Enero de 2010: Stuxnet obtiene un certificado digital válido, originalmente emitido a Realtec Semiconductor Corps por el proveedor líder de servicios de autentificación, Verisign.
  • En Marzo de 2010 Stuxnet se actualiza e incluye el exploit(vulnerabilidad) MS 10-046. El MS 10-046 permitía a Stuxnet ejecutar tarea administrativas en el computador infectado, cuando se desplegaba un especial icono que fuera llamado por aplicación de windows.
  • En ese momento el número total de vulnerabilidades en Windows, en los cuales Stuxnet podía usar, incrementaron a 4.
  • Ningún virus de computador o malware antes de Stuxnet había incluso usado más que una vulnerabilidad. Y esta fue la razón central en porque Stuxnet no pudo ser detectado por sobre 1 año.
  • El 17 de Junio de 2010 , la empresa de Anti Virus VirusBlockAda en Belarusia, anunció que habían identificado desconocido worm en un computador de un cliente iraní.
  • El Troyano es activado si encuentra el programa PCS7 (Step 7 Software) de Siemens están instalados. El Software Step 7 viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)
  • Stuxnet fue específicamente diseñado para sabotear dispositivos manufacturados por 2 compañías:  Vacon en Finlandia ,  Fararo Paya en Irán. Estos dispositivos eran usados para controlar los motores de las centrífugas de enriquecimiento de Uranio en Irán.
  • Debido a las sanciones impuestas por la ONU , la única forma que tenía Irán de conseguir software y materiales , era a través del mercado negro.
  • Octubre de 2011: Duqu colecta datos de Inteligencia desde sistemas de control industrial en orden a preparar a Stuxnet para un exitoso ataque a las centrífugas de Uranio de Irán.

 

¿Como Stuxnet pudo estropear las centrífugas de enriquecimiento de Uranio en Irán?

Primero que todo, el Virus tenía que conseguir llegar a un notebook específico(Simatic Field PG, notebook industrial de Siemens) de un técnico que entrara a la central de Natanz, por eso, el medio de diseminación fue principalmente a través de un Pendrive USB, la gracia es que Stuxnet fue programado inteligentemente, pues a la tercera copia desde el USB, el Stuxnet en el USB cometía un Harakiri, o sea, se suicidaba en el USB y no dejaba rastros de él, pero si quedaba en el último computador.

El Virus logro entrar por que venia con Certificado Valido(por Verisign) y los antivirus veían esto y también veían que el programa en el autorun no tenía comandos, así que lo trataba como basura, que eventualmente no haría nada, lo mismo pasaba con el sistema de defensa de Windows, así que el Virus pasaba sin problemas. En ese minuto Stuxnet se cargaba en la máquina de la víctima, básicamente estableciéndose en el registro de windows, el cual es la base de datos para cualquier aplicación, dispositivo, perfil de usuarios, etc que use windows, siempre se consulta al registro. Entonces ya cargado en el registro , trataba de detectar si el equipo de la víctima tenía algunas ciertas características, como sí tenía el WinCC o el PCS de Siemens , también buscaba las frecuencias exactas, si el patrón concordaba pasaba a la próxima iteración. Eso sí, también se comunicaba con los servidores de Comando y Control, que estaban principalmente en Alemania y Malasia, para subir las IP’s, los datos recolectados, en general toda la información correspondiente a ese equipo y a la LAN que compartía, y esperaba comandos y actualizaciones para ejecutarse , desde los servidores de Comando y Control.

Cuando Stuxnet encontraba el programa PCS7(Step 7 Software) que viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)  y estableciera conexión, Stuxnet penetra dentro del controlador(PLC/Programmable logic controller) y modifica el código de programación del controlador y oculta los cambios. Ahí Stuxnet tiene el control sobre 186 frecuencia de drivers de convertidor, operando a alta velocidad.

Sobre un periodo de meses Stuxnet cambia las frecuencia de salida, lo cual cambia la rapidez de un rotor centrifugo,. Las frecuencias de operación normales son entre 807 Hz y 1210 Hz, con unafrecuencia estándar de 1064 Hz. Por cortos periodos de tiempo, no mas de 15 minutos, Stuxnet sube la frecuencia a 1410 Hz, lo cual esta sobre el limite de 1210 Hz y entonces cambia de vuelta a 1064 Hz. Después de 27 días Stuxnet hace caer la frecuencia de salida a2Hz por 5 minutos. Cada 27 días repite la misma rutina , de acelerar y desacelerar la centrifuga. Esto ocurrió desde el 2009 hasta el 2010, lo que llevó a que más de 1000 centrifugas se estropearan, y los operadores de estas no sabían por que, pues en la pantalla les aparecían siempre valores normales.

¿Por que Irán?

Por su programa de enriquecimiento de Uranio, si bien las centrífugas principalmente lo que hacen es enriquecer uranio en una bajo nivel(LUE), hay otras centrífugas que podrían eventualmente enriquecer el uranio en un alto nivel(HUE), para que se pueda hacer una bomba nuclear de este, se necesita alto enriquecimiento, 85%. Se estima que la planta donde esta esas centrífugas es chica, bien podría hacer 1 bomba nuclear por año. El proceso es que el uranio-238 pasa a la centrifugadora y al girar el uranio-235 se queda en el centro, y el 238 se va a los bordes, el uranio 235 en el centro es pasado en cascada hacia la próxima centrifugadora para que siga el proceso. La casaca puede enriquecer el uranio en 5%.

 ¿Como un empresa en Bielorrusia más bien pequeña pudo encontrar el Stuxnet y las otras empresas más grandes no?

 Tal vez la explicación más lógica viene de los mismos deVirusBlockAda, ellos dijeron que encontraron el virus en un computador de un cliente iraní, el hint fue que el equipo se reiniciaba constantemente. Entonces cae la duda plausible, que no descubrieron Stuxnet, Stuxnet se mostró a público, ¿Y con qué fin? , para esa fecha ya había completado sus mayores funciones, así que ahora tenía que pasar de ser un ciber arma de destrucción masiva, a un arma de propaganda, lo cual dejaría a los de Irán confundidos y temerosos por las nuevas capacidades del virus, cuál sería su próxima variación?, hacer explotar la planta?, que mas?….La ciber arma había cumplido su función ahora se necesitaba hacerla pública y sembrar el miedo, con la propaganda adecuada.

¿Quién estuvo detrás de la creación de la denominada Familia Stuxnet?

 Se sospecha de Estados Unidos e Israel, Israel fue fácil, pues en el propio código salían palabras que referenciaban reinas y acontecimientos que pasaron(Refinar esta parte)

¿Son realmente seguras las transacciones en Internet y en los certificados digitales?

 La verdad, no se sabe, pues se demoraron mucho en detectar el robo, además a parecer , por nuevos datos no fueron robos físicos en Taiwan(donde estaban estas compañías), sino que ocuparon elInfoStealer.Ninkey que fue enviado por e-mail con un enlace de descarga, y un título que era del IRS(el SII de USA), así se cree que lograron robar los certificados digitales de algunas empresas respetables.

 Flamer y Gauss malwares , son las otras variantes de Stuxnet, no de la misma rama, pero se sospecha que del mismo grupo en el mismo laboratorio, pues compartieron el código, después al parecer sus fines fueron diferentes.

EL Malware Flame fue descubierto en Mayo de 2012, los expertos quedaron fascinados , no solo por el tamaño, este tiene 20 Megas(Stuxnet solo 500 K) y la complejidad, sino por el inusual objetivo que apunta este Malware, que es el Bluetooth, por eso se le llama un Spy-malware. Tiene un módulo especial solamente responsable por el Bluetooth, se llama “Beetle Juice”. También está el hecho que sacan los log’s, ponen keyloggers, toman snapshots de lo que uno escribe, toman el control del Bluetooth, y ahí si que es importante, pues casi todos utilizan el bluetooth sin siquiera saberlo en sus casas…

 El Narilam Malware(Noviembre 2012): También está el destructor de bases de datos, busca unas específicas bases de datos y las borra completamente, sin dejar nada de nada.

 

Fuente: edreams.cl

Cronología de la ciberguerra: una batalla que comienza

El uso del espacio virtual como campo de batalla está en sus comienzos, pero los crecientes recursos que se le asignan demuestran su peso, ante la conexión con sectores estratégicos clave.

Conoce cómo se ha gestado esta guerra.

2003

El gobierno de Estados Unidos bautiza como Titan Rain a una serie deataques atribuidos a China contra sistemas informáticos del país. Loshackers entran a archivos de Lockheed Martin, los Laboratorios NacionalesSandia, la NASA y el Arsenal Redstone.
2007
Una supuesta ofensiva rusa contra Estonia, en medio de la tensión políticabilateral, paraliza 3 semanas los portales del gobierno, Parlamento, bancos,periódicos y cadenas de radio y televisión del país báltico.
2008

Durante la guerra Rusia-Georgia, portales del gobierno y de noticias delsegundo país son paralizados.
2009

El virus Stuxnet ataca los sistemas que controlan 4 mil 700 máquinascentrifugadoras para enriquecer uranio en la planta atómica de Natanz,Irán. Alrededor de 800 son destruidas o dañadas por cambios abruptos ensu velocidad. Teherán culpa a Israel y EU.
2011
El Ejecutivo de Contrainteligencia Nacional de EU señala que países rivalese incluso “aliados y socios” como Israel y Francia roban en línea”información económica y tecnológica sensible”.Irán indica que descubrió el virus Duqu, que infiltra sistemas industriales enpreparación de un ataque. También es detectado en Francia, India, Ucrania y Reino Unido.
2012

Se descubre en Oriente Medio a Flame (también llamado Flamer o Skywiper), considerado el virus espía más sofisticado. Infecta los sistemas vía red local (LAN) o USB y graba la actividad de teclados, imágenes enpantalla, conversaciones en Skype y tráfico en Internet. Puede transformarse en “faro Bluetooth”, para descargar datos de dispositivos cercanos que usen ese sistema.Expertos confirman el primer ataque cibernético al sistema electoral deEU, previo a los comicios generales de noviembre. Más de 2 mil 500″solicitudes fantasma” de boletas para electores ausentes se produjeron en julio en el condado de Miami-Dade, Florida.La Cámara de Representantes de EU aprueba la Ley para Proteger y Compartir Ciberinteligencia, apoyada por la Cámara de Comercio y firmas como Facebook y Microsoft, aunque la Casa Blanca la considera insuficiente para preservar las libertades civiles. El Senado también la rechaza.
2013
La Organización del Tratado del Atlántico Norte presenta el Manual deTallin sobre la Ley Internacional Aplicable a la Ciberguerra.James Clapper, director de Inteligencia Nacional de EU, califica a la amenaza cibernética como “el mayor peligro que enfrenta actualmente el país”
El grupo “antipublicidad chatarra” Spamhaus, con sede en Suiza, es atacado a una velocidad de 300 gigabits por segundo para quedar fuera de la red.También es alcanzada la firma de seguridad CloudFlare de EU, que ayudaba a frenar la ofensiva. La acción es reivindicada por Stophaus, que defiende a empresas chinas y rusas. El presupuesto de la Casa Blanca para el año fiscal 2014 aumentará a 4 mil 700 millones de dólares los fondos del Comando Cibernético del Pentágono.En el Día del Holocausto, el grupo Anonymous asalta 100 mil portales, 40 milpáginas de Facebook, 5 mil cuentas de Twitter y 30 mil cuentas bancarias de Israel, en protesta por su política hacia Palestina. Calcula el daño en másde 3 mil mdd, aunque el gobierno hebreo lo niega.
La firma de seguridad estadounidense Mandiant atribuye a un grupo militar chino, con base en Shanghai, los intentos de espionaje contra The New YorkTimes, The Washington Post y otros medios. China lo niega; poco después,Mandiant afirma que es blanco de ataques. Tom Donilon, asesor de Seguridad Nacional de EU, exige a China investigarlos ataques que salen de su territorio “en escala sin precedente” contra sistemas públicos y privados norteamericanos, así como negociar protocolos sobre el uso de Internet.
Gran Bretaña crea la Sociedad para Compartir Información sobre Ciberseguridad, que integra a expertos privados con los servicios de inteligencia MI5 y GCHQ con objeto de proteger 160 empresas del paísdedicadas a finanzas, defensa, energía, telecomunicaciones y medicina.
La firma Kaspersky Lab descubre el virus MiniDuke, que atacó sistemasgubernamentales y científicos en Ucrania, Rumania, Hungría, Portugal,República Checa e Irlanda. MiniDuke se conecta con servidores en Panamá yTurquía, dice, “para recibir instrucciones”.
La Suprema Corte de EU rechaza la demanda de Amnistía Internacional y laUnión por las Libertades Civiles contra los poderes concedidos tras el 11-S ala Agencia de Seguridad Nacional, para interceptar sin orden judicialcorreos electrónicos y llamadas telefónicas internacionales deestadounidenses.
Corea del Sur culpa a Pyongyang por la ofensiva que paraliza 32 milcomputadoras y servidores en 3 cadenas de televisión y 3 bancos.La inteligencia surcoreana revela que en 2012 la mayoría de los ataques alpaís procedieron de direcciones de protocolo en Internet con sede en India,Brasil, Tailandia y Japón, pero explica que las direcciones IP “pudieron seralteradas en el proceso”.
Fuente: elcomercio.es
A %d blogueros les gusta esto: