“STUXNET ES EL INICIO DE UNA NUEVA ERA DE AMENAZAS MUY COMPLEJAS”

Publicado: 15 diciembre, 2010 en Antivirus, Seguridad
Etiquetas:

Esa es la postura que tiene Symantec frente a la aparición del peligro informático más importante de la historia: Stuxnet es la primera amenaza que se metió en el control de los sistemas industriales y que puede generar consecuencias físicas catastróficas, en esta nota, Marcos Boaglio, experto de la compañía, comparte los datos más relevantes de la historia.

En la escena final de una mala película llamada “Escape from L.A.”, Snake (Kurt Russell), una especie de héroe-villano pseudo comunista, tiene en sus manos un control remoto de un único botón (rojo, claro está) capaz de apagar por completo todos los sistemas artificiales del mundo, y por lo tanto, de dejar a la humanidad entera bajo las sombras. La idea no es contarles cómo termina este largometraje de acción, sino utilizar esta gloriosa escena como una metáfora que nos explique en parte hacia donde están apuntando las amenazas informáticas como Stuxnet.

Nos encontramos en un momento crucial: Stuxnet fue el primer gran ataque diseñado para afectar directamente el funcionamiento de mecanismos industriales y generar consecuencias directas y fìsicas. Ya no hablamos del típico virus que queda en la computadora y roba información, sino que estamos hablando de un escalón superior: un virus que si no es detenido a tiempo es capaz de acelerar el funcionamiento de los motores de cualquier planta que tenga sus sistemas infectados,  incluso una enriquecedora de uranio.

Claro, si lo planteamos así, el panorama parece desolador y estaríamos al borde de la destrucción masiva. Pero afortunadamente Stuxnet es eso, una amenaza que aún no ha podido efectuar acciones directas en la vida de las personas, y que gracias al trabajo de empresas como Symantec junto a investigadores independientes y organismos estatales, por ahora está controlada.

RedUSERS quiso meterse de lleno en el tema y para eso entrevistamos a Marcos Boaglio, experto en seguridad informática de Symantec. “El gran diferenciador de Stuxnet con respecto a cualquier otra amenaza existente hasta el momento es que está pensada para atacar sistemas de control industrial. O sea,  estamos en presencia de una amenaza que puede operar cosas tangibles de la vida real, es el primer ataque que eventualmente puede generar un daño físico a las personas a través de un control por Internet de un sistema”.

Apenas se descubrió Stuxnet, corrieron rumores por todo el mundo que hablaban de una debacle industrial y que pronto todos moriríamos bajo su yugo. Según Boaglio, esas fueron todas especulaciones siniestras y catastróficas que se generaron por la complejidad de la amenaza. No olvidemos que los sistemas industriales son propios de oleoductos, gasoductos, plantas generadoras de energía, enriquecimiento de uranio, etc. Por eso, la paranoia fue muy grande y la cobertura mediática, global.

La realidad de Stuxnet es que no sólo es una nueva clase de amenaza, sino que también su desarrollo implicó una puesta en juego millonaria de recursos. “Para desarrollar algo como Stuxnet hubo detrás un nivel extremo de complejidad en ingeniería: esta amenaza hace uso de cuatro vulnerabilidades zero day presentes en el sistema operativo que, como tal,  ni el propio vendor sabía que existían ni jamás generó parches para remendarlo; ya no estamos hablando de hackers sentados en una silla sino de un grupo de profesionales altamente capacitados de entre 5 y 10 personas que poseen conocimientos muy específicos como manejo de código C++, manipulación de rootkits, y también de código STL para programas PLC. Todo esto demandó como mínimo seis meses de trabajo”, sostiene Boaglio.

Pero además de todos esos conocimientos y tiempo dedicado, también fue necesaria la creación o el acceso a un sistema industrial como los existentes en las plantas para realizar las pruebas de rigor y evaluar el funcionamiento y desempeño de Stuxnet. Las especulaciones indican que se podría tratar de una agencia secreta o de un gobierno, parte de todo ese clima que se genera por la existencia de una amenaza de estas magnitudes.

“Cuando logramos descubrir el modus operandi de la amenaza nos sorprendimos: Stuxnet era capaz de instalarse en el sistema operativo como si fuera un driver firmado con un certificado robado a una empresa de Taiwán. En Julio del 2010 dicho certificado fue revocado y reemplazado por otro de otra empresa perteneciente al mismo parque industrial en Taiwán. Con lo cual también existe un gran trabajo de espionaje detrás del tema”, explicó el experto.

En síntesis, el mecanismo de Stuxnet es similar a la de una red de bots, donde las amenazas intentan actualizarse permanentemente viajando de máquina en máquina. La propia naturaleza de esta amenaza hace que el virus llegue a través de PCs que no están conectadas a Internet, generalmente son equipos que trabajan bajo redes internas, pero que son infectados mediante sistemas USB. Si la amenaza está dentro de un PC pero no consigue acceso a Internet, inmediatamente se conecta con otras PCs infectadas utilizando una red P2P con las máquinas que tiene a su alcance y disemina la vulnerabilidad para seguir su curso infecto a otras PCs.

Luego de investigarlo arduamente, Symantec descubrió que la mayoria del host infeccioso está en Irán, con un 60% del total. Lo que aún nadie puede saber es quién desarrolló Stuxnet ni con qué motivos. “Estamos colaborando con muchas agencias de investigación, incluidas empresas privadas, proveedores de sistemas, gobierno, etc. La realidad es que estamos frente a una amenaza nueva y creemos que lo que va a venir luego de Stuxnet será superior. Por eso no podemos bajar la guardia nunca”.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s