VIE, 17 / DIC / 2010

“Stuxnet es el inicio de una nueva era de amenazas muy complejas” – Actualizado

Esa es la postura que tiene Symantec frente a la aparición del peligro informático más importante de la historia: Stuxnet es la primera amenaza que se metió en el control de los sistemas industriales y que puede generar consecuencias físicas catastróficas, en esta nota, Marcos Boaglio, experto de la compañía, comparte los datos más relevantes de la historia. (Imagen de tapa: un equipo infectado con Stuxnet es analizado por Symantec) En la escena final de una mala película llamada Escape from L.A., Snake (Kurt Russell), una especie de héroe-villano pseudo comunista, tiene en sus manos un control remoto de un único botón (rojo, claro está) capaz de apagar por completo todos los sistemas artificiales del mundo, y por lo tanto, de dejar a la humanidad entera bajo las sombras. La idea no es contarles cómo termina este largometraje de acción, sino utilizar esta gloriosa escena como una metáfora que nos explique en parte hacia donde están apuntando las amenazas informáticas como Stuxnet. Nos encontramos en un momento crucial: Stuxnet fue el primer gran ataque diseñado para afectar directamente el funcionamiento de mecanismos industriales y generar consecuencias directas y fìsicas. Ya no hablamos del típico virus que queda en la computadora y roba información, sino que estamos hablando de un escalón superior: un virus que si no es detenido a tiempo es capaz de acelerar el funcionamiento de los motores de cualquier planta que tenga sus sistemas infectados,  incluso una enriquecedora de uranio. Claro, si lo planteamos así, el panorama parece desolador y estaríamos al borde de la destrucción masiva. Pero afortunadamente Stuxnet es eso, una amenaza que aún no ha podido efectuar acciones directas en la vida de las personas, y que gracias al trabajo de empresas como Symantec junto a investigadores independientes y organismos estatales, por ahora está controlada. RedUSERS quiso meterse de lleno en el tema y para eso entrevistamos a Marcos Boaglio, experto en seguridad informática de Symantec. “El gran diferenciador de Stuxnet con respecto a cualquier otra amenaza existente hasta el momento es que está pensada para atacar sistemas de control industrial. O sea,  estamos en presencia de una amenaza que puede operar cosas tangibles de la vida real, es el primer ataque que eventualmente puede generar un daño físico a las personas a través de un control por Internet de un sistema”. Apenas se descubrió Stuxnet, corrieron rumores por todo el mundo que hablaban de una debacle industrial y que pronto todos moriríamos bajo su yugo. Según Boaglio, esas fueron todas especulaciones siniestras y catastróficas que se generaron por la complejidad de la amenaza. No olvidemos que los sistemas industriales son propios de oleoductos, gasoductos, plantas generadoras de energía, enriquecimiento de uranio, etc. Por eso, la paranoia fue muy grande y la cobertura mediática, global. La realidad de Stuxnet es que no sólo es una nueva clase de amenaza, sino que también su desarrollo implicó una puesta en juego millonaria de recursos. “Para desarrollar algo como Stuxnet hubo detrás un nivel extremo de complejidad en ingeniería: esta amenaza hace uso de cuatro vulnerabilidades zero day presentes en el sistema operativo que, como tal,  ni el propio vendor sabía que existían ni jamás generó parches para remendarlo; ya no estamos hablando de hackers sentados en una silla sino de un grupo de profesionales altamente capacitados de entre 5 y 10 personas que poseen conocimientos muy específicos como manejo de código C++, manipulación de rootkits, y también de código STL para programas PLC. Todo esto demandó como mínimo seis meses de trabajo”, sostiene Boaglio. Pero además de todos esos conocimientos y tiempo dedicado, también fue necesaria la creación o el acceso a un sistema industrial como los existentes en las plantas para realizar las pruebas de rigor y evaluar el funcionamiento y desempeño de Stuxnet. Las especulaciones indican que se podría tratar de una agencia secreta o de un gobierno, parte de todo ese clima que se genera por la existencia de una amenaza de estas magnitudes. “Cuando logramos descubrir el modus operandi de la amenaza nos sorprendimos: Stuxnet era capaz de instalarse en el sistema operativo como si fuera un driver firmado con un certificado robado a una empresa de Taiwán. En Julio del 2010 dicho certificado fue revocado y reemplazado por otro de otra empresa perteneciente al mismo parque industrial en Taiwán. Con lo cual también existe un gran trabajo de espionaje detrás del tema”, explicó el experto. En síntesis, el mecanismo de Stuxnet es similar a la de una red de bots, donde las amenazas intentan actualizarse permanentemente viajando de máquina en máquina. La propia naturaleza de esta amenaza hace que el virus llegue a través de PCs que no están conectadas a Internet, generalmente son equipos que trabajan bajo redes internas, pero que son infectados mediante sistemas USB. Si la amenaza está dentro de un PC pero no consigue acceso a Internet, inmediatamente se conecta con otras PCs infectadas utilizando una red P2P con las máquinas que tiene a su alcance y disemina la vulnerabilidad para seguir su curso infecto a otras PCs. Luego de investigarlo arduamente, Symantec descubrió que la mayoria del host infeccioso está en Irán, con un 60% del total. Lo que aún nadie puede saber es quién desarrolló Stuxnet ni con qué motivos. “Estamos colaborando con muchas agencias de investigación, incluidas empresas privadas, proveedores de sistemas, gobierno, etc. La realidad es que estamos frente a una amenaza nueva y creemos que lo que va a venir luego de Stuxnet será superior. Por eso no podemos bajar la guardia nunca”. Hosts Infectados Organizaciones Infectadas Actualización Marcos Boaglio responde las dudas de los lectores ¿Stuxnet afecta sistemas Linux? Según Boaglio, “Stuxnet está diseñado para infectar ciertas versiones de Windows. Una de las cosas que hace en el proceso de infección es determinar qué sistema operativo tiene instalado el equipo a infectar, si se encuentra dentro de una lista, entonces continua con el proceso ejecutando código especifico para cada versión, sino termina su ejecución. La lista de sistemas operativos se encuentra en el dossier de Stuxnet”. “Los sistemas industriales tienen entre otros componentes un conjunto de PLCs (programmable logic controllers) que controlan diferentes equipos industriales (por ejemplo motores). Dichos PLCs se programan desde equipos que tienen instalada la consola propietaria del fabricante del PLC. En general son equipos Windows. Stuxnet infecta dichos equipos para finalmente tener aceceso e infectar el PLC. Particularmente busca equipos Windows con consolas de programacion de PLCs Siemens. En definitiva, el fabricante de PLCs es el que determina que tipo de equipo y sistema operativo se debe utilizar para programar el controlador”. Ver informe completo de Symantec sobre Stuxnet

Esa es la postura que tiene Symantec frente a la aparición del peligro informático más importante de la historia: Stuxnet es la primera amenaza que se metió en el control de los sistemas industriales y que puede generar consecuencias físicas catastróficas, en esta nota, Marcos Boaglio, experto de la compañía, comparte los datos más relevantes de la historia.

(Imagen de tapa: un equipo infectado con Stuxnet es analizado por Symantec)

En la escena final de una mala película llamada Escape from L.A., Snake (Kurt Russell), una especie de héroe-villano pseudo comunista, tiene en sus manos un control remoto de un único botón (rojo, claro está) capaz de apagar por completo todos los sistemas artificiales del mundo, y por lo tanto, de dejar a la humanidad entera bajo las sombras. La idea no es contarles cómo termina este largometraje de acción, sino utilizar esta gloriosa escena como una metáfora que nos explique en parte hacia donde están apuntando las amenazas informáticas como Stuxnet.

Nos encontramos en un momento crucial: Stuxnet fue el primer gran ataque diseñado para afectar directamente el funcionamiento de mecanismos industriales y generar consecuencias directas y fìsicas. Ya no hablamos del típico virus que queda en la computadora y roba información, sino que estamos hablando de un escalón superior: un virus que si no es detenido a tiempo es capaz de acelerar el funcionamiento de los motores de cualquier planta que tenga sus sistemas infectados,  incluso una enriquecedora de uranio.

Claro, si lo planteamos así, el panorama parece desolador y estaríamos al borde de la destrucción masiva. Pero afortunadamente Stuxnet es eso, una amenaza que aún no ha podido efectuar acciones directas en la vida de las personas, y que gracias al trabajo de empresas como Symantec junto a investigadores independientes y organismos estatales, por ahora está controlada.

RedUSERS quiso meterse de lleno en el tema y para eso entrevistamos a Marcos Boaglio, experto en seguridad informática de Symantec. “El gran diferenciador de Stuxnet con respecto a cualquier otra amenaza existente hasta el momento es que está pensada para atacar sistemas de control industrial. O sea,  estamos en presencia de una amenaza que puede operar cosas tangibles de la vida real, es el primer ataque que eventualmente puede generar un daño físico a las personas a través de un control por Internet de un sistema”.

Apenas se descubrió Stuxnet, corrieron rumores por todo el mundo que hablaban de una debacle industrial y que pronto todos moriríamos bajo su yugo. Según Boaglio, esas fueron todas especulaciones siniestras y catastróficas que se generaron por la complejidad de la amenaza. No olvidemos que los sistemas industriales son propios de oleoductos, gasoductos, plantas generadoras de energía, enriquecimiento de uranio, etc. Por eso, la paranoia fue muy grande y la cobertura mediática, global.

La realidad de Stuxnet es que no sólo es una nueva clase de amenaza, sino que también su desarrollo implicó una puesta en juego millonaria de recursos. “Para desarrollar algo como Stuxnet hubo detrás un nivel extremo de complejidad en ingeniería: esta amenaza hace uso de cuatro vulnerabilidades zero day presentes en el sistema operativo que, como tal,  ni el propio vendor sabía que existían ni jamás generó parches para remendarlo; ya no estamos hablando de hackers sentados en una silla sino de un grupo de profesionales altamente capacitados de entre 5 y 10 personas que poseen conocimientos muy específicos como manejo de código C++, manipulación de rootkits, y también de código STL para programas PLC. Todo esto demandó como mínimo seis meses de trabajo”, sostiene Boaglio.

Pero además de todos esos conocimientos y tiempo dedicado, también fue necesaria la creación o el acceso a un sistema industrial como los existentes en las plantas para realizar las pruebas de rigor y evaluar el funcionamiento y desempeño de Stuxnet. Las especulaciones indican que se podría tratar de una agencia secreta o de un gobierno, parte de todo ese clima que se genera por la existencia de una amenaza de estas magnitudes.

“Cuando logramos descubrir el modus operandi de la amenaza nos sorprendimos: Stuxnet era capaz de instalarse en el sistema operativo como si fuera un driver firmado con un certificado robado a una empresa de Taiwán. En Julio del 2010 dicho certificado fue revocado y reemplazado por otro de otra empresa perteneciente al mismo parque industrial en Taiwán. Con lo cual también existe un gran trabajo de espionaje detrás del tema”, explicó el experto.

En síntesis, el mecanismo de Stuxnet es similar a la de una red de bots, donde las amenazas intentan actualizarse permanentemente viajando de máquina en máquina. La propia naturaleza de esta amenaza hace que el virus llegue a través de PCs que no están conectadas a Internet, generalmente son equipos que trabajan bajo redes internas, pero que son infectados mediante sistemas USB. Si la amenaza está dentro de un PC pero no consigue acceso a Internet, inmediatamente se conecta con otras PCs infectadas utilizando una red P2P con las máquinas que tiene a su alcance y disemina la vulnerabilidad para seguir su curso infecto a otras PCs.

Luego de investigarlo arduamente, Symantec descubrió que la mayoria del host infeccioso está en Irán, con un 60% del total. Lo que aún nadie puede saber es quién desarrolló Stuxnet ni con qué motivos. “Estamos colaborando con muchas agencias de investigación, incluidas empresas privadas, proveedores de sistemas, gobierno, etc. La realidad es que estamos frente a una amenaza nueva y creemos que lo que va a venir luego de Stuxnet será superior. Por eso no podemos bajar la guardia nunca”.

Hosts Infectados

Organizaciones Infectadas

Actualización

Marcos Boaglio responde las dudas de los lectores ¿Stuxnet afecta sistemas Linux?

Según Boaglio, “Stuxnet está diseñado para infectar ciertas versiones de Windows. Una de las cosas que hace en el proceso de infección es determinar qué sistema operativo tiene instalado el equipo a infectar, si se encuentra dentro de una lista, entonces continua con el proceso ejecutando código especifico para cada versión, sino termina su ejecución. La lista de sistemas operativos se encuentra en el dossier de Stuxnet“.

“Los sistemas industriales tienen entre otros componentes un conjunto de PLCs (programmable logic controllers) que controlan diferentes equipos industriales (por ejemplo motores). Dichos PLCs se programan desde equipos que tienen instalada la consola propietaria del fabricante del PLC. En general son equipos Windows. Stuxnet infecta dichos equipos para finalmente tener aceceso e infectar el PLC. Particularmente busca equipos Windows con consolas de programacion de PLCs Siemens. En definitiva, el fabricante de PLCs es el que determina que tipo de equipo y sistema operativo se debe utilizar para programar el controlador”.

Ver informe completo de Symantec sobre Stuxnet

¡Comparte esta noticia!