[HACK] con o sin ciberguerra, la red es un 'gruyère'
merce at grn.es
merce at grn.es
Thu Mar 20 20:42:43 CET 2003
[parece que se cumplen las previsiones del articulo y
http://www.uruklink.net esta colapsada. Me gustaria saber quien esta
provocando el DoS: EEUU o miles y miles de curiosos, porque lo que
dicen que ha caido un misil en el servidor parece un poco peliculero
];)
17/02/03
LA PROPAGANDA SOBRE LA CIBERGUERRA NO EVITA QUE INTERNET SEA UN 'GRUYÈRE'
Mercè Molist
A nadie en la red le gusta hablar de "ciberguerra". Los hackers han
hecho manifiestos contra ella y la comunidad la prefiere "light",
pacífica y artística, de protestar, como máximo, con "mailbombings" o
"graffitis" en webs. Otra cosa son los gobiernos, especialmente
Estados Unidos, que llevan años creando leyes sobre ciberguerra, en la
que cada vez ponen mayor énfasis sus estrategas. Entre ambos frentes,
un abismo de más y más fuertes ataques no reinvindicados que
demuestran que, con o sin ciberguerra, la red es un 'gruyère'.
Como país avanzado en Internet, Estados Unidos sabe que su mayor
fuerza es también su debilidad. Recientemente, el gusano "SQL Slammer"
ponía de rodillas a miles de sistemas de todo el planeta. Días
después, un periodista del "Washington Post" se hacía pasar por autor
de Slammer y terrorista cercano a Ben Laden y engañaba a un periodista
de "Computerworld", quien lo publicó. Aunque falsa, la noticia
despertaba el fantasma de posibles ataques de al-Qaeda a Internet.
Fantasma que el gobierno de los Estados Unidos lleva tiempo
alimentando. La administración Bush acaba de presentar su enésima
"Estrategia Nacional para Asegurar el Ciberespacio", que quiere
blindar los equipos militares, corporativos y domésticos y crear un
centro de coordinación que detecte virus y ataques en tiempo real.
Daniel Burton, de Entrust, respondía a la presentación del plan: "Es
fuerte en ciberseguridad gubernamental, pero "silencioso" en lo que
respecta al sector privado, que controla el 85% de las
infraestructuras críticas".
Éste es el talón de Aquiles de Estados Unidos: la interdependencia de
todos con todos en Internet. Lo demostraba SQL Slammer, que en sólo
diez minutos infectó el 90% de servidores vulnerables, según las
estadísticas. El gusano, que entraba y salía de los ordenadores
conectados permanentemente a la red, aprovechando un fallo de la base
de datos SQL de Microsoft, no llevaba carga dañina pero, como efecto
secundario, su forma de propagación colapsó dramáticamente las líneas,
en un gran ataque de Denegación de Servicio.
Desde el 2001, otros gusanos de infestación masiva han venido antes
que Slammer, como Nimda o Code Red, nunca reivindicados, de igual
efecto y con miles de servidores comprometidos, más de la mitad en
Estados Unidos. Pero ninguno fue tan pequeño (376 bytes, dos párrafos
de código) ni tan veloz. Generado supuestamente en Asia, Slammer cruzó
el planeta en minutos y dañó cajeros automáticos y servicios de
emergencia 911 en Estados Unidos. La empresa Symantec avisó la
primera, pero sólo a sus clientes, y la comunidad no pudo defender a
tiempo sus máquinas. Al ser fin de semana se evitó un mayor colapso.
Con el próximo, dicen los expertos, no habrá tanta suerte.
Las iras se dirigieron a Microsoft, creadora del producto atacado,
aunque hacía seis meses que la compañía había avisado del fallo y
ofrecía un parche en su web, que también cayó bajo el gusano, porque
sus propios informáticos no había aplicado el correctivo, como muchos
administradores de sistemas de todo el mundo, que reciben docenas de
avisos de parches a la semana. En el caso de productos Microsoft, la
mayoría espera un tiempo a que otros los prueben antes de instalarlos,
vista la gran cantidad de correctivos defectuosos que genera la
compañía.
Con cada nuevo gusano, surge otra queja: la culpa es del "monocultivo"
Windows. Haciendo un símil con la biología, el hecho de que miles de
sistemas usen productos Microsoft hace más vulnerable a la red ante
estas "epidemias". Si se diversificaran los programas e incluso un
mismo programa fuese diferente en cada sistema, esto no pasaría, dicen
los expertos, como David A. Pérez: "Imagina que en vez de afectar a
SQL, el virus afectase a servidores como IIS de Microsoft, cuyo número
es muchísimo superior, y además fuese destructivo y creado contra una
vulnerabilidad que no ha sido reportada. Habría un colapso total. Y
puede no faltar mucho".
El ejército de Estados Unidos y la OTAN utilizan mayoritariamente
sistemas Windows, aunque hay tímidos escarceos para pasarse al código
libre. Los militares son los únicos que se sienten cómodos con el
término "infoguerra". Sus maniobras no son públicas, pero de vez en
cuando trasciende algo, como la venta de información al KGB, en los
80, robada de ordenadores estadounidenses por hackers alemanes. Hoy,
como ayer, es continuo el goteo de intrusiones en servidores web
militares.
En noviembre del año pasado, arrestaban a un británico de 36 años,
Gary McKinnon, acusándole de entrar en ordenadores militares
norteamericanos y bajarse información sin especificar. Según Dave
Bryan, vice comandante de la Agencia de Sistemas de Información para
la Defensa de EEUU, en el año 2000 hubo 25.000 intentos serios para
entrar en sus sistemas militares, de los que 245 fueron exitosos. Pero
nadie consiguió información clasificada, porque no estaba allí, afirma
un militar español:
"Ningún sistema del Departamento de Defensa accesible desde Internet
puede contener información clasificada. Cuando el sistema es atacado,
puede dejar de prestar servicio pero no revelar información sensible
ni dar acceso a la red interna, porque esa conexión no existe. Los
sistemas tácticos están físicamente separados. Es como una cebolla:
cuando muerdes la capa externa no sólo estás muy lejos del núcleo, es
que ni siquiera está en la cebolla adecuada. El peor daño es un poco
de mala publicidad, pero eso no afectará a las operaciones, ni
siquiera a la propia guerra de información, que seguirá por otros
medios".
Para el ejército, la amenaza principal proviene de los ataques de
Denegación de Servicio (bombardeos o DoS), ya que "es lo más difícil
de prevenir, al atacar un recurso difícilmente defendible: el ancho de
banda", afirma el militar. Conoce bien el peligro el FBI, que en 1999
tenía que cerrar seis días su web por un bombardeo desde cientos de
ordenadores, como venganza por la detención de una banda de vándalos
informáticos.
También lo sabe el principal centro de seguridad en Internet, el
Computer Emergence Response Team (CERT). Hace dos años, sufría un
violento DoS que tumbó el servicio web por unas horas. El equipo
aseguró entonces que este tipo de ataques son el pan de cada día.
Según el experto Jordi Linares, "son los más complicados porque, hasta
que no puedes parar todo el tráfico malicioso, es difícil que se
acabe, peor si viene de países con los que no tienes comunicación,
como China. Sólo puedes poner filtros y hablar con los proveedores, no
se puede luchar de otra forma, y eso le pasa a un CERT como a un
Amazon".
En febrero del 2000, diversos servicios comerciales como Yahoo, Amazon
o eBay sufrieron un serio bombardeo durante varias horas, que marcó el
nacimiento oficial de esta modalidad de Denegación de Servicio: la
distribuida (DDoS), donde se lanzan paquetes desde cientos de máquinas
contra un objetivo. En octubre del año pasado, tenía lugar el Segundo
Gran DDoS, contra los servidores de nombres de dominio. Según el FBI,
cayeron siete de los trece principales. El ingeniero Chris Morrow, de
UUNET, afirmaba: "Es probablemente el mayor ataque contra la
infraestructura de Internet que hemos visto nunca". Tampoco nadie lo
reivindicó.
Richard Pethia, director del CERT/CC, avisaba recientemente en
Barcelona: "Cada vez somos más dependientes de sistemas distribuidos a
gran escala, para defensa, energía, telecomunicaciones, finanzas. Los
intrusos, bien preparados y organizados, están atacando con más
frecuencia e impacto, usando herramientas fáciles y diseñadas para
grandes ataques. Internet es su blanco perfecto, de bajo riesgo y
difícil rastreo, especialmente para las Denegaciones de Servicio. Y la
cosa irá a peor. La raíz de estos problemas es la poca calidad de los
programas".
En un año, se han doblado los avisos del CERT sobre nuevas
vulnerabilidades en programas, que representan sólo una pequeña parte
del total que circula por los foros especializados. Afirma el experto
en seguridad Román Medina: "Detrás de la mayoría de ataques siempre
hay una o más vulnerabilidades que están siendo explotadas. Un DDoS no
sería posible si los "routers" hicieran un filtrado apropiado y los
servidores estuvieran actualizados. Ante un ataque así, poco podrá
hacer el administrador, aunque sea una máquina militar importante".
Jesús Cea, de Hispasec, lo comparte: "El estado del arte actual en
Internet, a nivel de protección de la infraestructura, es
prácticamente inexistente. El principal problema son los DDoS porque
da igual que tus máquinas sean seguras y te preocupes de tenerlo todo
actualizado y configurado. Si te quedas sin línea de datos,
desapareces. No hay vacuna posible. El resto de problemas dependen de
tu 'saber hacer' para con tu propia infraestructura, pero evitar
ataques DDoS requiere de un esfuerzo coordinado de decenas de
'carriers' alrededor de todo el planeta."
QUÉ SERÁ SERÁ
Óscar Conesa, del CERT español, lo pinta negro: "La posibilidad de un
acto terrorista, consistente en la propagación de un virus altamente
destructivo, debe ser tenida muy en cuenta y, dada la situación de la
red, acabará ocurriendo. El coste de la operación la hace una
alternativa muy tentadora para grupos terroristas con pocos recursos
económicos, pero con disponibilidad de jóvenes programadores; grupos
de Pakistán o Indonesia reunirían fácilmente estas condiciones. No
podemos garantizar que un nuevo virus aparezca y se dedique a borrar
datos de manera sistemática o hacer un DoS contra webs de antivirus,
que impediría la distribución de los antídotos".
Albert Puigsech, también de esCERT, matiza: "Hoy son aún pocas las
empresas que dedican el 100% de su trabajo al comercio en la red, por
lo que no se la puede considerar su talón de Aquiles". Jorge Hurtado,
director de Desarrollo de Negocio de Germinus, también le quita
hierro: "Desde un punto de vista militar, estoy convencido de que
Internet es el menor de los problemas reales ante una guerra. Además,
la amenaza principal en este conflicto no vendrá de Iraq sinó de sus
propios aliados, de la mayoritaria opinión pública mundial en contra
de la guerra".
Según Hurtado, "lo que se utilizará para debilitar la posición de
Estados Unidos es la información. De todo tipo, desde sitios web
contra la guerra a mensajes de correo electrónico con información
falsa sobre los acontecimientos y con peticiones desesperadas para
reenviarlos. También los virus por correo, como una carta hablando de
un niño iraquí abandonado para inducir a abrir un archivo infectado. O
la modificación de contenidos como elemento propagandístico, como
ponerle los cuernos a Bush o introducir noticias falsas en las webs
del gobierno".
MISIÓN: SUPERVIVENCIA
Desde 1998, el CERT norteamericano ha pasado de investigar 6 ataques
informáticos a lidiar con 82.094, en el 2002. Programas llenos de
fallos, administradores de sistemas incompetentes, redes tan
descentralizadas que ya no se sabe quién es el intruso y quién el
usuario son las causas mayoritarias de estas cifras, cuya tendencia es
a doblarse cada año. Ante el panorama, la preocupación de los expertos
norteamericanos ya no es la seguridad sinó la supervivencia: cómo
hacer que las cosas sigan funcionando bajo un ataque.
En las actuales condiciones, nadie está a salvo y todos deberían tener
consciencia de ello, afirma Richard Pethia, director del CERT/CC,
quien define la supervivencia como "la habilidad de un sistema para
llevar a cabo su misión ante la presencia de ataques, fallos o
accidentes, sabiendo que ningún componente es inmune. La misión es lo
que debe sobrevivir, no un elemento individual, ni tan sólo el propio
sistema".
De la Internet de los años 80, con pocos puntos unidos entre sí, al
ovillo de líneas que es la red actual, Pethia asegura que debe cambiar
la mentalidad: "De las cosas fijas y completas a las desconocidas, sin
punto final ni perímetro, cambiando contínuamente. De jerarquías a
redes interdependientes. De sucesos predecibles a sucesos
asincrónicos. De un punto simple de responsabilidad a la
responsabilidad compartida, a veces desconocida. De la seguridad como
una actividad más a la supervivencia como esencial para el negocio".
Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
More information about the hacking
mailing list