[HACK] con o sin ciberguerra, la red es un 'gruyère'

merce at grn.es merce at grn.es
Thu Mar 20 20:42:43 CET 2003


[parece  que  se  cumplen  las  previsiones  del  articulo           y
http://www.uruklink.net  esta  colapsada. Me gustaria saber quien esta
provocando  el  DoS:  EEUU  o miles y miles de curiosos, porque lo que
dicen  que  ha caido un misil en el servidor parece un poco peliculero
];)

17/02/03


LA PROPAGANDA SOBRE LA CIBERGUERRA NO EVITA QUE INTERNET SEA UN 'GRUYÈRE'


Mercè Molist
A  nadie  en  la red le gusta hablar de "ciberguerra". Los hackers han
hecho  manifiestos  contra  ella  y  la comunidad la prefiere "light",
pacífica  y artística, de protestar, como máximo, con "mailbombings" o
"graffitis"  en  webs.  Otra  cosa  son  los  gobiernos, especialmente
Estados Unidos, que llevan años creando leyes sobre ciberguerra, en la
que  cada vez ponen mayor énfasis sus estrategas. Entre ambos frentes,
un  abismo  de  más  y  más  fuertes  ataques  no  reinvindicados  que
demuestran que, con o sin ciberguerra, la red es un 'gruyère'.

Como  país  avanzado  en  Internet,  Estados  Unidos sabe que su mayor
fuerza es también su debilidad. Recientemente, el gusano "SQL Slammer"
ponía  de  rodillas  a  miles  de  sistemas  de  todo el planeta. Días
después,  un periodista del "Washington Post" se hacía pasar por autor
de Slammer y terrorista cercano a Ben Laden y engañaba a un periodista
de  "Computerworld",  quien  lo  publicó.  Aunque  falsa,  la  noticia
despertaba el fantasma de posibles ataques de al-Qaeda a Internet.

Fantasma   que   el  gobierno  de  los  Estados  Unidos  lleva  tiempo
alimentando.  La  administración  Bush  acaba  de presentar su enésima
"Estrategia  Nacional  para  Asegurar  el  Ciberespacio",  que  quiere
blindar  los  equipos  militares, corporativos y domésticos y crear un
centro  de  coordinación  que  detecte virus y ataques en tiempo real.
Daniel  Burton,  de Entrust, respondía a la presentación del plan: "Es
fuerte  en  ciberseguridad  gubernamental, pero "silencioso" en lo que
respecta   al   sector   privado,   que   controla   el   85%  de  las
infraestructuras críticas".

Éste  es el talón de Aquiles de Estados Unidos: la interdependencia de
todos  con  todos  en Internet. Lo demostraba SQL Slammer, que en sólo
diez  minutos  infectó  el  90%  de  servidores vulnerables, según las
estadísticas.  El  gusano,  que  entraba  y  salía  de los ordenadores
conectados  permanentemente a la red, aprovechando un fallo de la base
de  datos  SQL de Microsoft, no llevaba carga dañina pero, como efecto
secundario, su forma de propagación colapsó dramáticamente las líneas,
en un gran ataque de Denegación de Servicio.

Desde  el  2001,  otros gusanos de infestación masiva han venido antes
que  Slammer,  como  Nimda  o  Code Red, nunca reivindicados, de igual
efecto  y  con  miles  de servidores comprometidos, más de la mitad en
Estados  Unidos. Pero ninguno fue tan pequeño (376 bytes, dos párrafos
de código) ni tan veloz. Generado supuestamente en Asia, Slammer cruzó
el  planeta  en  minutos  y  dañó  cajeros  automáticos y servicios de
emergencia  911  en  Estados  Unidos.  La  empresa  Symantec  avisó la
primera,  pero  sólo a sus clientes, y la comunidad no pudo defender a
tiempo  sus  máquinas. Al ser fin de semana se evitó un mayor colapso.
Con el próximo, dicen los expertos, no habrá tanta suerte.

Las  iras  se  dirigieron  a Microsoft, creadora del producto atacado,
aunque  hacía  seis  meses  que  la compañía había avisado del fallo y
ofrecía  un  parche en su web, que también cayó bajo el gusano, porque
sus  propios informáticos no había aplicado el correctivo, como muchos
administradores  de  sistemas de todo el mundo, que reciben docenas de
avisos  de  parches a la semana. En el caso de productos Microsoft, la
mayoría espera un tiempo a que otros los prueben antes de instalarlos,
vista  la  gran  cantidad  de  correctivos  defectuosos  que genera la
compañía.

Con cada nuevo gusano, surge otra queja: la culpa es del "monocultivo"
Windows.  Haciendo  un símil con la biología, el hecho de que miles de
sistemas  usen  productos  Microsoft hace más vulnerable a la red ante
estas  "epidemias".  Si  se  diversificaran los programas e incluso un
mismo programa fuese diferente en cada sistema, esto no pasaría, dicen
los  expertos,  como  David A. Pérez: "Imagina que en vez de afectar a
SQL, el virus afectase a servidores como IIS de Microsoft, cuyo número
es  muchísimo superior, y además fuese destructivo y creado contra una
vulnerabilidad  que  no  ha sido reportada. Habría un colapso total. Y
puede no faltar mucho".

El  ejército  de  Estados  Unidos  y la OTAN utilizan mayoritariamente
sistemas  Windows, aunque hay tímidos escarceos para pasarse al código
libre.  Los  militares  son  los  únicos que se sienten cómodos con el
término  "infoguerra".  Sus  maniobras no son públicas, pero de vez en
cuando  trasciende  algo,  como la venta de información al KGB, en los
80,  robada  de ordenadores estadounidenses por hackers alemanes. Hoy,
como  ayer,  es  continuo  el  goteo  de intrusiones en servidores web
militares.

En  noviembre  del  año  pasado, arrestaban a un británico de 36 años,
Gary   McKinnon,   acusándole   de  entrar  en  ordenadores  militares
norteamericanos  y  bajarse  información  sin  especificar. Según Dave
Bryan,  vice  comandante de la Agencia de Sistemas de Información para
la  Defensa  de  EEUU, en el año 2000 hubo 25.000 intentos serios para
entrar en sus sistemas militares, de los que 245 fueron exitosos. Pero
nadie consiguió información clasificada, porque no estaba allí, afirma
un militar español:

"Ningún  sistema  del Departamento de Defensa accesible desde Internet
puede  contener información clasificada. Cuando el sistema es atacado,
puede  dejar  de prestar servicio pero no revelar información sensible
ni  dar  acceso  a  la red interna, porque esa conexión no existe. Los
sistemas  tácticos  están  físicamente separados. Es como una cebolla:
cuando  muerdes la capa externa no sólo estás muy lejos del núcleo, es
que  ni  siquiera está en la cebolla adecuada. El peor daño es un poco
de  mala  publicidad,  pero  eso  no  afectará  a  las operaciones, ni
siquiera  a  la  propia  guerra  de información, que seguirá por otros
medios".

Para  el  ejército,  la  amenaza  principal proviene de los ataques de
Denegación  de  Servicio (bombardeos o DoS), ya que "es lo más difícil
de prevenir, al atacar un recurso difícilmente defendible: el ancho de
banda",  afirma el militar. Conoce bien el peligro el FBI, que en 1999
tenía  que  cerrar  seis días su web por un bombardeo desde cientos de
ordenadores,  como  venganza por la detención de una banda de vándalos
informáticos.

También  lo  sabe  el  principal  centro  de seguridad en Internet, el
Computer  Emergence  Response  Team  (CERT).  Hace dos años, sufría un
violento  DoS  que  tumbó  el  servicio  web por unas horas. El equipo
aseguró  entonces  que  este  tipo  de ataques son el pan de cada día.
Según el experto Jordi Linares, "son los más complicados porque, hasta
que  no  puedes  parar  todo  el  tráfico malicioso, es difícil que se
acabe,  peor  si  viene  de países con los que no tienes comunicación,
como China. Sólo puedes poner filtros y hablar con los proveedores, no
se  puede  luchar  de  otra  forma,  y eso le pasa a un CERT como a un
Amazon".

En febrero del 2000, diversos servicios comerciales como Yahoo, Amazon
o eBay sufrieron un serio bombardeo durante varias horas, que marcó el
nacimiento  oficial  de  esta  modalidad de Denegación de Servicio: la
distribuida (DDoS), donde se lanzan paquetes desde cientos de máquinas
contra  un objetivo. En octubre del año pasado, tenía lugar el Segundo
Gran  DDoS, contra los servidores de nombres de dominio. Según el FBI,
cayeron  siete de los trece principales. El ingeniero Chris Morrow, de
UUNET,   afirmaba:   "Es  probablemente  el  mayor  ataque  contra  la
infraestructura  de  Internet que hemos visto nunca". Tampoco nadie lo
reivindicó.

Richard   Pethia,  director  del  CERT/CC,  avisaba  recientemente  en
Barcelona: "Cada vez somos más dependientes de sistemas distribuidos a
gran  escala, para defensa, energía, telecomunicaciones, finanzas. Los
intrusos,  bien  preparados  y  organizados,  están  atacando  con más
frecuencia  e  impacto,  usando  herramientas fáciles y diseñadas para
grandes  ataques.  Internet  es  su  blanco perfecto, de bajo riesgo y
difícil rastreo, especialmente para las Denegaciones de Servicio. Y la
cosa  irá a peor. La raíz de estos problemas es la poca calidad de los
programas".

En   un  año,  se  han  doblado  los  avisos  del  CERT  sobre  nuevas
vulnerabilidades  en programas, que representan sólo una pequeña parte
del  total que circula por los foros especializados. Afirma el experto
en  seguridad  Román  Medina: "Detrás de la mayoría de ataques siempre
hay una o más vulnerabilidades que están siendo explotadas. Un DDoS no
sería  posible  si  los "routers" hicieran un filtrado apropiado y los
servidores  estuvieran  actualizados.  Ante  un ataque así, poco podrá
hacer el administrador, aunque sea una máquina militar importante".

Jesús  Cea,  de  Hispasec,  lo comparte: "El estado del arte actual en
Internet,   a   nivel   de   protección   de  la  infraestructura,  es
prácticamente  inexistente.  El principal problema son los DDoS porque
da  igual que tus máquinas sean seguras y te preocupes de tenerlo todo
actualizado   y   configurado.  Si  te  quedas  sin  línea  de  datos,
desapareces.  No hay vacuna posible. El resto de problemas dependen de
tu  'saber  hacer'  para  con  tu  propia infraestructura, pero evitar
ataques  DDoS  requiere  de  un  esfuerzo  coordinado  de  decenas  de
'carriers' alrededor de todo el planeta."



QUÉ SERÁ SERÁ

Óscar  Conesa, del CERT español, lo pinta negro: "La posibilidad de un
acto  terrorista,  consistente en la propagación de un virus altamente
destructivo,  debe ser tenida muy en cuenta y, dada la situación de la
red,  acabará  ocurriendo.  El  coste  de  la  operación  la  hace una
alternativa  muy  tentadora para grupos terroristas con pocos recursos
económicos,  pero  con disponibilidad de jóvenes programadores; grupos
de  Pakistán  o  Indonesia  reunirían fácilmente estas condiciones. No
podemos  garantizar  que un nuevo virus aparezca y se dedique a borrar
datos  de  manera sistemática o hacer un DoS contra webs de antivirus,
que impediría la distribución de los antídotos".

Albert  Puigsech,  también  de  esCERT, matiza: "Hoy son aún pocas las
empresas  que dedican el 100% de su trabajo al comercio en la red, por
lo  que no se la puede considerar su talón de Aquiles". Jorge Hurtado,
director  de  Desarrollo  de  Negocio  de  Germinus,  también le quita
hierro:  "Desde  un  punto  de  vista militar, estoy convencido de que
Internet  es el menor de los problemas reales ante una guerra. Además,
la  amenaza  principal en este conflicto no vendrá de Iraq sinó de sus
propios  aliados,  de la mayoritaria opinión pública mundial en contra
de la guerra".

Según  Hurtado,  "lo  que  se  utilizará para debilitar la posición de
Estados  Unidos  es  la  información.  De  todo tipo, desde sitios web
contra  la  guerra  a  mensajes  de correo electrónico con información
falsa  sobre  los  acontecimientos  y con peticiones desesperadas para
reenviarlos.  También los virus por correo, como una carta hablando de
un niño iraquí abandonado para inducir a abrir un archivo infectado. O
la  modificación  de  contenidos  como  elemento propagandístico, como
ponerle  los  cuernos  a Bush o introducir noticias falsas en las webs
del gobierno".


MISIÓN: SUPERVIVENCIA

Desde  1998,  el CERT norteamericano ha pasado de investigar 6 ataques
informáticos  a  lidiar  con  82.094,  en el 2002. Programas llenos de
fallos,   administradores   de   sistemas   incompetentes,  redes  tan
descentralizadas  que  ya  no  se  sabe quién es el intruso y quién el
usuario son las causas mayoritarias de estas cifras, cuya tendencia es
a doblarse cada año. Ante el panorama, la preocupación de los expertos
norteamericanos  ya  no  es  la  seguridad sinó la supervivencia: cómo
hacer que las cosas sigan funcionando bajo un ataque.

En las actuales condiciones, nadie está a salvo y todos deberían tener
consciencia  de  ello,  afirma  Richard  Pethia, director del CERT/CC,
quien  define  la  supervivencia como "la habilidad de un sistema para
llevar  a  cabo  su  misión  ante  la  presencia  de ataques, fallos o
accidentes,  sabiendo que ningún componente es inmune. La misión es lo
que  debe sobrevivir, no un elemento individual, ni tan sólo el propio
sistema".

De  la  Internet  de los años 80, con pocos puntos unidos entre sí, al
ovillo de líneas que es la red actual, Pethia asegura que debe cambiar
la mentalidad: "De las cosas fijas y completas a las desconocidas, sin
punto  final  ni  perímetro,  cambiando contínuamente. De jerarquías a
redes    interdependientes.   De   sucesos   predecibles   a   sucesos
asincrónicos.   De   un   punto   simple   de   responsabilidad  a  la
responsabilidad  compartida, a veces desconocida. De la seguridad como
una actividad más a la supervivencia como esencial para el negocio".




Copyright (C) 2003 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.



More information about the hacking mailing list