[HACK] Decimo aniversario CERTS espanyoles

merce merce at grn.es
Thu Jul 14 10:34:39 CEST 2005 

11/05/2005 16:38


DIEZ AÑOS "APATRULLANDO" LA RED

Los dos equipos españoles de respuesta a incidentes
informáticos (CERTs) celebran un década de lucha contra
virus y "crackers"


Mercè Molist
Son el teléfono al que llamar cuando intrusos o virus
provocan estragos en las redes de empresas y universidades.
Se les considera como los bomberos de Internet y, en España,
llevan diez años apagando fuegos. Lo han celebrado por todo
lo alto, con conferencias y una regata en la playa de
Barcelona.


Todo empezó por un virus: el "Gusano de Morris". En 1988, un
estudiante creó un código autorreplicante que colapsó por
primera vez la incipiente Internet. El Departamento de
Defensa de los Estados Unidos encargó a la universidad
Carnegie Mellon la creación de un equipo para que aquello no
volviese a suceder. Así nació el "Computer Emergence
Response Team Coordination Center" o CERT/CC.

Pronto empezaron a surgir equipos similares en Europa,
siempre ligados a las universidades. Manel Medina, director
del esCERT, lo recuerda: "Fue una corriente liderada por la
red académica alemana, con soporte de noruegos, holandeses y
franceses. Los primeros CERTs se crearon en 1992, aunque fue
en 1995 cuando se generalizaron, a petición del CERT/CC en
Estados Unidos, que reclamó soporte europeo ante el aumento
de incidentes y la dificultad de atenderlos, debido a la
diferencia horaria".

A principios de 1995 se creaba en la Universitat Politècnica
de Catalunya (UPC) el esCERT, dedicado a asesorar, prevenir
y resolver gratuitamente incidencias de seguridad en la red
académica catalana y empresas y administraciones nacionales.
En noviembre del mismo año, nacía en Madrid IRIS-CERT, que
ofrecía el mismo servicio a la comunidad académica y de
investigación española. Rubén Martínez lideraba el proyecto
de Madrid, mientras Manel Medina y Jordi Buch hacían lo
propio en Barcelona.

Fueron los primeros equipos de seguridad cibernética en
España. La criminalidad entonces no era muy elevada, dice
Medina: "Más bien había inconsciencia, promiscuidad e
irresponsabilidad. Considerábamos que el hecho de que el uso
de la red se estuviera extendiendo podía comportar problemas
de seguridad y confianza, que frenarían el desarrollo del
incipiente comercio electrónico. Creamos el organismo de
reacción y prevención antes de que el problema fuera
incontrolable".

El primer año, el esCERT trabajó sólo en media docena de
intrusiones: "Los atacantes no estaban acostumbrados a ser
detectados y no tomaban precauciones. También había
empresarios preocupados por castigar a empleados que les
habían robado información y demandaban apoyo pericial. No
había tradición de sanciones por mal uso de sistemas
informáticos y mucho menos legislación", explica Medina.

Desde entonces, los incidentes atendidos no han parado de
crecer. En IRIS-CERT se ha pasado de 110, en 1998, a 1.714,
el año pasado. Dice Chelo Malagón, miembro del equipo: "Ha
habido notables modificaciones en el modus operandi de los
atacantes y los tipos de ataques, que han ido siendo más
masivos, como gusanos o denegaciones de servicio, lo que
dificulta su seguimiento y coordinación".

Añade Medina: "Ha habido una profesionalización de los
atacantes. Cada vez hay herramientas más sofisticadas que
facilitan su uso a atacantes inexpertos y más maliciosos. La
diferencia cualitativa está en la confección de programas
maliciosos usados de forma privada por atacantes
profesionales, para robar información confidencial de las
empresas".

Otro cambio ha sido el tipo de ordenadores objetivo de los
ataques, explica Malagón: "Antes eran los servidores pero,
al existir mayor conscienciación en estas instalaciones,
ahoran son las máquinas de los usuarios finales, que se usan
para bombardear sitios o enviar correo basura. Hoy en día
son el verdadero talón de Aquiles de Internet".

Medina lo ratifica: "El aumento de ancho de banda no ha ido
acompañado de la formación necesaria entre los usuarios para
utilizarlo de forma segura. Además, la aparición de
programas "peer to peer" ha provocado el crecimiento de los
delitos contra la propiedad intelectual y el robo de
información".

De todas formas, según el director del esCERT, aunque los
incidentes y vulnerabilidades crecen constantemente, "si lo
miramos respecto al número de usuarios, veremos que su valor
relativo disminuye. Además, los servicios y herramientas que
permiten utilizar Internet con seguridad también han
crecido".

Con el tiempo, los CERTs han creado una tupida malla en
Europa, con 42 equipos coordinados entre sí, lo que conforma
un red única en el mundo de seguimiento de incidentes de
seguridad informática. Por su origen universitario, han
hecho especial hincapié en la formación dirigida a empresas,
instituciones y fuerzas de seguridad, con las que mantienen
una constante colaboración.

La mejor preparación de las fuerzas de la ley no es una
amenaza para la supervivencia de los CERTs, dice Malagón:
"Somos complementarios, atendemos incidentes diferentes.
Ellos se centran en pedofilia, amenazas, fraudes. Además,
somos un enlace entre ellos y nuestra comunidad,
proporcionando asesoría para agilizar las denuncias en caso
de que una institución lo necesite". Añade Medina: "Somos
como los investigadores privados o los vigilantes jurados".

A pesar de sus méritos, la constante en los CERTs españoles
ha sido la falta de recursos, que han suplido con
imaginación. La financiación de IRIS-CERT procede del Plan
Nacional de I+D. El esCERT se financió en un primer momento
con ayudas de la Unión Europea y la administración. Cuando
se acabaron las subvenciones y sólo quedó la ayuda de la
UPC, crearon una empresa de servicios de seguridad,
InetSecur.



TRES CASOS QUE HAN HECHO HISTORIA


El director del esCERT, Manel Medina, destaca los tres
principales incidentes de seguridad de los últimos diez años
en España:

1. La detención de dos hackers, con la colaboración del
esCERT, en mayo de 1997, por haber accedido a cuentas de
correo de profesores de la Universitat Rovira i Virgili de
Tarragona, que sentó un precendente en la intervención de
las fuerzas de seguridad en los delitos informáticos. Los
jóvenes, estudiantes de la universidad, fueron los primeros
detenidos en España por intrusión en redes informáticas. Se
les acusaba de ataques en ordenadores de diversas
universidades, el Centre de Supercomputació de Catalunya, un
congreso de Internet, una empresa de Canarias, la red
ciudadana TINET y el Registro Mercantil de Tarragona. Al
final, la universidad retiró los cargos y fueron absueltos.


2. El gusano "I love you", aparecido el 4 de mayo del 2000,
que constituyó la explotación masiva de una técnica de
ingeniería social para engañar a los usuarios y propagar
mundialmente un virus en pocos días. Llegó a infectar al
Pentágono y el Parlamento Británico. Se transmitía a través
del correo electrónico, como un archivo adjunto a un mensaje
con el tema "I love you" (te quiero), lo que provocó que
mucha gente lo abriera, creyendo que recibían una carta de
amor. Cuando infectaba un ordenador, se autoenviaba a los
contactos de su libreta de direcciones. Se cree que procedía
de Filipinas.


3. El gusano "SQL Slammer", aparecido el 26 de enero de
2003, que perpetró un ataque de denegación de servicio
extremadamente rápido, afectando a una gran mayoría de
ordenadores de todo el mundo en muy pocas horas, se dice que
infectó a más de 200.000 servidores en un fin de semana. En
España tuvo especial incidencia en la red académica. Este
pequeño gusano, de sólo 376 bytes, no se transmitía por
correo ni necesitaba de la intervención humana directa para
infectar los ordenadores. Aprovechaba un agujero en los
servidores MS-SQL para colarse automáticamente y, desde
allí, buscaba nuevas víctimas en las subredes cercanas,
mediante una técnica muy rápida pero que consumía mucho
ancho de banda, lo que provocaba que las comunicaciones en
las redes afectadas fuesen cada vez más lentas, hasta el
colapso.


10 años cuidando la red
http://www.cuidandolared.org
IRIS-CERT
http://www.rediris.es/cert
esCERT
http://escert.upc.edu/index.php/web/es/index.html
CERTs en Europa
http://www.ti.terena.nl/teams/country.html



Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this
entire article is permitted in any digital medium, provided
this notice is preserved.

More information about the hacking mailing list