Nukin’ Zaragoza: a cyberwar exercise (VIII). De vuelta al mundo real.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

(Después del fin de semana movidito que hemos tenido, volvemos con el penúltimo post de la serie de Antonio Sanz sobre un potencial escenario de ciberguerra en la ciudad de Zaragoza. En breve, las conclusiones finales).

0. De vuelta al mundo real

A primera vista, podría parecer que el relato anterior sería más que adecuado como  argumento de una película de Tom Clancy. Sin embargo, vamos a volver a repasar todos los puntos de la investigación del relato ficticio, pero desde otra óptica: la del mundo real.

Fallo del suministro eléctrico

Las redes eléctricas podrían ser sin muchas dudas la infraestructura crítica más importante de un país: la dependencia de otros muchos sistemas de la electricidad lo hace indispensable para la sociedad moderna.

Es por ello por lo que estas redes son objetivos claros de acciones de ciberguerra: un ejemplo claro es el ataque sobre la red eléctrica Ucraniana en 2015 y 2016, que dejó sin energía eléctrica a más de 200.000 personas durante varias horas.  Otro ejemplo, aunque sin confirmar, sería el apagón de prácticamente todo el sudeste de Turquía en 2015, que dejó a 40 millones de turcos sin suministro eléctrico durante 12h.

Y solo hablamos de los ataques realizados con éxito. Aunque existe (por razones obvias) muy poca información al respecto, informes como el de ClearSky sobre la Operación Electric Powder, (en la que se detallan los constantes ataques a la Israel Electric Company) hacen pensar en lo que no se está realmente viendo.  Sin duda alguna la seguridad de las redes eléctricas es uno de los retos más importantes de la ciberseguridad actual.

Con respecto al uso de ataques de spear-phishing, no hay nada nuevo bajo el sol: son sencillos, y si se cuida la elaboración del mensaje su eficiencia es desgraciadamente muy alta. Y si no, que se lo digan a los demócratas americanos, que fueron supuestamente penetrados  a conciencia por grupos de ciberespionaje ruso a través de un spear-phishing a John Podesta (el jefe de campaña de Hillary Clinton). El correo en cuestión es una pequeña obra de arte: conciso, claro y capaz de engañar tanto al usuario como a varios colaboradores.

La parte relativa al malware en instalaciones industriales tiene una referencia clara: Stuxnet. La “ciberarma” por excelencia, fue diseñada por EEUU e Israel para entorpecer el desarrollo de capacidades nucleares de Irán. Se recomienda el siguiente análisis técnico, y sobre todo el libro “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon” para entender en detalle lo que ha supuesto Stuxnet dentro de la ciberguerra.

Fallo de las comunicaciones

En este caso volvemos a tocar la realidad muy de cerca. Las vulnerabilidades de dispositivos Cisco ya no sorprenden a nadie: desde EXTRABACON y EPICBANANA (publicadas por el grupo Shadowbrokers) usadas por la NSA hasta las últimas revelaciones de Wikileaks sobre los fallos de seguridad empleados por la CIA para acceder a diverso equipamiento de red, un 0-day de estas características no es ni mucho menos ciencia ficción.

Y de malware con capacidad de borrar equipos,  Arabia Saudí sabe bastante. No en vano se formatearon más de 35.000 de Saudi Aramco (la compañía petrolera nacional del país) por culpa de Shamoon.  Que, por cierto, parece que ha vuelto al ruedo con renovadas energías y un nuevo nombre: StoneDrill. Es un momento tan bueno como otro cualquiera para recordar la importancia de las copias de seguridad y de los planes de continuidad de negocio…

El asunto de las muñecas inteligentes (quizás demasiado) tampoco es ficción: de hecho, Alemania ha prohibido la venta de la muñeca Cayla, considerándola prácticamente un “dispositivo de espionaje”. Tristemente, cuesta muy poco encontrar multitud de juguetes que constituyen verdaderos riesgos para la privacidad de nuestros hogares.

Fallo de las comunicaciones vía radio

El jamming de comunicaciones existe prácticamente desde la invención de la radio, siendo cuestión en muchos casos simplemente de potencia y de un software mínimamente sofisticado. Y no hace falta ir a la Dark Web para encontrarlos: una simple búsqueda nos permite encontrar hasta tiendas especializadas.

Cualquiera con una furgoneta, unos conocimientos mínimos de radio, un par de miles de euros y un SAI o un generador podría hacer un dispositivo capaz de bloquear una señal de radio en varios kilómetros a la redonda. Así de simple.

No respuesta del Ejército

Sin entrar en detalles de los protocolos de actuación del Ejército, el resto de la historia está (cual telefilme de fin de semana de Antena 3) basado en hechos reales.  Hace unos años unos investigadores crearon un perfil de LinkedIn para Robin Sage, una joven analista de inteligencia militares que logró centenares de conexiones con militares, agentes del gobierno y contratistas de empresas de inteligencia. ¿La pega? Que el perfil era completamente falso.

Para bien o para mal, es realmente sencillo a día de hoy encontrar a alguien en Internet: Facebook, Twitter, Instagram, LinkedIn, Tinder… Media hora de investigación pueden suministrar información suficiente como para realizar un ataque de ingeniería social en toda la regla. Y si no, que se lo cuenten a las víctimas del  llamado “Don Juan Estafador”, que logró estafar a más de 60 mujeres a lo largo y ancho de toda España.

En lo referente al malware en dispositivos móviles, tenemos también donde elegir. En el caso de Android podemos nombrar al  (nada) simple Hummingbad, que ha infectado a millones de dispositivos y genera a sus creadores ganancias de alrededor de medio millón de euros mensuales. En un ámbito totalmente distinto encontramos el impresionante Pegasus, que hacía uso ni más ni menos que de tres 0-days encadenados para instalar un troyano en los iPhone.

A día de hoy los terminales móviles no están ni mucho menos a salvo, más bien todo lo contrario.

Fake news & Social Media

“No dejes que la verdad te estropee un buen reportaje” (Tony Curtis en “La pícara solterona”). “Una mentira repetida mil veces se convierte en una verdad (Göbbels). La cantidad de citas famosas sobre la veracidad de la información es desgraciadamente demasiado elevada, y la propaganda pura y dura ve como su efectividad se multiplica gracias a Internet,  sobre todo vía el uso de las redes sociales.

No en vano redes sociales como Facebook tuvieron una participación más que importante en las últimas elecciones de EEUU gracias a su efecto multiplicador. El mecanismo es muy sencillo: crea una noticia falsa como el tweet de la OTAN gracias a un generador de tweets falsos, difúndela a través de Internet usando una granja de trolls que se encargue de propagar tu mensaje, y siéntate a recoger los beneficios.

Estas tácticas, bien elaboradas, explotan con gran éxito los sesgos cognitivos de las personas, convirtiéndolas en propagadores involuntarios de la noticia falsa.  No es para nada desdeñable que en nuestro caso un grupo de trolls organizado pudiera llevar a cabo un ataque de estas características.

OTAN – El DDoS más grande de la historia

Los ataques DDoS (Distributed Denial of Service) constituyen un grave problema para Internet, más si cabe que la velocidad de las conexiones crece a mayor ritmo en los puntos finales que en las grandes troncales de comunicaciones.

Esta reducción de la asimetría permite a una botnet infectar a miles de equipos y emplearlos para atacar a una página web, dejándola inoperativa por completo (exigiendo en muchos casos un pago para detener el ataque).

En los últimos años estos ataques se han hecho enormemente masivos, logrando alguno incluso “tirar Internet” como el realizado sobre el proveedor de DNS Dyn (afectando a Amazon y Apple entre otros). Este ataque fue llevado a cabo por la botnet Mirai, formada en su mayoría por millones de dispositivos IoT (principalmente cámaras IP), que ha llegado hasta a tirar de Internet países enteros.

Aunque el ataque más intenso registrado hasta la fecha superaba ligeramente 1Tbps, aunando suficientes equipos infectados el límite solo lo pone el ancho de banda disponible…

IGN & AEMET hacked

La seguridad de los sitios web lleva siendo un quebradero de cabeza para todos desde años. Ya no es suficiente con tener los equipos correctamente bastionados, actualizados y detrás de un cortafuegos.

Cada mes se descubren nuevas vulnerabilidades capaces de atacar a decenas de miles (sino millones) de sistemas, y los atacantes tienen una capacidad de reacción mucho mayor que los defensores. No tenemos más que recordar la vulnerabilidad SA-CORE-2014-005 del CMS Drupal, también conocida como “Drupalgeddon” por la cantidad de sistemas afectados, o las carreras de los administradores de sistemas para solventar el fallo de seguridad de Flash que ocurre prácticamente de forma mensual (14 boletines en 2016).

En nuestro caso una vulnerabilidad como ImageTragick (que afectaba a ImageMagick, una librería de procesado de imágenes), unida si fuera necesario a otra como DirtyCow (escalada de privilegios local en Linux) podrían haber supuesto la toma de control de ambos servidores.

Y si estos son capaces de encontrar un fallo de seguridad de PHP suficientemente grave (como ocurre en este caso), tendrían a su merced una parte más que importante de todos los servicios de Internet.

Lo que no se contó

El uso de drones como plataformas de armamento no es nada nuevo. Los Predator y Reaper estadounidenses llevan desde 2001 atacando objetivos militares en Oriente Medio. El problema viene cuando éstos responden con la misma moneda, usando drones comerciales para lanzar bombas sobre sus enemigos como está haciendo el ISIS.

Teniendo en cuenta que a día de hoy es sencillo encontrar drones que puedan llevar 5-10kg de peso durante más de 30 minutos de vuelo, las posibilidades son infinitas. Otra idea interesante es emplearlos como plataformas de hacking. Posar un drone con un minipc en la azotea de un edificio y usarlo para penetrar en su red a través de la WLAN es algo más que factible a día de hoy.