El ciberataque de Obama contra Irán

Imagen de VaLfAdIr
Enviado por VaLfAdIr en

Foros: 

Aunque no soy muy dado a escribir en público, creo que esta noticia, además de ser interesante, se presta a comentario, discusión o análisis. Tiene más relación con la seguridad que con la criptografía, aunque la creación de virus (los técnicamente buenos) puede emplear técnicas criptográficas y, al fin y al cabo, los dos comparten un objetivo: pasar el mayor tiempo posible en la sombra. El criptograma sin ser descifrado y el virus sin ser descubierto.

La noticia (a mi entender un poco sensacionalista, como es de esperar) hace referencia a Stuxnet y Flame. En ciertos círculos ya se comentaba, desde su aparición en “público”, la posible implicación de los gobiernos estadounidenses e israelíes. Ahora “The New York Times” los relaciona directamente...

Lo que a mí me parece interesante es que estos virus han estado pasando totalmente desapercibidos durante dos años (por lo menos) para investigadores y casas antivirus. Por no mencionar lo que con el tiempo esto pueda llegar a convertirse si le añadimos “Carnivore”, “Echelon” y lo que no sabemos… :-)

También en lo que llaman “guerra cibernética” hay daños colaterales:

“Sin embargo, en verano de 2010, Stuxnet saltó de forma involuntaria a Internet, aparentemente a través de un portátil o de un ‘pen drive’ de uno de los empleados de Natanz.”

Aquí os dejo el link por si interesa:

Un saludo.

VaLfAdIr
Si la puerta está cerrada... ¡¡¡TIRALA!!! y libera la información.
Clave PGP disponible en: http://pgpkeys.mit.edu
Key ID: 0xE4E9F599

Confirmado

Es la confirmación de que los antivirus no funcionan proactivamente, por mucho que desde los departamentos de marketing se inventen palabras como heuristica, defensa proactiva, etc, aquí vemos como no sirven de nada.

Hasta que han aislado y analizado una muestra no era detectado. Las sospechas comenzaron por los pantallazos azules de algunos windows infectados, y a partir de ahí buscaron al sospechoso y le hicieron ingenieria inversa y el resto es historia.

Aclaraciones

Quiero explicar un poco sobre este tema, ya que muchos aqui sois expertos criptograficos pero no sobre virus, gusanos y demas.

Flame y Struxnet, entre otros, son unos virus modulares que han estado pululando por la red desde hace unos 2 años como mínimo y 5 como máximo, segun algunos informes que he leido; estos tienen tan complejidad que no lo puede haber hecho cualquiera, por eso se dice que ha sido hecho por algunos gobiernos, concretamente el de EE.UU. e Iran.

Ahora conviene analizar cuales son los metodos que utilizan los antivirus para detectar los virus:

1. Las firmas: son una cadena de caracteres hexadecimales que se encuentran en
una parte de un archivo, en este caso virus.
2. Heuristica: consiste en analizar el comportamiento de un archivo en un
sandbox o entono seguro.

Que hacen los virus para pasar por delante de los antivirus sin ser detectados, pues estas cosas:

1. Cambio del codigo fuente: lo que se hace es mirar que parte del codigo esta
firmado, para despues modificar la parte firmada con otro codigo que haga
exactamente lo mismo.
2. Ofuscación: lo que se hace es encriptar el codigo fuente, de modo que se
desencripte en el momento de ejecutarlo.

Saludos.

Si, pero más cosas

Antes de que las casas antivirus implementen esos métodos que indicas hay un proceso de investigación e ingeniería inversa que, para mí, es la etapa más importante. A partir de ahí se actualizan las firmas y se aplican otras "defensas".

La definición que haces de ofuscación es incorrecta, la que has puesto es la de cifrado. Una cosa es la ofuscación de código y otra el cifrado. La ofuscación de código es casi un arte :-) y consiste en hacer los más díficil posible el seguimiento del código. Es decir, hacer lo contrario que hay que hacer cuando desarrollas programas convencionales. Embarullar el texto, nada de comentarios, llamar a variables, funciones o procedimientos con nombres reservados del lenguaje (no exactamente).

Ejemplo: 

int int_;
(((!(int_-int_)<<!(int_-int_))<<(!(int_-int_)<<!(int_-int_)))|(!(int_-int_)<<!(int_-int_)));

Y algo muy importante es la utilización de vulnerabilidades 0-days para pasar desapercibidos. Stuxnet tenía hasta 4 0-days para Windows.

Como curiosidad, TheFlame tiene partes lógicas escritas en LUA (lenguaje utilizado en videojuegos).

Un saludo.

VaLfAdIr
Si la puerta está cerrada... ¡¡¡TIRALA!!! y libera la información.
Clave PGP disponible en: http://pgpkeys.mit.edu
Key ID: 0xE4E9F599

Petavirus

Para mí esto de los "petavirus" no hace más que confirmar que las máquinas no pueden reemplazar a las personas competentes que nunca ponen por encima de sus responsabilidades la competitividad como si de un juego de alta conformación aleatoria y, por tanto, responsabilidad particular -y no pública o general- se tratara. Esta crasa confusión entre competencia y competitividad (siempre en mi opinión, claro está) es una de las razones fundamentales que nos han llevado a la infame situación actual... espero que nuestros máximos dirigentes rectifiquen pronto esta tendencia impropia por el bien, no ya de las personas humanas, que también; sino de la naturaleza, del planeta y de las generaciones futuras con cuya legítima herencia no tenemos derecho a jugar.

Por lo demás, opino que estas formas de enfocar la cuestión son un tanto espectaculares porque el tema es mucho menos dinámico de lo que pudiera parecer si se siguen los protocolos de seguridad establecidos por la sabia experiencia acumulada a través de varias generaciones; cosa que, no obstante, es comprensible dado que el género es muy exigente en cuanto a la verbalización casi a ciegas de contextos o escenarios, oficios, etc. y hay que darle un poco de dinamismo porque, si no, sólo quienes a ello se dedican lo leerían y, nuevamente, tendríamos servida la consabida tautología o el famoso 'A=A'. Gracias y saludos, llevo años leyendo sobre software malicioso o malware y a veces saber algo acerca de lo que se considera la élite o el no va más se agradece mucho aunque sólo sea coloquialmente.

¡El planeta!

Para mí ibas muy bien hasta que has mencionado la naturaleza y el planeta ¡meeeeeeeeeec! errores graves:

Error 1: no podemos hacer nada que no esté en nuestra naturaleza, si consideras que el hombre no es un ser natural, en cierta medida justificas sus desmanes. El plomo, plutonio, petróleo, cadmio, etc. son cosas tan naturales como el aire y el agua. No hacemos nada que no sea transformar lo que encontramos en la naturaleza. Y nuestra capacidad de transformación voluntaria es de risa comparada con la capacidad de transformación de nuestro organismo, que a su vez es ridícula comparada con la de cualquier vegetal. Ningún cambio producido por el hombre es realmente drástico o dramático para la naturaleza, sobre todo comparado con grandes cambios como los producidos por los corales o algas azules, la única diferencia apreciable es el tiempo que llevan esos cambios, que en ambos casos es ínfima comparada con la escala temporal planetaria, es decir que 1.000 o 100.000 años son infinitésimos equivalentes. Por no hablar de cambios realmente dramáticos y rápidos como erupciones volcánicas o terremotos (de meteroritos ni hablamos).

Error 2: al planeta se la pela lo que hagamos. Lo más gordo que podemos hacer es detonar varios artefactos nucleares. Esto no destruiría el planeta (apenas tenemos capacidad para hacer desaparece una isla). El planeta seguiría tan pancho como antes. No podemos alterar su campo magnético, su órbita, romperlo en pedacitos ni nada por el estilo. Así que lo de "salvar el planeta" es otro arrebato subconsciente de la supremacía humana sobre la creación.

No somos un peligro para la naturaleza ni para el planeta, somos un peligro para nosotros mismos, lo que probablemente sea un estupendo mecanismo natural de autorregulación.

El hombre, la naturaleza y el planeta

...por el bien,... de la naturaleza, del planeta...

...has mencionado la naturaleza y el planeta ¡meeeeeeeeeec!...

¡Vaya, lo siento! No pretendo, en absoluto, provocar discusiones que versen acerca del significado de las palabras. Sólo intento expresar un deseo personal, que en mí es firme creencia y atenta expectativa, de una forma coloquial o sugerida.

Error 1: ..., si consideras que el hombre no es un ser natural, en cierta medida justificas sus desmanes.

¡Qué va, qué va! en mi breve comentario no considero ni justifico esos conceptos para nada. ¡Qué cosas se te ocurren! ¿De dónde sacas semejantes suposiciones?

Error 2: [...] Así que lo de "salvar el planeta" es otro arrebato subconsciente de la supremacía humana sobre la creación.

Repito que, mediante mi breve comentario y de forma coloquial, únicamente intento expresar un deseo personal, creencia y atenta expectativa.

No somos un peligro para la naturaleza ni para el planeta, somos un peligro para nosotros mismos,...

No entiendo a qué te refieres, Calario; ¿no serás un 'petavirus encriptado' de esos que pululan por ahí? ;-)

Saludos y gracias por expresar tus puntos de vista, puede que a otros interlocutores les resulten interesantes.

Me gustaria confirmación

Quisiera, necesito, que alguien de Irán confirme la noticia, es decir, que cuente de primera mano si es verdad que dichos virus están infectando computadoras. No vaya a ser que nos estén lavando el coco con el supervirus-de-la-cia y al final solo se hayan infectado 4 computadoras. Y los medios magnifiquen todo esto para que los consumidores de información digamos: -Oh, que poderosos son los norteamericanos, han creado el virus tecnicamente más desarrollado de la historia de la informática.

Porque igual la historia nos la cuentan de una manera y luego la realidad es otra. Y no digo que no exista el virus, pero igual ni es tan técnicamente avanzado ni ha infectado tantos sistemas críticos... ¿no?

Juzga por ti mismo...

No soy iraní pero creo que, el que lo fuera, tampoco te garantizaría la fiabilidad de la información.

En cuanto al nivel de infección... hay algún gráfico por ahí, no sé hasta que punto es fiable...

En cuanto a "pero igual ni es tan técnicamente avanzado" échale un vistazo a esto:

http://unaaldia.hispasec.com/2012/06/la-creacion-del-certificado-falso-u...
http://unaaldia.hispasec.com/2012/06/la-creacion-del-certificado-falso-u...

Un saludo.

VaLfAdIr
Si la puerta está cerrada... ¡¡¡TIRALA!!! y libera la información.
Clave PGP disponible en: http://pgpkeys.mit.edu
Key ID: 0xE4E9F599

Creo que son diferentes

Tanto stuxnet como duqu como flame son distintos. Stuxnet y duqu fueron firmados con certificados robados. Flame parece diseñado para espiar (keylogger, captura de pantalla y de audio, etc).

El new york times habla de stuxnet y no de flame.

Creo que lo estamos mezclando todo en una especie de apocalipsis cibernetico.

Diferentes y parecidos

Si, Stuxnet y Duqu fueron fimados con certificados robados y TheFlame (directamente) lo firmaron con un certificado falso y creado para saltarse la estructura PKI de Microsoft. Realmente, todavía no se ha alcanzado a saber todo el potencial de TheFlame porque todos los plugins de TheFlame ocupan alrededor de 20 Mb y pueden ser configurables. No creo que lo más importante sea su capacidad de espionaje (que eso lo hacen también otros) aunque para los medios sea lo mas llamativo.

En cuanto a lo de "New York Time" te equivocas, habla de Stuxnet y de TheFlame:

http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of...

A similar process is now under way to figure out the origins of another cyberweapon called Flame that was recently discovered to have attacked the computers of Iranian officials, sweeping up information from those machines. But the computer code appears to be at least five years old, and American officials say that it was not part of Olympic Games. They have declined to say whether the United States was responsible for the Flame attack."

Por mi parte, creo, que no estoy mezclando nada y tampoco hablo de apocalipsis cibernético. Pero creo que las reglas del juego ha cambiado (hace tiempo) desde que hace años se empezaran a crear virus por apasionados de la programación y la IA (blancos y negros), luego entraran en el juego el llamado cibercrimen organizado y ahora (que nos han dejado enterarnos) se meten de lleno ciertos gobiernos. Cuando hay intereses, presupuesto y poder nunca se sabe hasta donde se puede llegar.

Un saludo.

VaLfAdIr
Si la puerta está cerrada... ¡¡¡TIRALA!!! y libera la información.
Clave PGP disponible en: http://pgpkeys.mit.edu
Key ID: 0xE4E9F599

No quería dar a entender que

No quería dar a entender que eras tu el que lo mezclaba todo, quería solo decir que lo estamos mezclando todo.

Stuxnet se diseño con el proposito de afectar a scada siemens, flame se diseñó para robar datos. Solo eso.

En el artículo del NYT no afirma que flame sea del gobierno pero sí afirma que stuxnet es del gobierno.

Como respondías a mi texto... ;-)

Sigo pensando que es demasiado pronto para afimar que TheFlame solo ha sido diseñado para robar datos.

En tu comentario pusiste "El new york times habla de stuxnet y no de flame.". Ha faltado especificar un poco más para querer decir "En el artículo del NYT no afirma que flame sea del gobierno pero sí afirma que stuxnet es del gobierno." :-).
En una conversación verbal, seguramente, hubiera entendido que querías decir los que pones en tu segunda frase pero por aquí....

No lo afirma pero, bajo mi punto de vista, lo dá a entender y según lo que creo traducir tampoco han desmentido la "autoría" del gobierno de EEUU. Niegan que forme parte del proyecto "Olympic Games" pero no son muy claros diciendo si han tenido algo que ver.

"...and American officials say that it was not part of Olympic Games. They have declined to say whether the United States was responsible for the Flame attack."

De todas formas, tampoco voy a discutir algo que no sé y depende del medio de comunicación que leas/veas la verdad se distorsiona según convenga. Solo pretendo dar mi opinión o información lo más veraz posible y leer las opiniones e informaciones de los demás.

Un saludo.

VaLfAdIr
Si la puerta está cerrada... ¡¡¡TIRALA!!! y libera la información.
Clave PGP disponible en: http://pgpkeys.mit.edu
Key ID: 0xE4E9F599

En mi opinión

En mi opinión (sólo opinión, no tengo datos con la que respaldarla) creo que al contrario que Stuxnet y Duqu, que tenían un objetivo más orientado a la acción (sabotaje/deshabilitado de tecnología), Flame representaría más bien una cabeza de puente encubierta por la que luego poder colar nuevos ataques o acciones de espionaje. Lo cual explicaría por qué, una vez descubierto, han accionado su mecanismo de autodestrucción: Está comprometida y ya no les sirve, así que lo mejor es que aporte la menor información posible al enemigo.

Pues yo sí que me preocupo

No soy nada conspiranoico, pero lo de la central de japón me da a mí que algo tuvo que ver, así como algunos fallos esporádicos, pero reportados por todo el mundo en sistemas de control de depuradoras de agua.

Creo que se trata de un desarrollo complejo en el que ha intervenido mucha gente y puede que haya módulos de código en manos de "gente inquieta".

Lo que es verdad

Lo que es verdad es que en abril de 2010 se encontró un virus que se propagaba por todo el mundo y que fue llamado stuxnet. Se copiaba por usb de una forma muy sofisticada y con tanto éxito que estaba por todos sitios. Aparentemento no tenía payload a pesar de ser enorme, lo cual era raro ¿para que hace alguien un virus enorme que no hace nada?.

Una vez estudiado este virus se estableció que era inerte excepto si en el mismo ordenador había un sistema scada de control industrial marca Siemens de un modelo determinado. Este modelo de esta marca era el que controlaba el proceso de centrifugado de uranio en las refinerías de Irán. El uranio que se encuentra en la naturaleza está formado por atomos de todos los isotopos. Tan solo uno de cada muchos millones es U-235. Por tanto hay que separar los atomos que tienen peso 235 uno por uno. Puesto que los atomos de diferentes isótopos se diferencian por el peso pero tienen la misma carga, la forma de hacerlo es centrifugarlos en un campo mágnetico y decantar los que tengan el mismo peso buscado que se agruparan. El virus Stuxnet variaba sutilmente la velocidad de giro de los motores de las centrifugadoras de forma que el producto eran atomos mezclados de todos los isotopos. Esto hizo que los iraníes tuvieran que volver a centrifugar una cantidad indeterminada de uranio. Dentro del virus había un número que parecía la fecha del aniversario de la ejecución de un judío iraní en Teherán así como algunos otros indicios igual de equívocos. Como todo el mundo pensó que había sido Israel todo el mundo buscó indicios y al encontrarlos no se supo si había sido por buscarlos demasiado.

También es un hecho que ultimamente se ha descubierto el software Flame que algunos expertos relacionan con Stuxnet aunque también se lo ha relacionado con la delincuencia común brasileña.

Sobre la guerra cibernética, este mismo web se hizo eco hace años del reclutamiento de docenas de hackers por el Pentagono. En esa época, al principio de la invasión de Iraq, cada dos por tres se colgaban en Internet videos de ciudadanos occidentales o soldados de la coalición sidendo decapitados, fusilados, encerrados en jaulas y obligados a vestir el infame pijama naranja de Guantanamo. Se dijo que los hacker habían sido reclutados para frenar eso y de hecho se hizo mucho menos común, pero es probable que una vez estaban allí se los usara para otra cosa. Es perfectamente verosímil tanto que esos hackers hicieran Stuxnet y Flame como que no los hicieran.

Está claro que algún tipo de actividad en internet tiene el gobierno USA y está claro que a Obama le beneficia filtrarlo. En su momento Stuxnet me sonó israelí por la sutileza de solo estropear el producto ya que uno asocia a los americanos con causar una avería que hciera volar todo por los aires. Pero habría que ver las fuentes del libro porque el sicologismo étnico es muy inexacto.

habia otra cosilla

Tambien hacia otra cosilla: al sacar del optimo las revoluciones de las centrifugadoras, éstas comenzaban a tener problemas mecanicos por la naturaleza de una centrifugadora estas deben estar balanceadas, los iranies perdieron cerca del 15% de sus maquinas debido al cambio de estos parametros.

Pero más allá del cuento, hay otras "interesados" que apoyan a Iran y ellos tambien tienen recursos (y buenos), si les pasó una vez, (bueno, tal vez dos )pero no crean que muchas mas, ellos tienen dinero para soportar esto y los Iranies como todo el mundo saben que lo unico que los ha salvado de una invasión es que ellos si tiene capacidad nuclear, a diferencia de Irak.

Mis dudas, aun sin responder

Hola...yo necesito me aclaren algunas dudas...

1- La red de computadoras de la central irani que fue victima de Stunex esta conectada a internet?
2- Las computadoras de la central irani utilizan SO Windows?

Recientemente lei en un articulo que un doble agente libero el virus dentro de la red de la central nuclear, bien, se responde mi 1ra duda...pero me surge otra, cualquier empleado puede conectar un pendrive a una pc de la central?...la verdad considero de extremadamente mala la seguridad informatica en ese lugar

Sobre las dudas

1- La red de computadoras de la central irani que fue victima de Stunex esta conectada a internet?

Parece ser que no, que hay una separación física (airgap) entre ellos y los equipos conectados a Internet, pero que Stuxnet se coló a través de un pendrive de uno de los científicos que operaban con esos ordenadores (o un consultor ruso, el individuo concreto no está claro).

2- Las computadoras de la central irani utilizan SO Windows?

Las computadoras de interfaz entre los autómatas digitales que operan los mecanismos de la central y los operadores humanos que las programan y revisan efectivamente usan Windows, pero los autómatas usan un sistema propietario de Siemens (dependiendo del modelo, STEP 5/6/7...)

Realmente el ataque es mucho más sofisticado de lo que parece a primera vista, porque es un virus que utilizaba cuatro exploits 0-day distintos para infectar toda clase de equipos Windows a la vez que permanecía oculto y sólo actuaba en condiciones muy concretas (estar en conexión con un PLC Siemens de modelos muy concretos al que luego se le pasaban unos parámetros de funcionamiento también muy concretos). Vamos, que se limitaba a extenderse de equipo en equipo y esperar, salvo que se encontrara justo en el equipo objetivo. Por eso fue capaz de saltar poco a poco entre equipos con una seguridad muy alta hasta llegar a su objetivo.

Por cierto, sobre el punto 2 (así aprovecho y respondo también a Gurb): Esos entornos de programación y control están hechos para Windows, por lo que requieren de ese SO para funcionar, nos guste o no, y es algo que no depende tampoco de los iraníes, es cosa del fabricante (Siemens).

Un poco inocentes los iraníes, no?

Soy solo yo al que le parece una torpeza enorme por parte de los iraníes poner sistemas críticos bajo el control de un sistema operativo creado por tu archi-enenmigo, con múltiples antecedentes de violaciones de la privacidad del usuario, y con sospechas/certezas de que incluye puertas traseras controladas por agencias gubernamentales de los USA?

Lo mismo puede decirse de los PLC Siemens. Las series Simatic vendrían a ser el equivalente de Windows en el mundo de los autómatas de control industriales. Me refiero a que son "mainstream". El que no quiere pensar, instala un Siemens Simatic sin plantearse otras opciones también válidas.

opinar

Más información sobre los formatos de texto

Texto puro

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.
Cifrando tus datos...