Està preparada Catalunya per a la ciberguerra? - Diputats amb Windows
28/01/2014Publicat a: Vilaweb
48 hores després de l'assalt rus a Crimea l'agència de notícies Reuters ja parlava de ciberguerra (http://www.reuters.com/article/2014/03/04/us-ukraine-crisis-telecoms-idUSBREA230Q920140304): "El sistema de telecomunicacions d'Ucraïna és sota atac, des de Crimea estan interferint els telèfon mòbils dels membres del parlament, ha afirmat el cap del Servei de Seguretat d'Ucraïna". Segons Reuters, equips russos instal.lats a l'empresa de telecomunicacions Ukrtelecom estarien bloquejant els telèfons dels parlamentaris ucraïnesos.
La classe política és objectiu preferent en la ciberguerra. L'atac més usual és espiar-la, amb programes que s'instal.len subreptíciament als ordinadors i telèfons. Com? S'investiguen la vida i gustos del polític-víctima i se li envia un missatge que li cridi l'atenció: "Com que sé que t'agraden els cavalls, t'envio la foto del més bonic del món", o "T'envio un enllaç on veuràs un vídeo divertit de cavalls". Si el polític fa clic a la foto adjunta o visita la plana web, un programa anomenat "trojà" entrarà al seu aparell i, com el Cavall de Troia, restarà amagat mentre, a través d'ell, els atacants espien les seves comunicacions.
Dionís Guiteras, alcalde de Moià i diputat al Parlament per Esquerra Republicana de Catalunya, sap que poden passar aquestes coses: "Mai utilitzo el telèfon de diputat per temes privats, ni empresa ni ajuntament, i mai parlo per mòbil cap tema susceptible de ser delicat, tampoc pel privat". A més, diu: "Si sóc en una reunió important apago el mòbil i, si cal, trec la bateria". A la pregunta de si els alts càrrecs són tan sensibles com ell a la seguretat informàtica contesta: "Tinc dubtes que ningú estigui segur al 100%... ni Frau Merkel!".
Els diputats del Parlament de Catalunya reben a l'inici de legislatura un 'smartphone' marca BlackBerry o HTC amb sistema operatiu Windows Phone 8.0. L'operador de telefonia és Vodafone. També els donen un ordinador Hewlett-Packard amb sistema operatiu Windows 7. Ho han de tornar tot quan acabin. Les recomanacions bàsiques de seguretat per a qualsevol usuari diuen que l'ordinador s'ha d'equipar, com a mínim, amb un tallafocs i antivirus. En té el portàtil de diputat d'en Dionís? "No ho sé. Tot ens ho porten des de l'oficina tècnica d'informàtica del Parlament". Algú li ha explicat què és un tallafocs? "No ens han fet cap formació específica". Sap xifrar el seu correu electrònic? "No, ni ens ho han recomanat", explica.
Un altre diputat, Roger Montañola, de Convergència i Unió, confirma la versió de Guiteras: "Els temes de seguretat els centralitzen els propis informàtics del Parlament". Montañola, com Guiteras, no sap xifrar el correu electrònic, ni ha fet cap curs de seguretat informàtica. Fonts del Parlament asseguren que, tot i que s'ha intentat, per diversos problemes les comunicacions dels diputats i alts càrrecs no van xifrades.
És un risc que les converses telefòniques d'un conseller puguin ser espiades, o que no sàpiga fer servir programes de xifrat de correu electrònic com el popular GNU Privacy Guard (http://ca.wikipedia.org/wiki/GNU_Privacy_Guard), però als experts en seguretat els preocupa relativament. Per ells és més important que hi hagi polítiques ben definides de prevenció, detecció i reacció d'incidents. És a dir, que si la Generalitat es queda sense Internet pugui sortir per satèl.lit, o que existeixi una llista de les deu persones a qui caldrà aixecar del llit en cas d'incident greu. Fonts properes al Centre de Seguretat de la Informació de Catalunya (CESICAT http://www.cesicat.cat) asseguren que tant les polítiques com la llista estan fetes.
Però la ciberguerra, com el hacking (http://hackstory.net/Hacking_es) del qual sorgeix, és imprevisible, regne de qui tingui no més diners sino coses tan intangibles i poc "corporatives" com imaginació i talent. Pete Herzog (http://www.linkedin.com/in/isecom), director de l'empresa catalana Institute for Security and Open Methodologies (http://www.isecom.org) i assessor de governs sobre ciberguerra, proposa un "escenari" relacionat amb la consulta: "Algú podria accedir a les dades electorals i, simplement, moure un nom o un DNI de lloc a les taules, de forma que deixin de coincidir els noms amb els seus corresponents DNIs".
Seria això possible? Ho hem preguntat a l'administrador de sistemes d'un ajuntament mitjà de Tarragona que, per motius laborals, no vol desvetllar el seu nom: "Les bases de dades amb informació de contribuents, padró, serveis socials i policia les tenim en xarxes d'accés només intern, mitjançant programes fets a mida, estan codificades i només un 15% de la plantilla hi té accés". Tot i així, no estan del tot segures: un atacant podria introduir un virus a l'ordinador d'un dels treballadors que hi té accés i robar-li les credencials per entrar a les bases de dades.
Una altra acció típica de ciberguerra seria penjar informació falsa als llocs web més visitats, per confondre la població. L'administrador tarragoní ho veu possible: "Tot i molt insistir, a la gent de premsa i alcaldia no els dóna la gana d'actualitzar la web municipal. Sabem positivament que és susceptible a atacs d'injecció SQL (http://ca.wikipedia.org/wiki/Injecció_SQL), que permetrien entrar a algunes bases de dades, i "defaces" (http://hackstory.net/Deface) per XSS (http://es.wikipedia.org/wiki/Cross-site_scripting), que permetrien publicar informació falsa a la web, així que qualsevol hacker podria fer virgueries a la nostra plana web".
Cal destacar que aquest administrador de sistemes és un gran afeccionat a la seguretat informàtica: "Sé positivament que altres ajuntaments no hi presten tanta atenció i aquest és el meu principal temor, en conec alguns que tenen usuaris amb permisos d'administrador a les seves màquines i això pot suposar un terrabastall en la propagació de virus". Que els usuaris tinguin permisos d'administrador significa, entre altre coses, que poden instal.lar programes als servidors principals. Si un virus infectés un d'aquests usuaris, el virus podria passar també als servidors i infectar tota la xarxa.
Un cop un virus ha pogut entrar a la xarxa d'un lloc públic, com un ajuntament o un mitjà de comunicació, la fèrtil imaginació de Pete Herzog dibuixa un munt de possibles "escenaris": "El virus podria amagar-se a la plana web de l'ajuntament i infectar tothom que la visités, o podria actuar de forma selectiva i atacar només les persones que tinguessin el navegador o el sistema operatiu en català. O també, un cop dins l'ordinador infectat, destruir només els documents escrits en català"
Tammateix, a vegades no cal la imaginació quan la realitat és un "escenari" en ella mateixa. Així ho explica @ohtaron, un compte de Twitter rera el qual s'amaga un informàtic del Departament de Justícia: "Les bases de dades les tenim controlades, les còpies de seguretat són periòdiques i la xarxa de la Generalitat està monitoritzada. En cas de ciberguerra el problema no seria aquest sino que el 99,9% dels equips dels jutjats són amb Windows XP, que acaba el seu cicle de vida a l'abril (http://www.f-secure.com/weblog/archives/00002674.html)". Això vol dir que si apareixen nous forats de seguretat a Windows XP el fabricant se'n desentén i els ordinadors queden desprotegits
Segons @ohtaron, un altre gran problema és que "el sistema de gestió d'informació dels jutjats és dels anys 80, està bastant obsolet i posaria la mà al foc que té un bon grapat de vulnerabilitats que permeten l'accés remot, injeccions de codi, etc". Tampoc la formació en seguretat informàtica dels funcionaris de justícia és cap meravella. Diu @ohtaron: "En més d'una oficina judicial, si troben un "pendrive" el primer que fan és ficar-lo a l'ordinador per xafardejar què hi ha i, si hi ha un virus, ens poden entrar fins la cuina. T'asseguro que en una ciberguerra la justícia tindria moltes baixes".
Però, sense desmerèixer Justícia, on realment preocupen les "baixes" és a les anomenades infraestructures crítiques: centrals i xarxes energètiques, tecnologies de la informació i comunicacions, sistema financer i tributari, sector sanitari, instal.lacions d'investigació, alimentació, abastiment d'aigua, transports, indústria nuclear, indústria química, serveis d'emergència i protecció civil.
El "Pla nacional d'impuls de la seguretat de les TIC a Catalunya" (https://www.cesicat.cat/ca/article/pla-nacional-seguretat-catalunya) recalca la importància estratègica d'aquest sector: "Un atac cibernètic causaria poques víctimes o cap, però podria implicar la pèrdua de serveis d’infraestructura vitals, com per exemple el servei telefònic en què es confia per part dels serveis d’emergència, mentre que atacs contra els sistemes de control d’infraestructures químiques podrien implicar fuites de materials tòxics, que en aquest cas podrien produir víctimes mortals. D’altra banda, cal indicar que els efectes en cascada poden ser molt danyosos, i provocar grans caigudes dels serveis públics".
Ho sap bé Eduard Gavin (http://www.linkedin.com/pub/eduard-gavin/5/a05/7b9), enginyer tècnic industrial i especialista en sistemes SCADA (http://es.wikipedia.org/wiki/SCADA), els programes d'automatització que controlen els processos industrials, per exemple el sistema de refrigeració d'un hospital o la xarxa elèctrica d'un banc. Aquests sistemes no solen estar connectats a Internet, fet que dificulta molt un atac encara que, segons Gavin, "després de Stuxnet tot és possible".
Stuxnet (http://es.wikipedia.org/wiki/Stuxnet) és el primer virus creat expressament per atacar centrals nuclears, atribuït a Israel. Com que no es pot propagar per Internet, ho fa mitjançant USB: només cal que un treballador de la central trobi un "pendrive" a l'aparcament o damunt una taula i el connecti a un ordinador de la feina, per veure què hi ha. El virus s'introduirà immediatament al sistema SCADA que controla la central.
Gavin està convençut que les infraestructures crítiques catalanes són segures: "Els fabricants són els primers interessats en què tinguin els menys problemes possibles i, si apareixen vulnerabilitats, són corregides". No cal patir, diu l'enginyer: "La majoria d'empreses d'aquest sector són privades i son aquí per fer diners, no marxaran ni deixaran de ser segures perquè Catalunya sigui independent".
Mercè Molist