Està preparada Catalunya per a la ciberguerra? - Com convertir ciutadanes i ciutadans en cibersoldats
28/01/2014Publicat a: Vilaweb
A principis de març es va celebrar el congrés de seguretat informàtica més important d'Espanya, la RootedCon (http://www.rootedcon.es), a Madrid. L'enginyer i divulgador Pablo González Pérez (@pablogonzalezpe) i el director de Zink Security, Juan Antonio Calles (@jantonioCalles), hi van presentar una potent 'ciberarma' basada en utilitzar els ordinadors de la ciutadania per atacar l'enemic.
La idea no és nova, s'ha utilitzat en conflictes cibernètics com ara els bombardejos russos contra Estònia, i és una eina habitual dels criminals informátics: una infraestructura anomenada "botnet" (http://ca.wikipedia.org/wiki/Botnet) que segresta i controla centenars de milers d'ordinadors, per a utilitzar-los en bombardejos cibernètics o enviament massiu de propaganda, com a usos més coneguts. Els propietaris dels ordinadors no saben que els criminals els tenen sota el seu control.
De la mateixa manera, els ciutadans d'un país poden no saber que el seu govern està utilitzant els seus portàtils i telèfons intel.ligents per a atacar un altre país. És conegut que el govern nordamericà obliga els fabricants de programari dels Estats Units a introduir "portes ocultes" als seus productes, per si en casos de terrorisme necessités entrar en un ordinador (http://lwn.net/Articles/571875/). No seria estrany que donés la clau d'aquestes portes a països amics, així com en el seu moment Bush va posar a disposició del seu aliat Espanya la xarxa electrònica d'espionatge Echelon, per a detenir diversos comandos d'ETA (http://www.theguardian.com/world/2001/jun/15/spain.usa).
Tot i així, el mateix atac es podria fer amb el consentiment d'una ciutadana atiada convenientment contra l'enemic. Grups hacktivistes (http://hackstory.net/Hacktivismo) practiquen els bombardejos cibernètics massius almenys des del 1995. Els anomenen "manifestació virtual" o "netstrike" i consisteixen en convidar els simpatitzats d'una causa a visitar un lloc web de l'"enemic", moltes vegades i molta gent, fins que són tantes les visites que queda fora de servei o es ralentitza molt. Els Zapatistes se'n van convertir en uns experts i fins i tot van crear programes que ho feien automàticament, autèntiques ametralladores virtuals com "Low Orbit Ion Cannon" (http://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon), creda per Anonymous.
González i Calles van explicar a la seva presentació altres usos d'aquesta "botnet" dedicada a la ciberguerra, per exemple enviar un ciutadà a un lloc concret i fer servir el micròfon i càmara integrats al seu telèfon o portàtil perquè fossin els ulls i orelles dels comandaments. O bé descobrir a partir d'una ordinador particular quins dispositius i xarxes enemigues hi ha en un carrer, fins aconseguir arribar a una persona en concret i deixar-la sense cobertura. Personal del Mando Conjunto de Ciberdefensa de l'exèrcit espanyol i del Consejo de Ciberseguridad Nacional escoltaven amb atenció.
I és que rera la paraula "ciberguerra" (http://es.wikipedia.org/wiki/Ciberguerra) hi ha un munt de possibles accions fàcils, barates i emparades per l'anonimat. La ciberguerra és una modalitat de la "guerra electrónica", que són les tècniques per fer que el teu enemic no pugui utilitzar de forma fiable l'espectre electromagnètic i, en canvi, tu sí: comunicacions de ràdio, telegrafia, electromagnètiques, radar, sistemes de navegació, infrarrojos, càmeres de televisió, ordinadors. Tot val a l'hora d'interceptar i interferir les comunicacions del contrari, processar-les i guardar-les en bases de dades, espiar les senyals que emeten països amics i enemics, amagar les pròpies...
La ciberguerra és, dins la guerra electrònica, tot allò que té a veure amb les Tecnologies de la Informació. Comprèn dues modalitats: la infoguerra o guerra de la informació (http://es.wikipedia.org/wiki/Guerra_de_la_información) i els atacs informàtics, que sovint es prenen ells sols com a ciberguerra, sense tenir en compte que la infoguerra també ho és. L'objectiu d'aquesta és tallar o interferir les comunicacions del contrari, per a robar i manipular la informació. Un exemple clar en seria la prohibició per als mitjans públics TV3 i Catalunya Ràdio d'emetre al País Valencià. (http://www.vilaweb.cat/noticia/4168323/20140121/govern-espanyol-obliga-tancar-catalunya-radio-pais-valencia.html)
Si a la guerra de la informació s'hi afegeixen els atacs informàtics, es poden fer coses "realment greus", assegura Pete Herzog, assessor de governs sobre aquestes temàtiques i director de l'Institute for Security and Open Methodologies (http://www.isecom.org), amb base a Catalunya: "Es podrien atacar ordinadors i xarxes de governs o empreses i penjar-hi comentaris insultats o esborrar dades, fent veure que l'atac ve del teu enemic". Un altre atac informàtic, que s'ha demostrat com a possible (http://www.elmundo.es/tecnologia/2013/11/09/527cabc368434126528b4573.html), seria prendre el control remot dels marcapassos implantats en alts càrrecs i fer-los xantatge o assassinar-los.
Altres atacs podrien ser interferir el funcionament de depuradores d'aigua, de sistemes de semàfors, de controls aeris o de GPS, sense que fos necessari que les infraestructures estiguessin connectades a Internet, explica Herzog: "Si utilitzen wifi dins l'empresa, es pot fer l'atac des d'un cotxe aparcat el més aprop possible i amb una antena molt potent". També seria relativament fàcil utilitzar enginyeria social (http://hackstory.net/Ingeniería_social) per entrar a l'empresa, tot fent veure que formes part del personal, i manipular els seus sistemes des de dins. O introduïr-hi un virus que viatgés dins un "pendrive", com fa el codi maliciós Stuxnet (http://es.wikipedia.org/wiki/Stuxnet), creat per Israel per a atacar centrals nuclears de l'Iran.
El codi maliciós és avui en dia una de les més potents armes usades en la ciberguerra, sobretot cara a la guerra de la informació, concretament l'espionatge: un programa troià es pot instal.lar subreptíciament a l'ordinador o el telèfon d'un dirigent per espiar-ne les comunicacions i, per exemple, posar en marxa secretament el micròfon o la càmara just emmig d'una reunió, de forma que tot el què s'enregistri vagi directament a l'enemic: "Pots veure la teva víctima en temps real i saber coses que dirà públicament abans que les digui. Pots inclús manipular les seves comunicacions perquè sembli que diu quelcom ofensiu, en comptes de defensiu, i així semblar agressor des del punt de vista del públic", assegura Herzog.
A mitjans de febrer, l'empresa d'antivirus Kaspersky anunciava haver descobert l'existència del què podria ser el primer codi maliciós de ciberguerra fet per espanyols, utilitzat en l'espionatge de governs, empreses d'energia, ambaixades o grups activistes. Kaspersky el va batejar amb el nom de "Careto" (http://www.eldiario.es/turing/vigilancia_y_privacidad/careto-ciberespionaje_0_228527853.html) i assegurà que des del 2007 hauria infectat centenars d'ordinadors crítics sobretot al Marroc, Brasil, Gran Bretanya, Espanya, França i altres.
Un "bitxo" així dins l'ordinador d'un dirigent és un greu perill, no només perquè permet l'espionatge sino també perquè, en donar el control de l'ordinador a l'enemic, és una porta oberta al sabotatge: "Un atacant pot segrestar un missatge i els seus continguts, per convertir un sí en un no. També pot simplement eliminar un missatge perquè no arribi mai". Per portar a terme aquestes manipulacions de les comunicacions ni tan sols cal entrar a l'ordinador, n'hi ha prou amb tenir el control de les comunicacions des que deixen un sistema i van a parar un altre. Per exemple, si tenen sota control el nostre proveïdor d'Internet.
Un altre punt clau en la guerra electrònica són les bases de dades on es guarda la informació del país, como ara el cens electoral o temes d'hisenda. Se sap exactament qui ho té? N'hi ha còpies de seguretat?. Avui molta informació s'emmagatzema en terceres empreses, al "Núvol" (http://ca.wikipedia.org/wiki/Informàtica_en_núvol), de forma que acaba sent difícil saber on són exactament les nostres dades i qui les guarda. Segons Herzog, si les guardes en serveis de tercers, "en cas de guerra no saps de quina banda es posaran aquests tercers, o de quina se'ls obligarà a posar-se, per això és necessari que controlis les teves dades".
7 PUNTS PER SER UN PAÍS MÉS SEGUR
Pete Herzog té experiència en la ciberguerra. Ha seguit molt d'aprop els atacs xinesos al Tibet i ha ajudat el país del Dalai Lama a educar-se en la seguretat. Aquest és el pla que ell imagina per fer de la CiberCatalunya un lloc més segur.
A. Canviar com s'enfoca la seguretat. Prou de confiar en les contrasenyes, els pegats i els antivirus. No seran mai més ràpids que els atacs i els humans poden cometre errors. La seguretat no s'aconsegueix gastant més diners sino implementat mesures que necessitin menys manteniment.
B. Tractar la infraestructura interna amb la mateixa cura com es tracta l'externa. Amb els escriptoris moderns i els sistemes operatius i aplicacions per a mòbils, ja no existeix cap perímetre. És la Defensa Möbius (http://www.isecom.org/research/osstmm.html).
C. Cada escriptori i aparell mòbil han de ser independents i no poden interactuar amb els altres. Cal tractar cada escriptori amb el nivell de seguretat que es tracta un portàtil extern que accedeix als servidors interns a través de canals segurs.
D. Pensa localment. Utilitza el Núvol de forma segura, tingues cura de la teva pròpia seguretat i no deixis que el proveïdor del Núvol ho faci. Xifrat, còpies de seguretat, continuïtat..., tot això s'ha de fer abans d'interactuar amb el Núvol. El Núvol està bé per a moure operacions a centres de dades on són més eficients, però no hi moguis també la responsabilitat, especialment quan el secret i la privacitat són importants.
E. Cal tenir una eina que asseguri que tot allò que es mogui per la pròpia xarxa tingui un propietari i estigui protegit, de forma que les dades no puguin ser corrompudes o manipulades. En cas de filtracions internes o atacs externs, aquesta eina ens donarà quelcom mesurable per a investigar què ha passat.
F. Comprovar la confiança de tots els venedors i agents de contractes que no t'acabin de convèncer. Pots testejar els venedors per saber si són segurs, però no pots testejar-los per saber si allò que diuen és confiable.
G. Fes que els teus treballadors estiguin al cas en seguretat. Mostra-ho com una cosa positiva, ensenya'ls els punts dèbils que tenim tots els humans i com superar-los. No els espantis amb històries de hackers o contrasenyes dolentes. No funciona. És millor que construeixis amb ells una cultura més segura. (http://infosecisland.com/blogview/23577-5-Solid-Ways-to-Build-Security-Culture-in-Your-Organization-That-You-Probably-Never-Heard-Of.html)
Mercè Molist