Stuxnet capta la atención mundial en materia de ciberseguridad

Esta mañana se comenzó a difundir la noticia sobre el malware Stuxnet, un gusano informático denunciado por primera vez en junio de 2010, por una empresa de seguridad con sede en Bielorrusia. Un gusano que en principio tiene como blancos los sistemas que no están vinculados a internet por razones de seguridad. El malware infecta a computadoras con el sistema operativo Windows a través de memorias USB que portan el código.

Según se ha informado, Stuxnet "utiliza diversas técnicas para esconderse en los USB y en las computadoras infectadas. Además, explota fallas de seguridad de Windows (conocidas como zero-day exploits, en inglés). Desde su aparición Microsoft ha parchado dos de las cuatro fallas que Stuxnet utiliza" (BBC). Entre las fallas zero-day están incluida la vulnerabilidad CPLINK y la vulnerabilidad utilizada por el gusano Conficker. Por ahí también se ha señalado que utiliza otros exploits para infectar a otros ordenadores WinCC en la red.

Aunque la información que se obtiene del malware es algo "confusa" aún, se ha señalado que está diseñado para "controlar" sistemas de control de procesos industriales, gestión de aeropuertos, sistemas de generación y distribución de energía, refinerías, se menciona entre otros el software SCADA de Siemens, etc.. Aunque por ahí se señala que "es el primer malware conocido que ataca y se infiltra en sistemas de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition - SCADA)", lo cierto es que ya hay antecedentes de otros malware afectando estos sistemas de control industrial.

En julio próximo pasado, Hispasec publicó una nota comentando que "el último ataque contra Windows (con enlaces directos) fue descubierto a través de un troyano que ha sido bautizado como Stuxnet. Una de sus características era que los drivers que usaba estaban firmados digitalmente por la famosa empresa china Realtek. Ahora, después de que hayan sido revocados, los atacantes han comenzado a utilizar los de otra empresa legítima: JMicron Technology Corporation".

Las especulaciones sobre como se ha logrado robar los certificados de ambas compañías son varias, lo que si queda claro es que la inteligencia detrás de la "generación" de Stuxnet, es realmente impresionante y tiene por estos momentos la atención mundial en materia de ciberseguridad.

Como ya se ha dicho, es Irán el aparente objetivo. "Kevin Hogan, director senior de respuesta a la seguridad en Symantec, dijo a Reuters que el 60 por ciento de las computadoras infectadas por el gusano Stuxnet estaban en Irán, lo que indica que las plantas industriales de ese país eran el objetivo" (Reuters vía Yahoo News).

No pocos se preguntan si ¿es Stuxnet un virus a punto de revolucionar la guerra moderna?. En Zerohedge, han escrito un interesante artículo al respecto. Entre las noticias que he leído se informa que Stuxnet ya ha afectado a 45.000 sistemas de control industrial de todo el mundo, aunque principalmente en Irán, Pakistán, India e Indonesia.

Post relacionados:

• Alertan sobre malware capaz de apagar fábricas.
• Atribuyen a un ciberataque el apagón en Brasil y Paraguay. 16-11-2009

Noticias sobre Stuxnet en Google

Stuxnet el arma

Revelan radiografía de Stuxnet, el "arma de la ciberguerra".- "Un poderoso gusano malicioso atacó repetidamente cinco instalaciones industriales en Irán a lo largo de 10 meses, confirmó un análisis realizado por la empresa de seguridad informática Symantec". de BBC Mundo.


Stuxnet targeted 5 Iranian facilities, report states.- "The Stuxnet worm, apparently intended to disrupt Iran’s uranium enrichment program, targeted five organizations in Iran during a 10-month period, according to a recent report from Symantec". de GCN Government Computer News.
Informe asociado: W32. Stuxnet Dossier (en formato PDF).

Post relacionados:

• Stuxnet infecta los sistemas militares iraníes.
• Nuevas evidencias sobre el ataque de Stuxnet.
• Stuxnet como arma cibernética.
• Stuxnet afecta equipos en la planta Nuclear de Bushehr en Iran y se expande.
• Stuxnet capta la atención mundial en materia de ciberseguridad.
• Alertan sobre malware capaz de apagar fábricas.
• Funcionario de Defensa estadounidense revela ataque cibernético. 
• Virus informáticos ¿los responsables del accidente del vuelo JK 5022 de Spanair?.
• Sobre la ciberguerra.
• Websites del Ministerio de Hacienda estadounidense han sido atacados.

Más publicaciones relacionadas en Cyberwar y/o Malware.

Nuevas evidencias sobre el ataque de Stuxnet

Stuxnet sí fue diseñado para sabotaje nuclear.- "Nuevas evidencias sobre el ataque de Stuxnet a la planta nuclear iran de Bushehr muestra que el virus fue diseñado para sabotear lentamente la planta. El código debía implantar órdenes para acelerar y ralentizar la maquinaria física durante un par de semanas. De acuerdo con Liam O’Murchu, investigador de Symantec Security Response, los creadores de Stuxnet querían que el programa pasara inadvertido dentro del sistema, incubándose por un largo tiempo y cambiando paulatinamente el proceso sin llegar a descomponerlo". de ALT1040.


Stuxnet worm is aimed to sabotage Iran's nuclear ambition, new research shows.- "Investigators discover that worm targeting industrial drives only attacks those operating at speeds used in nuclear facilities – and then tries to make them self-destruct.
Two new independent examinations of the Stuxnet computer worm, thought to be the work of a national government agency, show that it was definitely built to target technology used at Iran's Bushehr nuclear power plant". de Technology news, comment and analysis | guardian.co.uk.

Post relacionados:

• The cyberwar - un tema que gana prioridad en las agendas.
• Stuxnet como arma cibernética. 
• Stuxnet afecta equipos en la planta Nuclear de Bushehr en Iran y se expande.
• Stuxnet capta la atención mundial en materia de ciberseguridad.
• Alertan sobre malware capaz de apagar fábricas. 
• Funcionario de Defensa estadounidense revela ataque cibernético.
• Virus informáticos ¿los responsables del accidente del vuelo JK 5022 de Spanair?.
• Sobre la ciberguerra.
• Websites del Ministerio de Hacienda estadounidense han sido atacados.

Más publicaciones relacionadas en Cyberwar y/o Malware.

Stuxnet infecta los sistemas militares iraníes

Stuxnet infecta los sistemas militares iraníes.- "Stuxnet, que anteriormente destruyó miles de centrifugadoras utilizadas para enriquecer el uranio, ahora está atacando a sistemas militares iraníes. Esta amenaza digital está causando daño y generando desorden y confusión en las filas de las fuerzas armadas de Irán". de ITespresso.es

Post relacionados:

• Nuevas evidencias sobre el ataque de Stuxnet.
• The cyberwar - un tema que gana prioridad en las agendas.
• Stuxnet como arma cibernética. 
• Stuxnet afecta equipos en la planta Nuclear de Bushehr en Iran y se expande.
• Stuxnet capta la atención mundial en materia de ciberseguridad.
• Alertan sobre malware capaz de apagar fábricas. 
• Funcionario de Defensa estadounidense revela ataque cibernético.
• Virus informáticos ¿los responsables del accidente del vuelo JK 5022 de Spanair?.
• Sobre la ciberguerra.
• Websites del Ministerio de Hacienda estadounidense han sido atacados.

Más publicaciones relacionadas en Cyberwar y/o Malware.

Stuxnet como arma cibernética

Crean el primer virus informático que causa destrucciones físicas.- "Stuxnet no es como los gusanos cibernéticos tradicionales, que buscan dañar o tomar el control de computadoras y programas, sino que ataca la infraestructura de una industria hasta aniquilarla completamente. Irán y China admitieron que fueron víctimas de un ataque masivo con este código malicioso". iProfesional.com - Tecnología.

China, nueva víctima. "Stuxnet atacó los sistemas informáticos de las industrias clave de China, según informó este jueves el periódico South China Morning Post".

Post relacionados:

• Stuxnet afecta equipos en la planta Nuclear de Bushehr en Iran y se expande.
• Stuxnet capta la atención mundial en materia de ciberseguridad.
• Alertan sobre malware capaz de apagar fábricas. 
• Funcionario de Defensa estadounidense revela ataque cibernético.
• Virus informáticos ¿los responsables del accidente del vuelo JK 5022 de Spanair?.
• Sobre la ciberguerra.
• Websites del Ministerio de Hacienda estadounidense han sido atacados.

Actualización 02-10-2010

El virus Stuxnet pegó fuerte: ¿se vienen las ciberguerras?.- "El sofisticado “gusano” afectó esta semana a un 30.000 computadoras y un reactor nuclear en Irán. Todavía no se sabe quien lo programó, pero aseguran que fue otro país. Se encienden las alertas y ahora los Estados Unidos comenzaron a hacer ejercicios para defenderse de un eventual ataque global.

Las tarjetas de memoria aparecieron desparramadas en un baño de una base militar estadounidense en Medio Oriente que brindaba apoyo para la guerra de Irak.
Habían sido deliberadamente infectadas con un gusano informático. Según personas allegadas a los hechos, alguien calculó que un soldado recogería una de las tarjetas de memoria, se la guardaría y – en contra de las normas – luego la enchufaría a una laptop militar...(sigue). Publicado en Clarín Internet.


Más publicaciones relacionadas en Cyberwar y/o Malware.

Stuxnet afecta equipos en la planta Nuclear de Bushehr en Iran y se expande

El ya famoso virus informático Stuxnet, que ha captado la atención mundial en materia de ciberseguridad, habría afectado equipos informáticos en la planta Nuclear de Bushehr en Iran.

Aunque las autoridades iraníes han afirmado que los sistemas críticos de la planta no han sido afectados por el gusano Stuxnet. “'Los análisis muestran que son pocos los PC de la planta de energía nuclear Bushehr que han resultado infectados por el virus', han asegurado fuentes de la agencia de noticias estatal iraní Islamic Republic News Agency” (CSO España).

Entre las "novedades" que se están analizando figura la publicación por parte de Wikileaks, que informó sobre un importante accidente nuclear ocurrido en la planta, en Natanz, a mediados de junio. En esos días, el jefe de la Organización de la Energía Atómica de Irán, Gholam Reza Aghazadeh, ha dimitido en circunstancias aún "dudosas".

Ha trascendido que el problema no se detiene en Bushehr, se ha señalado que comienza a extenderse de forma global, y algunos bloggers han usado el término "pandemia". En ALT1040 han señalado que "debido a que el gusano es demasiado agresivo, se ha filtrado a otras plantas de Siemens (responsables de las centrifugadoras nucleares de la planta), y a cientos de miles de ordenadores independientes en el mundo. En Irán ya hay 60 mil terminales infectadas; en Indonesia, unas 10 mil; y se espera que la pandemia de Stuxnet también alcance a los Estados Unidos".

En Daily Tech publican una nota donde sacan a colación el "famoso incidente" conocido recientemente a través de las declaraciones del subsecretario de Defensa William Lynn III, quien revelo que en 2008 los EE.UU. fue víctima del asalto cibernético más peligroso en la historia de EE.UU..

"los informes anteriores indican que el gobierno de los EE.UU. sospecha que se originó el ataque en Rusia; en el artículo, el Secretario Lynn sólo se refiere como procedentes de "una agencia de inteligencia extranjera".

También menciona "un incidente reciente, en los que una memoria USB conectado malware a bordo a un equipo aerolínea española interferido en sus comunicaciones contribuyendo a su caída. (Que ocurrió en 2008). La infección disminuyó alertas del sistema a la aerolínea la sede de la que podría haber cancelado o retrasado el vuelo. Tanto nuevo informe del Pentágono y la reciente publicación de detalles sobre el incidente de Spanair revelan los costos de violaciones de seguridad cibernética en un mundo cada vez más conectado".

El tema spam es otro de los "puntos" en la mira, podría ser considerado el metodo de distribución de malware para enviar los códigos a los blancos de los ataques. No me asombraría que algún sonso, útil a los spammers, acostumbrado a reenviar todo lo que le llega a su casilla de correo sea marcado como un objetivo de la defensa de algún sistema de seguridad, en el proceso de eliminación de las fuentes de contagio.

Hoy iProfesional.com informa que EEUU vuelve a poner a prueba sus defensas ante "ciberataques", se trata de un ejercicio bienal, llamado Cyber Storm III, involucra a componentes de siete departamentos del gobierno estadounidense, incluido el Pentágono, once estados federados, 60 empresas privadas y 12 socios internacionales, entre los que se cuentan a Australia, Gran Bretaña, Canadá, Francia, Alemania, Hungría, Japón, Italia, Países Bajos, Nueva Zelanda, Suecia y Suiza.

Post relacionados:

• Stuxnet capta la atención mundial en materia de ciberseguridad.
• Alertan sobre malware capaz de apagar fábricas. 
• Funcionario de Defensa estadounidense revela ataque cibernético.
• Virus informáticos ¿los responsables del accidente del vuelo JK 5022 de Spanair?.
• Sobre la ciberguerra.
• Websites del Ministerio de Hacienda estadounidense han sido atacados.

Más publicaciones relacionadas en Cyberwar y/o Malware.

No sólo se necesita un terremoto para que se entre en riesgo nuclear

Casa abandonada en los alrededores de Prípiat,
cerca de Chernobyl. Imagen de Wikipedia.

El temor general que hay en relación a los sucesos entorno a la planta nuclear de Fukushima, en Japón, me provoca la necesidad, seguramente compartida por muchos en el mundo entero, de plantear se evalúe seriamente la búsqueda de fuentes de energía alternativas más seguras.

Aunque poca gente ha tomado conocimiento de hechos que han puesto en peligro a muchos, en relación al funcionamiento de la plantas nucleares, es materia de estudio y especial atención en equipos técnicos de todos los países del mundo donde se tienen plantas nucleares.

Las noticias más próximas son aquellas que tienen que ver con el virus informático Stuxnet, un software malicioso desarrollado como arma cibernética (ver: Stuxnet el arma) para atacar componentes de la planta nuclear iraní de Bushehr. Se conoce que el virus fue diseñado para sabotear lentamente la planta. El código implanta órdenes para acelerar y ralentizar la maquinaria física durante un par de semanas. De acuerdo con Liam O’Murchu, investigador de Symantec Security Response, "los creadores de Stuxnet querían que el programa pasara inadvertido dentro del sistema, incubándose por un largo tiempo y cambiando paulatinamente el proceso sin llegar a descomponerlo".

De hecho la preocupación, a partir de este suceso, va en aumento. Y seguramente seguirán conociéndose detalles de hechos en relación a sucesos entorno a la seguridad de informática instalada en las plantas.

Los antecedentes sobre sospechas de ataques cibernéticos a centrales de energía se van sumando. Uno de los casos más resonantes fue el asunto SCADA en Estados Unidos. Se trata de un sistema de Supervisión, Control y Adquisición de Datos (SCADA), se utilizan para el control de la infraestructura, como la filtración y distribución de agua, trenes y subterráneos, gas natural, oleoductos, y prácticamente todo tipo de fabricación industrial.

Desde hace tiempo algunos profesionales de la seguridad señalaron su preocupación porque estos sistemas están cada vez más conectados a Internet, posibilitando que parte de esa infraestructura crítica pueda estar en contacto con personas con moderada capacitación en informática y un ordenador portátil.

En agosto del 2007, en una conferencia de hackers DefCon, "el investigador de seguridad Ganesh Devarajan hizo una presentación detallando como los investigadores pueden encontrar fallas en los sistemas SCADA utilizando "fuzzing", una técnica que las inundaciones de software con los datos y pistas que de entrada causa un accidente, permitiendo a los hackers inyectar sus propios comandos" (Hackeable America's Backbone / Forbes.com).

Otro de los antecedentes más recordados fue cuando en enero de 2003, los ordenadores infectados con el gusano Slammer apagaron los sistemas de visualización de seguridad en la central Davis-Besse en Ohio (De acuerdo con la Nuclear Regulatory Commission, Davis-Besse ha sido el origen de dos de los cinco más peligrosos incidentes nucleares en los Estados Unidos desde 1979), aunque la planta ya estaba cerrada en ese momento. Siete meses más tarde, otro virus informático fue ampliamente sospechado por los investigadores de seguridad de generar una pérdida de energía en una planta de suministro de electricidad dejando a oscuras a partes del Estado de Nueva York. Aunque la Comisión Reguladora Nuclear alegó en su momento que no se hallaron signos del virus, las sospechas se mantienen.

Sobre lo expuesto, y todo lo sospechado, personalmente creo que no sólo se necesita un terremoto para que se entre en riesgo nuclear. La tragedia de Chernobyl se inicio durante una prueba en la que se simulaba un corte de suministro eléctrico, para evaluar comportamiento del reactor.

Estoy absolutamente de acuerdo con quienes señalan la peligrosidad del uso de la energía atómica y me sumo a todos aquellos que llaman a un urgente cambio, busquemos otras alternativas más seguras, y a la par evaluemos nuestro exagerada tendencia hacia el consumismo. Cuidémonos más!!!

Más sobre Stuxnet en este blog. Más publicaciones relacionadas en Cyberwar y/o Malware.

Duqu explota una vulnerabilidad Día Cero en Windows

Symantec ha informado que "el método que utiliza Duqu para reproducirse es un documento de Word corrupto enviado por correo electrónico. Una vez que el usuario abre el archivo, el código malicioso se ejecuta e instala un troyano de acceso remoto que da a los atacantes control completo sobre la red".

Atento a que se señala a documentos .doc, del procesador de textos Word, como el vector de infección, es muy recomendable extremar los cuidados en el intercambio de información por correo electrónico en ese formato.

Un grupo de investigadores de seguridad del CrySyS (Cryptography and System Security) de Hungría han descubierto un instalador de Duqu, un malware que apareció hace poco más de una semana y sobre el que la industria discute si tiene el mismo autor que Stuxnet, y aseguran que explota una vulnerabilidad desconocida en el kernel de Windows.

Symantec, cuyos expertos han analizado las muestras enviadas por CrySyS, ha explicado que Duqu infecta los ordenadores a través de un Microsoft Word document (.doc), que explota una vulnerabilidad Día Cero en Windows cuando se abre.

Los documentos falsos se envían por medio de ingeniería social para asegurarse de que usuarios y sobre todo empleados los abran. Microsoft, entre tanto, ha sido avisado de la vulnerabilidad y está trabajando en un parche. Hasta que llegue, los usuarios debería tener cuidado y no abrir documentos de fuentes desconocidas.

Al tratarse de una vulnerabilidad del kernel y haberse descubierto un único instalador, los investigadores no excluyen que existan otros vectores de infección. Además, los investigadores de Symantec han descubierto que Duqu es capaz de infectar a ordenadores que no están conectados a Internet copiándose a sí mismo en carpetas compartidas en una red.

Duqu crea un puente entre los servidores de la red interna y el servidor de comando y control que permite a los atacantes acceder a las infecciones de Duqu en zonas seguras con la ayuda de ordenadores que quedan fuera de esa zona segura y se utilizan como proxies.

Otra cosa que han descubierto es un nuevo servidor de comando y control en Bélgica, el primero identificado de Duqu desde que el original de la India fuera cerrado, lo que demuestra que quien quiera que esté detrás de esta amenaza de seguridad están monitorizando la situación y actuando en consecuencia.

Por último Symantec ha sido capaz de confirmar infecciones en Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán y Vietnam, mientras que otras empresas de seguridad informan de incidentes en Austria, Hungría, Indonesia y Reino Unido. Por Rosalía Arroyo para ITespresso.es.

El tema no es menor, el virus Duqu causa estragos en ordenadores Windows en muchos países. Hasta ocho países han registrado infecciones y otros de Europa y Asia ya están bajo alerta.

Aún todo es materia de investigación, pero se cree que parte del código fuente utilizado en Duqu también fue utilizado en Stuxnet, un arma cibernética que habría afectado equipos informáticos en la planta Nuclear de Bushehr en Iran.

Expertos de Symantec estiman "que los atacantes que se encuentran detrás de Stuxnet pueden o bien haber dado el código a los desarrolladores de Duqu, que este hubiese sido robado o que en realidad se trate de las mismas personas que han construido Duqu". "Creemos que es la última opción", dijo el investigador de Symantec Kevin Haley, en una entrevista para Reuters.

Se confirma que estamos viviendo tiempos peligrosos en materia de seguridad informática.

Nota relacionada:

• Duqu: Status Updates Including Installer with Zero-Day Exploit Found. Symantec, 01/11/2011

Más información sobre seguridad en Cyberwar y Seguridad Informática.

(CC)Creative Commons

Alertan sobre malware capaz de apagar fábricas

Alertan sobre virus que puede apagar fábricas.- "El software malicioso Stuxnet es capaz de controlar plantas nucleares. Se cree que detrás del mismo podría estar un país. Los expertos en seguridad informática se encuentran alarmados ante la aparición de un virus altamente sofisticado que esta diseñado para atacar programas utilizados en instalaciones con infraestructura crítica.

El "gusano" informático, conocido como Stuxnet, parece ser el primer virus diseñado para atacar estaciones de energía, plantas de agua y otras unidades industriales". BBC Mundo.

Stuxnet gusano es el "trabajo de una agencia del gobierno nacional".- "Malware que puede tener como objetivo la planta iraní de energía nuclear de Bushehr, puede haber sido creado por hackers israelíes". Por Josh Halliday para The Guardian (guardian.co.uk).

Post relacionado

Atribuyen a un ciberataque el apagón en Brasil y Paraguay. 16-11-2009

"...n enero de 2003, los ordenadores infectados con el gusano Slammer apagaron los sistemas de visualización de seguridad en la central Davis-Besse en Ohio (De acuerdo con la Nuclear Regulatory Commission, Davis-Besse ha sido el origen de dos de los cinco más peligrosos incidentes nucleares en los Estados Unidos desde 1979).."

"El que quiera negar que hay una ciberguerra, que lo niegue"

Alguien.

El objetivo del último gran ciberataque fue para destruir información

Nuevas evidencias estudiadas por los expertos apuntan a que lo que se definió como un ransomware sea probablemente un malware conocido como del tipo "wiper", algunos señalaron que es un wiper disfrazado de ransomware. Un malware que tiene antecedentes desde 2012 con los ataques contra las compañías petroleras iraníes.

Imagen de archivo

En su momento, los expertos observaron el registro de los de ordenadores infectados, con este malware, pudiendo encontrar que podría existir un nexo de unión entre los virus Stuxnet y Duqu con el malware Wiper. Tanto Stuxnet como Duqu son considerados armas cibernéticas.

Recordemos que Stuxnet captó la atención mundial en materia de ciberseguridad en septiembre de 2010. El gusano tenía como blancos los sistemas que no estaban vinculados a internet por razones de seguridad. El malware infecta a computadoras con el sistema operativo Windows a través de memorias USB (Pendrives) que portan el código. De hecho los pendrives son un problema.

Un malware tipo wiper fue el utilizado en el ciberataque a Sony Pictures. El ataque ha sido considerado en su momento, en 2014, como uno de los peores sufridos por una empresa. Desde entonces los "Wipers" suponen un nuevo nivel de amenaza para empresas y gobiernos, según las empresas de seguridad informática, y no son detectados por los antivirus convencionales, por lo que se convierten en una amenaza mayor.

El malware tipo Wiper está diseñado a llevar a cabo el borrado de información del ordenador infectado, llegando a borrar decenas de gigabytes en un corto periodo de tiempo y sin que el usuario pueda sospechar lo que está pasando en su equipo. La intención es hacer el mayor daño posible a los equipos infectados, y anula toda posibilidad de restauración.

El ultimo gran ciberataque que desde el lunes afectó a miles de computadoras de empresas, entidades y organizaciones en varios países, incluida Argentina, pone en la lista de posibles victimas a los equipos ligados a redes tipo LAN, con equipos que tienen instaladas versiones "viejas" de Sistemas Operativos Windows. El más atacado es Windows 7.

Amenazas como Regin y Stuxnet ¿nos podrían afectar?

¿Deberías preocuparte por amenazas como Regin?

Desde que se descubrió a Stuxnet varios años atrás, ha habido un desfile de malware dirigido -como Flame, Duqu, Gauss y ahora Regin- que puede haber sido creado o sustentado por estados nacionales. Estas complejas amenazas tienen una gran parte de sus funcionalidades diseñadas para espiar a sus víctimas. Naturalmente, amenazas tan excepcionales y polémicas ganan mucha cobertura en los medios, pero, como una persona o compañía promedio, tú, ¿deberías prepocuparte por este asunto?

Por Lysa Myers para Welivesecurity - ESET

Post relacionados:

• El malware Regin una herramienta de ciberespionaje apuntada a la Unión Europea. 26/11/2014.
• El malware llamado "Regin", o Backdoor.Regin espía con características "invisibles". 24/11/2014.

Encuentran una potente arma cibernética llamada "Flame"

Visto en: The Flame: Questions and Answers - SECURELIST.com

Una importante novedad en el tema "armas cibernéticas", varias agencias de noticias están informando sobre el "descubrimiento", por parte de la compañía de seguridad en Internet, Karspersky, de un virus, llamado "Flame", que según señalan los expertos en seguridad informática está "diseñado para recopilar información sensible y presente en ordenadores de Irán, Oriente Próximo e incluso Estados Unidos" (ELMUNDO.es).

Según explican en SECURELIST, "Flame es un conjunto de herramientas de ataque sofisticado, que es mucho más compleja de lo que Duqu. Se trata de una puerta trasera, un troyano, y tiene como características de gusano, lo que le permite replicarse en una red local y en medios extraíbles si se le ordena". Se señala desde SECURELIST que "el punto inicial de entrada de la llama no se conoce - se sospecha que se despliega a través de ataques dirigidos, sin embargo, no hemos visto el vector original de cómo se propaga. Tenemos algunas sospechas sobre el posible uso de la vulnerabilidad MS10-033, pero no podemos confirmar esto ahora".

Comparte muchas características con las notorias armas cibernéticas Duqu y Stuxnet, mientras que algunas de sus características son diferentes, la geografía y la cuidadosa elección de los ataques, junto con el uso de vulnerabilidades de software específico parece ponerlo junto a las super-armas "actualmente desplegados en el Medio Este por autores desconocidos".

Los expertos de Karspersky Lab habrían señalado Flame (Worm.Win32.Flame) es el 'software' de espionaje más complejo descubierto hasta la fecha y llevaba operativo al menos cinco años, por lo que ha alertado en el sentido que pueden estar en funcionamiento otras armas similares. Es un virus especializado en 'ciberespionaje', escondido dentro de miles de ordenadores en todo el Medio Oriente durante y se sospecha que forma parte de una sofisticada campaña de guerra cibernética.

Eugene Kaspersky, cofundador de Kaspersky Lab, ha afirmado: "La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El 'malware' Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país".

Fuentes:

• The Flame: Questions and Answers. Por Aleks, del Kaspersky Lab Expert para SECURELIST.com. 28/05/2012
• Powerful "Flame" cyber weapon found in Middle East. Por Jim Finkle para Reuters. 28/05/2012.
• Descubren Flame, un virus especializado en 'ciberespionaje'. ELMUNDO.ES. 28/05/2012
• Meet ‘Flame’, The Massive Spy Malware Infiltrating Iranian Computers. Por  Kim Zetter para THREAT LEVEL de WIRED. 28/05/2012.

Actualización 29/05/2012

• Preocupa la posibilidad de ciber-ataques a aviones Boeing 787. 29/05/2012.
• ONU advertirá del riesgo del virus informático "Flame". Reuters. 29/05/2012.

Son tiempos peligrosos, no hay dudas. Más información en Cyberwar y Seguridad Informática.

Gauss, un virus de espionaje bancario, un verdadero dolor de cabeza

The Mystery of the Encrypted Gauss Payload.- "There are many remaining mysteries in the Gauss and Flame stories. For instance, how do people get infected with the malware? Or, what is the purpose of the uniquely named “Palida Narrow” font that Gauss installs?". Por GReAT Kaspersky Lab Expert en Securelist.

Unable to Crack Computer Virus, Security Firm Seeks Help.- "Among Gauss’s most puzzling components is an encrypted “warhead” that watches for a specific computer system with no Internet connection and installs itself only if it finds that configuration. The warhead has baffled security researchers at Kaspersky Lab, who first discovered the virus in June and have been unsuccessfully trying to crack its encryption code since". Por Nicole Perlroth para Bits - The New York Times.

El tema es, según lo que se cuenta en Bits que Gauss ha desconcertado a los investigadores de seguridad de Kaspersky Lab; "a pesar de nuestros mejores esfuerzos, no hemos podido romper el cifrado", escribieron los investigadores de Kaspersky en un blog ayer martes.

Uno de los componentes más misteriosos de Gauss es una “ojiva” encriptada que se activa una vez que encuentra una configuración de un sistema informático específico sin conexión a Internet y se instala sólo si comprueba la configuración.

En un escrito los investigadores de Kaspersky Lab señalan que consideran que el virus fue creado por los mismos que desarrollaron Flame y Stuxnet.

Hasta la fecha, los investigadores de Kaspersky han detectado a Gauss en 2.500 computadoras, la mayoría en el Líbano. Su objetivo parece ser la adquisición de log-ins para cuentas de mensajería de correo electrónico, mensajería instantánea, redes sociales y, en particular, las cuentas de algunos de los mayores bancos del Líbano como el Bank of Beirut, Blom Bank, Byblos Bank and Credit Libanais, junto con el Citibank y el sistema de pago en línea PayPal.

El dato interesante en toda ésta "intriga", casi de película, y siempre según lo informado por Bits, es que expertos en el Líbano, señalaron que una campaña de espionaje estadounidense dirigida a los bancos libaneses tendría sentido, dado la preocupación de los Estados Unidos que los bancos del Líbano se han utilizado para respaldar al gobierno de Siria y al el grupo militante libanés y el partido político Hezbolá.

El año pasado, Departamento del Tesoro de Estados Unidos identificaron un banco libanés, con sede en Beirut, el Lebanese Canadian Bank SAL, como principal centro de una gran operación de lavado de dinero procedente del narcotráfico en beneficio del grupo extremista Hezbolá.

Sobre Stuxnet en éste blog.
Sobre Flame en éste blog.

Cyber wars, una realidad latente

Guerras cibernéticas: nerds al ataque

Autor: Marcus Lütticke / Israel Ayala

Editora: Emilia Rojas

Vísto en Deutsche Welle

Imagen: ©picture-aliance/dpa. Visto en Deutsche Welle

Sin bombas y sin tanques. Basta una computadora e Internet. Los combatientes del siglo XXI ejecutarán sus planes desde una simple oficina y pondrán a muchos países a sus pies.

Nadie sabe por qué sale agua sucia del grifo. No hay electricidad y resulta muy difícil explicar qué está pasando. Hay accidentes por toda la ciudad, los semáforos dejaron de funcionar. La gente comenta el último problema que ha tenido la central nuclear. Así podría ser una guerra cibernética: un ataque masivo efectuado y controlado desde una computadora. No habrá bombas ni soldados con tanques, tampoco granadas ni chalecos antibalas; sino simplemente poderosas computadoras, un buen programador informático y una conexión a Internet.

Protección inadecuada

“Afortunadamente estamos viviendo un período pacífico, así que por el momento no debemos tener miedo a este tipo de ataques”, explica Sandro Gaycken, un experto en seguridad informática de la Universidad Libre de Berlín. Pero si la situación geopolítica cambiara, Alemania se encontraría no muy bien protegida: “La infraestructura básica alemana tiene un nivel de protección muy bajo en muchos aspectos. Si alguien quisiera atacarnos con métodos cibernéticos, podría hacerlo”.

Diariamente hay ataques cibernéticos en algún lugar del mundo: son ataques pequeños y dirigidos a infraestructuras gubernamentales, oficinas militares o simplemente compañías. Nadie sabe quién está detrás de ellos. La verdad se conoce solo varios meses o incluso años después. Generalmente, los hackers buscan espacios digitales desprotegidos y se dedican a ver cómo pueden utilizarlos para causar daño. En ocasiones, son los mismos gobiernos los que planean estos ataques.

Stuxnet: un virus contra el programa nuclear de Irán

Uno de los casos más conocidos de los últimos años fue el virus Stuxnet. Se cree que fue el responsable de que las plantas nucleares de Irán se salieran de control. Según la información disponible, el virus manipuló la frecuencia de rotación de las fuerzas centrífugas que permitían el enriquecimiento del uranio. De acuerdo con The New York Times, el virus fue desarrollado por el servicio secreto de Estados Unidos, la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) y agentes israelíes.

El presidente de Estados Unidos, Barack Obama, ha pedido una lista con todos los posibles ciberataques que podrían perpetarse en las oficinas estadounidenses ubicadas en el extranjero. Así lo ha señalado una información clasificada como "confidencial" y revelada por el diario británico The Guardian.

La OTAN crea directivas

¿Pero se pueden considerar estos ataques como actos de guerra? ¿Cómo podría responder un Estado a un ataque similar? Una unidad de la OTAN especializada en delitos cibernéticos ha creado un manual con más de 95 reglas que orientan a sus Estados miembros en caso de que hayan sido víctimas de un ataque cibernético. Estas propuestas no son vinculantes.

El experto en derecho internacional Wolff Heintschel von Heinegg, de la Universidad Europea en Frankfurt (Oder), contribuyó a la creación del manual. "En términos legales no existe ninguna diferencia entre hacer estallar un proyectil de artillería o provocar un ataque cibernético”, dice a Deutsche Welle.

Una peligrosa amenaza

Al mismo tiempo, no sería legítimo responder a cada ataque cibernético como si se tratara de un arma de destrucción y utilizar el argumento de la autodefensa. “Es necesario que el daño sea particularmente severo”, dice von Heinegg. Si ese fuera el caso, la víctima podría responder con armas convencionales como bombas, por ejemplo.

El experto en Tecnologías de la Información Gaycken no ve factible ese escenario. Piensa que los ataques cibernéticos son más bien una peligrosa amenza económica: “Se pueden sabotear aspectos muy concretos de industrias claves, como por ejemplo, la automovilística o la aérea. Si estas presentaran fallas tendrían que retirar su productos y eso podría hacerles perder credibilidad”.

Tanto el espionaje industrial como los ataques cibernéticos podrían causar daños importantes a la economía de un país y, a largo plazo, llevarla al colapso. / Deutsche Welle. Autor: Marcus Lütticke / Israel Ayala. Editora: Emilia Rojas

The cyberwar - un tema que gana prioridad en las agendas

Los ataques cibernéticos y las amenazas de terrorismo son temas que van ganado prioridad en las agendas de los países. En el día de hoy, el gobierno de Reino Unido así lo ha informado:

La guerra cibernética "debe preocuparnos".- "La guerra cibernética ya está aquí y debe preocuparnos, afirman expertos en seguridad que en los últimos días han coincidido en llamar la atención sobre el tema".

"Los gobiernos también están reconociendo el problema. El Reino Unido calificó este lunes a los ataques a redes informáticas como una de las amenazas más serias que enfrenta el país".

"La ministra del Interior británica, Theresa May, dijo que los ataques cibernéticos eran un "nuevo y creciente" peligro y la BBC cree que el gobierno destinará cerca de US$800 millones para reforzar la seguridad de las redes de computación del gobierno.

"La preocupación se ha incrementado ante la aparición de Stuxnet, un gusano malicioso que aprovecha las fallas de seguridad de diversos sistemas para infectar software industrial y poder así apagar plantas nucleares y fábricas"...(sigue) BBC Mundo - Tecnología.

Relacionadas:

Cyber attacks and terrorism head threats facing UK.- "Attacks on computer networks are among the biggest emerging threats to the UK, the government has said in its new national security strategy". BBC Nwes UK Politics.

The National Security Strategy. HM Government UK.

Stuxnet como arma cibernética. 

Advierten sobre terrorismo nuclear

Terrorismo nuclear puede causar otro Fukushima, a juicio de experto.- ' "Tanto Al Qaeda como grupos terroristas chechenos han considerado sabotear reactores nucleares y Fukushima ofreció un claro ejemplo de la escala de terror que puede causar un ataque de ese tipo", dijo Matthew Bunn, de la Harvard University '. de AméricaEconomía - Política & Sociedad.

Todo un señor tema, muy serio realmente. Hemos estado siguiendo el tema sobre la seguridad informática en plantas nucleares, teniendo en cuenta las noticias, como por ejemplo las vulnerabilidades de los sistemas SCADA, también el uso de armas como el Stuxnet, un gusano (malware) que atacó repetidamente varias plantas industriales en Iran durante 10 meses, y que se señala tenía como objetivo inutilizar equipos en la planta Nuclear de Bushehr.

Lo señalamos, existen antecedentes de serios incidentes informáticos en plantas nucleares y sistemas de distribución de energía. En relación ésto último, el gran apagón de las redes en Brasil y Paraguay en 2009 (dejó sin energía eléctrica a 18 estados brasileros y a buena parte de Paraguay). Aunque el gobierno de Brasil señalo a un cortocircuito como el responsable por el gigantesco apagón, creció la teoría de los hackers alrededor del suceso, y no pocos medios así lo señalaron.

Desde los sucesos en Estonia en 2007, se habla y escribe sobre la cyberwar, un enfrentamiento que se viene llevando a cabo desde entonces. Desde el año pasado la cyberwar es un tema que gana prioridad en las agendas de muchos Países.

Los ataques cibernéticos y las amenazas de terrorismo son temas que han motivado la creación de equipos técnicos y hasta unidades militares para poder enfrentarlos. Y desde hace unos meses se vienen dando noticias que señalan sobre la tipificación de los delitos informáticos, especialmente en cuanto se "agrede" instalaciones consideradas críticas por un País.

Algunos, como Estados Unidos, a través del Pentágono, ha concluido que el sabotaje informático procedente de otro país puede constituir un acto de guerra.

El responder con la fuerza militar al sabotaje en infraestructura crítica por parte de otra nación, es considerado en todas las estrategias de defensa. Este tipo de sabotaje siempre fue considerado un acto de guerra, si uno analiza la historia de los conflictos.

El hecho es que "la industria nuclear en muchos países está mucho menos preparada para lidiar con incidentes de seguridad que con accidentes" según ha señalado  Matthew Bunn, de la Harvard University, en respuesta "a nuevas propuestas del jefe de la agencia nuclear de la ONU para mejorar la seguridad nuclear internacional tras la crisis en Japón" (Reuters).

Pensando localmente, me surge nuevamente la inquietud ¿Estamos preparados?

Post relacionados

• EE.UU. responderá al sabotaje informático con la fuerza militar. 31/05/2011
• Siguen los problemas con los sistemas SCADA. 28/03/2011
• Vulnerabilidades en sistemas SCADA. 23/03/2011
• No sólo se necesita un terremoto para que se entre en riesgo nuclear. 15/03/2011
• Stuxnet el arma. 15/02/2011
• The cyberwar - un tema que gana prioridad en las agendas. 18/10/2010
• Atribuyen a un ciberataque el apagón en Brasil y Paraguay. 16/11/2009
• Centro de Excelencia en Ciberdefensa. 19/05/2008
• ¿Estamos preparados?. 05/09/2007
• Cyberwar on Estonia. 17/05/2007

Más información en Cyberwar y Seguridad Informática.

(CC)Creative Commons

HackerOne conecta a “white hats” con compañías dispuestas a pagar recompensas

Nota original: Nicole Perlroth - The New York Times. Traducción original: La Gaceta.

SAN FRANCISCO.- En 2011, dos hackers holandeses, de 20 y pico de años, hicieron una lista de las 100 compañías de alta tecnología a las que tratarían de entrar. Rápidamente, encontraron vulnerabilidades de seguridad en Facebook, Google, Apple, Microsoft, Twitter y otros 95 sistemas de empresas. 

Llamaron a su lista “Hack 100”. 

Cuando alertaron a los ejecutivos de esas compañías, cerca de una tercera parte no les prestó atención. Otro tercio les dio las gracias, cortésmente, pero nunca arreglaron las fallas; mientras que el resto se apresuró a resolver sus problemas. Afortunadamente para los jóvenes hackers, nadie llamó a la policía.

Ahora la pareja, Michiel Prins y Jobert Abma, está entre los cuatro cofundadores de la empresa emergente en tecnología, en San Francisco, que se orienta a convertirse en una mediadora entre las compañías con problemas de ciberseguridad y piratas y buscar solucionar problemas en lugar de causarlos. Esperan que su establecimiento, llamado HackerOne, pueda persuadir a otros hackers para que reporten, en forma responsable, las fallas de seguridad, en lugar de explotarlas, y conectar a esos “sombreros blancos” con las compañías que estén dispuestas a pagar una recompensa por sus hallazgos.

En el último año, la empresa emergente ha persuadido a algunos de los nombres más grandes en la tecnología -incluidos Yahoo, Square y Twitter- y a empresas, bancos y compañías petroleras, que nunca se esperaría que trabajaran con su servicio. También han convencido a capitalistas de riesgo de que, dado que hay miles de millones de aparatos más que se mueven en la red y que es inevitable que cada uno tenga fallas, HackerOne tiene el potencial de ser muy lucrativa. La empresa recibe una comisión de un 20% sobre cada recompensa que se paga por medio de su servicio.

“Cada compañía va a hacer esto”, notó Bill Gurley, un socio en Benchmark, que invirtió U$S 9 millones en HackerOne. “No probar esto es estar descerebrado”, enfatizó.

La alternativa a los llamados programas de recompensa por errores moderados es apegarse al actual modelo de incentivos perversos. Los hackers que ha encontrado agujeros en los sistemas corporativos pueden, dependiendo de la gravedad, esperar sumas de seis dígitos al vender sus descubrimientos a los delincuentes o los gobiernos, donde esas vulnerabilidades están almacenadas en ciberarsenales y es frecuente que nunca las arreglen. En forma alternativa, cuando les pasan las debilidades a las empresas para que las arreglen, es frecuente que ignoren a los hackers o los amenacen con la cárcel. En esencia, la gente con las habilidades para arreglar los problemas de seguridad en internet tiene más razones para dejarla totalmente abierta a un ataque.

“Queremos facilitarles las cosas y que sean provechosas para que el siguiente grupo de hackers hábiles tenga una carrera viable si se queda en la defensa”, señaló Katie Moussouris, directora de normas de HackerOne, quien fue pionera en el programa de recompensas en Microsoft. “En este momento, estamos sobre la barda”, añadió.

Prins y Abma empezaron HackerOne con Merijn Terheggen, un emprendedor holandés que vive en Silicon Valley. Los tres conocieron al cuarto cofundador por medio del esfuerzo “Hack 100”, cuando enviaron un correo electrónico en el que alertaban a Sheryl Sandberg, la directora de operaciones de Facebook, sobre una vulnerabilidad en sus sistemas. Sandberg no sólo les dio las gracias, sino que imprimió su mensaje, se lo entregó a Alex Rice, el gurú de seguridad en los productos en ese momento, y le dijo que la corrigiera. Rice invitó a los hackers a comer, trabajó con ellos para arreglar el programa, les pagó una recompensa de U$S 4.000 y se les unió un año después. 

“Toda tecnología tiene vulnerabilidades y si no tienes un proceso público para que los hackers responsables las reporten, solo te vas a enterar de ellas por los ataques en el mercado negro”, explicó Rice. “Eso es simplemente inaceptable”. 

No es ningún secreto que, en forma constante, los ciberdelincuentes están escaneando los sistemas corporativos en busca de debilidades o que dependencias gubernamentales las están acumulando.

Fallas de vigilancia

Los ciberdelincuentes utilizaron una de esas debilidades en un servicio de aire acondicionado para meterse en el sistema de pagos de Target. Tales fallas son críticas en los esfuerzos gubernamentales de vigilancia, así como ingredientes cruciales en “ciberarmas” como Stuxnet, el gusano informático desarrollado por Estados Unidos e Israel para el cual se usaron varios errores a fin de encontrar el camino para ingresar y destruir las centrífugas de uranio en una instalación nuclear iraní.

Los errores han sido tan críticos para los ciberarsenales del gobierno, que una dependencia de la administración estadounidense les pagó medio millón de dólares a unos hackers por un simple exploit en el sistema operativo iOS de Apple. Esta compañía no le habría pagado nada al hacker por arreglarlos. Otra quizá habría llamado a la policía.

Ese es precisamente el tipo de incentivo perverso -castigar a los programadores que arreglan errores y recompensar a quienes nunca informan- que HackerOne quiere cambiar.

Las compañías de tecnología empezaron a recompensar a hackers hace cinco años, cuando Google empezó a pagarles U$S 3.133,70 por errores (31337 es el código “hacker” para elite). Desde entonces, Google ha pagado algo así como U$S 150.000 en una sola recompensa y distribuido más de U$S 4 millones entre los hackers. Rice y Moussouris ayudaron a liderar los programas de recompensas en Facebook y Microsoft.

Otros se están dando cuenta de que ya no impacta simplemente darles crédito o mandarles alguna cosa.

Ramses Martínez, el director de seguridad de Yahoo, dijo que lanzó el programa de recompensas en 2013, después de que dos “hackers” arremetieron contra Yahoo porque les mandaron camisetas a cambio de cuatro errores con los que pudieron haberse embolsado miles de dólares en el mercado negro. Martinez aseguró que considera que las recompensas por errores son “pan comido”.

“Ahora que suficientes compañías grandes y muy conocidas echaron a andar esto, se acabó mucho el miedo a estos programas”, dijo.

Sin embargo, la mayoría de ellas todavía no paga a los programadores por sus hallazgos, incluida Apple, que reportó alrededor de 100 problemas de seguridad este año, algunos tan graves que permitieron a los atacantes secuestrar las contraseñas de los usuarios. Claro que con una etiqueta de U$S 500.000 pegada a una inseguridad informática en Apple -equivalente a todo lo que Microsoft ha desembolsado para los “hackers” a la fecha-, las recompensas de aquélla tendrían que ser bastantes altas para equipararse a las tarifas del mercado. “Muchas empresas tienen hackers; solo que no lo saben”, comentó Terheggen, ahora director ejecutivo de HackerOne. “Los malos ya están allí. Los buenos no aparecen, a menos que los invites”.

Alrededor de 1.500 hackers están en la plataforma de HackerOne. Han arreglado cerca de 9.000 errores y se han embolsado más de U$S 3 millones en recompensas. Para las compañías que apenas están empezando a considerar las recompensas por los errores, HackerOne les ofrece una comunidad de “hackers” respetables y maneja los trámites administrativos, incluidos los pagos y las formas fiscales. HackerOne no es la única compañía en el espacio. Compite con programas de recompensa que sus fundadores ayudaron a iniciar en Facebook, Microsoft y Google (Chris Evans, un asesore en HackerOne, ayudó a liderar el programa en Google).

Algunas compañías, como United Airlines, empezaron hace poco su propio programa. United comenzó a ofrecerles a los “hackers” millas gratuitas por usuario frecuente después de que un investigador en seguridad tuiteó sobre las vulnerabilidades del sistema wi fi en el vuelo y le dijo a la FBI que había examinado las redes del avión durante el mismo.

HackerOne también compite con Bugcrowd, una empresa emergente similar que cobra a las empresas una tarifa anual por manejar sus programas de recompensas. Bugcrowd trabaja con compañías jóvenes, como Pinterest, e instituciones como Western Union.

HackerOne y sus competidores podrían enfrentarse a significativos obstáculos regulatorios en los próximos meses. Los funcionarios están considerando hacer cambios al “Wassenaar Arrangement” (Arreglo de Wassenaar), un acuerdo de control de exportaciones de 20 años de antigüedad entre 40 países -incluidos Rusia, algunos europeos y Estados Unidos- para que los investigadores obtengan permiso de los gobiernos antes de entregar sus artificios a una compañía extranjera. “Es posible que a los gobiernos no les importe dejar pasar problemas leves, pero los problemas críticos pudieran ser otra cuestión”, dijo Kymberlee Price, el director sénior de operaciones de seguridad en Bugcrowd. “¿Realmente deberíamos dejarle al gobierno ruso que decida si un investigador puede informar de una vulnerabilidad a Citibank?”. / Nota original: Nicole Perlroth - The New York Times. Traducción original: La Gaceta.-

Original:

• HackerOne Connects Hackers With Companies, and Hopes for a Win-Win. "In 2011, two Dutch hackers in their early 20s made a target list of 100 high-tech companies they would try to hack. Soon, they had found security vulnerabilities in Facebook, Google, Apple, Microsoft, Twitter and 95 other companies’ systems. They called their list the Hack 100". Por Nicole Perlroth - The New York Times.--