17/02/03
LA PROPAGANDA SOBRE LA CIBERGUERRA NO EVITA QUE INTERNET SEA UN 'GRUYÈRE'
Mercè Molist
A nadie en la red le gusta hablar de "ciberguerra". Los hackers han hecho manifiestos contra ella y la comunidad la prefiere "light", pacífica y artística, de protestar, como máximo, con "mailbombings" o "graffitis" en webs. Otra cosa son los gobiernos, especialmente Estados Unidos, que llevan años creando leyes sobre ciberguerra, en la que cada vez ponen mayor énfasis sus estrategas. Entre ambos frentes, un abismo de más y más fuertes ataques no reinvindicados que demuestran que, con o sin ciberguerra, la red es un 'gruyère'.Como país avanzado en Internet, Estados Unidos sabe que su mayor fuerza es también su debilidad. Recientemente, el gusano "SQL Slammer" ponía de rodillas a miles de sistemas de todo el planeta. Días después, un periodista del "Washington Post" se hacía pasar por autor de Slammer y terrorista cercano a Ben Laden y engañaba a un periodista de "Computerworld", quien lo publicó. Aunque falsa, la noticia despertaba el fantasma de posibles ataques de al-Qaeda a Internet.
Fantasma que el gobierno de los Estados Unidos lleva tiempo alimentando. La administración Bush acaba de presentar su enésima "Estrategia Nacional para Asegurar el Ciberespacio", que quiere blindar los equipos militares, corporativos y domésticos y crear un centro de coordinación que detecte virus y ataques en tiempo real. Daniel Burton, de Entrust, respondía a la presentación del plan: "Es fuerte en ciberseguridad gubernamental, pero "silencioso" en lo que respecta al sector privado, que controla el 85% de las infraestructuras críticas".
Éste es el talón de Aquiles de Estados Unidos: la interdependencia de todos con todos en Internet. Lo demostraba SQL Slammer, que en sólo diez minutos infectó el 90% de servidores vulnerables, según las estadísticas. El gusano, que entraba y salía de los ordenadores conectados permanentemente a la red, aprovechando un fallo de la base de datos SQL de Microsoft, no llevaba carga dañina pero, como efecto secundario, su forma de propagación colapsó dramáticamente las líneas, en un gran ataque de Denegación de Servicio.
Desde el 2001, otros gusanos de infestación masiva han venido antes que Slammer, como Nimda o Code Red, nunca reivindicados, de igual efecto y con miles de servidores comprometidos, más de la mitad en Estados Unidos. Pero ninguno fue tan pequeño (376 bytes, dos párrafos de código) ni tan veloz. Generado supuestamente en Asia, Slammer cruzó el planeta en minutos y dañó cajeros automáticos y servicios de emergencia 911 en Estados Unidos. La empresa Symantec avisó la primera, pero sólo a sus clientes, y la comunidad no pudo defender a tiempo sus máquinas. Al ser fin de semana se evitó un mayor colapso. Con el próximo, dicen los expertos, no habrá tanta suerte.
Las iras se dirigieron a Microsoft, creadora del producto atacado, aunque hacía seis meses que la compañía había avisado del fallo y ofrecía un parche en su web, que también cayó bajo el gusano, porque sus propios informáticos no había aplicado el correctivo, como muchos administradores de sistemas de todo el mundo, que reciben docenas de avisos de parches a la semana. En el caso de productos Microsoft, la mayoría espera un tiempo a que otros los prueben antes de instalarlos, vista la gran cantidad de correctivos defectuosos que genera la compañía.
Con cada nuevo gusano, surge otra queja: la culpa es del "monocultivo" Windows. Haciendo un símil con la biología, el hecho de que miles de sistemas usen productos Microsoft hace más vulnerable a la red ante estas "epidemias". Si se diversificaran los programas e incluso un mismo programa fuese diferente en cada sistema, esto no pasaría, dicen los expertos, como David A. Pérez: "Imagina que en vez de afectar a SQL, el virus afectase a servidores como IIS de Microsoft, cuyo número es muchísimo superior, y además fuese destructivo y creado contra una vulnerabilidad que no ha sido reportada. Habría un colapso total. Y puede no faltar mucho".
El ejército de Estados Unidos y la OTAN utilizan mayoritariamente sistemas Windows, aunque hay tímidos escarceos para pasarse al código libre. Los militares son los únicos que se sienten cómodos con el término "infoguerra". Sus maniobras no son públicas, pero de vez en cuando trasciende algo, como la venta de información al KGB, en los 80, robada de ordenadores estadounidenses por hackers alemanes. Hoy, como ayer, es continuo el goteo de intrusiones en servidores web militares.
En noviembre del año pasado, arrestaban a un británico de 36 años, Gary McKinnon, acusándole de entrar en ordenadores militares norteamericanos y bajarse información sin especificar. Según Dave Bryan, vice comandante de la Agencia de Sistemas de Información para la Defensa de EEUU, en el año 2000 hubo 25.000 intentos serios para entrar en sus sistemas militares, de los que 245 fueron exitosos. Pero nadie consiguió información clasificada, porque no estaba allí, afirma un militar español:
"Ningún sistema del Departamento de Defensa accesible desde Internet puede contener información clasificada. Cuando el sistema es atacado, puede dejar de prestar servicio pero no revelar información sensible ni dar acceso a la red interna, porque esa conexión no existe. Los sistemas tácticos están físicamente separados. Es como una cebolla: cuando muerdes la capa externa no sólo estás muy lejos del núcleo, es que ni siquiera está en la cebolla adecuada. El peor daño es un poco de mala publicidad, pero eso no afectará a las operaciones, ni siquiera a la propia guerra de información, que seguirá por otros medios".
Para el ejército, la amenaza principal proviene de los ataques de Denegación de Servicio (bombardeos o DoS), ya que "es lo más difícil de prevenir, al atacar un recurso difícilmente defendible: el ancho de banda", afirma el militar. Conoce bien el peligro el FBI, que en 1999 tenía que cerrar seis días su web por un bombardeo desde cientos de ordenadores, como venganza por la detención de una banda de vándalos informáticos.
También lo sabe el principal centro de seguridad en Internet, el Computer Emergence Response Team (CERT). Hace dos años, sufría un violento DoS que tumbó el servicio web por unas horas. El equipo aseguró entonces que este tipo de ataques son el pan de cada día. Según el experto Jordi Linares, "son los más complicados porque, hasta que no puedes parar todo el tráfico malicioso, es difícil que se acabe, peor si viene de países con los que no tienes comunicación, como China. Sólo puedes poner filtros y hablar con los proveedores, no se puede luchar de otra forma, y eso le pasa a un CERT como a un Amazon".
En febrero del 2000, diversos servicios comerciales como Yahoo, Amazon o eBay sufrieron un serio bombardeo durante varias horas, que marcó el nacimiento oficial de esta modalidad de Denegación de Servicio: la distribuida (DDoS), donde se lanzan paquetes desde cientos de máquinas contra un objetivo. En octubre del año pasado, tenía lugar el Segundo Gran DDoS, contra los servidores de nombres de dominio. Según el FBI, cayeron siete de los trece principales. El ingeniero Chris Morrow, de UUNET, afirmaba: "Es probablemente el mayor ataque contra la infraestructura de Internet que hemos visto nunca". Tampoco nadie lo reivindicó.
Richard Pethia, director del CERT/CC, avisaba recientemente en Barcelona: "Cada vez somos más dependientes de sistemas distribuidos a gran escala, para defensa, energía, telecomunicaciones, finanzas. Los intrusos, bien preparados y organizados, están atacando con más frecuencia e impacto, usando herramientas fáciles y diseñadas para grandes ataques. Internet es su blanco perfecto, de bajo riesgo y difícil rastreo, especialmente para las Denegaciones de Servicio. Y la cosa irá a peor. La raíz de estos problemas es la poca calidad de los programas".
En un año, se han doblado los avisos del CERT sobre nuevas vulnerabilidades en programas, que representan sólo una pequeña parte del total que circula por los foros especializados. Afirma el experto en seguridad Román Medina: "Detrás de la mayoría de ataques siempre hay una o más vulnerabilidades que están siendo explotadas. Un DDoS no sería posible si los "routers" hicieran un filtrado apropiado y los servidores estuvieran actualizados. Ante un ataque así, poco podrá hacer el administrador, aunque sea una máquina militar importante".
Jesús Cea, de Hispasec, lo comparte: "El estado del arte actual en Internet, a nivel de protección de la infraestructura, es prácticamente inexistente. El principal problema son los DDoS porque da igual que tus máquinas sean seguras y te preocupes de tenerlo todo actualizado y configurado. Si te quedas sin línea de datos, desapareces. No hay vacuna posible. El resto de problemas dependen de tu 'saber hacer' para con tu propia infraestructura, pero evitar ataques DDoS requiere de un esfuerzo coordinado de decenas de 'carriers' alrededor de todo el planeta."
QUÉ SERÁ SERÁ
Óscar Conesa, del CERT español, lo pinta negro: "La posibilidad de un acto terrorista, consistente en la propagación de un virus altamente destructivo, debe ser tenida muy en cuenta y, dada la situación de la red, acabará ocurriendo. El coste de la operación la hace una alternativa muy tentadora para grupos terroristas con pocos recursos económicos, pero con disponibilidad de jóvenes programadores; grupos de Pakistán o Indonesia reunirían fácilmente estas condiciones. No podemos garantizar que un nuevo virus aparezca y se dedique a borrar datos de manera sistemática o hacer un DoS contra webs de antivirus, que impediría la distribución de los antídotos".
Albert Puigsech, también de esCERT, matiza: "Hoy son aún pocas las empresas que dedican el 100% de su trabajo al comercio en la red, por lo que no se la puede considerar su talón de Aquiles". Jorge Hurtado, director de Desarrollo de Negocio de Germinus, también le quita hierro: "Desde un punto de vista militar, estoy convencido de que Internet es el menor de los problemas reales ante una guerra. Además, la amenaza principal en este conflicto no vendrá de Iraq sinó de sus propios aliados, de la mayoritaria opinión pública mundial en contra de la guerra".
Según Hurtado, "lo que se utilizará para debilitar la posición de Estados Unidos es la información. De todo tipo, desde sitios web contra la guerra a mensajes de correo electrónico con información falsa sobre los acontecimientos y con peticiones desesperadas para reenviarlos. También los virus por correo, como una carta hablando de un niño iraquí abandonado para inducir a abrir un archivo infectado. O la modificación de contenidos como elemento propagandístico, como ponerle los cuernos a Bush o introducir noticias falsas en las webs del gobierno".
MISIÓN: SUPERVIVENCIA
Desde 1998, el CERT norteamericano ha pasado de investigar 6 ataques informáticos a lidiar con 82.094, en el 2002. Programas llenos de fallos, administradores de sistemas incompetentes, redes tan descentralizadas que ya no se sabe quién es el intruso y quién el usuario son las causas mayoritarias de estas cifras, cuya tendencia es a doblarse cada año. Ante el panorama, la preocupación de los expertos norteamericanos ya no es la seguridad sinó la supervivencia: cómo hacer que las cosas sigan funcionando bajo un ataque.
En las actuales condiciones, nadie está a salvo y todos deberían tener consciencia de ello, afirma Richard Pethia, director del CERT/CC, quien define la supervivencia como "la habilidad de un sistema para llevar a cabo su misión ante la presencia de ataques, fallos o accidentes, sabiendo que ningún componente es inmune. La misión es lo que debe sobrevivir, no un elemento individual, ni tan sólo el propio sistema".
De la Internet de los años 80, con pocos puntos unidos entre sí, al ovillo de líneas que es la red actual, Pethia asegura que debe cambiar la mentalidad: "De las cosas fijas y completas a las desconocidas, sin punto final ni perímetro, cambiando contínuamente. De jerarquías a redes interdependientes. De sucesos predecibles a sucesos asincrónicos. De un punto simple de responsabilidad a la responsabilidad compartida, a veces desconocida. De la seguridad como una actividad más a la supervivencia como esencial para el negocio".
Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.