Buscador de Google

Stuxnet y Flame: Los antivirus no pueden hacer nada

La ciberguerra velada que se lleva a cabo en todo el mundo, con ataques chinos a USA, virus informáticos contra Irán y operaciones de inteligencia encubiertas en Internet (llamese Wikileaks), tiene como víctimas a toda la población, como suele ser en toda guerra. La reciente revelación de que Obama ordenó los ataques con Stuxnet contra Irán y la promesa de la prolongación de la guerra informática arrojan perspectivas desesperanzadoras que incluso los expertos en seguridad informatica no tardan en advertir.
Mikko Hypponen es jefe de investigaciones de F-Secure, una empresa de seguridad informática que cuenta con la experiencia de haber combatido ataques de virus como Loveletter, Blaster, Conficker y Stuxnet. Reflejando la postura de la industria de los antivirus sobre la ciberguerra que enfrenta a potencias de todo el mundo, escribe para Wired la nota titulada "Por qué compañías como la mía fallaron en atrapar a Flame y Stuxnet":


"Hace un par de días recibí un correo electrónico desde Irán. Era enviado por un analista del Equipo de Respuestas de Emergencia Informática de Irán y me informaba acerca de una pieza de malware que había sido encontrada infectando computadoras iraníes. Esto resultó ser Flame: el malware que hoy por hoy ocupa las portadas de los medios de todo el mundo.


A medida que escarbabamos en nuestros archivos para encontrar ejemplos similares a este malware, nos sorprendimos al encontrar que ya teníamos ejemplos del Flame, que databan de 2010 y 2011 y que sin saberlo manteníamos en nuestras PC's. Habían llegado a través de mecanismos automáticos de reporte, pero nunca habían sido marcados por el sistema como algo que debía examinarse de cerca. Investigadores de otras firmas de antivirus habían encontrado evidencia de que tenían muestras del malware incluso antes del 2010.


Lo que eso significa es que todos nosotros hemos fallado en detectar este malware desde hace dos años o mas. Ese es un fallo espectacular para nuestra compañía y para la industria de los antivirus en general.


Esta no es la primera vez que algo así sucede, de cualquier manera. Stuxnet no fue detectado por más de un año luego de haber sido liberado y no fue detectado hasta que una compañía de antivirus de Bielorusia fue llamada a irán para revisar unas computadoras que presentaban problemas. Cuando los investigadores buscaron entre los archivos algo similar al Stuxnet, encontraron que el mecanismo usado en Stuxnet había sido empleado con anterioridad en otros malware, pero nunca se notificó a tiempo el hallazgo. Un malware relacionado, llamado DuQu también fue indetectable para los antivirus por más de un año.


Stuxnet, Duqu y Flame no sn normales, por supuesto. Los tres parecen haber sido desarrollados por agencias de inteligencia occidentales como parte de operaciones encubiertas que no fueron hechas para ser descubiertas. El hecho de que el malware pueda evadir su detección prueba lo bien que los atacantes hicieron su trabajo. En el caso de Stuxnet y DuQu, usaron componentes digitales reconocidos para hacer que su malware apareciera como aplicaciones fiables. Y en vez de tratar de ocultarse con los métodos usuales, que habría puesto una sospecha sobre ellos, se "escondieron" a la vista de todos. En el caso de Flame, se usaron librerías LUA, SQLite, SSH y SSL para hacer pasar al código malware como una base de datos comercial


Algunos podrán argumentar que es bueno que hayamos fallado al buscar esas piezas de código. Lamayoría de las infecciones ocurren en lugares del mundo politicamente turbulentos, en países como Irán, Sudán o Siria. No se sabe con certeza para qué fue usado el Flame, pero es posible que si hubieramos detectado y bloqueado a tiempo el código, indirectamente hubieramos ayudado a regímenes opresivos en esos países en contra de los esfuerzos de las agencias de inteligencia extranjeras para monitorearlos.


Pero ese no es el punto. Nosotros queremos detectar malware, sin importar su fuente o propósito. La politica ni siquiera entra en la discusión ni debería hacerlo. Cualquier malware, incluso los detectados, puede inhabilitar y causar un "daño colateral" a máquinas que no son el objetivo del ataque. Stuxnet, por ejemplo, se esparció por el mundo a través ed su función de 2gusano" vía USB e infectó a más de 100 mil computadoras mientras buscaba su objetivo real, lascomputadoras que cntrolaban el enriquecimiento de uranio en Natanz, Irán. En resumen, es nuestro trabajo como industria proteger a las computadoras del malware. Eso es.


Y hemos fallado al hacer eso con el Stuxnet, DuQu y Flame. Y eso pone a nuestros clientes algo nerviosos.


Es altamente probable que haa otros ataques similares en camnino que no hemos detectado aún. Para ponerlo de manera sencilla, a los atacantes les gusta su trabajo. Lo cierto es que incluso los cnsumidores de antivirus de alta gama pueden protegerse de los ataques de malware creados por estados con recursos abultados. Los antivirus coomunes pueden protegerlo de malware común como los troyanos de cuentas bancarias, los capturadores de teclado o los gusanos de Correos electrónicos.  Sin embargo, ataques dirigidos como estos hacen todo lo posible para evitar los antivirus a propósito. Y los recursos utilizados en estos ataques son desconocidos para las compañías antivirus, por definición. Hasta donde podemos decir, antes ed lanzar sus códigos maliciosos, los atacantes los testearon con todos los antivirus más conocidos en el mercado para asegurarse de que su malware no sería detectado. Tienen tiempo ilimitado para perfeccionar sus ataques. No es una guerra justa entre atacantes y defensores cuando los atacantes tienen acceso a nuestras armas.


Los sistemas antivirus tienen que acertar en el balance entre detectar todas las posibles amenazas sin generar falsas alarmas. Y mientras tratamos de mejorar esto todo el tiempo, nunca habrá una solución 100% efectiva. La mejor protección contra los ataques. La mejor protección posible requiere de una defensa por capas, con sistemas de detección de intrusos de red, listas blancas contra el malware conocido y la vigilancia activa del tráfico entrante y saliente de la red de una organización.


Flame fue una falla para la industria de los antivirus. Realmente deberíamos poder hacerlo mejor. Pero no podemos. Estamos fuera de la liga, en nuestro propio juego".


Flame=Angry Birds
Como si sostuviera las palabras de Hypponen, recientemente se descubrió que el virus Flame fue escrito con el mismo lenguaje de programación que el juego Angry Birds, según informó un canal de noticias estadounidense.


Aunque la complejidad y funcionalidad de Flame supera a otras amenazas cibernéticas conocidas hasta la fecha,  fue construido utilizando el lenguaje de programación LUA, el mismo que el del popular juego interactivo, dijo el ex empleado del Grupo de Inteligencia Aérea, Cedric Leighton.


“Las personas que desarrollaron el software malicioso encontraron una ingeniosa manera de utilizar un código que no forma parte del arsenal habitual de un hacker y eso hizo que sea más difícil de detectarlo“, añadió Leighton.


El programa, capaz de capturar todo el tráfico de la red local, activar micrófonos, enviar registros de tráfico y redirigir mensajes instantáneos, permite al atacante acceder al sistema infectado sin que el usuario sea consciente de ello.


Tras estallar el escándalo acerca del peligroso virus de ciberespionaje, Irán anunció que ya dispone de una herramienta capaz de identificarlo y eliminarlo.


Por su parte, el proveedor de seguridad digital ruso Kapersky, quien dio a conocer la noticia de su existencia el pasado 29 de mayo, advirtió que el virus podría llevar años circulando de forma oculta y que algunas de sus capacidades permiten considerarlo como un arma destinada para la ciberguerra.


A las ordenes de Obama
El actual presidente de USA, Barak Obama, ordenó aumentar el volumen de ciberataques contra Irán. Obama decidió aumentar los esfuerzos de una iniciativa de George Bush y asediar los sistemas de Irán para intentar frenar su desarrollo nuclear. Entre las campañas de ciberarmas que Obama aprobó se encuentra Stuxnet, virus que se desarrolló con la colaboración de Israel.


En 2011 los sistemas informáticos de Irán, sobre algunos relacionados con su programa nuclear, sufrieron varios ataques informáticos importantes. Stuxnet fue el virus que protagonizó el ataque más significativo, que llegó a afectar a parte de las centrifugadoras del programa nuclear. La complejidad del virus hizo que los expertos buscasen su origen de forma masiva, pero nunca llegó a saberse su procedencia.


Tras la aparición de Stuxnet, se especuló con que podría ser fruto de un proyecto conjunto entre el ejército de USA y el de Israel, que buscarían inutilizar los sistemas iraníes para frenar su desarrollo nuclear y dificultar una posible acción de guerra contra Israel. Sin embargo, hasta ahora no había habido confirmación de que estos países estuviesen detrás de Stuxnet.


Un año después, el diario 'The New York Times' apunta directamente a Barak Obama como el responsable de autorizar el desarrollo y la utilización de Stuxnet y otras ciberarmas. El diario cita a personal del programa de desarrollo de estas iniciativas para confirmar que Estados Unidos e Israel fueron los responsables de los ataques contra Irán. Las fuentes no han sido identificadas por cuestiones de seguridad.


Según dichas fuentes, Barak Obama, después de suceder a George Bush, se encontró con un programa denominado 'Olympic Games', enfocado al desarrollo de ciberarmas. Obama decidió aumentar los recursos a este plan y autorizó de forma directa que se realizasen ataques contra los sistemas iraníes.


Entre Estados Unidos e Israel desarrollaron distintas ciberarmas, entre las que destacó Stuxnet. Este gusano consiguió causar daños en los sistemas nucleares de Irán, objetivo principal de la ofensiva. USA e Israel perseguían frenar lo máximo posible la campaña de desarrollo nuclear de Irán, al mismo tiempo que pensaban debilitar al país ante un posible ataque contra la propia Israel.


Tras realizar los ataques con Stuxnet, virus que se asegura que tiene un código 50 veces más complejo que un malware normal, los analistas aseguraron que se había conseguido retrasar en aproximadamente 18 meses el desarrollo nuclear de Irán. Por su parte, Irán aseguró que había conseguido controlar Stuxnet y que el virus no había afectado a sus sistemas.


Las fuentes de The New York Times confirman así que USA, que ya había anunciado el desarrollo de ciberarmas, habría realizado su primer ataque en la Red. Pese a que el proyecto lo inició George Bush, Obama sería el responsable de haber coordinado las acciones y haber dado las órdenes directas para su aplicación.

No hay comentarios:

Publicar un comentario