17.03.2014 - 06:00
A principi de març es va fer el congrés de seguretat informàtica més important d’Espanya, la RootedCon, a Madrid. L’enginyer i divulgador Pablo González Pérez (@pablogonzalezpe) i el director de Zink Security, Juan Antonio Calles (@jantonioCalles), hi van presentar una potent ‘ciberarma’ basada a utilitzar els ordinadors de la ciutadania per atacar l’enemic.
La idea no és pas nova: s’ha fet servir en conflictes cibernètics com ara els bombardaments russos contra Estònia, i és una eina habitual dels criminals informàtics: una infrastructura anomenada ‘botnet‘, que segresta i controla centenars de milers d’ordinadors, per a utilitzar-los en bombardaments cibernètics o enviament de propaganda en massa, per exemple. Els propietaris dels ordinadors no saben que resten sota el control dels criminals.
De la mateixa manera, els ciutadans d’un país poden no saber que el seu govern fa servir els seus portàtils i telèfons intel·ligents per a atacar un altre país. És sabut que el govern nord-americà obliga els fabricants de programari dels Estats Units a introduir ‘portes ocultes‘ als seus productes, per si en casos de terrorisme necessités entrar en un ordinador. I podria passar que donés la clau d’aquestes portes a països amics, com temps enrere Bush va posar a disposició d’Espanya la xarxa electrònica d’espionatge Echelon, per a detenir diversos escamots d’ETA.
Tot amb tot, el mateix atac es podria fer amb el consentiment d’una ciutadania atiada convenientment contra l’enemic. Grups hacktivistes practiquen els bombardaments cibernètics en massa almenys des del 1995. Els anomenen ‘manifestació virtual’ o ‘netstrike’ i consisteixen a convidar els simpatitzats d’una causa a visitar un lloc web de l’enemic’ moltes vegades i molta gent, fins que són tantes les visites que queda fora de servei o s’alenteix molt. Els zapatistes se’n van tornar experts i fins i tot van crear programes que ho feien automàticament, autèntiques metralladores virtuals com la Low Orbit Ion Cannon, creada per Anonymous.
González i Calles van explicar més usos d’aquesta ‘botnet’ dedicada a la ciberguerra. Per exemple, enviar un ciutadà a un lloc concret i fer servir el micròfon i càmera integrats al seu telèfon o portàtil perquè fossin els ulls i orelles dels comandaments. O bé descobrir, a partir d’un ordinador particular, quins dispositius i xarxes enemigues hi ha en un carrer, fins a arribar a una persona en concret i deixar-la sense cobertura. Personal del Mando Conjunto de Ciberdefensa de l’exèrcit espanyol i del Consejo de Ciberseguridad Nacional escoltaven amb atenció.
Perquè darrere la paraula ciberguerra hi ha un munt de possibles accions fàcils, barates i emparades per l’anonimat. La ciberguerra és una modalitat de la ‘guerra electrònica’, que és el conjunt de tècniques per a fer que el teu enemic no pugui utilitzar de manera fiable l’espectre electromagnètic i, en canvi, tu sí: comunicacions de ràdio, telegrafia, electromagnètiques, radar, sistemes de navegació, infraroigs, càmeres de televisió, ordinadors. Tot val a l’hora d’interceptar i interferir les comunicacions del contrari, processar-les i guardar-les en bancs de dades, espiar els senyals que emeten països amics i enemics, amagar els senyals propis…
La ciberguerra és, dins la guerra electrònica, tot allò que té a veure amb les tecnologies de la informació. Comprèn dues modalitats: la ‘infoguerra’ o guerra de la informació i els atacs informàtics, que sovint es confonen amb la ciberguerra, sense tenir en compte que la infoguerra també ho és. L’objectiu de la infoguerra és tallar o interferir les comunicacions del contrari, per a robar i manipular la informació. Un possible exemple en seria la prohibició per als mitjans públics TV3 i Catalunya Ràdio d’emetre al País Valencià.
Si a la guerra de la informació s’hi afegeixen els atacs informàtics, es poden fer coses ‘realment greus’, assegura Pete Herzog, assessor de governs sobre aquestes temàtiques i director de l’Institute for Security and Open Methodologies, amb base a Catalunya: ‘Es podrien atacar ordinadors i xarxes de governs o empreses i penjar-hi comentaris insultats o esborrar dades, fent veure que l’atac ve del teu enemic.’ Un altre atac informàtic, que s’ha demostrat possible és agafar el control remot dels marcapassos implantats en alts càrrecs i fer-los xantatge o assassinar-los.
Hi ha més atacs que podrien interferir el funcionament de depuradores d’aigua, de sistemes de semàfors, de controls aeris o de GPS, sense que calgués que les infrastructures fossin connectades a internet, explica Herzog: ‘Si utilitzen wi-fi dins l’empresa, es pot fer l’atac des d’un cotxe aparcat ben a prop i amb una antena molt potent.’ També seria relativament fàcil d’utilitzar enginyeria social per entrar a l’empresa, tot fent veure que formes part del personal, i manipular els seus sistemes des de dins. O introduir-hi un virus que viatgés dins un ‘pendrive’, com fa el codi maliciós Stuxnet, creat per Israel per atacar centrals nuclears de l’Iran.
El codi maliciós és avui dia una de les armes més potents de la ciberguerra, sobretot en la guerra de la informació, concretament l’espionatge: un programa troià es pot instal·lar subreptíciament a l’ordinador o el telèfon d’un dirigent per espiar-ne les comunicacions i, per exemple, engegar secretament el micròfon o la càmera just enmig d’una reunió, de manera que tot allò que s’enregistri vagi directament a l’enemic: ‘Pots veure la teva víctima en temps real i saber coses que dirà públicament abans no les digui. Fins i tot pots manipular-ne les comunicacions perquè sembli que diu alguna cosa ofensiva, en comptes de defensiva, i així semblar agressor des del punt de vista del públic’, assegura Herzog.
A mitjan febrer, l’empresa d’antivirus Kaspersky anunciava haver descobert l’existència d’allò que podria ser el primer codi maliciós de ciberguerra fet per espanyols, utilitzat en l’espionatge de governs, empreses d’energia, ambaixades o grups activistes. Kaspersky el va batejar amb el nom de Careto i assegurà que des del 2007 havia infectat centenars d’ordinadors crítics sobretot al Marroc, el Brasil, la Gran Bretanya, Espanya, França i més.
Una eina com aquesta dins l’ordinador d’un dirigent és un greu perill, no únicament perquè permet l’espionatge sinó també perquè, com que dóna el control de l’ordinador a l’enemic, és una porta oberta al sabotatge: ‘Un atacant pot segrestar un missatge i els continguts, per convertir un sí en un no. També pot simplement eliminar un missatge perquè no arribi mai.’ Per acomplir aquestes manipulacions de les comunicacions ni tan sols cal entrar a l’ordinador: n’hi ha prou de tenir el control de les comunicacions des que deixen un sistema i van a parar un altre. Per exemple, si tenen sota control el nostre proveïdor d’internet.
Un altre punt clau en la guerra electrònica són les bases de dades on es guarda la informació del país, como ara el cens electoral o dades d’hisenda. Se sap exactament qui ho té? N’hi ha còpies de seguretat?. Avui molta informació s’emmagatzema en terceres empreses, al núvol, de manera que acaba essent difícil de saber on són exactament les nostres dades i qui les guarda. Segons Herzog, si les guardes en serveis de tercers, ‘en cas de guerra no saps a quin costat es posaran aquests tercers, o a quin seran obligats a posar-se. Per això és necessari que controlis les teves dades.’
