Una d’espies
Fa uns dies, mentre llegia tot el que s’anava descobrint sobre l’atac global provocat pel Ransomware WannaCry, em va entrar una terrible nostàlgia. Vaig començar a recordar quan els hackers modificàvem els nostres equips i creàvem els programes per connectar a la xarxa X25 i d’allí als ordinadors de la xarxa anomenada Arpanet, ara coneguda com Internet, on va tenir lloc el primer incident d’infecció global el 2 de novembre de 1988 : el Morris Worm.
Llavors, la xarxa estava formada per uns 60.000 ordinadors i l’incident va afectar el 10% de les màquines. Van trigar diversos dies a restablir totes les comunicacions, saturades a causa del trànsit generat pel cuc que va programar Robert T. Morris, un estudiant de la Universitat de Cornell quan intentava comptar quants ordinadors vulnerables existien en Arpanet i el programa se li va anar de les mans.
El pare de Robert T. Morris era el criptògraf Robert Morris, cap científic del National Computer Security Center de la NSA, que va haver d’enfrontar-se a la entremaliadura del seu fill pocs mesos després d’haver participat en la caça de Marcus Hess, un ciberdelinqüent alemany que robava secrets militars per al KGB, obtinguts dels ordinadors connectats a Arpanet i Milnet.
Amb Wannacry, s’ha posat al descobert una ciberguerra entre agències de seguretat, que ja no es limiten a l’espionatge de l’equip contrari. Tenim un cuc que s’aprofita d’una vulnerabilitat en el servei de compartició d’arxius de Windows (SMB) que Microsoft va corregir fa tot just dos mesos per als sistemes més moderns del sistema operatiu Windows. Pocs usuaris havien aplicat aquesta actualització, sembla que ens faci por actualitzar els equips, i per descomptat, cap usuari de Windows XP o Windows 2003 va poder fer-ho, ja que Microsoft ja no oferia actualitzacions per a aquestes versions.
La NSA coneixia des de feia anys aquesta vulnerabilitat però no la va comunicar amb la intenció d’abusar d’aquesta errada en benefici propi. El grup Equation, un dels grups ciberatacants més qualificats, íntimament relacionat amb la NSA, va desenvolupar fa alguns anys per a l’agència un exploit anomenat Eternalblue que s’aprofita de la decisió del servei SMB en totes les versions de Windows, permetent descarregar i executar codi sobre qualsevol equip remot.
A l’agost de 2016 apareix en escena un grup anomenat The Shadow Brokers, oferint en una subhasta al millor postor unes suposades ciberarmes robades a Equation. Encara avui s’especula sobre qui són The Shadow Broker, tot i que l’exanalista de la NSA Edward Snowden va comentar en aquell moment que tot apuntava al SVR (ex-KGB) com a responsable. El New York Times el va descriure com una venjança entre ciberagències i va comparar aquella filtració amb l’escena del cap de cavall al llit de la pel·lícula El Padrí.
Set mesos més tard de la primera oferta, el passat 14 d’abril de 2017, The Shadow Broker decideix publicar per a ús i gaudi de tota la comunitat ciberdelictiva, tots els exploits que li va robar a la NSA, entre ells el Eternalblue. S’especula si el grup va advertir a Microsoft sobre la publicació d’aquests exploits , ja que la companyia havia anunciat les actualitzacions de seguretat exactament un mes abans.
Els investigadors han trobat evidències que relacionen el codi de WannaCry amb versions anteriors del ransomware (programari de segrest amb petició de rescat) atribuïdes al grup Lazarus, en el que sembla un clar reaprofitament del codi escrit a principis del 2015 i de nou a principis de 2017. Lazarus, que sol treballar per al Bureau 121, l’agència de ciberguerra de Corea del Nord, i està darrere de l’atac a Sony per la seva pel·lícula contra el dictador Kim Jong-un, que no va voler desaprofitar aquest festí digital i enmig de una crisi de relació amb Occident van veure l’oportunitat de crear una tempesta política internacional que deixés en evidència la NSA.
Tot indica que l’incident WannaCry té una motivació política i no econòmica. Primer, la quantitat de comptes Bitcoin utilitzades per a la recepció del rescat és molt petita (entre tres i quatre) i això facilitaria enormement el rastreig de moneda. La quantitat recaptada en aquests comptes no arriba als 100.000 $, pura xavalla per a un grup que va aconseguir 100.000.000 $ fa només un any. Segon, un cop pagat el rescat, l’equip és segrestat de nou, perdent completament la credibilitat davant d’altres víctimes que pretenen pagar. I tercer, el mecanisme de seguretat que permet l’apagat global de la infecció és més propi d’organitzacions governamentals que de criminals a la recerca de diners.
Però hi ha altres grups, més subtils i perillosos, com la divisió 11 del MSS de la República Popular de la Xina, que disposa d’un operatiu d’entre 50.000 i 100.000 ciberagents molt preparats, la majoria d’ells destinats al control de la dissidència interna i a operacions d’espionatge a altres països. Se’ls atribueixen infiltracions en les agències de ciberseguretat de l’Índia, Canadà, Austràlia i en nombrosos departaments i empreses estratègiques dels EUA i Rússia. Alguns programes d’espionatge fabricats pels equips xinesos, apareixien signats digitalment amb els certificats legítims de fabricants de maquinària i s’han descobert mòbils i discs durs fabricats a la Xina amb portes posteriors preinstal·lades.
Rússia, malgrat la seva distesa relació amb Corea del Nord, ha estat el país més afectat pel WannaCry, i un dels principals objectius d’espionatge industrial, aeronàutic, militar i científic de la Xina. Als actius russos (SRV + FSB) se’ls atribueix la filtració dels programes usats per la NSA, la de correus del Congrés Demòcrata durant la campanya Hilary-Trump i sobre el recompte de vots en diversos estats. També va ser sonada la venjança contra l’exclusió dels atletes russos en les passades olimpíades, filtrant informació sobre dopatges consentits per la WADA (Agència Mundial Antidopatge).
S’atribueix a la CIA el 1982 la col·locació d’una bomba de rellotgeria sobre un programari pirata canadenc que va originar l’explosió del gasoducte transsiberià. Els russos, no solen oblidar i poc després d’anunciar que estaven preparant l’equivalent a la «bomba nuclear» en ciberseguretat, es va detectar la instal·lació de programes de control remot d’origen rus en els ordinadors de la companyia elèctrica de Vermont (EUA)
Als grups relacionats amb el Mossad israelià se’ls atribueixen alguns dels programes més sofisticats per a l’espionatge de telèfons mòbils, com Chrysaor i les seves variants, o al costat de la CIA, la creació d’Stuxnet, un altre malware especialitzat en atacar sistemes de control industrial i que va causar nombrosos danys al programa d’investigació nuclear de l’Iran. També Israel va infectar almenys un centenar de telèfons de membres del seu exèrcit destinats a Gaza amb el malware espia ViperRAT. No sembla que Hamas tingui les capacitats tecnològiques necessàries per realitzar aquest tipus d’armes, però sí les té el seu millor aliat, Iran.
A Europa, el Govern espanyol està intentant «homologar» a Alemanya, que ha decidit activar un ciberexèrcit per actuar en operacions de ciberdefensa i contra-atac, composta per 13.500 persones entre militars i civils. És possible que el Govern espanyol aconsegueixi convèncer suficients voluntaris per a aquesta reserva de cibermercenaris, però amb els hackers ètics que no comptin.
No compten amb nosaltres mentre entre els objectius sigui cosa tan ambigu i discrecional com el contra-atac. No compten amb nosaltres mentre legislen (fins a en tres ocasions del Codi Penal) com il·legal la creació, la possessió i la distribució d’eines informàtiques susceptibles de ser utilitzades per a la comissió de delictes. No compten amb nosaltres si l’objectiu no és la defensa de la seguretat dels ciutadans, de tots els ciutadans, sense tenir en compte nacionalitat, religió ni classe social. No esperin que participem en aquesta guerra global no declarada on les víctimes solen ser els civils d’uns i altres països.
Deixeu-nos fer la nostra feina en condicions, que puguem compartir entre hackers el codi que afecta el bon funcionament de la xarxa, sense risc de ser detinguts com si fóssim criminals. Deixin que posem a prova la seguretat dels nostres sistemes operatius i equips connectats a la gran xarxa. Assegurin-se que les companyies fabricants d’equips i sistemes operatius compleixen amb el seu deure moral d’actualitzar les errades de seguretat quan se’ls hi comunica.
Ajudin les empreses i particulars a posar al dia els equips obsolets connectats a la xarxa, en benefici de tots. I deixin de tractar-nos com a presumptes criminals, coartant la nostra llibertat d’investigació, i així serà innecessari que ens posem novament nostàlgics recordant aquella cita de Benjamin Franklin:
«Aquells que renunciarien a una llibertat essencial per comprar una mica de seguretat momentània, no mereixen ni llibertat ni seguretat i acabarà perdent les dues».
@jordimurgo Expert en seguretat-Research Initiatives @ GFT
Llavors, la xarxa estava formada per uns 60.000 ordinadors i l’incident va afectar el 10% de les màquines. Van trigar diversos dies a restablir totes les comunicacions, saturades a causa del trànsit generat pel cuc que va programar Robert T. Morris, un estudiant de la Universitat de Cornell quan intentava comptar quants ordinadors vulnerables existien en Arpanet i el programa se li va anar de les mans.
El pare de Robert T. Morris era el criptògraf Robert Morris, cap científic del National Computer Security Center de la NSA, que va haver d’enfrontar-se a la entremaliadura del seu fill pocs mesos després d’haver participat en la caça de Marcus Hess, un ciberdelinqüent alemany que robava secrets militars per al KGB, obtinguts dels ordinadors connectats a Arpanet i Milnet.
Amb Wannacry, s’ha posat al descobert una ciberguerra entre agències de seguretat, que ja no es limiten a l’espionatge de l’equip contrari. Tenim un cuc que s’aprofita d’una vulnerabilitat en el servei de compartició d’arxius de Windows (SMB) que Microsoft va corregir fa tot just dos mesos per als sistemes més moderns del sistema operatiu Windows. Pocs usuaris havien aplicat aquesta actualització, sembla que ens faci por actualitzar els equips, i per descomptat, cap usuari de Windows XP o Windows 2003 va poder fer-ho, ja que Microsoft ja no oferia actualitzacions per a aquestes versions.
La NSA coneixia des de feia anys aquesta vulnerabilitat però no la va comunicar amb la intenció d’abusar d’aquesta errada en benefici propi. El grup Equation, un dels grups ciberatacants més qualificats, íntimament relacionat amb la NSA, va desenvolupar fa alguns anys per a l’agència un exploit anomenat Eternalblue que s’aprofita de la decisió del servei SMB en totes les versions de Windows, permetent descarregar i executar codi sobre qualsevol equip remot.
A l’agost de 2016 apareix en escena un grup anomenat The Shadow Brokers, oferint en una subhasta al millor postor unes suposades ciberarmes robades a Equation. Encara avui s’especula sobre qui són The Shadow Broker, tot i que l’exanalista de la NSA Edward Snowden va comentar en aquell moment que tot apuntava al SVR (ex-KGB) com a responsable. El New York Times el va descriure com una venjança entre ciberagències i va comparar aquella filtració amb l’escena del cap de cavall al llit de la pel·lícula El Padrí.
Set mesos més tard de la primera oferta, el passat 14 d’abril de 2017, The Shadow Broker decideix publicar per a ús i gaudi de tota la comunitat ciberdelictiva, tots els exploits que li va robar a la NSA, entre ells el Eternalblue. S’especula si el grup va advertir a Microsoft sobre la publicació d’aquests exploits , ja que la companyia havia anunciat les actualitzacions de seguretat exactament un mes abans.
Els investigadors han trobat evidències que relacionen el codi de WannaCry amb versions anteriors del ransomware (programari de segrest amb petició de rescat) atribuïdes al grup Lazarus, en el que sembla un clar reaprofitament del codi escrit a principis del 2015 i de nou a principis de 2017. Lazarus, que sol treballar per al Bureau 121, l’agència de ciberguerra de Corea del Nord, i està darrere de l’atac a Sony per la seva pel·lícula contra el dictador Kim Jong-un, que no va voler desaprofitar aquest festí digital i enmig de una crisi de relació amb Occident van veure l’oportunitat de crear una tempesta política internacional que deixés en evidència la NSA.
Tot indica que l’incident WannaCry té una motivació política i no econòmica. Primer, la quantitat de comptes Bitcoin utilitzades per a la recepció del rescat és molt petita (entre tres i quatre) i això facilitaria enormement el rastreig de moneda. La quantitat recaptada en aquests comptes no arriba als 100.000 $, pura xavalla per a un grup que va aconseguir 100.000.000 $ fa només un any. Segon, un cop pagat el rescat, l’equip és segrestat de nou, perdent completament la credibilitat davant d’altres víctimes que pretenen pagar. I tercer, el mecanisme de seguretat que permet l’apagat global de la infecció és més propi d’organitzacions governamentals que de criminals a la recerca de diners.
Però hi ha altres grups, més subtils i perillosos, com la divisió 11 del MSS de la República Popular de la Xina, que disposa d’un operatiu d’entre 50.000 i 100.000 ciberagents molt preparats, la majoria d’ells destinats al control de la dissidència interna i a operacions d’espionatge a altres països. Se’ls atribueixen infiltracions en les agències de ciberseguretat de l’Índia, Canadà, Austràlia i en nombrosos departaments i empreses estratègiques dels EUA i Rússia. Alguns programes d’espionatge fabricats pels equips xinesos, apareixien signats digitalment amb els certificats legítims de fabricants de maquinària i s’han descobert mòbils i discs durs fabricats a la Xina amb portes posteriors preinstal·lades.
Rússia, malgrat la seva distesa relació amb Corea del Nord, ha estat el país més afectat pel WannaCry, i un dels principals objectius d’espionatge industrial, aeronàutic, militar i científic de la Xina. Als actius russos (SRV + FSB) se’ls atribueix la filtració dels programes usats per la NSA, la de correus del Congrés Demòcrata durant la campanya Hilary-Trump i sobre el recompte de vots en diversos estats. També va ser sonada la venjança contra l’exclusió dels atletes russos en les passades olimpíades, filtrant informació sobre dopatges consentits per la WADA (Agència Mundial Antidopatge).
S’atribueix a la CIA el 1982 la col·locació d’una bomba de rellotgeria sobre un programari pirata canadenc que va originar l’explosió del gasoducte transsiberià. Els russos, no solen oblidar i poc després d’anunciar que estaven preparant l’equivalent a la «bomba nuclear» en ciberseguretat, es va detectar la instal·lació de programes de control remot d’origen rus en els ordinadors de la companyia elèctrica de Vermont (EUA)
Als grups relacionats amb el Mossad israelià se’ls atribueixen alguns dels programes més sofisticats per a l’espionatge de telèfons mòbils, com Chrysaor i les seves variants, o al costat de la CIA, la creació d’Stuxnet, un altre malware especialitzat en atacar sistemes de control industrial i que va causar nombrosos danys al programa d’investigació nuclear de l’Iran. També Israel va infectar almenys un centenar de telèfons de membres del seu exèrcit destinats a Gaza amb el malware espia ViperRAT. No sembla que Hamas tingui les capacitats tecnològiques necessàries per realitzar aquest tipus d’armes, però sí les té el seu millor aliat, Iran.
A Europa, el Govern espanyol està intentant «homologar» a Alemanya, que ha decidit activar un ciberexèrcit per actuar en operacions de ciberdefensa i contra-atac, composta per 13.500 persones entre militars i civils. És possible que el Govern espanyol aconsegueixi convèncer suficients voluntaris per a aquesta reserva de cibermercenaris, però amb els hackers ètics que no comptin.
No compten amb nosaltres mentre entre els objectius sigui cosa tan ambigu i discrecional com el contra-atac. No compten amb nosaltres mentre legislen (fins a en tres ocasions del Codi Penal) com il·legal la creació, la possessió i la distribució d’eines informàtiques susceptibles de ser utilitzades per a la comissió de delictes. No compten amb nosaltres si l’objectiu no és la defensa de la seguretat dels ciutadans, de tots els ciutadans, sense tenir en compte nacionalitat, religió ni classe social. No esperin que participem en aquesta guerra global no declarada on les víctimes solen ser els civils d’uns i altres països.
Deixeu-nos fer la nostra feina en condicions, que puguem compartir entre hackers el codi que afecta el bon funcionament de la xarxa, sense risc de ser detinguts com si fóssim criminals. Deixin que posem a prova la seguretat dels nostres sistemes operatius i equips connectats a la gran xarxa. Assegurin-se que les companyies fabricants d’equips i sistemes operatius compleixen amb el seu deure moral d’actualitzar les errades de seguretat quan se’ls hi comunica.
Ajudin les empreses i particulars a posar al dia els equips obsolets connectats a la xarxa, en benefici de tots. I deixin de tractar-nos com a presumptes criminals, coartant la nostra llibertat d’investigació, i així serà innecessari que ens posem novament nostàlgics recordant aquella cita de Benjamin Franklin:
«Aquells que renunciarien a una llibertat essencial per comprar una mica de seguretat momentània, no mereixen ni llibertat ni seguretat i acabarà perdent les dues».
@jordimurgo Expert en seguretat-Research Initiatives @ GFT