Cómo Obama fue peligrosamente ingenuo sobre STUXNET y la guerra cibernética

Si el New York Times relato completo del nacimiento del gusano STUXNET que frenó los esfuerzos de Irán por enriquecer uranio nos dice algo, es que la administración Obama fue notablemente ingenua sobre el potencial de proliferación de las armas cibernéticas que estaba desarrollando.





Ralph Lagner descifró el código del gusano Stuxnet dirigido a Irán. (Foto: Steve Jurvetson )

De hecho, mientras que las discusiones sobre el nuevo territorio en el que Estados Unidos estaba entrando aparentemente tuvieron lugar en la Casa Blanca, en última instancia, dijo un asistente al Times, la administración no quería desarrollar una gran teoría para un arma cuyas posibilidades aún estaban descubriendo.

Luego, en el verano de 2010, ocurrió un evento que la administración debería haber anticipado: el gusano STUXNET se soltó y comenzó a replicarse fuera de la planta de enriquecimiento iraní que había sido su objetivo. En la naturaleza, en Internet, fue expuesto para que todos lo vieran.



Y ahí, aparentemente, es cuando los piratas informáticos oportunistas empezaron a aprender de él.

Como se indica por Eric Gallant en Centro de datos Pro , STUXNET enseñó a los piratas informáticos que los sistemas de control industrial utilizados en la producción industrial (piense en fábricas de alta tecnología) y los centros de datos eran vulnerables a los ataques.

[Actualizar: Ryan Ellis , un postdoctorado en Stanford cuya investigación se centra en los debates contemporáneos sobre la seguridad de la infraestructura, señala que la vulnerabilidad de los sistemas SCADA e ICS era ciertamente bien conocida mucho antes de la aparición de STUXNET. Los esfuerzos de DHS, DOE y NIST dirigidos a la seguridad de ICS y SCADA se han realizado durante años. Por lo tanto, es más exacto decir que Stuxnet introdujo una nueva base de código en lo que había sido una batalla en curso para proteger estos sistemas].



1. Proliferación del código STUXNET, con objetivos desconocidos.

En septiembre de 2011, se descubrió un nuevo gusano similar a STUXNET llamado Duqu. Si bien su objetivo no está claro, puede estar diseñado para robar datos sobre un sistema de control industrial, antes de un ataque real. (Dicha vigilancia fue integral para la desactivación exitosa de la planta de enriquecimiento de Natanz durante el ataque STUXNET).

2. El malware del sistema de control de grado industrial casi se revela en una conferencia de seguridad de la información en Dallas.



Los investigadores afirmaron: Demostraremos cómo atacantes motivados podrían penetrar incluso en las instalaciones más fuertemente fortificadas del mundo, sin el respaldo de un estado nacional. El fabricante de SCADA Siemens y el Departamento de Seguridad Nacional de los EE. UU. Solicitaron que los investigadores no continuaran con la demostración citando preocupaciones de seguridad pública.

3. Lanzamiento del kit de herramientas de piratería del sistema de control industrial.

En marzo de 2011, Gleg, una empresa de seguridad rusa, ofreció a la venta un paquete de software conocido como The Agora SCADA + Pack. El software contenía 22 módulos que explotaban 11 vulnerabilidades de día cero. El paquete incluía datos aplicables a una amplia variedad de dispositivos y software del fabricante del sistema SCADA.



4. El código STUXNET apareció en una botnet zombi indestructible que ha infectado a millones de PC.

Este malware, conocido como TDL4, implementa una serie de ingeniosos trucos para garantizar su propia supervivencia, incluido uno tomado directamente del arma cibernética más sofisticada del mundo, Stuxnet.

Continúa la lista de formas en que el código STUXNET desarrollado originalmente por los EE. UU. E Israel se está distribuyendo, aprendiendo y explotando ampliamente, y Vale la pena leer la publicación completa de Data Center Pro si desea comprender cómo estos ataques podrían eventualmente llevarse a cabo en los centros de datos de los que depende Internet y nuestra infraestructura financiera.

En general, la infraestructura denominada SCADA (Supervisory Control and Data Acquisition) de EE. UU. Ha sido descrita como la Talón de Aquiles de la infraestructura crítica , y Richard Clarke, exasesor de seguridad cibernética de la Casa Blanca, ha afirmado que China ya está investigando la red eléctrica de EE. UU. .

La buena noticia es que hay al menos dos razones para no entrar en pánico. La primera es que aún no está claro qué impacto pueden tener estos tipos de ciberataques. Irán, por ejemplo, se ralentizó en sus esfuerzos, pero eso es sustancialmente diferente de los resultados de, digamos, un bombardeo convencional en sus instalaciones de enriquecimiento.

La segunda razón por la que deberíamos moderar nuestra ansiedad por los ataques cibernéticos es que existe una especie de asimetría curiosa en la guerra cibernética. Como es el caso del software antivirus, el simple hecho de saber que existe una amenaza puede permitirnos inocular rápidamente nuestros sistemas contra estas amenazas. Si lo estamos haciendo o no es otra cuestión.

Y esa es la única área en la que la administración Obama se muestra irremediablemente ingenua en sus conversaciones sobre el impacto potencial del gusano STUXNET: ¿No se le ocurrió a nadie en la sala que, una vez desatado, este tipo de ataque significaría que cada pieza de la infraestructura crítica controlada por computadora en los EE. UU. tendría que evaluarse y actualizarse para siempre para poder defenderse de un ataque de este tipo?

Sigue a @Mims o Ponerse en contacto

esconder