Todos estamos de acuerdo que si un ciber atacante ingresa en nuestra notebook, tablet o teléfono, nos enfrentamos a una situación grave en la que podríamos perder desde nuestros datos, dinero y hasta que se vea dañada nuestra reputación.
La situación sería más grave si el atacante ingresa a un sistema, por ejemplo, de un banco y realiza una transferencia fraudlenta, o a un sistema de salud y se roba la lista completa de los afiliados.
Todo se volvería aún peor si es que el mismo atacante pudiese acceder a los sistemas que controlan las infraestructuras críticas de una ciudad. Si pudiera controlar los sistemas de distribución eléctrica, los sistemas de comunicaciones, los semáforos o señales de los ferrocarriles. Es evidente que en los casos presentados, todos estos posibles y reales, a medida que avanzamos el impacto es mayor por el número de personas afectadas y por el costo del daño que se podría provocar. Se supone (aunque no necesariamente es así…), que a medida que vamos aumentanto el nivel de riesgo, las contramedidas aplicadas deberían ser cada vez más elaboradas, sofisticadas y completas. Ahora bien, qué pasaría si ese mismo atacante, con los mismos conocimientos y las mismas herramientas, pudiese atacar un sistema de armas complejo… por ejemplo un dron artillado…. A todos se nos hiela la sangre imaginar una situación así y sus consecuencias. Es por esto que uno podría pensar que los niveles de ciber protección de sistemas militares hiper-complejos, deberían ser tan avanzados que hasta deberían poder predecir lo que el ciber atacante está pensando antes de actuar, e instalar la contramedida para que le sea imposible acceder. Bueno, si pensamos esto es porque vimos demasiadas películas. Un informe publicado el pasado 9 de Octubre por la GAO, es decir la Oficina de Responsabilidad Gubernamental de Estados Unidos, indica que los sofisticados y poderosísimos sistemas de armas de Estados Unidos son vulnerables a ciber ataques. Si hacemos caso a la mitología militar estadounidense que tan bien presentan el cine, se podrá pensar que “si, ok, los chinos, los rusos, los norcoreanos, con sus ejércitos súper-sofisticados de ciber guerreros son tan avanzados que pueden hacer esto“. Pero no… El informe indica que las vulnerabilidades de los sistemas de armas son simples, comunes, las mismas que tenemos en nuestros sistemas, y que por lo tanto, son atacables con pocos conocimientos y hasta con herramientas disponibles públicamente. Ese informe titulado “WEAPON SYSTEMS CYBERSECURITY” preparado para el Comité de Servicios Armados del Senado de Estados Unidos, se realizó en base a penetration tests que desarrollaron grupos de prueba (red teams) que probaron un arma sofisticada de última generación, que no menciona explícitamente, pero que por las características se deduce que fue un dron. Estos red teams, vienen probando sistemas de enormes programas de desarrollo de material bélico desde 2012 a 2017. Las pruebas sobre las que se escribió el informe se efectuaron en sistemas en etapas de desarrollo entre julio de 2017 y octubre de 2018. El informe indica, ente otras cosas, que los equipos sólo “utilizaron herramientas y técnicas de básicas a moderadas para interrumpir o acceder a los sistemas de armas y tomar el control de los mismos“. Las pruebas demostraron que los sistemas eran tan vulnerables que en un caso, un red team de dos personas solo tardó una hora en tener acceso inicial a un sistema de armas y un día en obtener el control total del sistema que estaban probando.
En otro caso, el red team tomó control de las terminales de los operadores. Podían ver, en tiempo real, lo que los operadores estaban viendo en sus pantallas y podían manipular el sistema.
Otro equipo de prueba reportó que generó un pop-up que aparecía en las terminales de los usuarios solicitándoles insertar dos monedas para continuar operando.
Muchos de los red teams, informaron que fueron capaces de copiar, cambiar o borrar datos del sistema, incluyendo uno que descargó 100 GBytes de datos. Como estos tests se vienen haciendo desde 2012, fue posible determinar si una vulnerabilidad hallada estaba presente anteriormente, y se descubrió que en esos 5 años, solo se corrigió 1 vulnerabilidad de cada 20. Es interesante notar que desde 1991 diferentes organismos del gobierno de Estados Unidos vienen advirtiendo sobre el peligro de las vulnerabilidades presentes en los sistemas de armas. Sin embargo, las autoridades de defensa de EEUU han tomado (“solo recientemente”) en serio el analizar sus vulnerabilidades; y como consecuencia “…el Departamento de Defensa no conoce el alcance total de las ciber vulnerabilidades de sus sistemas de armas debido a las limitaciones de las pruebas que se realizan“. Otra de las conclusiones del informe, corresponde a las razones para la existencia de tantas vulnerabilidades:
- Una es que los sistemas avanzados de armas se basan en software comercial y open source por lo que heredan las vulnerabilidades de estos sistemas.
- Otra es que las armas se conectan (y dependen!) cada vez más de las redes públicas por lo que, eventualmente, son alcanzables por atacantes.
- Y la peor de todas: si un sistema de armas se desarrolla por ejemplo, basado en un sistema operativo linux con kernel 3.8.13 y python 3.3.2, se prueba y funciona, ese sistema no se vuelve a tocar nunca más… porque funciona, por lo que hoy estará inevitablemente repleto de vulnerabilidades.
Nota por Carlos Benitez
Carlos Benitez es un reconocido experto en seguridad de la información.