Antecedentes
El 2 de septiembre de 2010 se cumplieron 41 años de la creación de ARPANET abreviación de Advanced Research Projects Administration Network, el sistema de red informática del cual na- ció Internet (la Red). ARPANET comenzó en 1969 como una red militar, y como un experimento del Ministerio de Defensa de los EE.UU. para garan- tízar el poder ejercer el Mando y Control en una operación de represalia ante un ataque nuclear. Esta red, empleaba por primera vez las comuni
caciones por medio de paquetes de información. Desde entonces hasta nuestros días, la se- guridad de la Red ha sido siempre condi- ción necesaria para poder servirse de ella. Los primeros ataques a la seguridad de la Red, fueron llevados a cabo por jóvenes pira- tas (hackers) que estudiaban programación, y que solo buscaban satisfacer su ego de ser ca- paces de burlarse de las medidas de seguri- dad de la Red, desafiando incluso los enlaces mas secretos de las grandes potencias militares. Posteriormente, ya más pragmáticos y crematís- ticos atacaron las redes de los bancos mediante sus páginas, a empresas públicas y privadas etc. robando en sus ordenadores datos y claves de acceso bancarias, contraseñas etc, generalmen- te a través de pulsaciones del teclado del usuario. Las cantidades de dinero que han per- dido estas victimas se desconoce, pues está en juego su prestigio como empresa. Virus, gusanos, caballos de Troya… el software malicioso (malware), cada día es más diverso. Los antivirus, generalmente, solamente funcionan
MEMORIAL DE INGENIEROS Nº 85
TRANSMISIONES
48
contra ataques que ya se han efectuado, aunque se ha recorrido un largo camino desde que en 1986 apareció el primer antivirus… El problema es que cada vez el virus muta más rápidamente. Como resumen podemos decir que la déca- da de los 90, estuvo dominada por vándalos ci- bernéticos, mientras que la década del 2.000 estuvo plagada de criminales cibernéticos. Ahora entramos en la década de las guerras ciber- néticas, una modalidad de la Guerra Electrónica. La única posibilidad de lograr la seguridad en la Red es mediante estándares y protocolos globales, por- que si los riesgos son globales, tenemos que dotar- nos de un sistema global, para poder actuar a todos los niveles desde los microprocesadores y aplicacio- nes hasta cualquier aparato que se conecte a la Red, además lógicamente de normas y leyes comunes. Breve historia del reciente ataque cibernético El ataque lanzado recientemente mediante el gu- sano STUXNET, que afectó a instalaciones nuclea- res de Irán en Bushehr, marca un antes y un des- pués en los ciber-ataques, pues por primera vez se cree que es el resultado de las Unidades de Guerra cibernética con dedicación exclusiva a efectuar ata- ques cibernéticos mediante una bomba inteligente alojada en software, que varios países han puesto en marcha.
Este es un momento histórico que marca la en- trada a un nuevo mundo. Es la primera vez que se detecta una amenaza como ésta con- tra instalaciones críticas de los sistemas de control industrial. Es algo totalmente distinto.
Un código malicioso programado como bomba inte- ligente, de tal manera que una vez que haya infec- tado el sistema, es capaz de tomar el control y cau- sar incluso destrozaos físicos a las instalaciones en las que se encuentra sea una planta nuclear o en una industria bioquímica podría hacerla explotar. En ese sentido el STUXNET es la primera arma in- teligente alojada en software. Un arma que abre es- cenarios militares desconocidos y obliga a planear nuevas respuestas ante éstas vulnerabilidades. No sería exagerado afirmar, que es necesario revi- sar la Doctrina Militar, ya que incluso pone en cues- tión la eficacia de la disuasión nuclear. ¿Pues como disuadir a un atacante que se desconoce? Pues no sabemos ni quien efectuó el ataque (normalmente se hace a través de terceros países) ni quien de- sarrolló STUXNET. La incertidumbre en el espacio amplifica y acentúa la dificultad de la defensa. No que si podemos afirmar, es que el que desa- rrollo éste código malicioso se gastó mucho dinero para garantizar que tuviera éxito. Además ha per- mitido al atacante alcanzar instalaciones críticas de los sistemas de control.
Por lo tanto nada comparable con los “apagones” informáticos que afectaron a Estonia y a Georgia en 2007 y 2008, que dieron lugar a la creación del Centro de ciber-defensa de la OTAN en Tallin (Es- tonia).Por cierto que el 19 de noviembre próximo la OTAN aprobará en Lisboa el Nuevo Concepto Estratégico “Nuevas amenazas y desplazamien- to del poder mundial”, y contempla en su Agen- da de Trabajo, entre las nuevas amenazas, una nueva versión de software para toda la Alianza. Hasta ahora, un programa maligno se infiltraba en un ordenador cualquiera (de los más de 600 millones de ordenadores que se calcula que hay en el mundo) y desde ese momento, lo somete a una relación de esclavitud pasiva, de permanente disponibilidad, a las órdenes generalmente de un programador que opera en la sombra con fines ge- neralmente delictivos, sin el conocimiento ni la me- nor sospecha de los afectados, en la mayor parte de los casos.
Una vez alojado en un ordenador el código malig- no abre un conducto de comunicación con su autor, enviando instrucciones de forma masiva a todos los equipos invadidos.
El STUXNET es mucho más que eso, es un arma inteligente alojada en software como gusano in- formático. Fue descubierto en junio de 2010, y afecta a los ordenadores aprovechando la vulne- rabilidad MS10-046 de los sistemas operativos Windows CC, utilizados en los sistemas que em- plean los programas de monitorización y con- trol industrial SCADA (Supervisory Control and Data Acquisition) WinCC/PCS 7 de Siemens.
Método de operación
El gusano informático STUXNET, se introduce me- diante una memoria USB que contiene el software malicioso, e infecta los ordenadores y redes incluso aunque no estén conectadas a Internet.
Una vez lograda la entrada al sistema, emplea las contraseñas por defecto para obtener el control (es importante señalar que la firma Siemens, que proporcionó el software que controla la central nu- clear iraní, aconseja no cambiar las contraseñas originales porque esto podría tener impacto en el funcionamiento de la planta). Ataca equipos Win- dows, empleando cuatro vulnerabilidades de día cero de este sistema operativo, incluida la denomi- nada CPLINK y otra empleada por el gusano Con- ficker. Tanto la complejidad de STUXNET como el número de vulnerabilid ades de día cero de Windows que aprovecha, son muy poco habituales en un ataque malicioso. Aunque hay que seña- lar que este tipo de errores de Windows son muy valorados por crakers y diseñadores de malware, puesto que permiten acceder a sistemas incluso aunque hayan instalado todas las actuaciones de seguridad.
Además STUXNET es sorprendentemente grande, ocupando medio megabite, y está escrito en distin- tos lenguajes de programación incluyendo C y C++, algo que se ve muy raramente en otros ataques de éste tipo. STUXNET fue firmado digitalmente con dos certificados auténticos, robados a las autorida- des de certificación. Tiene capacidad de actualiza- ción mediante P2P, lo que significa que permite su puesta al día, incluso después de que el servidor remoto de control haya sido desactivado.
Es el primer gusano informático conocido que, in- fecta, espía y re-programa sistemas industriales, quedando camuflado y latente, hasta que su autor de- cide activarlo. Una vez dentro de las redes de trabajo, emplea una variedad grande de mecanismos para propagarse a otras máquinas dentro de las redes de trabajo logrando infectarlas, y causar daños físicos. Es una bomba inteligente en software.
Es el primer gusano que se conozca, que ataca plantas industriales y según algunos expertos podría hacer estallar la instalación nuclear afec- tada.
Los ataques continúan, y se están propagando nuevas versiones de ese gusano. Todas estas ca- pacidades han tenido que exigir el trabajo especia- lizado de un equipo completo de expertos progra- madores de distintas disciplinas.
Escribir el software de STUXNET, podría haber requerido meses o incluso años de trabajo si lo hu- biera escrito una sola persona. Es evidente que de- trás de este caber-ataque está alguna nación y/o alguna organización muy poderosa. Se estima que hay en el mundo, unos cien países con capacidad de efectuar ataques cibernéticos.
Fue descubierto en junio de éste año, por una compañía de seguridad informática de Bielorrusia, en unos ordenadores pertenecientes a un cliente de Irán. Al principio se pensó que se trataba solo de un programa malicioso diseñado para robar procesos de fabricación o bocetos de productos industriales. Así mismo se pensó que podría ser eliminado en un par de meses, pero después se ha comprobado que desde que empezaron las operaciones de limpieza, ha mutado ya, por lo menos, tres veces.
MEMORIAL DE INGENIEROS Nº 85
TRANSMISIONES
50
Fallos en satélites artificiales coincidiendo con STUXNET
Se estiman ya en más de 30.000 , los ordenadores infectados, sobre todo en Irán donde se han sufrido el 60% de los ataques, pero también hay ordenado- res infectados, en menor medida en otras naciones, pero al menos al menos China, India, y Japón, han sufrido fallos en sus satélites. Los fallos en los sa- télites son importantes pero por diferentes razones. Hay que empezar por decir que es raro que se pro- duzcan fallos en los satélites. Cronológicamente el primer satélite que falló fue el Insta-4B de la India, a principios de julio, por un fallo en la fuente de ali- mentación, justo cuando se detectó por primera vez el destructivo efecto del STUXNET. Este satélite también emplea software Siemens. Casi simultá-
neamente la India había lanzado otro satélite el Car- tosat -2B sin sufrir daños, si bien éste ultimo es de vigilancia, y como es sabido los satélites de comu- nicaciones y los de vigilancia son cosas diferentes. En agosto, los japoneses perdieron el único satélite de vigilancia dotado con un radar de apertura sintética, también debido al fallo de su fuente de alimentación. El último lanzamiento de un satélite espía por Japón
fue en noviembre, y también fracasó debido a un fa- llo en la fuente de alimentación, obligándole a com- prar a los EE.UU. el avión robot-espía Global Hawk. A principios de septiembre, China perdió el Chinasat -6ª (Zhongxing 6ª el Sinosat-6 (o Xinnuo6) debido a un fallo de presurización, después del lanzamiento. No es ocioso insistir en que en la mayor parte de los casos. los satélites artificiales funcionan perfecta- mente durante las 24 horas del día, de manera total- mente tan fiable que es el orgullo de sus fabricantes, hasta el punto de que alguno de estos, incluso fuera de órbita, siguen emitiendo señales fuertes y claras. Por lo tanto la pérdida reciente de éstos satélites debe interpretarse como la excepción y no la regla.
RESUMEN
-El ciber-ataque del STUXNET, señala un antes y un después de la Guerra Electrónica en su modalidad cibernética, al poder alcanzar instala- ciones críticas de los sistemas de control industrial, pudiendo ocasionar daños físicos, al actuar como una bomba inteligente alojada en el software.. Centro Nacional de Caber-Seguridad y de Integra- ción de Comunicaciones en los EE.UU. La militari- zación del ciber-espacio es un hecho constatable. El tema de la ciber-seguridad se ha convertido en un serio problema para la seguridad nacional.
-Para hacer frente a éstas nuevas vulne- rabilidades, es urgente la creación en nuestras Fuerzas Armadas de un Centro Nacional de Ci- ber-Defensa, similar al que tiene la OTAN en Tallin (Estonia), o a los que tienen ya en funcionamiento otros países como el de Fort Meade en los EE.UU, o el Office for Cyber Security (Londres), además de los que funcionan en Francia, China y la Fede- ración Rusa, por solo citar los más conocidos.
Mapa cibernético mundial
BIBLIOGRAFIA CONSULTADA
-Siemens: Stuxnet worm hit industrial systems. Computerworld. -Stuxnet worm hits nuclear plant staff computers. BBC notes.
-Stuxnet virus: worm “could be aimed at high-profile Iranian targets “The Daily Telegraph 23 SEP 2010-10-13. -Software smart bomb fired at Iranian nuclear plant: Experts. Economictimes. Indiatimes 24 SEP 2010. -Facebook: What is Stuxnet? (HTML) 30 SEP 2010.
-Stuxnet also found at industrial plants in Germany.
-Blockbuster worm aimed for infrastructure, but not proof Iran nukes were target. Wired. Consultado 24 SEP 2010. -Iran was prime target of SCADA worm. Computerworld. Consultado 17 SEP 2010.
1.- INTRODUCCIÓN.
El Ejercicio “HALBERD 09” (EXER HD 09), ejercicio
NATO1 del tipo CPX (Command Post Field Exerci-
se), se desarrolló en varias provincias de la mitad norte de España entre el 26 de octubre y el 13 de noviembre de 1009. El ejercicio, que permitió de- mostrar las capacidades del NRDC-ESP para de- sarrollar las funciones de mando y control en los es- calones Cuerpo de Ejército y Mando Componente Terrestre (LCC), fue la herramienta empleada para evaluar las capacidades del HQ NRDC-ESP como
un HQ HRF2 (L), de forma que los criterios y re-
querimientos de la correspondiente CREVAL3 que
debían ser cumplidos por el HQ NRDC-SP condi- cionaron el proceso de planeamiento del ejercicio. Asimismo, permitió la validación de nuevos concep- tos de puesto de mando desarrollados en el NRDC- ESP HQ: el despliegue y puesta a punto del Puesto
de Mando Principal Consolidado (CMCP4 ); la inte-
gración del Rear Support Command (RSC5 ) con el
resto de los puestos de mando, que fue evaluado en el marco de las diferentes opciones resultantes del nuevo concepto Joint Logistic Support Group
(JLSG6 ); despliegue y encaje de las capacidades
de los Puestos de Mando Táctico y Alternativo en el nuevo concepto de CMCP, cruciales para alcanzar el éxito en el proceso de evaluación.