De acuerdo a un artículo publicado en la revista Wired, los sistemas SCADA (Supervisión, Control y Adquisición de Datos) atacados por Stuxnet son fabricados por Siemens y se utilizan para gestionar la operación de tuberías, fábricas, empresas de servicios públicos y plantas nucleares.
Nicolas Falliere, analista de código de Symantec, declaró que Stuxnet era la pieza de malware más compleja que había visto en 5 años o más.
Frank Rieger, jefe de tecnología de GSMK, piensa que el desarrollo del gusano fue respaldado por algún gobierno y estimó que se requerirían unos 10 programadores muy capacitados trabajando alrededor de 6 meses a un costo de $3 millones de dólares (1).
Como era de esperarse los sospechosos habituales son Estados Unidos e Israel.
Richard Falkenrath, ejecutivo del Chertoff Group, cree que es posible que el gobierno estadounidense lo hiciera, pero, en su opinión, es más probable que haya sido el de Israel.
Si bien resulta increíble que Siemens utilice Microsoft Windows, un sistema operativo conocido por su alto índice de vulnerabilidades críticas, para montar sistemas de supervisión y control utilizados en plantas nucleares, los problemas no terminan ahí y lo más grave parece ser la irresponsabilidad con la que los desarrolladores de este tipo de sistemas han abordado la seguridad informática de los mismos.
Un ejemplo es que la contraseña del sistema SIMATIC WinCC de Siemens es fija y ha estado circulando en internet desde hace años (2).
Steve Bellovin, un especialista en seguridad de la Universidad de Columbia, lo dice claramente:
Las contraseñas por defecto son y han sido una vulnerabilidad mayor por muchos años. Es irresponsable el colocarlas, en primer término, y hacer que un sistema no funcione si se cambian. Si esa es la forma en la que trabajan los sistemas de Siemens, ellos fueron negligentes.
Joseph Weiss, autor del libro Protecting Industrial Control Systems from Electronic Threats, abunda en el tema:
Más del 50% de los proveedores de sistemas de control [colocan contraseñas fijas en su software o firmware]. Estos sistemas fueron diseñados de modo que pudieran ser utilizados de forma eficiente y sin riesgos. La seguridad informática simplemente no estaba en los planes de diseño.
En resumen, la seguridad de los sistemas de control industrial, incluidos los de las plantas nucleares, está en manos de una sarta de idiotas, ineptos e irresponsables.
No sé ustedes, pero yo me siento realmente preocupado después de enterarme de esto.
Actualización (16/01/2011): El New York Times publica hoy que, tal como se especulaba, Israel y Estados Unidos se encuentran detrás de Struxnet. Según fuentes de inteligencia citadas por el diario, Israel instaló en el complejo de Dimona, sede de su programa nuclear militar secreto, un sistema de enriquecimiento de uranio similar al empleado por Irán en el complejo de Natanz con el fin de probar Stuxnet.
Según la nota, la vulnerabilidad de los sistemas de control de Siemens preocupaban a Washington y en 2008 el Departamento de Seguridad Nacional había encargado al Laboratorio Nacional de Idaho un estudio al respecto (3).
El New York Times había informado en enero de 2009 que el entonces presidente George W. Bush había rechazado proporcionar ayuda a Israel para atacar militarmente Natanz pero había autorizado operaciones encubiertas en contra del programa nuclear civil iraní.
No hay comentarios:
Publicar un comentario