Ciberterrorismo, armas y guerras virtuales
Kaspersky Lab considera que Stuxnet es el prototipo funcional de una “ciber-arma”, que dará el pistoletazo de salida a una nueva guerra armamentista en el mundo. En esta ocasión, será una carrera “ciber-armamentista”.

Ante el caudal de discusiones y especulaciones generado a raíz de la aparición del gusano informático Stuxnet, en especial sobre quién está detrás del ataque y cuáles son sus objetivos, Kaspersky Lab ha hecho públicas sus primeras reflexiones sobre este hecho.

Kaspersky Lab aún no ha podido acceder a un volumen de evidencias suficiente como para identificar a los atacantes, o el blanco objetivo, pero los expertos en seguridad en informática de la compañía coinciden en que se trata de un ataque singular y sofisticado mediante malware, perpetrado por un equipo con acceso a abundantes recursos financieros, un elevado nivel de preparación y un profundo conocimiento de tecnologías como SCADA.

Los expertos de Kaspersky consideran que no es posible llevar a cabo un ataque de este tipo sin el apoyo y respaldo de un estado-nación.

Ya se refirió a este asunto Eugene Kaspersky, fundador y presidente de Kaspersky Lab: “Creo que representa un punto de inflexión, el amanecer de un nuevo mundo, porque antes sólo nos enfrentábamos a cibercriminales, pero me temo que estamos asistiendo al nacimiento de la era del ciberterrorismo, de las armas y las guerras virtuales”. En rueda de prensa celebrada recientemente en Munich con periodistas de todo el mundo, durante el Simposio de Seguridad Kaspersky, el máximo ejecutivo de Kaspersky Lab no dudó en calificar a Stuxnet como “la apertura de la Caja de Pandora”.

Según Eugene Karpersky, “este programa malicioso no ha sido diseñado para robar dinero, bombardear con spam o acceder a datos personales; ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Mucho me temo que estamos asistiendo al nacimiento de un nuevo mundo. Los 90 fueron la década de los cibervándalos, la década del 2000 fue la de los cibercriminales, y tengo la sensación de que estamos entrando en la nueva era de las ciberguerras y el ciberterrorismo”, concluyó Kaspersky.

Los investigadores de Kaspersky Lab han descubierto que el gusano explota cuatro vulnerabilidades distintas de “día cero”. Los analistas de la firma informaron de tres de ellas directamente a Microsoft, y colaboraron estrechamente con esta compañía para la creación y distribución de los parches.

Además de explotar dichas vulnerabilidades de “día cero”, Stuxnet también hace uso de dos certificados válidos (de Realtek y JMicron), gracias a los que pudo permanecer sin ser descubierto durante un periodo bastante largo de tiempo.

La intención final de este gusano era acceder a sistemas de control industrial Simatic WinCC SCADA, que controlan procesos industriales, infraestructuras e instalaciones. Oleoductos, centrales eléctricas, grandes sistemas de comunicación, navegación aérea y marítima, e incluso instalaciones militares, utilizan sistemas similares.

El conocimiento exhaustivo de estas tecnologías, la sofisticación del ataque a distintos niveles, el recurso a múltiples vulnerabilidades de “día cero” y el uso de certificados legítimos hace que los ingenieros de Kaspersky Lab estén prácticamente seguros de que Stuxnet fue creado por un equipo de profesionales altamente cualificados con acceso a una enorme cantidad de recursos y fondos.

Tanto el blanco del ataque como la geografía donde se han detectado los primeros brotes (principalmente Irán), inducen a pensar que no se trata de un grupo cibercriminal normal. Es más, los expertos en seguridad de Kaspersky Lab, que han analizado el código del gusano, insisten en que el objetivo principal de Stuxnet no ha sido sólo el de espiar sistemas infectados, sino también el de llevar a cabo acciones de sabotaje. Todos estos hechos apuntan al hecho de que es muy probable que algún estado-nación, con acceso a grandes volúmenes de información de inteligencia, haya dado cobertura al desarrollo de Stuxnet.

Fuente: Kaspersky Lab.

Anuncios

Por referencias bíblicas, entre otras cosas
Nuevos detalles sobre el peligroso gusano Stuxnet apuntan hacia Israel. Stuxnet es el primer gusano conocido que espía y reprograma sistemas industriales, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Symantec ha publicado un informe de 49 páginas sobre el gusano Stuxnet, inicialmente usado para sabotear instalaciones industriales en Irán. Aunque la mayor parte de las infecciones han ocurrido en ese país, durante los últimos días ha trascendido que también China se ha visto afectada.

En su informe, Symantec menciona una serie de detalles que apuntarían hacia Israel como posible origen del código maligno. Esta situación en sí no causa sorpresa, ya que Israel ha creado una unidad militar secreta encargada de ciberguerra.

Symantec ha detectado dos nombres de archivos en el código de Stuxnet; “myrtus” y “guava”, que probablemente hacen referencia a relatos del Antiguo Testamento. La empresa de seguridad informática encontró además el valor numérico “19790509” en el código, que podría hacer referencia a la fecha 9 de mayo de 1979, día en que un judío persa fue ejecutado en Irán.

Cabe señalar que estos indicios también podrían haber sido instalados deliberadamente por los autores del gusano con el fin de dirigir la atención hacia Israel.

Con todo, el informe de Symantec contiene varios datos interesantes. Stuxnet intenta infiltrar el software de control de instalaciones industriales de Siemens, WinCC/Step 7, pero dedicándose a una configuración exclusiva del sistema. Symantec intenta detectar donde es usada tal configuración específica. La empresa indica que la función “de comando y control” que hace posible controlar el gusano una vez instalado ya no está disponible, pero que sigue siendo posible controlar el código mediante tecnología P2P (peer-to-peer).

Symantec informa además que el gusano no está diseñado para comunicarse mediante Internet, sino es distribuido principalmente mediante memorias USB, y que su cometido fundamental es sabotear los sistemas infiltrados.

Las características de Stuxnet llevaron a Eugene Kaspersky, presidente de Kaspersky Labs, a señalar que el gusano es el pistoletazo de salida a una nueva guerra ciber-armamentista en el mundo.

Fuentes: Symantec y Wikipedia

La entidad austriaca sin fines de lucro AV-Comparatives realizó durante 2009 una serie de comparativas de aplicaciones de seguridad informática. En sus ensayos, AV Comparatives ha usado las versiones comerciales completas de los programas estudiados. Varias empresas de seguridad informática ofrecen versiones gratuitas de sus programas, para uso particular o no comercial.

En diciembre, la organización publicó un informe que refleja el impacto de los antivirus en el desempeño general del PC, mientras están siendo ejecutados.

AV-Comparatives midió el desempeño mientras el sistema copiaba, comprimía y descomprimía archivos, convertía archivos multimedia, instalaba, desinstalaba o iniciaba software, descargaba archivos de Internet o ejecutaba programas de benchmark como WorldBench6.

Al comparar los resultados globales, la solución AntiVir Premium 9.0 de Avira, obtuvo el mejor desempeño.

En la totalidad de las pruebas, excepto la copia de archivos, el rendimiento es afectado en menos del 25%. La copia de archivos toma entre 25% y 50% más tiempo que al no tener instalada solución antivirus en el sistema. A juicio de AV Comparatives, tal situación es bastante satisfactoria.

Al ejecutar WorldBench6, un sistema ejecutando Avira obtuvo 114 puntos, mientras que sin la solución antivirus obtenía 116 puntos.

En las posiciones siguientes se sitúan Antivirus 9 Plus, de Kingsoft y F-Secure Anti-Virus 2010. Las soluciones de Kingsoft tienen un desempeño algo reducido al instalar y desinstalar programas, en tanto que F-Secure necesita más tiempo al copiar archivos por primera vez. Ambas soluciones obtuvieron una puntuación algo menor en WorldBench 6 que Avira.

Con todo, el desempeño no es la única característica relevante para los programas de seguridad informática. Lo cierto es que su función principal es proteger al usuario del daño que puede causar el malware. Por tal razón, AV Comparatives realizó una serie de ensayos adicionales durante 2009, presentando en diciembre al ganador absoluto.

Así, mientras que Avira obtuvo la victoria en 2008, el paquete Norton Antivirus de Symantec obtuvo este año el primer lugar.

Entre otras cosas, Avira consideró atributos como nivel de detección, velocidad de análisis, capacidad de eliminar malware, índice de falsos positivos y uso de recursos.

Symantec obtuvo un desempeño especialmente destacado en la detección de malware. Anteriormente se ha criticado el impacto que Norton ha tenido en el desempeño del sistema. Sin embargo, actualmente obtiene la misma puntuación que, por ejemplo, la versión gratuita de Avast.

En segundo lugar se ubicó Kapersky Anti-Virus 2010, superando a ESET NOD32 Antivirus 4.0.

Microsoft Security Essentials, único programa gratuito que superó todas las prueba, es elogiado por el índice proactivo de detección, su capacidad de eliminar malware y nivel de detección de falsos positivos. En términos de desempeño, el programa de Microsoft se ubcia en la mitad superior de la tabla comparativa, superando a Symantec, entre otros.