Els 100.000 euros de l'atac al Cesicat

Durant la setmana passada el senyor Jordi Puigneró i Ferrer, director general de Telecomunicacions i Societat de la Informació de la Generalitat de Catalunya (tot just ha fet un any al càrrec), va aparèixer a diversos mitjans comentant un atac contra els sistemes informàtics del govern autonòmic. Aquest article pretén analitzar les dades aportades per Puigneró i comparar-les amb altres casos.

Extracte de l'entrevista a 8TV el 2014.11.12 (enllaç):
 

• Major ciberatac en la història de Catalunya, l'associa al que va passar aquell dia (9N) a Catalunya.  
• Període de l'atac: des del dissabte a les 11 del matí fins diumenge.  
• Puigneró fa una analogia de cotxes entrant a Barcelona, ​​amb 100 cotxes per segon, que passa a 60.000 cotxes per segon.  
• Origen: Rússia, Xina, EUA, segons la seva IP.  
• Sospites sobre els autors: s'està investigant, la complexitat està en l'origen internacional de les IPs, buscant traces, etc.  
• Protegir els actius digitals del govern.  
• Serveis afectats: web de la Generalitat, servei meteorològic, servei d'emergències, historials mèdics dels pacients, alguns serveis de les comosarías dels Mossos d'Esquadra (col·lapse de centraleta digital).  
• El web participa 2014 tambié va ser objectiu de l'atac, però va resistir.  
• L'atac s'ha limitat a denegació de servei, no l'accés a dades protegides.  
• Les conseqüències podrien haver estat greus, es buscava el desprestigiar la Generalitat i als seus serveis de protecció de la informació.  
• No dóna detalls de les mesures efectuades per no donar pistes als atacants.  
• Dissabte serveis van deixar de funcionar. Diumenge no hi va haver cap servei afectat, tot i ser els atacs van augmentar fins a un 60.000% superiors a un dia normal.

 
Extracte de l'entrevista a TV3 al 2014.11.16 (5349851 / 5349952, referència a la web 3/24: enllaç):
 

• Impacte de l'atac: webs de la Generalitat (web, correu, servei meteorològic, recepta electrònica, accés a l'historial de pacients a través del servei d'emergències mèdiques).  
• Jordi Puigneró s'ha presentat com a director general de telecomunicacions, i president del Cesicat
•   Investigació "complexa", component internacional.  
• Esbrinar qui està darrere: complicat però no impossible.  
• Com es va fer el bloqueig: tipologia d'atac per "denegació de servei", ie moltes connexions simultànies per a superar la capacitat del servidor.  
• Contramesures: identificar el patró per no perjudicar el trànsit lícit, afegir "carrils addicionals".  
• Origen del trànsit: de tot el món, però bàsicament dels EUA, Rússia, la Xina. Ordinadors "zombis" (botnets).  
• Origen del tràfic (2): mercat pirata internacional, per la magnitud no va ser d'aficionats, sinó un encàrrec, finançat. El cost d'un atac d'aquesta magnitud podria estar per sobre de 100.000 euros, sense estar a l'abast de tot el món. Deixa rastre.  
• Pellicer pregunta a Puigneró sobre com faria la Generalitat un atac similar: el responsable del Cesicat respon que, per no ser un estat independent, només es dediquen a tasques de protecció / prevenció dels actius digitals de la Generalitat, i consell a empreses (depenen de la conselleria d'Empresa i Ocupació -Felip Puig), còpies de seguretat, etc.  
• Comentaris sobre la denúncia al Cesicat per part de Ciutadans: es va arxivar el cas. El Cesicat no és un servei d'intel·ligència, ni un "CNI català", diu no investigar a ningú. Tenen contractades a persones i proveïdors experts en seguretat. No busquen ajuda en el "mercat hacker".
• El Cesicat té un nivell suficient de "múscul" per protegir-se (des de Reus i l'Hospitalet). Garanteixen en un "percentatge altíssim" la seguretat a la Generalitat.
• L'entrevistat comenta algunes generalitats de seguretat:
• Sobre Whatsapp, suplantació d'identitat, seguretat bancària, i recomanacions sobre l'ús de contrasenyes, a taques que xifren arxius i després demanen un rescat (recomana adaptar la seguretat al nivell adequat).  
• També comenta sobre els canvis en la regulació de l'espectre electromagnètic, sobre el TDT, la tenefonía 4G: alliberar una part dedicat a les TV per a l'ús de la telefonia mòbil. Puigneró comenta que el motiu d'eliminar el "multiplex" de TV3 no ha estat per motius tècnics, insinuant que ha estat per motius polítics per perjudicar els mitjans gestionats per la Generalitat.

 
La meva opinió:
 

• El motiu que tants serveis s'hagin vist afectats apunta a que fan servir recursos compartits: 
  
• Això es podria deure a una negligència, per exemple errors de disseny en la gestió de subdominis *.gencat.cat, compartir gestor de base de dades, disseny / configuració dels balancejadors de càrrega, etc.  
• La informació que ha pogut aconseguir el Cesicat és el que resta als registres de la infraestructura de la Generalitat:  
• Registres a tallafocs (firewalls) i servidors de cada servei específic, bàsicament adreces IP de l'origen dels suposats atacs.  
• Com a informació derivada de l'anterior, poden obtenir, encara sense certesa del 100%: 
  
• Localització de part de les IPs (hi ha bases de dades amb la correspondència entre rangs d'IPs i ubicació geogràfica amb precisió a nivell de ciutat, sense garantia d'exactitud). Eines: e.g.  base de dades GeoIP de Maxmind.  
• Determinar si una IP origen concreta prové d'una connexió domèstica de telefonia, ADSL, cable, fibra òptica, telefonia mòbil, infraestructura "al núvol / cloud" de tercers (per exemple Amazon AWS, Microsoft Azure, etc.), institucions públiques, empreses privades, etc.  
• De l'anterior, no es podrà garantir si la IP està operada per una "botnet", ja que no totes les "botnets" compten amb portes posteriors d'accés, precisament per garantir la seguretat dels que contracten el servei i evitar deixar rastre. Com a màxim, es pot garantir el tipus de sistema operatiu i els serveis remots visibles des de l'exterior (eines: nmap i similars).  
• Les connexions domèstiques, i.e. d'usuaris particulars utilitzant connexions fixes o mòbils, solen usar adreces IP dinàmiques, les quals tenen una validesa temporal variable. Pel que el Cesicat només va poder obtenir informació fiable durant el dia que, presumptament, es va produir l'atac.  
• Punts foscos:
• El senyor Puigneró ha donat dades concretes sobre la durada de l'atac (des del dissabte a les 11h, fins al diumenge) i el volum de l'atac (60.000 operacions per segon, respecte a les 100 per segon d'un dia normal). Caldria consultar amb especialistes per saber si contractar un atac així a pirates internacionals costa realment 100.000 €. Li va faltar indicar l'ample de banda de l'atac: per exemple, no és el mateix un atac de desenes de megabits (Mbps) per segon, que un atac de centenars de gigabits/s (Gbps). A mi em sembla excessiu, tenint en compte que 60.000 operacions per segon, no són tantes, a ull, amb 50Mbps seria suficient (per exemple 100 bytes / atac), e.g. és un atac ridícul en comparació amb el qual es va efectuar contra la Playstation Network, de 263,35Gbps ( font ), ie 13.167 vegades més gran (1.316.700 vegades el trànsit d'un dia normal dels serveis de la Generalitat, segons les dades de Puigneró).  
• Fent una recerca de 5 minuts per esbrinar els preus del "mercat criminal" de botnets per atacs de denegació de servei distribuït ("Distributed Denial of Service attack" en anglès, enllaç a la recerca), a partir del que s'entreveu dels dades de Puigneró sobre l'impacte de l'atac als serveis de la Generalitat, amb 100.000 € podrien haver tombat els serveis durant un any, i no durant un dia. Pel que dedueixo que, o l'atac no va costar 100.000 €, que els atacants no eren experts en el tema, o que les declaracions del Cesicat han consistit a transformar errors de disseny dels serveis web de la Generalitat a propaganda per al 9N.
• Si realment l'atac va ser "important", va contactar el senyor Puigneró amb el CNI? O com deixa entreveure per lo de les freqüències de TDT/4G considera "enemics" als elements del Govern Central? Força surrealista, el tot plegat.

R. Gaab