Monday, November 17, 2014

Los 100.000 euros del ataque al Cesicat

Durante la semana pasada el señor Jordi Puigneró i Ferrer, director general de Telecomunicaciones y Sociedad de la Información de la Generalidad de Cataluña (desde hace alrededor de un año), apareció en varios medios comentando un ataque contra los sistemas informáticos del gobierno autonómico. Este artículo pretende analizar los datos aportados por Puigneró y compararlos con otros casos.


Extracto de la entrevista en 8TV el 12-11-2014 (enlace):
  • Mayor ciberataque en la historia de Cataluña, lo asocia a lo que pasó aquel día (9N) en Cataluña. 
  • Periodo del ataque: desde el sábado a las 11 de la mañana hasta el domingo. 
  • Puigneró hace una analogía de coches entrando a Barcelona, con 100 coches por segundo, que pasa a 60.000 coches por segundo. 
  • Origen: Rusia, China, EE.UU., según su IP. 
  • Sospechas sobre los autores: se está investigando, la complejidad está en el origen internacional de las IPs, buscando trazas, etc. 
  • Proteger los activos digitales del gobierno. 
  • Servicios afectados: web de la Generalitat, servicio metereológico, servicio de emergencias, historiales médicos de los pacientes, algunos servicios de las comosarías de los Mossos d’Esquadra (colapso de centralita digital). 
  • La web participa 2014 tambié fue objetivo del ataque, pero resistió. 
  • El ataque se ha limitado a denegación de servicio, no el acceso a datos protegidos. 
  • Las consecuencias podrían haber sido graves, se buscaba el desprestigiar a la Generalitat y a sus servicios de protección de la información. 
  • No da detalles de las medidas efectuadas para no dar pistas a los atacantes. 
  • El sábado algunos servicios dejaron de funcionar. El domingo no hubo ningún servicio afectado, a pesar de ser los ataques aumentaron hasta un 60.000% superiores a un día normal.

Extracto de la entrevista en TV3 el 16-11-2014 (5349851 / 5349952, referencia en la web 3/24: enlace):
  • Impacto del ataque: webs de la Generalitat (web, correo, servicio metereológico, receta electrónica, acceso al historial de pacientes a través del servicio de emergencias médicas). 
  • Jordi Puigneró se ha presentado como director general de telecomunicaciones, y presidente del Cesicat
  •  Investigación "compleja", componente internacional. 
  • Averiguar quién está detrás: complicado pero no imposible. 
  • Cómo se hizo el bloqueo: tipología de ataque por "denegación de servicio", i.e. muchas conexiones simultáneas para superar la capacidad del servidor. 
  • Contramedidas: identificar el patrón para no perjudicar al tráfico lícito, añadir “carriles adicionales”. 
  • Origen del tráfico: de todo el mundo, pero básicamente de EE.UU., Rusia, China. Ordenadores "zombies" (botnets). 
  • Origen del tráfico (2): mercado pirata internacional, por la magnitud no fue de aficionados, sino un encargo, financiado. El coste de un ataque de esta magnitud podría estar por encima de 100.000 euros, sin estar al alcance de todo el mundo. Deja rastro. 
  • Pellicer pregunta sobre cómo haría la Generalitat un ataque similar: el responsable del Cesicat responde que, por no ser un estado independiente, sólo se dedican a tareas de protección/prevención de los activos digitales de la Generalitat, y consejo a empresas (dependen de la consejería de Empresa y Empleo -Felip Puig-), copias de seguridad, etc. 
  • Comentarios sobre la denuncia al Cesicat por parte de Ciudadanos: se archivó el caso. El Cesicat no es un servicio de inteligencia, ni un "CNI catalán", dice no investigar a nadie. Tienen contratadas a personas y proveedores expertos en seguridad. No buscan ayuda en el "mercado hacker".
  • El Cesicat tiene un nivel suficiente de "músculo" para protegerse (desde Reus y l'Hospitalet). Garantizan en un "porcentaje altísimo" la seguridad a la Generalitat.
  • El entrevistado comenta algunas generalidades de seguridad:
    • Sobre Whatsapp, suplantación de identidad, seguridad bancaria, y recomendaciones sobre el uso de contraseñas, ataques que cifran archivos y luego piden un rescate (recomienda adaptar la seguridad al nivel adecuado). 
    • También comenta sobre los cambios en la regulación del espectro electromagnético, sobre el TDT, la tenefonía 4G: liberar una parte dedicado a las TV para el uso de la telefonía móvil. Puigneró comenta que el motivo de eliminar el "multiplex" de TV3 no ha sido por motivos técnicos, insinuando que ha sido por motivos políticos para perjudicar a los medios gestionados por la Generalitat.

Mi opinión:

  • El motivo de que tantos servicios se hayan visto afectados apunta a que hacen uso de recursos compartidos: 
    • Esto se podría deber a una negligencia, e.g. errores de diseño en la gestión de subdominios *.gencat.cat, compartir gestor de base de datos, diseño/configuración de los balanceadores de carga, etc. 
  • La información que ha podido conseguir el Cesicat es lo que queda en los registros de la infraestructura de la Generalitat: 
    • Registros en firewalls y servidores de cada servicio específico, básicamente direcciones IP del origen de los supuestos ataques. 
    • Como información derivada de lo anterior, pueden obtener, aún sin certeza del 100%: 
      • Localización de parte de las IPs (hay bases de datos con la correspondencia entre rangos de IPs y ubicación geográfica con precisión a nivel de ciudad, sin garantía de exactitud). Herramientas: e.g. base de datos de GeoIP de MaxMind. 
      • Determinar si una IP origen concreta proviene de una conexión doméstica de telefonía, ADSL, cable, fibra óptica, telefonía móvil, infraestructura "en la nube / cloud" de terceros (e.g. Amazon AWS, Microsoft Azure, etc.), instituciones públicas, empresas privadas, etc. 
      • De lo anterior, no se podrá garantizar si la IP está operada por una "botnet", pues no todas las "botnets" cuentan con puertas traseras de acceso, precisamente para garantizar la seguridad de quienes contratan el servicio y evitar dejar rastro. A lo sumo, se puede garantizar el tipo de sistema operativo y los servicios remotos visibles desde el exterior (herramientas: nmap y similares). 
      • Las conexiones domésticas, i.e. de usuarios particulares usando conexiones fijas o móviles, suelen usar direcciones IP dinámicas, las cuales tienen una validez temporal variable. Por lo que el Cesicat sólo pudo obtener información fiable durante el día que, presuntamente, se produjo el ataque. 
  • Puntos oscuros:
    •  El señor Puigneró ha dado datos concretos sobre la duración del ataque (desde el sábado a las 11h, hasta el domingo) y el volumen del ataque (60.000 operaciones por segundo, respecto a las 100 por segundo de un día normal). Habría que consultar con especialistas para saber si contratar un ataque así a piratas internacionales cuesta realmente 100.000€. Le faltó indicar el ancho de banda del ataque: no es lo mismo un ataque de decenas de megabits (Mbps) por segundo, que un ataque de centenares de gigabits/s (Gbps). A mí se me antoja excesivo, teniendo en cuenta que 60.000 operaciones por segundo, no son tantas, a ojo, con 50Mbps sería suficiente (e.g. 100 bytes/ataque), e.g. es un ataque ridículo en comparación con el que se efectuó contra la Playstation Network, de 263,35Gbps (fuente), i.e. 13.167 veces mayor (1.316.700 veces el tráfico de un día normal de los servicios de la Generalitat, según los datos de Puigneró). 
    • Haciendo una búsqueda de 5 minutos para averiguar los precios del “mercado criminal” de botnets para ataques de denegación de servicio distribuido (“Distributed Denial of Service attack” en inglés, enlace a la búsqueda), a partir de lo que se entrevé de los datos de Puigneró sobre el impacto del ataque a los servicios de la Generalitat, con 100.000€ podrían haber tumbado los servicios durante un año, y no durante un día. Por lo que  deduzco que, o el ataque no costó 100.000€, que los atacantes no eran expertos en el tema, o que las declaraciones del Cesicat han consistido en transformar errores de diseño de los servicios web de la Generalitat en propaganda para el 9N.
    • Si el ataque fue realmente "importante", ¿contactó el señor Puigneró con el CNI? ¿O como deja entrever por lo de las frecuencias de TDT/4G considera "enemigos" a los elementos del Gobierno Central? Un asunto bastante surrealista.

R. Gaab
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)