Las redes aisladas son aquellas que no
están conectadas físicamente con otras redes a propósito, por motivos de
seguridad. Ilustramos técnicas usadas para evadir esta medida de seguridad.
Es una medida clásica en entornos
críticos, de alta seguridad. Las redes aisladas (air-gapped networks) ponen en
práctica un hecho evidente: No puedes introducir o extraer información de una
red (o nodo de ésta) a través de otra red a la que se encuentre conectada, si
no hay red a la que se encuentre conectada. A pesar de lo radical que resulta
la medida (los problemas de comunicación que puede tener una red aislada), esto
tampoco garantiza que no se introduzca o extraiga información de la red, sólo
que no se puede hacer a través de otra red a la que se encuentre conectada. A
continuación comentamos algunas formas curiosas en las que se ha violado la
seguridad de redes aisladas.
Uno de los casos más sonados es el de
Stuxnet (descubierto en 2010), una amenaza persistente avanzada en forma de
troyano financiada y desarrollada conjuntamente por Estados Unidos e Israel,
con el fin de atacar centrales nucleares iraníes y retrasar su programa nuclear.
El objetivo era alterar los sistemas de control de las centrifugadoras usadas
en el enriquecimiento de material radioactivo. El problema es que estos
sistemas de control se hallaban en redes aisladas. En este caso, la forma de
introducir código que alterase estos sistemas de control fue a través de un
malware que se propagaba a través de las memorias USB. Una de éstas habría
terminado en manos de algún técnico de mantenimiento de la planta...
El caso de Stuxnet es un caso de
comprometer una red aislada desde fuera, pero... ¿qué pasa si quieres extraer
información de al red aislada? Para ello, nos remontamos dos años atrás, a
Fanny. Este malware ya fue detectado cuando salió, en 2008, pero se etiquetó
como una versión común de malware que infectaba ordenadores a través de
memorias USB. Pero la parte "divertida" de Fanny fue descubierta en
2014, cuando investigadores crearon una detección sobre el código de exploit de
Stuxnet, y se encontraron con que detectaba un viejo troyano de 2008.
Aquí la historia se vuelve
interesante, y es que Fanny ya usaba parte del código de exploit de Stuxnet
(detectado en 2010) en 2008. Cuando investigaron más a fondo la funcionalidad
de este troyano, descubrieron que estaba especializado en extraer información
de las redes aisladas a través de memorias USB. Según iba infectando máquinas,
iba almacenando datos interesantes en la memoria USB de forma oculta. Y en
cuanto alcanzaba una máquina con conexión a Internet mandaba todos los datos
robados a un servidor de control. A su vez, el servidor de control también
podía mandar órdenes a las máquinas infectadas, que las introducirían de vuelta
en la memoria USB para su ejecución en máquinas sin conexión a Internet...
Si bien estos casos ya son dignos de
Hollywood, todavía hay formas más originales de exfiltrar información en redes
aisladas. Otro caso llamativo es el del mítico malware BadBIOS (mítico porque
no hay pruebas concluyentes de su existencia). Entre otras funcionalidades, se
le atribuía el poder de establecer comunicación entre máquinas infectadas a
través de ultrasonidos, usando los altavoces y los micrófonos de las máquinas
como emisores y receptores. Técnicamente es posible, que conste... De hecho, un
reciente estudio llamativamente titulado aIR-Jumper demuestra que es posible
hacer lo mismo con cámaras de vigilancia con visión infrarroja. En este caso,
el emisor sería el conjunto de luces LED usadas para iluminar el punto a
vigilar, y el receptor la misma cámara que puede captar la luz infrarroja.
Como hemos podido observar, la medida
de aislar redes no es la panacea (nada lo es en seguridad informática). Es un
requisito imprescindible en sistemas realmente críticos que se benefician poco
o nada de estar conectados a otras redes. Pero tal y como se ve en algunos de
los ejemplos dados en este artículo, no sirve de mucho sin buenas políticas de
seguridad que regulen el verdadero punto flaco de los sistemas de información:
Las personas que los manejan.
Más información:
- Canal encubierto https://es.wikipedia.org/wiki/Canal_encubierto
- El grupo de
espionaje Sednit ataca redes seguras aisladas https://www.welivesecurity.com/la-es/2014/11/11/grupo-espionaje-sednit-ataca-redes-aisladas/
- Spying on
Keyboard Presses with a Software Defined Radio https://www.rtl-sdr.com/spying-keyboard-presses-software-defined-radio/
- Hear that? It's
the sound of BadBIOS wannabe chatting over air gaps http://www.theregister.co.uk/2013/12/05/airgap_chatting_malware/
Fuente: Hispasec