Ralph Langnet: Quebrando Stuxnet, un arma cibernética del siglo XXI

La idea detrás del gusano informático Stuxnet es en realidad muy simple. No queremos que Irán obtenga la bomba nuclear. Su mayor activo para desarrollar armas nucleares es la planta de enriquecimiento de Uranio en Natanz. Las cajas grises que ven son sistemas de control en tiempo real. Si logramos comprometer estos sistemas que controlan velocidades y válvulas, podemos causar un montón de problemas con la centrífuga. Las cajas grises no usan software de Windows; son de una tecnología completamente diferente. Pero si logramos poner un virus efectivo de Windows en un ordenador portátil usado por un ingeniero para configurar esta caja gris, entonces estamos listos. Este es el plan detrás de Stuxnet.

Comenzamos con un instalador Windows. La ojiva ingresa a la caja gris, daña la centrífuga, y el programa nuclear iraní es demorado; misión cumplida. Es fácil, ¿eh? Quiero contarles cómo descubrimos esto. Cuando comenzamos a investigar sobre Stuxnet hace 6 meses, el propósito era completamente desconocido. Lo único que se sabía es que es muy, muy complejo en la parte de Windows: el instalador usaba múltiples vulnerabilidades día-cero. Parecía querer hacer algo con estas cajas grises, estos sistemas de control. Eso nos llamó la atención, y comenzamos un experimento en el que infectamos nuestro entorno con Stuxnet y vimos qué pasaba con esto. Entonces pasaron cosas muy extrañas. Stuxnet se comportaba como una rata de laboratorio a la que no le gustaba nuestro queso: lo olía, pero no quería comer. No tenía sentido para mí. Y luego de experimentar con diferentes sabores de queso, me di cuenta, y pensé: “Esto es un ataque dirigido. Es completamente dirigido." El instalador está buscando activamente en la caja gris si encuentra una configuración específica, e incluso si el programa que está tratando de infectar está efectivamente funcionando en ese lugar: si no, Stuxnet no hace nada.

Así que eso llamó mi atención, y comenzamos a trabajar en esto casi 24 horas al día, porque pensé; "No sabemos cuál es el objetivo." Podría ser, digamos por ejemplo, una planta de energía de EEUU, o una planta química en Alemania. Mejor que descubriéramos el objetivo pronto. Entonces extrajimos y descompilamos el código de ataque, y descubrimos que estaba estructurado en 2 bombas digitales: una pequeña y una grande. También vimos que estaban armados muy profesionalmente por gente que obviamente tenía toda la información interna. Conocían todos los puntos por los que atacar. Probablemente incluso sepan cuánto calza el operador. Así que saben todo.

Y si han escuchado que el instalador de Stuxnet es complejo y de alta tecnología, déjenme decirles: la carga es muy compleja. Está muy por encima de todo lo que hayamos visto antes. Aquí ven una muestra de este código de ataque. Estamos hablando de alrededor de 15 mil líneas de código. Se parece bastante al viejo lenguaje ensamblador. Quiero contarles cómo pudimos encontrarle sentido a este código. Lo que buscábamos al principio eran llamadas a funciones del sistema, porque sabemos lo que hacen.

Luego buscábamos temporizadores y estructuras de datos y tratábamos de relacionarlos con el mundo real, con potenciales objetivos del mundo real. Necesitamos teorías sobre destinatarios que podamos aprobar o desaprobar. Para llegar a teorías sobre objetivos, recordamos que es definitivamente un sabotaje violento, debe ser un blanco valioso, y está seguramente ubicado en Irán, porque es donde la mayoría de las infecciones ha sido reportada. No se encuentran varios miles de objetivos en ese área. Básicamente se reduce a la planta de energía nuclear de Bushehr y a la planta de enriquecimiento de Natanz.

Entonces le dije a mi asistente, "Tráeme una lista de todos los expertos en centrífugas y plantas de energía entre nuestros clientes." Los llamé y les consulté en un esfuerzo por conjugar su experiencia con lo que encontramos en código y datos. Y funcionó bastante bien. Así que pudimos asociar la pequeña ojiva digital con el control del rotor. El rotor es esa parte móvil dentro de la centrífuga, ese objeto negro que ven. Si manejan la velocidad de este rotor, ciertamente pueden quebrarlo e incluso hacer que la centrífuga explote. Lo que también vimos es que la meta del ataque era hacerlo lento y desconcertar en un obvio esfuerzo por volver locos a los ingenieros de mantenimiento, para que no pudieran resolver esto rápidamente.

Intentamos descifrar la ojiva digital grande observando muy de cerca a los datos y sus estructuras. Así, por ejemplo, el número 164 sobresale en ese código, no se puede obviar. Empecé a investigar literatura científica sobre cómo estas centrífugas son construidas en Natanz y encontré que son estructuradas en lo que se llama una cascada, y cada cascada contiene 164 centrífugas. Eso tenía sentido, había una coincidencia.

Y se puso mejor aún. Estas centrífugas en Irán están divididas en 15 partes llamadas etapas. Y ¿adivinen qué encontramos en el código de ataque? Una estructura casi idéntica. Así que de nuevo, eso era una buena coincidencia. Esto nos dio mucha confianza en entender lo que teníamos entre manos. Para que no haya malentendidos: no fue así: los resultados han sido obtenidos tras varias semanas de trabajo duro. Habitualmente terminábamos en callejones sin salida y teníamos que volver a empezar.

Aún así, descubrimos que ambas ojivas digitales apuntaban a un solo y mismo objetivo, pero desde diferentes ángulos. La ojiva pequeña está tomando una cascada, y haciendo girar los rotores y ralentizándolos, y la ojiva grande se comunica con seis cascadas y manipulando válvulas. En suma, estamos muy confiados en que hemos determinado cuál es el destinatario. Es Natanz, y es sólo Natanz. No debemos preocuparnos de que otros objetivos sean alcanzados por Stuxnet.

Aquí les muestro unas cosas muy interesantes que vimos, realmente me impresionaron. Ahí está la caja gris, y arriba se ven las centrífugas. Lo que esta cosa hace es interceptar los valores de entrada de los sensores por ejemplo, de los sensores de presión y los sensores de vibración y provee código legítimo, el cual todavía ejecuta durante el ataque, con falsos datos de entrada. Y, créase o no, estos datos de entrada falsos son pregrabados por Stuxnet. Es como en las películas de Hollywood donde, durante el robo, la cámara de seguridad se alimenta de video pregrabado. Es genial ¿eh?

La idea aquí es obviamente no sólo burlar a los operadores en el cuarto de control. Es realmente mucho más peligrosa y agresiva. La idea es burlar un sistema de seguridad digital. Necesitamos sistemas de seguridad digital donde un operador humano no podría actuar rápido. Por ejemplo, en una planta de energía, cuando la gran turbina de vapor se pasa de velocidad, se deben abrir válvulas de escape en un milisegundo. Obviamente, esto no puede hacerlo un operador humano. Allí es donde necesitamos sistemas de seguridad digital. Y cuando están comprometidos, entonces pueden pasar cosas malas. La planta puede explotar. Y ni los operarios ni el sistema de seguridad lo notarán. Eso asusta.

Pero puede ser peor. Lo que voy a decir es muy importante. Piensen en esto. Este ataque es genérico. No tiene nada que ver, específicamente, con centrífugas, con enriquecimiento de uranio. Podría funcionar también, por ejemplo, en una planta de energía, o en una fábrica automotriz. Es genérico. Y no tienes (como atacante) que diseminar esta carga con una llave USB, como vimos en el caso de Stuxnet. También podrías usar tecnología convencional de gusanos para diseminarlo. Diseminarlo lo más posible. Y si hicieras eso, con lo que terminarías es con una ciber-arma de destrucción masiva. Esa es la consecuencia que debemos enfrentar. Desafortunadamente, el mayor número de objetivos para tales ataques no está en Medio Oriente. Está en los Estados Unidos y en Japón. Todas las áreas verdes son espacios con gran número de objetivos. Debemos enfrentar las consecuencias, y mejor que nos empecemos a preparar ahora.

Gracias.

(Aplausos)

Chris Anderson: Tengo una pregunta. Ralph, se ha hecho público en muchos lados que la gente asume que el Mossad es la principal entidad detrás de esto. ¿Cuál es tu opinión?

Ralph Langnet: Okey, ¿realmente quieren escuchar esto? Sí. Okey. Mi opinión es que el Mossad está involucrado, pero el motor no es Israel: el motor detrás de esto es la superpotencia cibernética. Existe una sola, y ésa es los Estados Unidos, afortunadamente, afortunadamente. Porque, de otro modo, nuestros problemas serían aún mayores.

CA: Gracias por atemorizarnos. Gracias, Ralph.

(Aplausos)