sábado, 13 de septiembre de 2008

Érase una vez un LHC hackeado

Siempre que entre especialistas de la seguridad de habla de intrusión en sistemas de información, se sabe distinguir entre el hacker y el cracker. Las diferencias entre ambos perfiles de atacante estriban en su motivación e intención de hacer daño. Básicamente el hacker es un experto que muestra o denuncia un fallo pero no abusa de sus conocimientos. El cracker quiere sacar rédito a su knowhow e intenta lucrarse de los descubrimientos que realiza.

Aclarado esto dado que en prensa vamos a ver mucho más frecuentemente la palabra hacker que cracker, voy a comentar el incidente con el acelerador de partículas LHC.
Y es que estos físicos del CERN en sus primeros experimentos en vez de encontrar nuevas partículas parecen haber hallado unos extraños visitantes a sus sistemas informáticos. Vamos que un grupo de técnicos griegos parecen haber estado de excursión dentro de los sofisticados sistemas informáticos diseñados para manejar una de las infraestructuras científicas de mayor envergadura. Con un presupuesto en torno a 6.000 millones de euros, puede que no se haya dedicado suficiente esfuerzo a pensar en la seguridad de la información. De los 10.000 científicos que usan la infraestructura pocos deben ser expertos en estos temas.

La noticia ha tenido la lógica repercusión mediática que genera un incidente así y más con la espectación que ya por si solo había generado el LHC. Se puede leer en Hackers dentro del LHC y Hackers infiltrate Large Hadron Collider systems and mock IT security.

Según cuenta El Mundo:
"El grupo de hackers, que se autodenomina el Equipo Griego de Seguridad, se burla en su mensaje de la debilidad del LHC, y tilda de «colegiales» a los técnicos responsables de proteger la seguridad informática de la instalación donde el pasado miércoles se inició lo que muchos consideran el experimento científico más ambicioso de la Historia.

Los piratas, en todo caso, afirman en su mensaje que su intención no es provocar daño alguno al acelerador de partículas, sino llamar la atención sobre la debilidad de sus ordenadores.

Al parecer, según informó a 'The Daily Telegraph' a un investigador del CERN que no quiso desvelar su nombre, los hackers estuvieron a «sólo un paso» de penetrar en el sistema de control de uno de los cuatro grandes detectores de partículas del acelerador, el llamado CMS, una inmensa estructura magnética de 12.500 toneladas que mide 21 metros de alto y 15 metros de ancho.

Esta fuente anónima aseguró que si hubieran logrado introducirse en esta red informática, podían haber interrumpido el funcionamiento de buena parte de sus componentes."




El grupo de hackers ha logrado la notoriedad que busca cuando realiza estas fechorías pero al menos su intención solo ha sido dar un aviso sobre la precaria protección de estas instalaciones. Con la prudencia con la que siempre hay que leer este tipo de noticias y hasta que se conozcan detalles del método utilizado para la intrusión, la primera pregunta que surge es, ¿Necesita el LHC estár conectado a Internet? Porque una infraestructura tan compleja no debe disponer de puertas abiertas a un entorno tan abierto y conflictivo como puede ser Internet. No tiene sentido hacer alcanzable estos sistemas si no es realmente por una necesidad adecuada y relacionada con el propio funcionamiento del LHC. Con un presupuesto tan alto, creo que pueden montarse arquitecturas de red segmentadas que jamás proporcionen acceso desde Internet al core de los sistemas, pero como digo, hasta conocer los detalles técnicos de la intrusión, todo no dejan de ser especulaciones respecto al tipo de fallo que puede haber generado un incidente así. Sin embargo, por la reacción del propio CERN, la puerta de entrada podría ser la propia Web.

"Sólo un archivo resultó dañado durante el ataque de los piratas griegos, pero otro de los investigadores que trabaja en el LHC reconoció que se sintió «asustado» durante el ataque. A raíz del incidente, los responsable del CERN han decidido bloquear el acceso del público a la web del detector CMS."


Al menos, por lo que puede leerse, parece que los planes de contingencia si funcionaron. Lo que sorprende también un poco es la ingenuidad de algunos de los cientificos, aunque esto se puede justificar si no están suficientemente concienciados de lo que supone estar conectado a Internet.

«Lo que ocurrió no fue grave, pero demuestra que siempre hay gente que puede convertirse en una amenaza», reconoció al diario británico otro investigador del CERN.
El sistema informático que los piratas griegos lograron invadir fue el llamado CMSMON, que controla el software que utilizarán los científicos para analizar los resultados de las colisiones de protones que se realizarán en el interior del acelerador para intentar identificar los componentes más elementales de la materia.
Recientemente, los directivos del CERN crearon un equipo de trabajo para analizar la seguridad informática de la instalación científica. Uno de sus documentos alcanzó una preocupante conclusión: «Algunos incidentes recientes demuestran que la cuestión de la seguridad se está convirtiendo en un problema». El ataque de los piratas griegos ha dejado fuera de toda duda que el «problema» es grave.


Siendo positivos y tratando de aprender de los incidentes ajenos, la principal reflexión que debe sacarse de estos hechos es que "la seguridad no debe convertirse jamás en un problema" pero para ello, hay que diseñar las cosas pensando en la seguridad.
En pleno siglo XXI pensar en estar conectado y no ser consciente de que se es vulnerable si las cosas no se gestionan adecuadamente es ser demasiado ingenuo o no estar suficientemente concienciado de lo que supone una puerta abierta a una gran población desconocida. Y menos, si hablamos de una instalación como el LHC que hace de gran imán para curiosos y extraños. Dentro de los malos en este caso, han tocado los menos malos que se conforman con avisar de que hay puertas abiertas. Si se hubieran puesto a jugar, estaríamos hablando seguramente de unas consecuencias mucho más graves para una infraestructura que por presupuesto, no debería permitirse un incidente así.

5 comentarios:

Anónimo dijo...

Completamente de acuerdo con tu comentario de "si todo ha de estar conectado a Internet"

Esta claro que para poder analizar la inmensa cantidad de datos que proporcionara el LHC se han de proporcionar los medios adecuados para el análisis y procesado de la información obtenida.

Pro como muy bien dices una cosa es el análisis de los datos y otra la manipulación de los parámetros instrumentales de los equipos.

Creo que lo mejor es sacar los aspectos positivos de incidente estableciendo las medidas adecuadas de seguridad.

Y tener en cuenta en en grandes desarrollos técnicos aveces cojean en los elementos mas sencillos.

Sencillos entre comillas.

Saludos.
Juan Pascual

Anónimo dijo...

Y yo me planteo..., ¿de verdad nadie suponía que alguien intentaría colarse? De hecho pienso que, en seguridad, no sea tan importante un plan de contingencia -que lo es- que la buena estructuración de toda la red interna.

Adicionalmente, el LHC debe estar conectado, puesto que gran parte de la comunidad científica mundial está chupando datos de ahí, así que...

Unknown dijo...

El problema es que ya todo está conectado a Internet, voluntaria o involuntariamente.

Una vpn de un investigador externo, un servicio tecnico remoto, un bluetooth de un movil cerca de un portatil de la red... Habrá que ver cómo han entrado, pero estar desconectado de Internet, hoy en día es virtualmente imposible.

SeguInfo dijo...

Excelente resumen!

Anónimo dijo...

Sólo atacaron el CMS de la web, no llegaron a más.

 
;