15.03.2014 - 06:00
Montana, Estats Units, hivern de 2013. Mentre la televisió local emetia un programa de tarda, una veu en off va començar a transmetre un missatge inquietat: ‘Les autoritats avisen que els cossos dels morts s’estan aixecant de les seves tombes i ataquen els vius‘. L’avís d’invasió “zombie” era una broma d’algú que havia assaltat el Sistema d’Alerta d’Emergència que totes les cadenes estan obligades a tenir. L’atacant o atacants, encara no identificats, van intentar-ho amb més o menys èxit en d’altres televisions locals.
Coses com aquesta passen en un país, els Estats Units, bressol del concepte de la ciberguerra, amb dècades d’experiència, institucions consolidades, militars entrenats i un pressupost per a la seguretat cibernètica de centenars de milions de dòlars. El mateix país on un soldat, Chelsea Manning, roba documents classificats a l’exèrcit i els fa públics a Wikileaks; o un treballador de l’Agència de Seguretat Nacional (NSA), Edward Snowden, s’emporta informes d’alt secret a un país enemic.
El diari “Washington Post” publicava recentment un article que incidia en les greus dificultats de la nació que es gasta més diners en la ciberguerra perquè les seves institucions siguin segures. Segons els periodistes, “els oficials federals fallen repetidament a l’hora d’instal.lar pegats de seguretat, actualitzar antivirus, comunicar-se a través de xarxes segures o inventar paraules de pas. La contrasenya més comuna als sistemes governamentals és “contrasenya””.
Segons l’article, el govern nordamericà té un munt de problemes de seguretat: a Interior “no són capaços d’actualitzar programes essencials, que qualsevol americà sabria fer”; a l’Oficina de Responsabilitat Governamental tarden una mitjana de 55 dies en tapar forats de seguret que es podrien tapar en 3 dies; dades personals de 104.000 treballadors del Departament d’Energia han estat robades i fetes públiques el darrer any; la Comissió Regulatòria Nuclear pateix intrusions i robatoris d’informació de forma regular; quant a la Comissió de Borsa i Valors, els portàtils amb informació sensible sense xifrar són la norma entre els treballadors, així com l’ús de comptes de correu personal per intercanviar informació financera. “Una vegada -expliquen els periodistes- un empleat de la Comissió va connectar-se a una xarxa sense fils insegura en una convenció de hackers”.
La situació és similar a la majoria de països, segons constaten els experts en seguretat informàtica que hem consultat i ratifiquen les notícies que de tant en tant apareixen als mitjans. Quant a Catalunya, la fundació Centre de Seguretat de la Informació de Catalunya (CESICAT) és l’única institució dedicada a la seguretat cibernètica del país. El seu pressupost, que no arribava al milió d’euros l’any passat, s’ha quintuplicat el 2014. El CESICAT té cura, segons el “Pla nacional d’impuls de la seguretat de les TIC a Catalunya“, de la xarxa informàtica de la Generalitat i de les infraestructures crítiques (llum, aigua, nuclears…), objectius preferents en cas de ciberguerra.
La xarxa informàtica de la Generalitat de Catalunya no sol sortir a les notícies per problemes de seguretat. La primera vegada possiblement va ser el 2002, quan un grup anomenat Pokemon H@ck Team va publicar a la web dades robades del Departament de Benestar Social, entre elles noms, DNIs, adreces i altra informació privada de beneficiaris dels seus programes socials. Segons els lladres, la xarxa del govern estava mal configurada i s’hi podien pujar dades falses o esborrar les que hi havia. A més, hackers i delinqüents utilitzaven ordinadors de la Generalitat com a punt intermig per assaltar altres llocs. Els Mossos d’Esquadra van detenir els caps del grup, Carlos M. i Javier N., i un jutge els va absoldre el 2005.
Passats deu anys, el juny de 2013, la seguretat de la xarxa informàtica de la Generalitat tornava a ser posada públicament en dubte. Un consultor de seguretat informàtica denunciava, el juny de 2013, que centenars d’ordinadors de l’administració catalana estaven infectats per un virus que havia robat els noms d’usuari i contrasenyes de 3.000 treballadors de la Generalitat. Amb aquestes dades es podia accedir a les nòmines dels funcionaris o espiar el correu electrònic corporatiu.
Felip Puig admetia, en la seva compareixença al Parlament per la filtració de documents confidencials del CESICAT, que un “atac informàtic mundial” el setembre de 2011 havia afectat 3.000 credencials de personal de la Generalitat i que, el 29 d’abril de 2013, el CESICAT va iniciar una campanya de renovació forçada de les contrasenyes que encara no s’havien canviat. El diari “El Confidencial” denunciava el desembre de 2013 que encara hi havia paraules de pas compromeses sense renovar.
Persones que treballen en la seguretat informàtica de la Generalitat -i que prefereixen parlar sense identificar-se per no posar en perill la seva feina- troben normal que, dos anys després d’un incident informàtic, hi hagi paraules de pas que encara no s’hagin renovat. En entorns tan grans com les xarxes governamentals o les corporatives, aquests processos no es solucionen de seguida, sovint degut al factor humà, doncs una cosa és informar a centenars o milers de persones que han de canviar les contrasenyes i una altra que ho facin de seguida, o que ho facin.
D’altra banda, a les xarxes corporatives s’actua a partir d’escales de prioritats de resolució, la qual cosa vol dir que no sempre la seguretat és la principal prioritat: pot ser més important que el servei funcioni les 24 hores del dia, set dies la setmana. A més, expliquen les nostres fonts, en entorns tan grans es creen “regnes de taifes”, cadascú amb la seva pròpia política, de forma que hi ha departaments que porten molt bé el tema seguretat, al costat d’altres que són un desastre i es converteixen en perills per a tota la xarxa.
Un altre problema típic d’aquestes xarxes són els certificats SSL incorrectes. Els certificats SSL creen connexions segures entre l’usuari i el lloc web que visita. Quan són incorrectes el navegador ens avisa però, si volem visitar el lloc, l’única opció és acceptar el certificat i el risc que comporta, de forma que els usuaris acaben veient normal acceptar certificats invàlids i obliden que això vol dir que les connexions no són segures: algú podria robar les dades que la persona envia a la web, per exemple la seva contrasenya, número de compte o informació fiscal.
El programari és un altre gran tema no resolt. Hi ha forats de seguretat que poden complicar molt les coses en plena guerra de la informació. Un d’ells és l’atac anomenat de ‘Cross Site Scripting’ (XSS), que consisteix en fer que els visitants d’una plana vegin un text o una imatge que no hi és. Hi ha un munt de llocs web amb aquest problema, inclosa la Casa Reial Espanyola, que l’ha patit després de la remodelació de 2006 i també de 2012. Un atacant que aprofités aquest forat podria publicar una nota de premsa amb informació falsa “procedent” de la monarquia.
El programari també té a les xarxes corporatives un taló d’Aquil.les amb el tema de les actualitzacions, que aporten millores i tapen forats de seguretat. Les fonts consultades asseguren que implantar canvis de seguretat o polítiques d’actualitzacions en entorns d’aquest tipus són processos molt costosos i lents, així que quan quelcom funciona la tendència és no tocar-ho, ni per millorar-ho. Les actualitzacions de programari són costoses no només per la compra de noves versions sinó també pel cost d’implantació i de formació i temps d’adaptació dels usuaris. Això provoca que les actualitzacions triguin a fer-se i, per tant, els forats no es tapin de seguida.
Si a això afegim que bona part dels projectes informàtics de la Generalitat s’encarreguen a empreses externes, és molt difícil tenir-ho tot controlat. Com a conseqüència, la seguretat global del sistema és “bastant millorable”, asseguren els experts consultats. Aquesta situació es repeteix a la majoria de xarxes governamentals, de forma que hi ha cada cop més ciberatacs contra governs, sobretot atacs amb virus trojans que espien les comunicacions d’alts càrrecs i la publicació a Internet de dades personals de polítics, una situació que va patir Felip Puig quan era conseller d’Interior, el gener del 2012.
Si tornem a la xarxa informàtica de la Generalitat, el darrer cas que ha posat en dubte la seva seguretat l’ha protagonitzat el grup hacktivista Anonymous. El mes d’octubre passat, Anonymous anunciava que havia robat una base de dades dels Mossos d’Esquadra, amb 421 noms, telèfons i adreces de correu de policies. Un any abans, els mateixos hacktivistes ja havien fet públiques dades personals de 18 agents. Demostra això que els sistemes informàtics dels Mossos d’Esquadra són vulnerables?
La persona que s’amaga darrera el perfil de Twitter @La9deAnon ens assegura que la informació no va sortir dels sistemes informàtics dels Mossos: “Les bases de dades dels Mossos i també Policia Nacional i Guàrdia Civil es fan servir en fòrums, webs, llistes de correu i són més completes que les oficials”. D’on vénen llavors les dades publicades? Respon @La9deAnon: “Els sindicats policials mantenen servidors web amb accessos exclusius per als seus afiliats, i si les columnes de les seves taules contenen: nom, cognom, DNI, Tarja d’Identificació Professional, telèfon, adreça, etc… ja diràs!”.
La filtració de dades dels policies catalans no seria doncs deguda a un sistema informàtic vulnerable, sino a una manca de política de seguretat dels Mossos quant a l’ús extern de les pròpies dades o, si aquesta existeix, l’incompliment de la mateixa, que hauria posat en perill la reputació del cos. I és que el control de les bases de dades és un punt clau de la ciberguerra. Estan ubicades al país o a l’exterior? En països amics o enemics? N’hi ha còpies? Els sistemes on es guarden són fiables? Podem confiar que ningú manipularà les dades?