viernes, 30 de diciembre de 2016

Resumen Ciber-defensa 2016

El protagonista absoluto del ámbito de la Ciberdefensa en 2016 fue sin duda Rusia, el numero de presuntas operaciones APT y la agresividad de las mismas marcaron las principales noticias del año. Por ello Rusia sera el eje principal de este resumen que como años anteriores ofrece un compendio de los principales sucesos del año que termina. Las repercusiones de las ciber-operaciones que se atribuyen a los servicios de inteligencia de este país superaron a cualquier otro caso de APTs que hubiéramos visto en años anteriores.


Durante la campaña electoral en EEUU, que resulto en la elección de Donald Trump, la seguridad informática juego un papel estrella. Como ya adelantamos el pasado año el escándalo que afectaba a Hillary Clinton por el uso de un servidor de correo privado en lugar del oficial cuando era Secretaria de Estado fue un tema recurrente. Si bien paso a segundo plano por otros casos también relacionados con correos electrónicos. Según parece los servicios rusos accedieron a los correos electrónicos del Comité Nacional del Partido Demócrata y a los de la cuenta de gmail de John Podesta, jefe de la campaña de Clinton. Estos correos fueron publicados por Wikileaks, con una clara intencionalidad de cuestionar a la candidata presidencial. Así mismo parece ser que Rusia hubiera podido acceder también a correos del partido republicano pero que prefirió no filtrarlos. Los analistas geopolíticos coinciden en que Rusia ha pretendido por medios ciber alterar el desarrollo de la campaña, ya fuera influyendo en los votantes o cuestionando la legitimad del propio proceso electoral.

La respuesta de EEUU llego al cierre del año, el día 29 de Diciembre, se hizo público un informe del FBI sobre la influencia rusa en la campaña electoral. Como consecuencia ese mismo día también se anuncio la expulsión de diplomáticos Rusos de EEUU  y las sanciones económicas sobre oficiales, empresarios y empresas civiles asociadas a las capacidades ciber de los servicios secretos rusos. Por su parte Rusia anuncio que contestaría adecuadamente a estas acciones.

Informe del FBI sobre la actividad rusa

Otro bombazo del año, fue la aparición de un hasta entonces desconocido grupo The Shadow Brokers, que filtro diverso material secreto de la NSA que incluía exploits del tipo zero day. Esta filtración era solo una pequeña muestra de una cantidad mayor de ciber-armas que este misterioso grupo estaría ofreciendo como parte de una subasta. En octubre un contratista civil de la NSA fue detenido por el manejo inadecuado de material secreto de la NSA , asociado a los programas filtrados por Shadow Brokers. Aunque hasta el momento no se sabe la relación exacta entre ambos casos.

Rusia también se mostró excepcionalmente ofensiva en el mundo ciber contra todos aquellos que han cuestionado públicamente las acciones de este país. Así por ejemplo se atribuye a hacker rusos la filtración de datos médicos de atletas de EEUU, supuestamente como respuesta a las acusaciones de doping de los rusos en Sochi 2014. Ataques al colectivo de periodismo de investigación ciudadano Belling Cat , que había hecho público previamente un informe sobre la participación de Rusia en el derribo del vuelo Malaysian Air MH17. Así como ataques también por esta misma causa al equipo de investigación aeronáutica oficial Holandes.

Dejando a un lado al principal protagonista se pudo comprobar el aumento de actividad a nivel gubernamental, de grupos insurgentes y de actores híbridos. El número de ataques del tipo APT siguió en aumento, con grupos que incrementaron su actividad significativamente o que fueron descubiertos este año, por citar algunos Trochilus, Transparent Tribe, Lazarous Group, Prince of Persia, Project Sauron/Strider, Droping elephant, Pacifier, Poseidon  o Moonlight.

En Marzo un informe de Verizon daba a conocer un curioso caso en el que un grupo de piratas somalies habría contratado los servicios de hackers para tomar el control de sistemas web de una empresa naviera, se supone que para obtener información para posteriores secuestros marítimos.

La tendencia de los bug bounties, programas de recompensas por localizar vulnerabilidades de seguridad, paso a ser adoptada por el Pentágono que ofreció un programa de este tipo.

En  2016 se publicaron algunos libros que analizan las repercusiones pasadas y actuales de la ciberguerra: Dark Territory: The Secret History of Cyber War de Fred Kaplan ,  Ciberguerra de Yolanda Quintana , o Los hombres que susurraban a las maquinas de Antonio Salas.



En una tendencia que pudimos constatar en años anteriores, los conflictos bélicos y zonas de tensión geopolítica mas importantes suelen ir acompañados de una vertiente Ciber. Por citar algunos:


  • Siria: Continuo la tendencia del uso masivo de Internet como lugar de reclutamiento y para la distribución de propaganda por parte de los diversos grupos rebeldes participantes en la guerra civil. Aunque una vez mas el Estado Islámico demostró ser el mas versado en este campo. El 2016 lanzo una publicación en formato revista dedicada exclusivamente a su vertiente ciber, la Kybernetiq. Por su parte supimos que el Cibercomando de EEUU habría respondido también a la amenaza del Estado Islámico con ataques contra internet y otras redes de telecomunicaciones en Iraq y Siria (Cyber Command Attacking ISIS Computer Systems and Telephone Networks in Iraq and Syria).
  • Ucrania: Se registraron múltiples apagones atribuidos a ataques informáticos Rusos tan pronto como enero y tan tarde como el mismo diciembre. Un ejemplo fue la llamada Operation GroundBait. Algunos de los ataques rusos habrían provocado apagones como consecuencia de ataques a sistemas SCADA en las redes de distribución eléctrica. Por su parte hackers Ucranianos contestaron accediendo y publicando a información privada de uno de los principales consejeros del presidente Ruso.
  • India-Paquistán , se hicieron públicos datos de las operaciones Transparent Tribe y C-Major.


Sin duda todo lo acontecido en 2016 tendrá repercusiones duraderas en el próximo año. De continuar la tendencia actual veremos cada vez ataques gubernamentales mas audaces que tendrán consecuencias fuera del mundo ciber mas significativas.

domingo, 18 de diciembre de 2016

SmartScreen

SmartScreen es un mecanismo de seguridad de Microsoft que alerta a los usuarios cuando conectan a un sitio malicioso o cuando intentan ejecutar un fichero descargado que puede ser peligroso.

Está diseñado para ayudar a proteger a los usuarios contra los ataques de phishing, ingeniería social y de descarga drive-by, que intentan infectar un sistema.



SmartScreen está configurado por defecto en Internet Explorer a partir de su versión 9 (aunque en versiones anteriores existían ya algunas protecciones similares) y en Windows a partir de su versión 8.

Se basa en un sistema de reputación proporcionado por Microsoft. Cuando un usuario descarga un ejecutable que puede ser dañino, se calcula un resumen (hash) del mismo y se valida de forma online contra los servidores de Microsoft, cuando el usuario intenta ejecutarlo.

La reputación de un ejecutable se determina a partir de su hash y si va firmado mediante Authenticode a partir de la reputación del editor.

Un binario firmado por un editor de confianza no hará saltar la alerta de SmartScreen, aunque su hash sea desconocido.

Ejemplo de fichero EXE firmado:



La validación de la reputación se realiza solamente la primera vez que se ejecuta el programa descargado y queda almacenada en el sistema.

Para la validación se contacta con los servidores de Microsoft para obtener la calificación del programa ejecutado.

Ejemplo de petición efectuada para validar la reputación de un EXE:



Y respuesta positiva (allowed):



Si los servidores de SmartScreen no están disponibles, no es posible validar la reputación y se muestra un mensaje de alerta diferente:



De forma que hacer DoS a los servidores de Microsoft no es una opción completa para evadir la seguridad de SmartScreen. Aunque es un mensaje mucho menos alarmista que el primero.

Gracias a SmartScreen el número de infecciones por ataques de descarga drive-by se ha reducido considerablemente, aunque existen diversas técnicas para burlar su protección.

Algunas técnicas utilizadas para burlar la protección de SmartScreen son:
• Consiguiendo que el ejecutable gane reputación: Normalmente haciendo que tenga muchas descargas y que no haya reportes sobre comportamiento malicioso.
• Comprando un certificado Authenticode para firmar ejecutables y ganando reputación como editor. Ya que por sí sola la firma Authenticode no garantiza la conformidad de SmartScreen.
• Robando un certificado de un editor con buena reputación.
• Modificando un binario confiable ya firmado sin invalidar su firma.
• Colisión de hashes con un ejecutable con buena reputación.

Si no conseguimos la conformidad de SmartScreen siempre nos queda la opción  de aplicar ingeniería social y convencer al usuario para que ignore las alertas de seguridad y ejecute nuestro programa igualmente, pero lógicamente esta técnica es la más propensa a fallar.

SmartScreen es solo una primera barrera de protección y una tímida aproximación a las protecciones basadas en listas blancas (ya que alerta de aquellos ejecutables cuya reputación es desconocida).

Aun así, en entornos de alta seguridad es necesario acudir a herramientas de validación de reputación o basadas en listas blancas más restrictivas y que no permitan al usuario el ignorar las alertas de seguridad.

miércoles, 21 de septiembre de 2016

Ataques Evil-Maid

Un ataque de Evil-Maid es una técnica de explotación que consiste en manipular equipos desatendidos a los que se tiene acceso físico.

El nombre viene de que este tipo de ataques son realizados habitualmente en hoteles por parte de personas que se hacen pasar por limpiadoras.


Las formas más básicas de realizar un ataque de Evil-Maid consisten en reiniciar el equipo desde un dispositivo externo (usb, cd) con un sistema operativo apropiado (p.e. una distro Linux para forense) y montar el disco duro para obtener acceso a la información que contiene o bien extraer el disco duro directamente y montarlo en otro equipo.

Muchos seguramente habéis utilizado estas técnicas o similares, pero no con fines maliciosos, sino cuando se os olvida la contraseña del sistema o cuando tenéis que analizar un equipo de otro usuario.

A nivel corporativo o doméstico, este tipo de ataques pueden parecer algo poco habitual, solo al alcance de los servicios de inteligencia. Pero es algo cada vez más normal, dado que muchos solemos llevar dispositivos informáticos encima y dejarlos en hoteles, espacios de coworking, en el coche, etc.

Un ejemplo se dio en el famoso torneo EPT de Barcelona en 2013, donde varios jugadores descubrieron que sus portátiles habían sido manipulados:


En la última Blackhat/Defcon de las Vegas, varias personas hicieron fotos de sus equipos cuando los dejaban en el hotel y las compararon con cómo se los encontraron al volver de las charlas. Y sorpresa, algunos descubrieron que habían sido movidos, incluso a pesar de haberlos dejado en la caja fuerte:


En este caso si podemos suponer que se trata de la acción de profesionales. Y como se puede ver, incluso los profesionales pueden cometer errores. Esto otro le sucedió a un investigador de seguridad alemán en un hotel de Alemania, cuando dejo su PC en la habitación mientras impartía un curso de formación:


Y es que una de las dificultades de realizar este tipo de ataques es que pueden ser fácilmente detectados por usuarios precavidos.

Como medida de prevención, la mejor protección consiste en utilizar alguna herramienta de cifrado de disco, preferiblemente FDE (Full Disk Encryption) con una contraseña o llave introducida al arrancar, aunque incluso así nuestro equipo podría ser comprometido.

Joanna Rutkowska presento en 2009 una técnica para modificar el sistema de arranque de un equipo con Truecrypt y sustituirlo por una versión troyanizada que puede capturar la contraseña del sistema FDE. De forma similar se podría crear un bootkit para robar esta clave si estuviese almacenada en un dispositivo externo o se recibe por red.

Para evitar este tipo de manipulaciones lo recomendable es:
• Proteger la configuración de BIOS del equipo (desactivando el arranque desde dispositivos externos).
• Utilizar Safeboot o algún mecanismo similar para proteger el arranque.

Pero no es esta la única forma de recuperar las llaves de los sistemas de cifrado de disco. Si dejamos el PC encendido, estas pueden ser obtenidas de la memoria del equipo, mediante distintas técnicas:
• Extracción de memoria mediante DMA: Firewire, Thunderbolt, ExpressCard, etc.
• Ataques ColdBoot.
• Hibernando el equipo y copiando el fichero de hibernación (si no está cifrado).

Este año se ha presentado también una técnica para comprometer las llaves de cifrado de sistemas como Bitlocker si estas van asociadas a la cuenta de dominio del usuario, aprovechando varias vulnerabilidades descubiertas en el mecanismo de autenticación en red de Windows.

Una opción más segura contra este tipo de ataques es el uso de discos duros auto-encriptados (SED: Self Encrypting Disks) con autenticación en BIOS. En este caso el cifrado se realiza a nivel del disco duro y la clave de cifrado no queda nunca ni en memoria ni en disco. Aunque también existen vectores de ataque, especialmente si el equipo no está apagado.

Resumiendo, es difícil protegerse contra este tipo de ataques si se realizan por atacantes profesionales, de forma que es recomendable no dejar los equipos desatendidos y no viajar con datos sensibles, incluso aunque utilicemos cifrado.

Para los más paranoicos también podemos:
• No dejar nunca el equipo encendido o suspendido.
• Hacer fotos del equipo al dejarlo y verificar que no ha sido movido.
• Poner pegatinas o purpurina (patrón aleatorio) en los tornillos para detectar si el equipo ha sido abierto.
• Bloquear los conectores del equipo (sobre todo los puertos DMA e incluso los USB).

Por supuesto esto también se aplica a otros dispositivos como móviles, tabletas, etc…

martes, 30 de agosto de 2016

Seguridad o Seguridad

En ingles tenemos 2 términos: "safety" y "security", que nos permiten separar en 2 categorías los riesgos de seguridad a los que se enfrenta una organización.

Por un lado "safety" se refiere a los riesgos derivados de eventos accidentales o aleatorios; desastres naturales, errores humanos, accidentes, fallos no intencionados, etc.

Y por otro lado "security" se refiere a los riesgos derivados de un oponente o atacante intencionado; sabotajes, robos, fraudes, etc.

En el mundo de la ciberseguridad es importante tener claras las diferencias, ya que las herramientas y las estrategias son distintas. Por desgracia en castellano el termino "seguridad" es ambiguo y es habitual que las organizaciones confundan sus 2 vertientes.

Muchas organizaciones meten en el mismo saco ambos tipos de riesgos, por ejemplo a la hora de realizar un análisis de amenazas. Lo que suele derivar en una estimación de riesgos no adecuada, sobre todo de cara a prevenir los ataques intencionados.

Me resultan chocantes los análisis de riesgos que determinan bien de forma subjetiva o bien de forma objetiva (pretendidamente), el riesgo de determinados sucesos. Por ejemplo el riesgo de "ataques con malware" (visto en varios análisis de riesgos reales).

Primero estamos metiendo en el mismo cajón todos los tipos de malware, que son muchos. Pero lo peor es que estamos agrupando amenazas muy diferentes; aquellas que provienen de atacantes oportunistas y aquellas que provienen de atacantes dirigidos.

Podemos intentar realizar una aproximación mas o menos acertada de la probabilidad de un ataque oportunista, aunque sea una variable que esta continuamente evolucionando y además depende en gran medida del sector y de la tecnología utilizada.

Pero no podemos evaluar en términos de probabilidad los ataques por parte de un oponente decidido y persistente. Bueno, si podemos dar una cifra, la probabilidad de un ataque de este tipo (si tenemos enemigos dentro de esta categoría) es de un 100% ya que sabemos que van a atacar tarde y temprano. Además sabemos que elementos van a atacar: todos los activos que tengamos expuestos o accesibles de algún modo y principalmente aquellos mas vulnerables.

Es mas, un atacante dirigido va a modificar su estrategia dependiendo de la que tomemos nosotros. Si protegemos un determinado frente, va a tacar por otro lado, de forma que un análisis de riesgos estático quedara rápidamente invalidado.

Si metemos todos los riesgos o todos los atacantes dentro de una misma categoría, vamos a realizar una estimación muy poco acertada de las amenazas reales a las que se va a enfrentar una organización y por tanto no vamos a dimensionar correctamente nuestra estrategia de defensa.

Si queréis ver una "evaluación de riesgos" realmente practica y completa, en el caso de ataques dirigidos, os recomiendo el visionado del siguiente vídeo de Rob Joyce, director del TAO de la NSA:



Os recomiendo apuntar todas sus recomendaciones y evaluar si vuestra organización las lleva a cabo. Si la respuesta es negativa y os enfrentáis a oponentes dirigidos, probablemente alguien no ha hecho un análisis adecuado.

lunes, 25 de abril de 2016

¿Qué ha pasado con los DDoS? (Repaso histórico)



Siempre me he quejado del abuso de las modas en ciberseguridad. Cada año una amenaza o riesgo se convierte en la conversación estrella y parece que es lo único que preocupa a las organizaciones. Se olvida todo lo demás y se invierte en productos o servicios que al poco tiempo quedan en el olvido.

Un caso extremo ha sido el de los ataques de denegación de servicio distribuidos o DDoS. Hace unos años eran el terror de las organizaciones y ahora la mayoría de responsables los han olvidado. Ya no son noticia de portada, ya no mueven tanto dinero, ya no dan tanto miedo.

¿Sera porque las organizaciones ya no son vulnerables a este tipo de ataques?

NO. La mayoría son igual de vulnerables que hace un par de años, unas cuantas han realizado inversiones en equipos o servicios para protegerse, pero muy pocas han entrenado y han puesto realmente en forma sus defensas.

Mientras tanto los “malos” si han mejorado sus técnicas y profesionalizado sus estrategias.

Los DDoS han seguido el proceso habitual de evolución de la mayoría de amenazas importantes a nivel de ciberseguridad. También las tecnologías de protección asociadas, aunque tal vez con un ritmo mayor del habitual:

Fase inicial: Finales de los 90 y principios de los 2000

Es difícil encontrar cual fue el primer ataque DDoS a gran escala. Por aquella época ya eran habituales los ataques distribuidos contra servidores de IRC.

La amenaza era poco conocida, solo algunos aficionados empiezan a probar el potencial de daño de estos ataques. Las técnicas son muy básicas y hay pocas herramientas disponibles y son muy sencillas (pruebas de concepto en su mayoría).

En 1996 se publica el primer exploit para hacer ataques de Ping-of-Death, que se basa en el envío de paquetes ICMP de gran tamaño y cuya técnica luego será utilizada como base en multitud de ataques DDoS.

También en 1996 se publica la primera prueba de concepto para realizar ataques de TCP SYN-FLOOD, aunque esta técnica se conocía ya anteriormente.

En 1997 se publica el código original del ataque SMURF (DDoS mediante reflexión de ICMP).

Ejemplo de ataque SMURF, uno de los primeros ataques DDoS por reflexión:



Fase de impacto: Mediados de los 2000

Algunos sitios importantes tales como Yahoo, eBay, CNN, Amazon o ZDNet, son víctimas de ataques realizados por aficionados o pequeños grupos. Todavía la finalidad de muchos de estos ataques no es económica.

Se empiezan a organizar unos pocos grupos profesionales que realizan los ataques de forma planificada y causan un gran impacto en sus objetivos ya que estos no están aún preparados ante el nuevo tipo de ataques. Las técnicas siguen siendo básicas, pero las herramientas empiezan a ser más avanzadas.

La mayoría de ataques son aun de tipo volumétrico pero empiezan a utilizarse cada vez más ataques a nivel de aplicación.

En 2004 se publica la primera versión de LOIC una herramienta para hacer DDoS de manera colaborativa. Esta herramienta y algunas de sus variantes han sido utilizadas habitualmente por grupos hacktivistas.

En 2005 se produce el primer ataque DDoS realizado mediante reflexión de DNS.

En 2006 se publican varias herramientas para realizar ataques mediante reflexión de DNS y NTP.

Fase de revolución: Finales de los 2000 y principios de los 2010

Los cibercriminales descubren la facilidad de realizar ataques DDoS y empiezan a monetizar de forma masiva los mismos mediante extorsión.

Los grupos hacktivistas también empiezan a utilizar de forma habitual los ataques DDoS de manera organizada.

Demostrado el gran impacto de esta amenaza, todo el mundo quiere subirse al carro. Por parte de los atacantes, se crean muchos grupos de aficionados y profesionales que quieren sacar partido de este ataque de moda. También aparecen multitud de vendedores de productos y servicios para intentar solventar el problema. Las técnicas empiezan a mejorarse, pero siguen siendo relativamente básicas. Se produce un aumento en el número y la complejidad de las herramientas disponibles.

En abril de 2007 se producen una serie de ataques de DoS coordinados contra Estonia, inundado los sitios web de las principales empresas y organismos. Los ataques fueron realizados mediante Ping floods, Smurf y otros ataques volumétricos. Este fue uno de los primeros ataques masivos atribuidos a una organización criminal promovida por un gobierno.

En 2009 se publica el código original del ataque Slowloris, ataque que demostró la posibilidad de provocar un gran impacto a nivel de aplicación incluso con un bajo flujo de conexiones.

Fase de madurez: Desde mediados de los 2010

Los cibercriminales tienen acceso a una gran variedad de métodos para realizar DDoS.

Se produce un proceso de selección en ambos bandos. Quedan menos grupos atacando, pero son más profesionales y el volumen de negocio prácticamente se mantiene. Quedan menos fabricantes y desparecen los “vendedores de humo”. Empiezan a utilizarse técnicas avanzadas pero las herramientas de código libre dejan de evolucionar o se hacen de pago.

A principios de 2013 se produce un ataque masivo contra Spamhaus que llega a picos de 85Gbps, generados mayoritariamente mediante amplificación de DNS.

También en 2013 se produce la caída de varios sitios web públicos de la OTAN, debido a un ataque DDoS realizado de forma organizada como resultado de las tensiones sobre Crimea. También atribuido a organizaciones criminales afines al gobierno ruso.

En Febrero de 2014 Cloudflare sufre un ataque que llega a picos de 325Gbps, realizado mediante reflexión de NTP.

En abril de 2015 se detecta un ataque que llega a los 334Gbps contra un operador de red de Asia, utilizando también técnicas de amplificación de protocolos UDP.

A finales de 2015 el grupo Anonymous reclama la autoría de un ataque de 40Gbps contra servidores en Turquía, en represalia por su supuesto apoyo al Daesh. Este es uno de los múltiples DDoS organizados por este grupo en los últimos años, aunque no suelen ser ataques demasiado exitosos en comparación con los realizados por organizaciones profesionales.

En enero de 2016 se produce un ataque contra varios sitios asociados a la BBC, alcanzando picos de 602Gbps, supuestamente utilizando servidores hospedados en Amazon AWS.

Evolución del volumen máximo de los ataques DDoS publicados:

 
Desde el punto de vista de la ciberdefensa el uso de DDoS con motivaciones políticas o terroristas empieza a ser habitual, aunque queda eclipsado en los medios de comunicación por los ataques realizados con fines económicos que suelen ser más voluminosos, aunque de menor duración.

A la hora de prevenir estos ataques es necesario conocer sus diversas formas y motivaciones, con el fin de disponer de los medios técnicos necesarios para contrarrestarlos en caso de que se produzcan.
 


 




lunes, 25 de enero de 2016

¿Serán vulnerables a ciberataques los futuros drones militares españoles?

“Narcotraficantes mexicanos consiguen hackear el futuro dron del ejército español” con este sorprendente titular el medio ECD (El Confidencial Digital) presentaba un articulo hace unos días. En él se aseguraba que los UAV (Unmanned Aerial Vehicle, los vulgarmente conocidos drones) que piensa adquirir el Ejército del Aire Español serian susceptibles de ataques similares a los sufridos por drones utilizados en la vigilancia de la frontera México-Estados Unidos.


El modelo en particular elegido por el Ejército del Aire es el  MQ-9 Reaper , una de las versiones mejoradas del famoso Predator. Se trata de un salto sustancial respecto a los aparatos de menor tamaño y capacidades actualmente operados en España. El Reaper además de misiones de reconocimiento puede ser armado, aunque en la versión española al menos en un principio no se utilizara esta opción destinándose el aparato únicamente para tareas de vigilancia.

La susceptibilidad de los drones a posibles ciberataques es algo ampliamente debatido, aunque existe poca información fiable cuando se refiere a la vulnerabilidad de los sistemas militares. Fue muy publicitada la captura por parte de Irán de un drone stealth del tipo RQ-170 en Diciembre de 2011 pero nunca quedo clara la causa exacta, si fue un accidente del drone, una toma de control mediante hacking, uso de perturbación de señales de satélite o alguna combinación de factores.

Lo que sí es cierto es que Diciembre del pasado año se provoco un gran revuelo cuando Timothy Bennett, program manager de ciencia y tecnología del DHS (Departamento Home Land Security EEUU) declaro a la revista Defense One que los grupos de narcotraficantes que operan en la frontera de México dispondrían de la capacidad de interferir el funcionamiento de los drones de la policía fronteriza (Defense One "DHS: Drug Traffickers Are Spoofing Border Drones") . No obstante tal como comenta el articulo de Defense One que es la fuente primaria de todos los demás artículos en Internet sobre este tema, los mas susceptibles serian los drones de pequeño tamaño , que bien por sus limitaciones físicas para portar electrónica avanzada o por provenir gran parte de sus tecnologías del mundo civil que no disponen de protección frente a los ataques a la señal de GPS. El articulo efectivamente menciona al MQ-9 pero no como un drone vulnerable, todo lo contrario enmarcado en los datos del aumento de capacidades del departamento de interior de EEUU en lo que respecta a aparatos aéreos no tripulados.

Ciertamente los drones menos capaces dependen de la señal de GPS civil , que no dispone de características de seguridad y es por tanto susceptible a ataques. Estos ataque podrían consistir tanto en la perturbación de la señal mediante interferencias como en la suplantación. Este último tipo ataque mas sofisticado fue demostrado en DEFCON 23 por los investigadores Lin Huang y Qing Yang de la empresa china de seguridad Qihoo 360 (Low-cost GPS Simulator). Usando dispositivos del tipo SDR fueron capaces de suplantar la señal civil "en claro" de GPS , afectado a un drone comercial tipo quadcopero como es el DJI Phantom. Estas investigaciones se unen a otras similares como la de estudiantes de la Universidad de Texas (UT Austin Researchers Successfully Spoof an $80 million Yacht at Sea) o " Is Your TimeSpace Safe? Time and Position Spoofing with Open Source Projects" de Alibaba Mobile Security.

Pero podemos ir mas alla en el tema que nos ocupa. Un rápido análisis de fuentes abiertas disponibles sobre esta futura compra nos descubre las características del MQ-9 Reaper que adquirirá España y parece que en un principio podremos respirar aliviados pues las vulnerabilidades anunciadas por ECD no parecen tales.

Como toda venta de material sensible de defensa de EEUU esta debe de ser aprobada por el congreso, este material sensible incluye los drones, pero también otros componentes como sistemas de comunicaciones, radares o posicionamiento avanzados. En particular la futura venta declarada a España según documentos publicos en la agencia que controla las ventas militares norteamericanas , la Defense Security Cooperation Agency en "Foreign Military Sale to Spain for MQ-9 Block 5 aircraft and associated equipment,"  se compone de los siguientes elementos.

The Government of Spain requested a possible sale of:
Major Defense Equipment (MDE):
Four (4) MQ-9 Block 5 Remotely Piloted Aircraft
Twenty (20) Embedded Global Positioning System/Inertial Guidance Unit (EGI) (3 per aircraft, and 8 spares)
Two (2) Mobile Ground Control Stations (MGCS)
Five (5) Multi-Spectral Targeting Systems (MTS-B) (1 per aircraft, 1 spare)
Five (5) Synthetic Aperture Radar, Lynx AN/APY-8 (1 per aircraft, 1 spare)

En esta lista vemos que el segundo elemento declarado son 20 unidades sistemas de  posicionamiento EGI , el propio nombre indica que se trata de unidades duales que combinan los sistemas GPS/INS. Un sistema de navegación inercial, o INS por sus siglas en inglés (Inertial Navigation System), es un sistema de ayuda a la navegación que usa un computador, sensores de movimiento (acelerómetros) y sensores de rotación giroscópicos para calcular continuamente mediante estima la posición, orientación, y velocidad (dirección y rapidez de movimiento) de un objeto en movimiento sin necesidad de referencias externas. Es usado en vehículos como barcos, aeronaves, submarinos, misiles, y naves espaciales. Una de sus características es que no necesita de ninguna señal externa, y por tanto es imposible de interferir. Al tiempo que tampoco emite ningún tipo de señal que pueda utilizarse para detectar su presencia.
Honeywell EGI

Si proseguimos con nuestra busqueda de información, de nuevo públicamente accesible, sobre el sistema Embedded Global Positioning System/Inertial Guidance Unit (EGI) encontramos que es fabricado por el contratista de defensa Honeywell (actualmente Northrop Grumman) que ofrece los modelos LN-100G Embedded INS/GPS (EGI) , LN-251 y LN-260 Advanced Airborne INS/GPS (AEGI).Según la información del fabricante, todos ellos incorporan la tecnología PPS y SAASM.

The LN-100G provides three simultaneous navigation solutions: hybrid GPS/INS, Free Inertial, and GPS Only. The LN-100G has been integrated with All-In-View GPS, both Precise Positioning Service (PPS) (P(Y) and SAASM codes) and Standard Positioning Services (SPS), to provide users with superior navigation performance for geo-location and transfer of remote sensors.

La señal de GPS en realidad un conjunto de diversas señales que a su vez se transmiten en varias frecuencias distintas desde los satélites de órbita media de la constelación NAVSTAR. La señal que habitualmente usamos en nuestros navegadores , smartphones, etc es la conocida como L1-C/A , la señal civil transmitida en la frecuencia L1 en 1575.42 MHz . Sin embargo los usuarios militares disponen de un mayor número de señales, en frecuencias distintas y protegidas mediante diversas arquitecturas cifrado.   Esta señal cifrada PPS tenía originalmente la finalidad de denegar el uso al enemigo de la señal GPS de mayor precisión y se apoyaba en una señal civil que contenía un margen de error deliberado S/A, algo que se desactivo en mayo de 2000. Posteriormente y para combatir la posibilidad de la suplantación (Spoofing) de la señal GPS se creó el sistema SAASM (Selective Availability Anti-spoofing Module) asociado a la señal P(Y). SAASM permite autenticar la señal de los satélites así como la distribución de claves a receptores a través del aire. No incorpora por si mismo capacidad frente ataques brutos de perturbación de la señal, aunque la disponibilidad de frecuencias distintas con un nivel de señal mas alto que el GPS civil, y el uso de antenas que pueden anular la dirección de origen de una señal de interferencia dificultan este tipo de ataques.



En vista de estos datos, podemos concluir que finalmente ¿serán los futuros dones Españoles seguros a ataques? Difícilmente se puede afirmar , máxime sistemas que ni siquiera están en servicio, lo que sí parece quedar claro es que NO serán vulnerables al ataque en particular (spoofing de la señal civil de GPS) que publica ECD.

Estación de control de UAV Predator MQ-1. Curiosidad: arriba-derecha una ventana de mIRC para windows (Articulo sobre uso militar del IRC).

Lo que no es menos cierto es que un UAS (Unmanned Aircraft System) se compone o hace uso de una gran variedad de sistemas de comunicaciones, posicionamiento, navegación aérea, así como elementos en tierra como estaciones de control. En todos ellos pueden darse diversos escenarios de ataque. Estos pueden ir desde la introducción deliberada o accidental de malware en la estación de control, de lo que ya existen precedentes (Wired Exclusive: Computer Virus Hits U.S. Drone Fleet) al compromiso de sistemas de terceros necesarios para su misión, incluyendo al jamming de sistemas de navegación. Ahora bien el Ejército del Aire ejercita habitualmente sus capacidades de defensa tanto en guerra electrónica, en ejercicios periódicos como el “Nube Gris” como la Ciberdefensa. Aspecto este ultimo reforzado el año pasado con la creación del  Centro de Operaciones de Seguridad de Ciberdefensa del Ejército del Aire. Así pues podemos confiar que llegado el caso no se lo pondrán nada fácil a posibles “hackers de drones”.