El peligro de las falsificaciones chinas.

Diversos medios norteamericanos se hacen eco en las ultimas horas de una sorprendente noticia: "Piezas chinas falsificadas en aviones militares de Boeing y L3". (BusinessWeek “ChinaCounterfeit Parts in U.S. Military Boeing, L3 Aircraft “). Según  nos cuenta esta crónica componentes electrónicos de inferior calidad habrían acabado siendo instalados en aeronaves de combate norteamericanas, incluyendo modelos que actúan en el conflicto de Afganistán, como el transporte C-130J Hércules o  el helicóptero de ataque AH-64. El problema afectaría incluso al reciente avión de patrulla marítima P-8A Poseidon,  así nos lo cuenta DefenseTech en el articulo “Counterfeit Parts Found on P-8 Posiedons”.

Y es que la cuestion de los productos falsificados va más allá de la ropa, los complementos de moda o el calzado. China produce diariamente millones de artículos falsos, y entre ellos se incluyen componentes electrónicos: desde simples circuitos integrados hasta dispositivos electrónicos complejos completos.  Al contrario que las típicas imitaciones de mercadillo chinas que fácilmente saltan a la vista estos componentes reproducen las inscripciones, marcajes, dimensiones y diseños de tal forma que fácilmente pueden pasar por los productos originales.

En ocasiones estos componentes acaban en las cadenas de suministro internacionales y así finalmente en el interior de todo tipo de productos de reconocidas marcas, incluso como es el caso que nos ocupa fabricantes del sector de defensa. Estos elementos, como suele ocurrir con las imitaciones son en su mayoría clónicos que han pasado un escaso o nulo control de calidad, y que por tanto si se emplean en sistemas armamentísticos pueden llegar a poner peligro la seguridad de los militares que hacen uso de los sistemas afectados, a la capacidad militar de los ejercitos que los usan y en última instancia la propia seguridad nacional de los países afectados.

La información original de la noticia que nos ocupa parte de un documento del comité del senado norteamericano para las fuerzas armadas. La situación no es nueva y ya se venía comentando en círculos de defensa , "Dangerous fakes", lo preocupante es que el número de casos detectados va en aumento. Según el informe del senado norteamericano los casos detectados dentro de la cadena de suministro del Departamento de Defensa habrían pasado de  3.868 incidentes en 2005 a 9.356 incidentes tres años despues.

Aunque el problema que pone de relevancia el informe es el que afecta a sistemas de defensa, tampoco se puede obviar que situaciones similares pueden afectar a otros entornos críticos como dispositivos de control industrial, sistemas médicos de soporte vital o dispositivos de comunicaciones usados en situaciones de emergencia. Y si puede afectar a sistemas como esos podemos dar por seguro que nuestras redes caseras o empresariales tampoco pueden quedar a salvo.

El peligro está en que estos componentes supuestamente son idénticos a los originales pero realmente solo lo son en apariencia, normalmente las especificaciones de fabricacion son muy inferiores a las de los productos originales. Pongamos por caso el de los fabricantes de microchips, como pueden ser  circuitos lógicos, micro-controladores, etc. Estos se suelen ofrecer en muchas ocasiones en dos líneas diferenciadas, la de uso estándar, destinados para la electrónica de consumo y que suele tener unas tolerancias acordes con este empleo, digamos por ejemplo un rango garantizado de funcionamiento dentro del marguen de temperaturas de 0C to +70 grados centígrados. Mientras que por otro lado suele existir una línea de tipo industrial que garantiza esos mismos componentes con unas mayores calidades,  ya sean unas  tasas de fallo inferiores o unas tolerancias ambientales superiores,  siguiendo con el ejemplo de las temperaturas un valor típico industrial seria de -40C a +85C. Esta segunda línea normalmente suele ser más cara que la primera, eso la convierte también en un objetivo ventajoso para el falsificador, a él realmente le cuesta lo mismo etiquetar su producto como uno u otro. Por ello un componente que seguramente ni siquiera pasaría los estándares de calidad de uso casero  puede acabar integrado en sistemas como automóviles, aviones, maquinaria industrial, etc.

El problema de los productos falsificados alcanza incluso a los dispositivos y electrónica de red. En otra noticia reciente (“Selling fake Cisco gear lands Kansas man in prison for 27 months”) el cerebro de una operación de importación de equipos falsificados era sentenciado a mas de dos años de cárcel.  El delito, importar equipos que imitaban a los de Cisco , el líder mundial en soluciones de redes y cuyos equipos muy posiblemente sostienen la mayor parte del trafico de internet. Y es que este conocido fabricante es una de las principales víctimas de la falsificación de de componentes, desde módulos interfaces de red hasta firewalls PIX completos.

Y es aquí donde nos encontramos con el segundo riesgo por el uso de involuntario de imitaciones, la posibilidad de introducir vulnerabilidades en nuestras redes. Porque cuando empleamos un clónico no soportado por el fabricante oficial ¿quién nos asegura que el producto contiene la última versión disponible del firmware o sistema operativo que se ejecuta el dispositivo? Ya no solo pudiera ser que el falsificador use una versión antigua, y por tanto más vulnerable,  si no que es incluso posible que la versión incluida sea una parcheada para funcionar con el hardware clonado, diferente al original, y que la actualización a una versión oficial actualizada no funcione correctamente o sea directamente imposible de instalar.

Peor aún, en un dispositivo de red falso, ¿Cómo sabemos que el dispositivo no viene con una configuración de fábrica totalmente insegura acorde con la irrisoria calidad del producto? ¿Quién nos garantiza que dentro del firmware o del diseño electrónico no se esconde ninguna sorpresa en forma de caballo de Troya? Algunos analistas ya han especulado en la posibilidad de que fabricantes con intenciones maliciosas o  incluso el propio gobierno chino puedan aprovechar que los productos en el pais asiatico acaben integrados en los sistemas de defensa de sus potenciales enemigos, pudiendo añadir intencionadamente algún tipo de fallo o puerta trasera que permita tomar el control del sistema o deshabilitarlo de forma remota en caso necesario.

Ataques DoS como herramienta de intrusión

Normalmente cuando se habla de denegaciones de servicio (DoS, Denial of Service) se suele entender un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Una técnica habitual es la sobrecarga de conexiones o peticiones hasta que el servicio llega al límite de su capacidad. Usualmente los ataques DoS se consideran un fin en sí mismos, el objetivo es que el sistema deje de responder.

Sin embargo un ataque DoS puede ser usado como parte de un asalto más sofisticado, existen escenarios en los que deshabilitar un sistema forma parte de los requerimientos para un ataque exitoso. Un ejemplo clásico de esto son los ataques basados en IP-Spoofing , en ellos un atacante falsifica la dirección de un tercero en sus comunicaciones con un objetivo. Si se trata de un spoofing de protocolo TCP tiene el inconveniente de que las respuestas del objetivo llegan de vuelta hasta ese tercer sistema por ser suya la dirección IP de origen falsificada. Este tercer sistema al recibir un SYN+ACK fuera de secuencia responde con un RST cortando la comunicación y terminando por tanto el intento de IP-Spoofing. Por ello para que un ataque de este tipo tenga éxito es necesario primero deshabilitar al tercer sistema, por ejemplo mediante un SYN flood. (Para saber más de este tipo de ataque)

Otro contexto seria la denegación de servicio de un sistema centralizado, por ejemplo de autenticación o de logging, para así debilitar la seguridad de los sistemas que dependen de él.

Veamos un ejemplo concreto de forma practica:

Supongamos a un atacante que desea penetrar en una red comprometiendo un router A , router CISCO con IP 172.21.1.1, este router esta correctamente asegurado y dispone de la última versión de IOS. Sin embargo el atacante ha podido hacerse con acceso físico a un router B que se supone tendrá los mismos parámetros, mediante el procedimiento de recuperación local ha conseguido hacerse el fichero de configuración.

Analizado el fichero del router B descubre la siguiente configuración:

aaa new-model

aaa authentication login default tacacs+ local

tacacs-server host 10.130.1.1

tacacs-server key secreto

O lo que es lo mismo el router tiene como sistema principal de autenticación un servidor tipo TACACS+ con ip 10.130.1.1 donde se encuentran los nombres de usuario y contraseñas autorizadas, si falla la conexión con este sistema se emplean los nombres de usuario y contraseñas almacenadas en local. En este caso:

enable secret 5 $1$B8pH$PmmcMRoqfeEtQ7WxL865a0

username abc secret 5 $1$fBYK$rH5/OChyx/

Si bien las password se encuentran en formato hash MD5, un ataque de cracking determina que el acceso con nivel enable es mediante la password “password”. Mientras que el usuario “abc” tiene la password “xyz”. El problema para nuestro intruso es que no es posible usar este usuario local en el RouterA a menos que el servidor TACACS+ deje de funcionar.

Asumiendo que el atacante tiene una conexión lo suficientemente buena con el servidor TACACS+ , podría hacer un simple pero efectivo SYN flood contra el puerto 49 usado por este servicio para así dejarlo inaccesible para terceros. Para ello podría por ejemplo usar la herramienta hping.

./hping2 10.130.1.1 -p 49 -S -a 172.21.1.1 -i u1

Con esto el servidor de autenticación recibiría una avalancha de paquetes SYN con la ip de origen del routerA y se vería imposibilitado para responder las verdaderas peticiones del routerA, que pasaría a usar la autenticación local.

Así nuestro atacante solo tendría que acceder mediante telnet al router objetivo, routerA, pudiendo usar las password locales que previamente extrajo de routerB. Con ello logra acceso total a dicho router y por extensión a las redes que conecta el mismo.

Como vemos en este ejemplo mediante un DoS hemos logrado el acceso a un sistema.

Modifiquemos ahora nuestro escenario y supongamos que nuestro atacante forma parte de un Tiger Team gubernamental durante un hipotético conflicto u operación de ciberinteligencia se abrirían nuevas vías para realizar ataques DoS que serian inimaginables en un ataque informático tradicional. Nos referimos al DoS físico, es decir la inutilización o destrucción material del sistema o de sus conexiones.

Por ejemplo en caso de conflicto se podría ordenar el bombardeo sobre unas instalaciones donde se ubican los servidores que se pretende deshabilitar, o se podría enviar un equipo de fuerzas especiales para cortar un enlace terrestre de fibra óptica y obtener el mismo resultado. El objetivo puede ser la denegación en servicio en si misma, o como veíamos en el ejemplo el facilitar acceso en otros sistemas. Estaríamos ante el caso de una acción militar convencional sirve como medio o multiplicador de efectos para un ataque informático.