[LACNIC/Seguridad] Fwd: [seguridad] Seguridad de la Información: "Stuxnet: ¿Primera Gran Batalla de la Guerra Digital?"

Jose Miguel Parrella Romero joseparrella en gmail.com
Mar Dic 7 18:31:30 BRST 2010 

Leyendo el artículo de la gente de Siemens veo que no solo los PLC  
Simatic se infectan, sino también equipos con Windows XP. A pesar de  
que sí hay usuarios del PLC Simatic en Ecuador (una búsqueda rápida  
arroja pruebas realizadas en las dos principales universidades  
técnicas ESPOL y EPN) pensaría que el reporte de MSFT toma en cuenta  
también equipos con Windows y no solamente PLCs.

Quoting Arturo Servin <aservin en lacnic.net>:

>
> 	Considerando que Stuxnet está especializado en modificar solo  
> cierto tipo de dispositivos es raro que Ecuador esté tan algo.
>
> 	Algún programa nuclear o que use equipo Siemens con  
> "requency-converter drives" entre 807 y 1210 Hz? (suena medio de  
> broma pero pudiera ser la razón).
>
> http://www.wired.com/threatlevel/2010/11/stuxnet-sabotage-centrifuges/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+wired27b+(Blog+-+27B+Stroke+6+(Threat+Level))
>
> "Security firm Symantec recently determined that the malware  
> specifically targets Siemens systems that are used with  
> frequency-converter drives made by two firms, one based in Iran and  
> one in Finland. Even more specifically, Stuxnet targets only  
> frequency drives from these two companies that are also running at  
> high speeds -- between 807 Hz and 1210 Hz."
>
> 	Ahora, como todo virus es posible que haya mutado para otros fines.
>
> Saludos,
> -as
>
> On 7 Dec 2010, at 01:32, José Miguel Parrella Romero wrote:
>
>> Hola,
>>
>> Actualmente estoy basado en Quito, Ecuador, y me llamó mucho la
>> atención este reporte de MSFT donde muestran a Ecuador en 4to. lugar  en
>> infecciones por Stuxnet:
>>
>> http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
>>
>> A falta de CERT, he intentado relacionarme con algunos otros
>> profesionales de la seguridad informática para conocer quién pudiera
>> ser el afectado localmente pero aun no doy en el blanco.
>>
>> Quoting Fernando Gont <fernando en gont.com.ar>:
>>
>>> FYI
>>>
>>> -------- Original Message --------
>>> Subject: 	[seguridad] Seguridad de la Información: "Stuxnet: ¿Primera
>>> Gran Batalla de la Guerra Digital?"
>>> Date: 	Mon, 06 Dec 2010 16:03:31 -0300
>>> From: 	ArCERT - Alertas <alertas en arcert.gob.ar>
>>> Organization: 	ArCERT
>>> To: 	Lista de Seguridad <seguridad en arcert.gov.ar>
>>>
>>>
>>>
>>> Secretaría de la Gestión Pública. Jefatura de Gabinete de Ministros
>>> */Stuxnet: ¿Primera Gran Batalla de la Guerra Digital?/
>>> *
>>> *ArCERT - Informa: *
>>> En Junio de 2010 una empresa Bielorrusa llamada VirusBlokAda descubre el
>>> gusano Stuxnet. Es el primer virus conocido cuyo objetivo son los
>>> sistemas de control industrial, más específicamente los sistemas SCADA
>>> (Supervisory Control And Data Acquisition) desarrollados por Siemens.
>>>
>>> La preocupación por Stuxnet se fundamenta en el hecho de que requiere la
>>> presencia de ciertos dispositivos de conversión de frecuencia: aquellos
>>> producidos por Vacon (Finlandia) y Fararo Paya (Irán). Estos tipos de
>>> dispositivos son utilizados en el proceso de enriquecimiento de Uranio,
>>> entre otras aplicaciones industriales específicas. A su vez, posee
>>> capacidad de reprogramación de equipamiento PLC (Programmable Logic
>>> Controller), y rutinas para ocultarse dentro de los mismos.
>>>
>>> El conocimiento sobre procesos industriales, el hecho de que Stuxnet
>>> integre 4 ataques "Zero-Day" de Windows (los cuales son muy valorados
>>> por los atacantes, por lo que es raro ver más de uno en uso, menos aún
>>> 4, en un mismo software malicioso), el hecho de que esté firmado
>>> digitalmente por certificados legítimos robados de dos autoridades
>>> certificantes (JMicro y Realtek), y el objetivo SCADA transforman a este
>>> gusano de Internet en el vivo ejemplo del más avanzado Ciberterrorismo.
>>>
>>> A raíz de estos acontecimientos, la División de Ciberseguridad Nacional,
>>> una agencia Norteamericana dependiente del Departamento de Seguridad de
>>> Estado, ha puesto en operación el /Programa de Seguridad de Sistemas de
>>> Control/, un equipo CERT de respuesta ante incidentes vinculados a los
>>> ataques a sistemas de control mencionados.
>>>
>>> Nuestro país no ha sido, aparentemente, objetivo de los ataques, pero
>>> China ha tenido 6 millones de infecciones, valor que no está confirmado
>>> y que no es ni comparable con los casi 63 mil infecciones en Irán o casi
>>> 3 mil de los Estados Unidos.
>>>
>>> A fines de Noviembre de 2010 se confirma que Stuxnet, o una variación
>>> del mismo, ha sido intercambiado en el mercado negro.
>>>
>>> El lunes 29 de Noviembre de 2010 Irán confirma que el ataque producido
>>> por Stuxnet ha afectado a su programa nuclear.
>>>
>>> Es, sin lugar a dudas, un momento clave en la historia de la seguridad
>>> informática.
>>>
>>> *Referencias*:
>>> Más información sobre esta Alerta:
>>>
>>> Schneier
>>> http://www.schneier.com/blog/archives/2010/10/stuxnet.html
>>>
>>> Symantec:
>>> http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
>>>
>>> Hispasec:
>>> http://www.hispasec.com/unaaldia/4382/exitos-fracasos-stuxnet
>>> http://www.hispasec.com/unaaldia/4383/exitos-fracasos-stuxnet
>>> http://www.hispasec.com/unaaldia/4384/exitos-fracasos-stuxnet-iii
>>>
>>> Wikipedia (español):
>>> http://es.wikipedia.org/wiki/Stuxnet
>>>
>>> Wikipedia (inglés - completo):
>>> http://en.wikipedia.org/wiki/Stuxnet <http://en.wikipedia.org/wiki/Stuxnet>
>>>
>>> Si Ud. no desea recibir más información de esta lista por favor envíe un
>>> mensaje a: seguridad-unsubscribe en arcert.gov.ar
>>> <mailto:seguridad-unsubscribe en arcert.gob.ar>
>>>
>>> Secretaría de la Gestión Pública. Jefatura de Gabinete de Ministros
>>>
>>> Secretaría de la Gestión Pública - Av. Roque Sáenz Peña 511 (C1035AAA)
>>> Ciudad Autónoma de Buenos Aires - República Argentina
>>>
>>>
>>
>>
>>
>> --
>> José Miguel Parrella Romero
>> bureado.com
>>
>> ----------------------------------------------------------------
>> This message was sent using IMP, the Internet Messaging Program.
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>





----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

Más información sobre la lista de distribución Seguridad