Edu Lartzanguren / 2016-10-28 / 1060 hitz
Inoizko zibererasorik handienetakoa egin zuten duela astebete, Internetera loturiko milaka etxetresna bahituta. Nork egin duen ez dakite, baina gauza bat ziurra da: indar erakustaldi bat besterik ez zen izan, eta edonoiz egin ahalko dute berriz, Gauzen Internet behar zuena ‘Kakaren Internet’ bihurtu baita.
Benetan gertatu da, joan zen igandean, eta Nafarroako ubideak zortea izan du, euren sisteman sartu direnak ez direlako asmo gaiztoko hackerrak, baizik eta segurtasun informatikoarekiko kezkaz aritzen den La 9 de Anon taldeko hacktibistak.
Alta, ez ziren asmo onekoak duela zazpi egun inoizko erasorik handienetako bat egin zutenak. Ostiral arratsaldez, Twitter, PayPal, Spotify, Netflix, The Guardian eta beste gune asko ?zerrenda oso luzea da? saretik at utzi zituzten hainbat orduz.
Jadanik oso ezaguna da gertatutakoa: teknologia gailu merkeak erabili zituzten erasoa gauzatzeko, hau da, Txinan eginiko webcamak, bideo grabagailu digitalak, routerrak, inprimagailuak… Internetera sartzeko ahalmena baina inongo segurtasunik ez duten gailuak, alegia. Milaka horien kontrola eskuratu zuten hackerrek, jabeek halakoen pasahitzak aldatzeko ohitura ez dutela baliatuta: lantegitik admin, 0000 edo 1234 bezalako pasahitz generikoekin etortzen dira.
Robot sare (botnet) horrekin, eraso egin zioten AEBetako Dyn enpresari. Webguneak aterpetzen ditu enpresa horrek bere zerbitzarietan. Milaka gailu konexioa eskatzen hasi zitzaizkien Dynen zerbitzariei. «Segundoko 620 gigako eraso bat lortu arte, webgunea itoz», azaldu du Juanan Pereira EHUko Onekin ikerketa taldeko kideak.
Gailu horiek guztiak kutsatzeko, Mirai malwarea (programa gaizto) erabili zuten. Tresnetako asko Txinako Xiong Mai enpresak saldutako kamerak ziren, eta konpainiak iragarri du merkatutik erretiratuko dituela. Sophos segurtasun enpresako Chester Wisniewskik esan duenez, kutsaturiko 500.000 webcam erabili zituzten erasoan, eta bakarrik munduan kutsatuta dauden gailuen %10 erabili zituztela. Hau da, erasoa askoz handiagoa izan zitekeen, eta edonoiz egin dezakete berriz.
Baina zertarako dute halako tresna merkeek Internetera lotzeko ahalmena? Gauzen Internet kontzeptuak ideia ona ematen zuen hasieran: etxeko garbigailuak Internetera lotzeko ahalmena badu, domotika sistemekin gobernatu ahalko da. Horrela, jabeak laneko ordenagailu edo sakelako telefonotik agindu ahalko dio garbiketa lana etxera itzultzen denerako amaitzeko, arropa ez dadin zimurtu zain. Adituek espero dute 2020rako 50.000 milioi gailu egotea Gauzen Interneten.
«Hori da gaur egungo arazoa IoT (Internet of Things) tramankuluetan: txarto diseinatutako gauzok ez zuten Interneten egon beharko, ez dezaten erasorik jaso, edo ez ditzaten tresna petral horiek eraso bat egiteko erabil», esan du Joxean Koret segurtasun informatikoko adituak.
Smart gailuak tresna txatxu arriskutsuak bihurtu dira. Etxeko garbigailu adimentsuak, Garbitu eta Zentrifugatu aukerez gain, Internet suntsitu agindua betetzeko programatzerik balego bezala da.
Nola konpondu arazoa? «Teknikoki eman ez diren pausoak emanez», esan du Pereirak. «Xiong Maik eta halako enpresek segurtasun estandar batzuk betetzera behartuta egon beharko lukete, eta botnet-etan erabiltzen den teknika baten kontra (spoofing) zerbait egiteko, akordio handi bat egin beharko lukete enpresa eta erakunde handiek».
Internet bota nahian, nor?
Harridura sortu zuen irailean Bruce Schneier kriptografista eta segurtasun informatikoko aditu estatubatuarrak, Norbait Internet nola bota ikasi nahian dabil artikuluarekin. Azaldu zuenez, sarearen hil edo biziko guneak gobernatzen dituzten konpainien defentsen indarra probatzen ibili da norbait azken hilabeteotan. Estatu handi bat izango zela iradoki zuen: «Txina edo Errusia».
Joan zen asteko erasoa gertatu bezain pronto, jende asko gogoratu zen Schneierren artikuluarekin. Baina adituak esan du Txina ez dagoela atzean, eta Brian Krebs adituaren blogaren kontra «ziberkriminalek» irailean eginiko erasoarekin parekatu zuen.
Iritzi berekoa da Koret: «Antza, gangster batzuk izan dira». Ahalmena erakusteko egin dute. Izan ere kutsaturiko gailuen sareak alokagai izaten dituzte gaizkileek. Pereirak ez du ausartu nahi, baina, «busti behar izanez gero», esango luke «botnet horren ahalmena merkatu beltzean saltzeko demostrazioa besterik ez dela izan». Sekulako propaganda lortu dute erasotzaileek. «Ez du Txinak egin, interes ekonomikoak dituelako, ez eta Errusiak, CIAk edo Anonymousek ere», gaineratu du Pereirak.
Botnet sareak negozio handia dira. Uztailean, horietako bat agerian utzi zuten: Israelgo eta AEBetako lau gaztek kudeatzen zuten, eta azken bi urteotan ia milioi erdi euro irabazi zituzten bezeroei 150.000 eraso egiten lagunduz.
Beñat Jimenez software garatzaileak eta Interneten adituak esan duenez, erabili den botnet-aren kodea eskuragarri dago; beraz, «edozein script-kiddie izan zitekeen», hau da, asko jakin gabe eraso bat egiteko besteen lanaz baliatzen den edonor.
Gauzen Internet zabaldu ahala, gero eta arrisku handiagoa egongo da. Txantxarako gaia bihurtu da adituen artean, eta Gauzen Interneti (Internet of Things) Kakaren Internet (Internet of Shit) deitzen hasi zaizkio.
«Hori ez dago konpontzerik», esan du Koretek. «IoT gauzek merkeak izan behar dute, ahalik eta jende gehienak erosi ahal izateko. Hortaz, garapenerako diru gutxi erabiltzen badute merkea izan dadin, are gutxiago erabiliko dute segurtasunerako». Horrelako gailu merke gehienen softwarea ezin da eguneratu. «Nahiz eta ondo egin gailuok gaur, bihar topa daiteke ahultasunen bat».
Gainera, etxean edo bulegoan edonork instalatzeko diseinatuta daude, hau da, gailuaren pasahitza nola aldatu, zergatik aldatu behar den edo arriskua zein den ez dakien jendearentzat.
«Segurtasunarekin lotutako araudi askoz zorrotzagoa ezartzera behartu arte ?IoT munduan batez ere?, ez dugu ezer lortuko», esan du Pereirak. Ezkorra da Jimenez ere: «Negozioan parte hartzen dutenek serio hartu behar dute kontua; bestela, horrelako eta bestelako eraso gehiago ikusiko ditugu etorkizunean».
Laster hauteskundeak egingo dituzte AEBetan, eta boto elektronikoa ere erabiliko dute. Segurtasunik ba al dago gaur boto elektronikoa zabaltzeko? «Beharko luke. Softwarearen iturburu kodea aztertzeko aukera izateak gardentasun puntua emango lioke», esan du Jimenezek.
Eta Euskal Herrian? Hactibistek Nafarroako ubidearen kontrola euren esku hartu izanak galdera bat sortzen du: seguru al daude azpiegiturak ?industrialak, hidraulikoak, trafikokoak? eta erakundeak, halako erasoak egitea horren erraza bada?
Jimenezek esan duenez, gero eta zerbitzu eta sistema gehiago Internetera konektatzen direnean «hanka sartzeren bat egiteko probabilitatea areagotzen da».
Pereirarentzat, arazoa «orokorra, sakona eta larria da». Segurtasun informatikoarekin lotutako gertaera larriak egunero agertzen dira munduan. «Euskal Herriko azpiegituren segurtasuna ez da salbuespena. Segurtasun neurriak eta segurtasun auditoria zorrotzak egiten ez diren bitartean, Nafarroako adibidea kate luze baten beste gertakari bat besterik ez da izango».
Koretentzat ez da harritzekoa Nafarroako ubidearen aurkako erasoa, ezta egileak erraza izan dela esan izana ere. Argi du: azpiegiturak ez daude seguru. Horien segurtasuna probatzea gustatuko litzaioke, «baina horrek legez kanpokoa dirudi».
Pereirarentzat «eskertzekoa da» segurtasun ezaren adibidea La 9 de Anon taldeak aurkitu eta argitaratu izana. «Halako segurtasun ahuleziak beste esku batzuetan eroriz gero, ez zen for the lulz egina izango». Hots, barreak egiteko, hackerren hizkeran.