Rogue One: un análisis de ciberseguridad

4 May 2018

El año pasado analizamos un incidente que tuvo lugar en Star Wars: Episodio IV y ya entonces tuvimos la sensación de que los fallos de seguridad que facilitaron la destrucción de la Estrella de la Muerte eran solo la punta del iceberg. Queda claro que los problemas del Imperio con la seguridad de los sistemas de información son de naturaleza galáctica. Afortunadamente, los investigadores de Lucasfilm llevaron a cabo una investigación de los eventos previos a este incidente y lo publicaron con el nombre de Rogue One: Una historia de Star Wars. A continuación, os contamos lo que este documento reveló.

La seguridad empieza con el equipo de recursos humanos

Rogue One empieza con el director de proyectos innovadores del Imperio Galáctico, Orson Krennic, y un equipo de recursos humanos que buscan al mejor desarrollador, Galen Erso, para que trabaje en el proyecto del arma perfecta, la Estrella de la Muerte. ¿Qué sabemos sobre Erso? Estuvo trabajando en el proyecto antes de presentar su dimisión y no tiene previsto volver, pero el equipo de RR. HH. del Imperio le hace una oferta que no puede rechazar y acaba por aceptar. Más tarde, Krennic se entera de que Erso es un espía industrial que filtra los planos.

El equipo de RR.HH. no debería haber dejado que un empleado como este trabajara con información sensible, bueno, directamente no deberían ni haberlo contratado. Con una formación adecuada en materia de seguridad podrían haber descubierto los riesgos durante el proceso de selección.

Andrey Nikishin, Director de proyectos especiales, Tecnologías futuras, Kaspersky Lab
Si piensas que la situación anterior no es creíble, estás totalmente equivocado. El factor humano y una formación inadecuada en ciberseguridad son la causa de la mayoría de incidentes en las instalaciones industriales.

El laboratorio secreto de Eadu

Galen Erso es dirigido a una planta de procesamiento de cristal kyber en el planeta Eadu. Se trata básicamente de una “oficina de diseño experimental” similar a un campo de concentración donde se le obliga a trabajar en un proyecto militar secreto. Como ya hemos dicho, confiarle un proyecto secreto no es muy astuto, pero dejarle trabajar sin supervisión es aún más estúpido. Al final, Erso acabó implantando una vulnerabilidad en la Estrella de la Muerte.

En los proyectos complejos, sobre todo cuando se diseñan objetos de infraestructura crítica, es fundamental realizar un análisis adicional de las implantaciones del proyecto antes de que comience su construcción. Sobre todo, cuando cuentas con un empleado tan sospechoso y descontento en el equipo.

Andrey Nikishin, Director de proyectos especiales, Tecnologías futuras, Kaspersky Lab
Estoy totalmente seguro de que los desarrolladores del Imperio conocían nuestros métodos modernos para desarrollar software seguro. Entonces, ¿por qué no los aplicaron? Puede que por la misma razón por la que algunos desarrolladores de software industrial siguen sin hacerlo, se centran en otras cosas. La estrella de la muerte es un buen ejemplo de lo que puede llegar a pasar como consecuencia.

Que no se realicen evaluaciones de seguridad no es nada nuevo. Pero la idea de que Erso, privado del mundo exterior, todavía pueda comunicarse con los pilotos imperiales (hasta el punto de que recluta a uno de ellos) va demasiado lejos.

Como consecuencia, Erso:

  1. Revela a los Rebeldes la existencia de la Estrella de la Muerte.
  2. Les informa de la vulnerabilidad.
  3. Les muestra la localización de los planos en el planeta Scarif.

El complejo de seguridad de Scarif

La bóveda de datos de alta seguridad estaba mejor diseñada que la mayoría de las instalaciones del Imperio. Primero, Scarif está rodeado por un campo de fuerza por el que no puede pasar ningún objeto físico (y que también sirve como cortafuegos). Solo tiene un punto de entrada, que se controla desde el centro. Los datos se almacenan sin conexión en discos duros (un air gap de alta calidad) protegidos con un bloqueo biométrico. La antena de transmisión también está desconectada de la red y requiere acceso físico para su activación.

Pero la biometría no es tan buena como un mecanismo de protección de acceso. En este caso, se puede evitar con tan solo pasar la mano de un agente muerto por el escáner. El cortafuegos tampoco es la panacea. Bloquea la transferencia de grandes cantidades de datos, pero se puede sortear reforzando la señal del transmisor de los Rebeldes mediante sistemas de comunicación interna. Además, para conectar la nave al sistema solo hay que conectar algunos cables y activar una palanca, por lo que no se requiere ningún sistema de autentificación. Esto permite que los Rebeldes lancen un ataque DDoS en el cortafuegos desde la órbita.

Lo peor que es la famosa antena de transmisión no está protegida ni lo más mínimo, basta con insertar un simple disco. ¿De verdad estaban tan seguros de su infranqueable cortafuegos?

Andrey Nikishin, Director de proyectos especiales, Tecnologías futuras, Kaspersky Lab
Esta situación se asemeja mucho a la implementación de la ciberdefensa en los servicios de la industria actual. Todo parece estar bien concebido hasta que llega la auditoría de seguridad y la elaboración de un modelo de amenaza, entonces comienzan a aparecer vectores de ataque simples.

El Internet de las Cosas

La catastrófica situación derivada de la seguridad del IdC requiere una mención especial. Los Rebeldes usan un androide reprogramado llamado K-2SO. No se trata de un astromécanico o un intérprete, sino de un analista de estrategias. Y a juzgar por su comportamiento, está muy bien hackeado. Todo lo que hay que saber sobre el protocolo imperial se encuentra en la memoria de este androide. ¿Pero qué clase de sistema operativo permite que su dispositivo sea reprogramado? ¿Y por qué el sistema imperial sigue pensando que K-2SO está de su parte y le permite comunicarse con sus ordenadores? ¿Cómo es posible que el Imperio no sepa que este androide está corrompido? Después de todo, es una pieza fundamental de su infraestructura.

Como consecuencia de esta falta de seguridad por parte del Imperio, K-2SO recupera datos de otros androides, conecta con el Archivo Imperial en busca de información y toma el control de los mecanismos de defensa de la estación.

Los altos mandos del Imperio

Las decisiones que ha ido tomando el Imperio sobre la seguridad de la información deberían analizarse de forma individual y hay muchas para elegir.

Grand Moff Tarkin

Tarkin adopta tácticas muy severas en la lucha contra la fuga de información. En resumen, destruye ciudades enteras conforme descubre nuevas fugas. Su primera orden fue destruir la Ciudad Santa del planeta Jedha cuando los agentes le informaron sobre un desertor que conocía la construcción de la Estrella de la Muerte. Y la segunda, fue contra los archivos imperiales en Scarif cuando se percató de que estaba sufriendo un ataque rebelde.

Pero la aniquilación es una medida muy poco eficiente, comparable a la reinstalación de un sistema infectado. Lo ideal hubiese sido que, al descubrir la fuga, hubiera gestionado urgentemente un análisis profundo del incidente para identificar qué datos habían sido robados y si el desertor podía haber pasado esa información a los Rebeldes. Y, si en vez de destruir la Ciudad Santa de Jedha, el Imperio hubiere interceptado el mensaje pertinente, habría conocido la vulnerabilidad.

Orson Krennic

Dejando a un lado la estúpida obsesión de traer de vuelta al proyecto secreto a Galen Erso, las decisiones de Krennic son muy racionales. Para empezar, intenta llevar a cabo una investigación sobre la llegada a la base de Scarif y solicitó que todos los mensajes que hubiera recibido Galen Erso fueran analizados. Aunque ya era un poco tarde, estas hechos podrían haber detectado la vulnerabilidad.

Recuerda que fue Krennic quien tuvo la brillante idea de cerrar la base y protegerla durante el ataque rebelde, activando la configuración del cortafuegos en modo de prohibición total.

Andrey Nikishin, Special Projects Director, Future Technologies, Kaspersky Lab
En mi opinión, Rogue One es probablemente la mejor película de la nueva etapa de la saga. Además, proporciona material de formación para los servicios de la industria y la infraestructura crítica. Cualquier que trabaje en el campo de la ciberseguridad debería verla, incluso también aquellos a los que no les guste Star Wars. Básicamente, sería un buen manual para el curso “Cómo no proteger tu infraestructura de información crítica”.