Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Stuxnet
Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por
VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y
reprograma sistemas industriales,[1] en concreto sistemas SCADA de control y monitorización de procesos.
Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.[2]
Historia
A mediados de junio de 2010 la compañía VirusBlokAda informó de su existencia, y se han fechado parte de sus
componentes en junio de 2009.[2] El gusano contiene algunos elementos compilados el 3 de febrero de 2010, según
indica su time stamp.[3]
Método de operación
Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo,
incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean
los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.
La diseminación inicial se hace mediante lápices de memoria USB infectados, para luego aprovechar otros agujeros
y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las
contraseñas por defecto para obtener el control.[2] El fabricante, Siemens, aconseja no cambiar las contraseñas
originales porque esto "podría tener impacto en el funcionamiento de la planta".[4]
La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de
procesos industriales y algún tipo de deseo de atacar infraestructuras industriales.[2] [1]
El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de
errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a
sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente.
Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano.[5]
Además, Stuxnet es extrañamente grande, ocupando medio megabyte,[6] y está escrito en distintos lenguajes de
programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.[2] [1]
Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene
capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto
de control haya sido desactivado.[6] [7]
Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la
verificación en sistemas reales de que el malware no bloquearía los PLCs. Eric Byres, programador con años de
experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría
haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.[6]
Stuxnet 2
Eliminación
Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens
recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que
eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB
ajenas o no controladas.[8]
Enlaces externos
• Siemens Support about Stuxnet [13]
• Microsoft Protection Center about Win32/Stuxnet [14]
• Security analysis of Stuxnet [15]
• Exploring Stuxnet’s PLC Infection Process [16], Symantec
• Information of Stuxnet by McAfee [17], McAfee
Referencias
[1] Robert McMillan (16 September 2010). « Siemens: Stuxnet worm hit industrial systems (http:/ / www. computerworld. com/ s/ article/ print/
9185419/ Siemens_Stuxnet_worm_hit_industrial_systems?taxonomyName=Network+ Security& taxonomyId=142)». Computerworld.
Consultado el 16 September 2010.
[2] Gregg Keizer (16 September 2010). « Is Stuxnet the 'best' malware ever? (http:/ / www. infoworld. com/ print/ 137598)». Infoworld.
Consultado el 16 September 2010.
[3] Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho. « Stuxnet under the microscope (http:/ / www. eset. com/ resources/
white-papers/ Stuxnet_Under_the_Microscope. pdf)» (PDF). Consultado el 24 September 2010.
[4] Tom Espiner (20 July 2010). « Siemens warns Stuxnet targets of password risk (http:/ / news. cnet. com/ 8301-1009_3-20011095-83. html)».
cnet. Consultado el 17 September 2010.
[5] Fildes, Jonathan (2010-09-23). « Stuxnet worm 'targeted high-value Iranian assets' (http:/ / www. bbc. co. uk/ news/ technology-11388018)».
BBC News. Consultado el 2010-09-23.
[6] Kim Ztter (2010-09-23). « Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target (http:/ / www. wired. com/
threatlevel/ 2010/ 09/ stuxnet/ )». Wired. Consultado el 2010-09-24.
[7] Liam O Murchu (2010-09-17). « Stuxnet P2P component (http:/ / www. symantec. com/ connect/ blogs/ stuxnet-p2p-component)». Symantec.
Consultado el 2010-09-24.
[8] « SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan (http:/ / support. automation. siemens. com/ WW/
llisapi. dll?func=ll& objid=43876783& nodeid0=10805583& caller=view& lang=en& siteid=cseus& aktprim=0& objaction=csopen&
extranet=standard& viewreg=WW#Recommended_procedure 0408)». Siemens. Consultado el 24 September 2010.
[9] crve (17 September 2010). « Stuxnet also found at industrial plants in Germany (http:/ / www. h-online. com/ security/ news/ item/
Stuxnet-also-found-at-industrial-plants-in-Germany-1081469. html)». The H. Consultado el 18 September 2010.
Stuxnet 3
[10] Robert McMillan (23 July 2010). « Iran was prime target of SCADA worm (http:/ / www. computerworld. com/ s/ article/ 9179618/
Iran_was_prime_target_of_SCADA_worm)». Computerworld. Consultado el 17 September 2010.
[11] Clayton, Mark (2010-09-21). « Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant? (http:/ / www. csmonitor. com/
USA/ 2010/ 0921/ Stuxnet-malware-is-weapon-out-to-destroy-Iran-s-Bushehr-nuclear-plant)». Christian Science Monitor. Consultado el
2010-09-23.
[12] Bruce Schneier (22 September 2010). « Schneier on Security: The Stuxnet Worm (http:/ / www. schneier. com/ blog/ archives/ 2010/ 09/
the_stuxnet_wor. html)». Consultado el 23 September 2010.
[13] http:/ / support. automation. siemens. com/ WW/ llisapi. dll?func=cslib. csinfo& lang=en& objid=43876783& caller=view
[14] http:/ / www. microsoft. com/ security/ portal/ Threat/ Encyclopedia/ Entry. aspx?Name=Win32%2fStuxnet
[15] http:/ / langner. com/ en/
[16] http:/ / www. symantec. com/ connect/ blogs/ exploring-stuxnet-s-plc-infection-process
[17] http:/ / vil. nai. com/ vil/ content/ v_268468. htm
Fuentes y contribuyentes del artículo 4
Licencia
Creative Commons Attribution-Share Alike 3.0 Unported
http:/ / creativecommons. org/ licenses/ by-sa/ 3. 0/