Teraflops al servicio de los ciberdelincuentes

Seguridad

Juanjo Galán, business strategy de All4Sec, analiza en esta tribuna amenazas de seguridad en el segmento de la supercomputación, que no está libre de ellas a pesar de su arquitectura y capacidades de cómputo.

La supercomputación lleva mucho tiempo con nosotros. Hace unos días, saltó la noticia de que varios superordenadores del mundo habían sido atacados por un grupo de ciberdelincuentes. Inmediatamente se encendieron todas las alarmas.

Supercomputación

La supercomputación tuvo su origen en la década de los 60. La idea era disponer de un sistema que permitiera la ejecución paralela de tareas, primero utilizando un único procesador y posteriormente añadiendo más procesadores que compartirían una misma unidad de memoria. Bajo este modelo de trabajo, los ordenadores podrían ejecutar programas complejos y reducir los tiempos de cálculo que tenían asociados. Visto de forma simplificada, se trataba de pasar de un concepto secuencial de ejecución de instrucciones a una paralelización de tareas que permitiría adelantar parte del trabajo computacional a realizar.

Evolución exponencial

Actualmente el concepto de supercomputación permanece prácticamente invariable, es decir, basado en la agregación de miles de núcleos de procesamiento que trabajan en paralelo y comparten una memoria común. Y, por supuesto, con elementos de comunicaciones de altas prestaciones para poder intercambiar información. Se trata de un tipo de computación que ha experimentado un crecimiento exponencial en los últimos años gracias a las mejoras conseguidas en el diseño de CPUs. A modo de ejemplo, una simple consola de videojuegos actualmente puede hacer operaciones aritméticas (operaciones en coma flotante, como se conoce en el sector) casi mil veces más rápido de lo que lo hacía el mayor supercomputador de 1985.

Los 500

A día de hoy, existen miles de sistemas que prestan servicios de supercomputación. El mercado en 2019 alcanzó los 35,8 billones de dólares y es de esperar que mantenga su crecimiento anual del 7% durante los próximos cinco años.

De la lista de los 500 supercomputadores más importantes del mundo solo dos están en España. Bajo el nombre de MareNostrum, y creados por IBM, se localizan en Barcelona y constituyen el centro de proceso de datos más importante de nuestro país. Con su ingente capacidad de trabajo, se han convertido en un recurso imprescindible, por ejemplo, para la investigación biomédica, a través del uso de simulaciones para avanzar en el diagnóstico de enfermedades, para el diseño de componentes en sectores de la industria o para los servicios proporcionados desde la nube.

La amenaza

Como hemos referido, en la última semana se han producido algunos ciberataques a varios supercomputadores en Europa. Se sospecha que incluso la alarma podría haber llegado a España.

Se ha publicado que centros de Alemania, Gran Bretaña y Suiza han sufrido algún tipo de eventualidad en sus protocolos de seguridad. Sistemas como ARCHER en Edimburgo, Hawk en Stuttgart, JURECA en Jülich, Taurus en Dresde o el CSCS en Suiza serían parte de los ordenadores afectados.

Los ataques coinciden precisamente con un momento en el que se está haciendo un uso extensivo de la capacidad computacional de estos ordenadores para trabajos relacionados con el Covid-19. Precisamente, hace pocas semanas, centros de la Universidad de Barcelona, el CSIC o la Universidad de Valencia recibían autorización para disponer de capacidad de procesamiento en algunos de estos supercomputadores —a través del programa PRACE11— para avanzar en sus propias investigaciones.

Anatomía de los ataques

La Fundación europea EGI, encargada de proporcionar los servicios de supercomputación para centros de investigación e innovación, ha publicado un informe donde se analizan los dos principales incidentes que han sido detectados.

El primero hace referencia a la posibilidad de que los sistemas hubieran sido utilizados para la minería de criptomonedas. Respecto al otro incidente, poco se sabe. Solo que algunas instituciones académicas se han visto afectadas.

Algunos expertos del sector han conseguido realizar un análisis del malware identificado y elaborar patrones de referencia —a través de técnicas de ingeniería inversa, utilizando herramientas empleadas por la NSA como Ghidra —que certificarían la hipótesis del uso de los superordenadores para obtener criptomonedas. De hecho, se tiene constancia de que algunas plataformas relacionadas con la Universidad de Cracovia habrían servido de proxy para el ataque.

Linux

Ambos incidentes parecen tener en común que los delincuentes accedieron los supercomputadores a través de “credenciales de usuarios ssh comprometidas”. Ahora bien, ¿cómo consiguieron esas credenciales? La respuesta no parece sencilla. Por el momento solo se ha comprobado que algunos usuarios tenían ejecutables ssh en sus propios equipos que parecían haber sido modificados.

Con las claves de acceso,los ciberdelincuentes habrían instalado en los supercomputadores un rootkit llamado Diamorphine  a partir del cual habría sido sencillo abrir una línea de comandos en Linux (“/bin/shell”) que se ejecutaría con los máximos privilegios y después borraría cualquier traza de su ejecución.

Porque sí, la mayor parte de los supercomputadores están basados en sistemas Linux. Algo impensable hace algunos años. Dos décadas atrás, solo una de esas 500 “superestructuras”empleaba Linux como sistema operativo. Sin embargo, actualmente no existe ni una de ellas que no lo utilice.

Super-ciberseguridad

Pero ¿cómo se consigue proteger una supercomputadora o una red de supercomputadoras como las que hemos descrito? Básicamente las medidas son muy similares a las de cualquier otro servicio. La supercomputación basada en clusters de ordenadores no dejan de estar constituida por elementos en red y por tanto susceptibles de ataques tanto internos como externos.

El uso de sistemas robustos de clustering resulta indispensable. También la utilización periódica de escáneres de red (procesos, tráfico o puertos) o utilidades para identificar parches o actualizaciones necesarias para reducir el número de vulnerabilidades.Y, por supuesto, herramientas de gestión de identidad, autenticación, autorización y auditoria.

Realmente no podemos decir que exista el concepto de “super-ciberseguridad” dirigido a este tipo de sistemas. Sus amenazas vienen a ser las mismas que para cualquier otro sistema. Quizás lo que sí varíe sea el nivel de riesgos y hasta dónde deben ser asumidos. Evidentemente un ataque a un sistema de supercomputación puede tener implicaciones muy serías —sus capacidades pueden ser utilizadas para realizar ataques de DDoS, ejecutar algoritmos para descifrar información o crear repositorios de herramientas para sus ataques.Por eso resulta indispensable actuar de forma extremadamente cuidadosa. Pero al final, se trata de lo mismo que deberíamos hacer con cualquier otro sistema informático: de ciberseguridad, sin más prefijos.

Autor
Saber más 
Saber más