“Per cert”, senyalava el president de la Generalitat Artur Mas el dimarts en la valoració de la jornada del 9 de novembre, “posats a parlar de dificultats i impediments, en aquests dos últims dies els sistemes informàtics i d'informació i comunicació de la Generalitat han estat objecte d'atacs duríssims organitzats de tipus cibernètic”.
Efectivament, el dia abans de la consulta no es podia accedir a les webs de la Generalitat, però és que l'atac, a més, va afectar el servei de la recepta electrònica a les farmàcies, va impedir que el Servei d'Emergències Mèdiques (SEM) pogués accedir a l'historial clínic ni al servei de gestió d'imatges, i també va fer caure la pàgina del Servei Meteorològic de Catalunya –una de les més visitades–, entre altres. Des del Cesicat –l'organització encarregada de la seguretat informàtica de la Generalitat– asseguren, però, que els serveis de comunicacions policials, d'emergències i de protecció civil no es van veure afectats.
El to dels missatges dels organismes públics al respecte sembla voler ser alarmista alhora que tranquilitzador. Mas va assegurar que senyalava aquests atacs per remarcar les adversitats que es va trobar la celebració del 9-N, amb uns atacs “organitzats” de “gran magnitud”, i des del cap de setmana alguna mitjans parlen de “ciberguerra”. “Tenim la sospita que no poden ser uns quants hackers amateurs o tuiteros més o menys amateurs que organitzen alguna cosa així, aquí hi ha una altra cosa, que estem analitzant, tot i que de moment no podem assenyalar ningú”, va dir. Però quin tipus i nivell d'atac va patir la Generalitat?
Atac de denegació de servei
La Generalitat va patir un atac de denegació de servei, que és –segon un informe de Verisign– la causa de d'un terç dels incidents de caiguda de webs. El mètode passa per fer tantes peticions d'informació a un servidor que es sobrecarregui i es faci inaccessible. El mètode més habitual per fer-ho és a través d'una botnet, una xarxa d'ordinadors infectats amb un virus que permeti a l'atacant controlar-los sense que ho sàpiga l'usuari. Així un atacant pot tenir ordinadors a tot el món enviant sol·licituds d'informació a un servidor per sobrecarregar-lo. El dissabte, per exemple, la Generalitat va contactar amb una institució que l'estava atacant sense saber-ho perquè hi posessin resposta.
Els atacs que va patir la Generalitat van començar el dia 8, quan es va multiplicar de cop per 20.000 el tràfic als serveis de la Generalitat, provocant-ne la caiguda. El Cesicat, expliquen, va poder controlar l'atac i mantenir els serveis actius l'endemà, quan es va incrementar i el tràfic ja era 62.000 cops superiors a l'habitual i va concentrar el 90% de tots els atacs patits a l'Estat espanyol. El Digital Attack Map (que es pot veure a l'inici d'aquest article), elaborat per Google i la consultora Arbor, mostra com guanyen importància en el panorama global els atacs en territori espanyol.
Els atacs patits per la Generalitat no són dels més sofisticats ja que, com mostra el mapa i confirma el Cesicat, anaven destinats al DNS, que és el sistema que permet portar els usuaris de l'adreça d'un domini –com per exemple gencat.cat– al lloc on es troba el contingut. Altres atacs poden anar destinats directament al servidor, però en aquest cas el que van fer va ser col·lapsar la via d'accés. El mateix president del Cesicat, Jordi Puigneró, reconeixia ahir a RAC1 que no va ser del tipus d'atacs més greus, ja que no es va accedir al servidor, simplement es va bloquejar l'accés.
Una ofensiva fàcil?
Actualment, els atacs de DDoS (denegació de servei distribuïda), que havien estat una forma d'extorsionar entitats financeres o empreses fent caure les seves webs, es poden contractar a hackers que tenen botnets al seu servei. Un dia d'atac DDoS podria costar 40 dòlars segons Webroot o entre 30 i 70 dòlars segons TrendMicro. No obstant, des del Cesicat posen aquesta facilitat en qüestió.
“No és tan fàcil contractar-ho, perquè has de conèixer el seu llenguatge i moure't en els seus fòrums, i sí que és barat contractar un atac de denegació de servei, però no un atac del nivell que hem patit nosaltres”, assegura un portaveu de la Direcció General de Telecomunicacions i Societat de la Informació, de la que depèn el Cesicat. “El nivell de trànsit que van generar per atacar-nos podria tombar les webs de molts bancs importants”, afegeix. El qualifiquen com l'atac més important a la història de Catalunya i el quart més important al món aquell dia.
L'organisme no detalla, però, la magnitud de l'atac. L'única referència és el Digital Attack Map, que xifra el volum d'atacs a l'Estat al voltant dels 40 Gbps –magnitud que el Cesicat s'absté de comentar. Es tracta d'un atac molt superior, per exemple, al que va patir un referèndum ciutadà online el passat juny a Hong Kong, però en canvi molt inferior als patits a mitjans d'abril a Polònia, i en tot cas, lluny dels més grans registrats, que arribarien als 300 Gbps, segons Verisign.
Les dades del Digital Attack Map donen a més indicis de com es va fer aquest atac, una possibilitat que explicaria com la Generalitat va poder frenar-los a partir del primer dia. Gran part dels atacs registrats provenen de servidors NTP, servidors públics dedicats a la sincronització de l'hora entre sistemes informàtics. Al gener s'identificava una nova tècnica d'atacs DDoS que consistia en, en comptes de desbordar l'objectiu, fer-se passar per ell i demanar informació als NTPs perquè siguin aquests els que enviïn informació massivament. Tot i això, aquests atacs es poden aturar fàcilment, ja que bloquejar el tràfic dels NTPs no té conseqüències greus.
Des del Cesicat el que expliquen és que van prendre mesures de contenció i es va bloquejar el tràfic entrant sospitós, les entrades que no es consideraven lícites. El mateix dia 8 els problemes van quedar resolts, i també durant els propers dies quan es van incrementar els atacs. Aquesta solució podria ser la resposta a un atac per la via del NTP, però no necessàriament.
Els responsables del Govern asseguren que investiguen el cas per buscar-ne responsables, però no obstant, el caràcter distribuït de l'atac fa que l'orígen primer sigui pràcticament impossible d'identificar.
Atac a l'independentisme
Una web de la Generalitat que no va caure, va ser la dedicada al procés participatiu del 9-N, participa2014.cat. Des del Cesicat es limiten a detallar que el proveïdor de serveis d'aquesta web no va caure perquè el lloc on apuntava l'atac no va afectar aquesta web. És a dir, no depenia dels mateixos DNS que gencat.cat. No obstant, remarquen que els atacs patits al cap de setmana tenen intencionalitat política.
De fet, la Generalitat no va ser l'única afectada, sinó que l'Assemblea Nacional Catalana i l'Associació de Municipis per la Independència també van tenir les seves webs tombades. Voluntaris de l'ANC i Òmnium, a més a més, van denunciar un boicot telefònic.
Més enllà d'això, la xarxa guifi.net comunica que durant el cap de setmana van observar forts atacs dirigits cap a dominis .cat allotjats dins la seva xarxa “amb la intenció evident de col·lapsar-los i amb això impedir l'accés a algunes webs relacionades amb el 9-N des d'Internet”. No obstant, remarquen que els seus sistemes de defensa automàtics van funcionar correctament.
El Cesicat, un organisme polèmic
El Cesicat, encarregat de vetllar per la seguretat de la Generalitat davant aquesta mena d'atacs, és un organisme envoltat per la polèmica arran de filtracions d'informes sobre activistes elaborats per aquest òrgan a l'octubre del 2013. Després de negar-ho diverses vegades, el conseller Felip Puig va admetre que el Cesicat havia estat fent seguiment d'activistes, periodistes i polítics a les xarxes i altres fonts obertes per encàrrec dels Mossos d'Esquadra. Recentment, l'Autoritat Catalana de Protecció de Dades va comunicar a un dels periodistes investigats que sancionarà el Cesicat.
Per altra banda, un antic col·laborador del centre va denunciar davant els jutjats que treballadors del Cesicat intervenien les seves comunicacions dins els sistemes de la Generalitat, en les que comunicava un seguit de vulnerabilitats. El jutge, però, en una primera instància va donar per vàlides les explicacions d'Interior i no va prosseguir amb la investigació, tot i que després d'un recurs ha cridat a declarar a un treballador i a l'expresident del Cesicat.
En relació a les vulnerabilitats a les que feia referència en els correus presumptament intervinguts, aquest expert en seguretat informàtica assegurava que hi havia ordinadors de la Generalitat infectats per una botnet i que més de 2.000 credencials de treballadors públics estaven en mans de hackers. Per denunciar els fets va aportar als grups parlamentaris i al Govern captures de pantalla de serveis com els expedients mèdics de CatSalut, la gestió de nòmines de funcionaris o el servei de reserves d'allotjaments dels Mossos.