SEGURETAT INFORMÀTICA
Societat 16/05/2017

Dues universitats catalanes investiguen si les ha espiat la NSA

L’agència dels EUA hauria injectat ‘malware’ en cinc ordinadors de la Universitat de Barcelona i la Universitat Politècnica de Catalunya

Enric Borràs
5 min
Seu central de l'Agència de Seguretat Nacional dels Estats Units, a Maryland

BarcelonaL’Agència de Seguretat Nacional (NSA) dels Estats Units va injectar programes espia en quatre servidors de la Universitat Politècnica de Catalunya (UPC) i en un altre ordinador de la Universitat de Barcelona (UB) entre el 2002 i el 2004, segons consta en dues filtracions difoses pel grup de hackers The Shadow Brokers (podeu consultar aquí la llista de servidors objectiu). Totes dues universitats han investigat la filtració i han explicat al diari ARA que les màquines en qüestió ja no estan actives, de manera que no han pogut comprovar si hi havia programari espia, però també mantenen que en tot cas no s’hauria filtrat cap dada sensible.

Un portaveu de la UB assegura que “l’equip de tecnologies monitoritza els equips periòdicament i s’encarrega de fer les accions oportunes en cas que es confirmi qualsevol vulnerabilitat”. El servidor en qüestió era del departament de bioquímica i biologia molecular, segons ha pogut saber l’ARA. La UB insisteix que “no formava part de la xarxa corporativa central” i que aquests ordinadors tan sols oferien serveis molt limitats, com ara les webs i els correus electrònics de cada departament.

“Fa més de deu anys que tenim aquestes màquines fora de servei i això vol dir que en sabem molt poques coses”, admet el professor d’informàtica i delegat TIC de la UPC, Sebastià Vila. Dues eren servidors de DNS (sistema de noms de domini), que tradueixen les peticions d’accés al nom d’una web concreta -com ara upc.edu - al codi numèric que correspon al servidor on està allotjada. Una altra era “un PC ordinari” del qual no queda cap registre i l’última era “una màquina interna” dels serveis informàtics de la UPC. “No hem detectat cap màquina que tingués informació conflictiva”, explica Vila, que assegura que també van veure que la llista incloïa servidors d’altres centres d’investigació de diversos països -als quals van avisar- però manté que “en general” els servidors de recerca “no tenen informació gaire sensible, excepte certes recerques especials”.

Vila veu creïble que la NSA hagi fet servir programari espia i admet que “és possible” que se n’hagués instal·lat als servidors de les dues universitats catalanes, tot i que insisteix que a hores d’ara ja no es pot comprovar perquè “les màquines no existeixen ni físicament”. Però quin sentit té que la NSA espiés aquests ordinadors? Vila també s’ho pregunta i aventura que amb aquesta estratègia haurien aconseguit tenir “una idea de com està configurada una xarxa”, fet que podien fer servir, més endavant, en cas que haguessin volgut “saber coses”. També dubta que busquessin informació de la UPC en concret. Creu que podria ser que llancessin aquests programes de manera arbitrària i global i que les universitats catalanes haguessin sigut “víctimes aleatòries” d’un experiment de l’agència d’intel·ligència.

Al gener un informàtic que treballa a la UPC va enviar un correu electrònic a una llista de distribució de companys de feina. Avisava d’una “nova filtració del grup The Shadow Brokers en què es llistava un seguit d’equips sota el control de la NSA”; i explicava que alguns eren de la universitat. Acabava dient: “Podria ser que el software de control de la NSA ja no estigui afectant aquests equips, tot i que tampoc hi ha garanties que no hagin trobat la manera de colar-ne algun de nou”. El cert és que la universitat ja ho havia analitzat a l’octubre. El responsable de seguretat informàtica de la UPC, Víctor Huerta, en un debat a Twitter sobre aquest mateix assumpte, va piular: “Les màquines no estan operatives des de fa anys o van ser reinstal·lades fa temps”.

L’alarma no va anar més enllà. Però la filtració de The Shadow Brokers del 8 d’abril incloïa un altre document amb el que Edward Snowden va definir com una llista “d’infraestructures civils d’aliats hackejades extrajudicialment per la NSA”. El document tornava a incloure els cinc servidors de la UB i la UPC. Snowden mateix ja havia parlat altres vegades sobre aquest grup de hackers i fins i tot els ha vinculat amb Rússia. The Shadow Brokers van començar a filtrar l’estiu de l’any passat informació sobre les eines de ciberespionatge que hauria fet servir la NSA. Experts com Snowden mateix o l’empresa Cisco han donat credibilitat a la vulnerabilitat de la NSA i la veracitat de les filtracions.

WannaCry: un avís del que pot arribar a passar

The Shadow Brokers torna a la càrrega. Avui el grup de hackers ha amenaçat de posar en marxa al juny un “servei de filtració del mes” amb vulnerabilitats i programari espia de l’Agència de Seguretat Nacional (NSA) dels EUA, informació interna de bancs centrals i dades internes dels programes nuclears de Rússia, la Xina, l’Iran i Corea del Nord. El grup de hackers va filtrar el mes passat la vulnerabilitat dels sistemes operatius Windows desenvolupada per la NSA que permet que el WannaCry s’escampi a una velocitat rècord i a l’últim missatge amenaça d’alliberar informació encara més perillosa, si ningú no paga abans. En aquella mateixa filtració també hi havia els documents que assenyalen l’espionatge de la NSA a les dues universitats catalanes.

En l’últim missatge de The Shadow Brokers a la xarxa social Steemit, publicat ahir en un anglès volgudament precari, el grup es queixa que ni la NSA ni cap govern els hagi ofert comprar la informació que van aconseguir de l’agència d’espionatge nord-americana. A més, afirmen que tenen el 75% del ciberarsenal dels Estats Units.

Microsoft ja ha admès oficialment que el WannaCry, que segresta les dades dels ordinadors infectats fins que no es paga un rescat, s’ha fet aprofitant vulnerabilitats de Windows desenvolupades per la NSA -que les va aprofitar per espiar en lloc d’avisar perquè es resolguessin- i filtrades per The Shadow Brokers. En un article al blog oficial, el director jurídic de Microsoft, Brad Smith, reclama als governs que tractin les ciberarmes com les armes convencionals. “Aquest atac és un altre exemple de per què l’acumulació de vulnerabilitats per part dels governs és un problema -afirma Smith-. Un escenari equivalent amb armes convencionals seria que robessin a l’exèrcit dels EUA alguns míssils Tomahawk”.

Mentrestant, continuen les investigacions per aclarir qui és l’autor del WannaCry. Alguns especialistes, incloent-hi analistes de Kaspersky i Symantec, apunten les semblances entre el codi d’una de les primeres versions del programa i el malware del grup Lazarus, vinculat amb Corea del Nord.

stats