¿Por qué Alex Gibney no pone un pedazo de cinta sobre la cámara de su computadora portátil?

El cineasta documental Alex Gibney se ha convertido en un enemigo: entregó rocas entre los escombros de Enron, dentro del complicado legado de Steve Jobs, y en cualquier puente que se comercialice entre los miembros de la Iglesia de Scientology durante su prolífica carrera. Recuerdo verlo filmado agresivamente por un miembro de la audiencia durante una sesión de preguntas y respuestas después de una proyección de Yendo claro, sus dos horas de desmantelamiento de la cientología. Presumiblemente, enemigos.

Pero Gibney no es tan, llamémoslo vigilante, como Mark Zuckerberg, cuando se trata de monitorear qué ojos podrían estar observándolo a través de la cámara de su computadora portátil.Es una idea arraigada en la paranoia que tiene una gran cantidad de conversos porque, si bien hay todo tipo de guías en línea que dicen mostrarte cómo hacerlo, la Agencia Nacional de Seguridad también puede usar la cámara y el micrófono de tu computadora portátil para espiarte.

Sin embargo, Gibney no cubre la cámara de su computadora portátil ni su micrófono con cinta, dice. Inverso.

“No siempre lo cubro porque a veces uso la cámara y no quiero pegar la lente con cinta adhesiva”, dice antes de agregar: “Pero a veces sí uso un Post-It con adhesivo justo por encima de la lente. ”

Es el tipo de respuesta que esperaría de un cineasta, y Gibney, al principio de su último documento, Días cero (el 8 de julio), usa esa cámara de computadora portátil para Skype con Sergey Ulasen, un investigador de seguridad bielorruso que notó por primera vez a Stuxnet, el gusano de malware increíblemente denso pero preciso, ampliamente considerado por el gobierno federal de los EE. UU. Encontraría su camino hacia las computadoras que controlaban las centrífugas nucleares iraníes y joder mierda. Lo hizo justo en el verano de 2010. Días cero cuenta la historia de la guerra cibernética con Stuxnet como su conducto, un virus del que nadie quiere hablar:

Los primeros minutos de la película incluyen un montaje de cabezas que hablan con trajes que dicen muchas formas diferentes de no poder decir nada.

"Dos respuestas antes de que comiences: no lo sé, y si lo hiciera, no hablaría de eso de todos modos", dice el ex jefe de la CIA y la NSA, Michael Hayden.

"Me estaba enojando", dice Gibney, antes de notar que la operación había sido volada: "No pude hacer que los funcionarios dijeran que Stuxnet había existido". Había una especie de La nueva ropa del emperador calidad al respecto ".

Entonces, en lugar de eso, el director examinó el análisis forense, comenzando con el lugar donde apareció por primera vez el sofisticado virus y luego desde el procedimiento de dos horas. Los ingenieros de seguridad de Symantec, Eric Chien y Liam O’Murchu, avanzan a lo largo de la trama de la película, por su nombre, STUXnet, y ayudaron a explorar el increíblemente complejo código de computadora.

"Lo abrimos y hubo cosas malas en todas partes", dice O'Murchu en la película. "Tuvimos 100 preguntas de inmediato".

Así que eliminaron la amenaza: un virus promedio tarda minutos en entenderse. Un mes después de explorar Stuxnet y los dos estaban empezando a comprender su carga útil o su propósito.

"Cada pieza de código hace algo y hace algo bien, para realizar un ataque", explica Chien en la película.

El código también era un "código de día cero", lo que significa que en el día 1 de llegar a una computadora, comenzó a funcionar de forma autónoma. No había ningún enlace en el que hacer clic o un archivo adjunto que se necesitara para abrir. "Un exploit de día cero es un exploit que nadie conoce excepto el atacante", explica O’Murchu. "Así que no hay protección contra ella, no se ha lanzado ningún parche, no ha habido ningún día de protección". Eso es lo que los atacantes valoran, porque saben al 100 por ciento que si tienen esta vulnerabilidad de día cero, pueden ingresar donde quieran ".

La sofisticación del malware apuntaba a una conclusión: era la obra maestra de una agencia gubernamental o de un estado nacional, no de Anonymous, no de un colectivo hacktivista, no de Occupy Wall Street. Era un arma para la guerra cibernética.

Así es como funcionó: el malware se instaló a través de un código infectado en unidades USB. Para obtener el gusano de medio megabyte en estas unidades, se cree que las compañías que trabajaron con el programa nuclear de Irán fueron atacadas con el virus selectivo. Una vez que estuvo en funcionamiento, se enfocó en el controlador lógico programable de Siemens, que es una pequeña computadora, que controla todo tipo de máquinas en fábricas, redes eléctricas, hospitales e instalaciones nucleares. Y el malware estaba buscando un PLC específico que realizara un trabajo específico antes de que atacara. Debido a que la mayoría de los virus actúan como una bomba de alfombra, este malware era más como un rifle de francotirador, lo cual es inusual. Stuxnet estaba programado para desplegarse solo cuando encontraba el objetivo, que era la instalación nuclear de Natanz en Irán. Las centrífugas allí, usadas para enriquecer uranio, fueron destruidas una vez que Stuxnet programó sus motores para que giraran fuera de control en el momento preciso, cuando la cosa estaba llena de uranio enriquecido después de 13 días de centrifugado.

La película de Gibney también muestra el orgullo y quizás la arrogancia del entonces presidente de Irán, Mahmoud Ahmadinejad, para permitir que los fotógrafos entren a Natanz. Capturaron imágenes vitales para el extranjero - Estados Unidos e Israel - inteligencia. Los presidentes George W. Bush y Barack Obama aprobaron el despliegue de Stuxnet y fue llevado a cabo por la asociación de la Agencia de Seguridad Nacional (que recopila inteligencia) y el Comando Cibernético de EE. UU. (El brazo militar que usa la inteligencia de la NSA para desplegar armas cibernéticas como Stuxnet).

"Podríamos ver, o podríamos atacar", dice la actriz Joanne Tucker, que actúa como un compilado compuesto de entrevistas con fuentes militares y de inteligencia extraoficiales. Es un truco interesante que no se revela hasta el final de la película, que no es exactamente un problema porque el público puede verlo venir; "Decir Stuxnet en voz alta fue como decir Voldemort en Harry potter ”, Dice Tucker en la película. Llamaron a las puertas olímpicas de ataque Natanz, o OG. "Hubo una gran operación para probar el código en PLC's en América y para ver qué hizo el virus a la maquinaria de centrifugado".

Natanz, por supuesto, no estaba conectado a internet. Hubo una "brecha de aire" como se la conoce, pero eso era solo un obstáculo. El código puede ser introducido por un humano. Hubo rumores de situaciones en “Moscú donde una computadora portátil iraní fue infectada por un técnico falso de Siemens con una unidad flash” o agentes dobles con acceso directo. El espionaje real nunca ha sido revelado. Las empresas que tuvieron que realizar reparaciones en Natanz también se infiltraron, los electricistas están infectados, se lo lleva a Natanz y se produce un boom: Stuxnet se encuentra en las instalaciones nucleares de Irán.

"No hubo vuelta atrás una vez que se lanzó Stuxnet", dice Chien en la película.

Hubo un problema: los israelíes tomaron el código Stuxnet, lo cambiaron y, sin previo aviso, lanzado eso. "Lo jodieron", dice la fuente de la NSA de Tucker: en lugar de esconderse silenciosamente en las computadoras, el virus modificado por Israel comenzó a apagarlos para que la gente se diera cuenta. También se extendió por todo el mundo y cayó en manos de Rusia y, finalmente, de Irán.

"Lograron crear problemas menores para algunas de nuestras centrífugas a través del software que habían instalado en las partes electrónicas", dijo Ahmadinejad a los reporteros durante una conferencia de prensa en Irán en noviembre de 2010. "Fue un movimiento travieso e inmoral por parte de ellos, pero Afortunadamente, nuestros expertos lo descubrieron y hoy no son capaces de volver a hacerlo ".

Alrededor de este tiempo, los científicos nucleares iraníes comenzaron a ser asesinados, según la opinión generalizada de los militares israelíes.

Pronto, la cantidad de centrífugas iraníes comenzó a aumentar, hasta 20,000, con una reserva de uranio poco enriquecido, y las instalaciones nucleares se expandieron. Si la cubierta estaba fundida, Stuxnet tuvo el efecto contrario.

Y Stuxnet también llegó a las computadoras estadounidenses con el tiempo, ya que se extendió por todo el mundo. Al Departamento de Seguridad Nacional se le asignó la tarea de detener el virus que otra rama del gobierno creó al atacar los sistemas de control industrial estadounidenses. Naturalmente, los funcionarios del DHS, incluido Sean McGurk, quien supervisaba la ciberseguridad para el DHS en ese momento, no tenían idea de que venía de Estados Unidos.

"No crees que el francotirador que está detrás de ti te esté disparando. Tampoco lo hizo el senador Joe Lieberman, que fue visto en una audiencia en el Senado y le hizo una pregunta a McGurk acerca de quién era exactamente responsable de Stuxnet: "¿Creemos que este fue un actor de estado-nación y que son un número limitado de estados-nación que tienen tal capacidad avanzada?

"Imagínese por un momento que no solo se agotó todo el poder en la costa este, sino que se cayó toda Internet", dice New York Times El reportero David Sanger en la película. La actriz compuesta deja caer el otro zapato: imagina cuánto tardarían esas redes eléctricas en volver a conectarse a decenas de millones de personas.

"El escenario de la guerra cibernética de ciencia ficción está aquí, eso es Nitro Zeus. Si no se hubiera alcanzado el acuerdo nuclear entre Irán y otros seis países en el verano de 2015, se podría haber hecho para "desactivar las defensas aéreas, los sistemas de comunicaciones y partes cruciales de su red eléctrica", informó Sanger para el informe. Veces en febrero.

"Probablemente hemos visto cerca de diez países", dijo Chien en una reciente sesión de preguntas y respuestas después de una demostración de Días cero, cuando se les preguntó cuántos países tienen acceso a armas cibernéticas que podrían cerrar los sistemas de control industrial en Estados Unidos o en cualquier otro lugar. Hay un umbral relativamente bajo cuando se trata de iniciar una guerra cibernética.