¿Es posible hackear la refrigeración de un datacenter para dañar las cintas de backup?

Mr. Robot es quizás la serie que mejor refleja lo que podría ser el hacktivismo sin condiciones en la actualidad. Un personaje desequilibrado y antisocial que desea cambiar la sociedad orquestando un grupo secreto de hackers (Fsociety) contra uno de los mayores holdings empresariales del mundo (Evil Corp). También una trepidante y psicodélica trama en el que encontramos muchos guiños a herramientas y técnicas de hacking reales. Pero, ¿son realmente factibles todas ellas? 

Si no habéis visto la serie os adelanto que si seguís leyendo os toparéis con un spoiler...



Según el argumento, el gran plan de Fsociety era borrar todos los datos de Evil Corp, o cifrarlos para hacerlos inaccesibles. Para que ésto fuera efectivo tenían evidentemente que impedir que pudieran recuperarlos por lo que también debían eliminar las copias de seguridad en cinta de un centro de respaldo conocido como Steel Mountain. Una opción era hacer volar por los aires el complejo y otra, digamos "más fina", era hackear el sistema de refrigeración para estropear las cintas:

"El almacenamiento de datos en instalaciones como Steel Mountain se hace en cinta lineal estándar de nueve pistas. Temperatura entre 16 y 35.
El óxido de hierro de la cinta está pegado al poliuretano con un aglutinante. Si la temperatura ambiental supera los 35 grados, el adhesivo de poliuretano se deshace y los datos de la cinta son ilegibles.

Esto es lo que vamos a hacer. Esta placa, si se instala detrás de un termostato, nos permite instalar una puerta trasera inversa y luego crear una VPN en la intranet de Steel Mountain.

Vale, todos sabemos qué es una Raspberry Pi
".


Y este plan nos genera la gran duda que bautiza este post, simplemente instalando un backdoor físico conectado a un termostato ¿sería posible manipular la climatización de un gran centro de datos para borrar las copias de seguridad en cintas magnéticas? Veamos la casuística paso a paso...



Lo primero es que el uso de cintas magnéticas de gran capacidad, lo que sería hoy en día sobretodo LTO Ultrium, aún con las nuevas soluciones de cloud se sigue manteniendo bastante en la actualidad. No es difícil por tanto que el centro de datos en cuestión las utilice. Parece mentira pero desde hace 50 años se siguen usando cintas cubiertas de óxido-férrico similar a las usadas en la grabación de audio, pero es tal la densidad de los datos que pueden almacenar que un sólo cartucho puede llegar a almacenar más de 2,5TB... eso lo explica.

Normalmente para estas cintas (LTO 4 a 6) el rango de temperatura para su almacenamiento diario oscila entre 16 y 32º C y de 5 a 23º para su almacenamiento a largo plazo (hasta 30 años). No obstante pueden operar de 10 a 45ºC con un rango del 10 al 80% de humedad. Es decir, parece que para dañar un cinta sería necesario llegar casi a 50º C, no sólo superar los 35º C.

 
Luego los controles de sistemas de climatización en grandes CPDs vienen a ser bastante complejos. En un edificio de gran tamaño por lo general habrá varias zonas con múltiples unidades de aire acondicionado, cada una con su propio controlador que recibe la temperatura ambiental de uno o varios sensores. Por lo tanto lo más sencillo en este caso será manipular sólo el termostato que controle la temperatura de la zona cercana a la cabina de cintas: el controlador recibirá un valor de temperatura falso y disminuirá la emisión de frío en consecuencia.

Para hacer esto se debe cumplir que la Raspberry tenga salida a Internet para su gestión remota mediante una conexión inversa previa, normalmente a través de Tor o pivotando a través de otro equipo que sí la tenga, y al mismo tiempo que tenga acceso al menos al termostato en cuestión y que ésta sea vulnerable.

Nos podría parecer una práctica nefasta no poner los elementos de climatización en una red aislada, pero no sería la primera vez que vemos un datacenter en el que el controlador envía datos al exterior para ser monitorizados por un SOC 24x7. Los datos acerca de la temperatura, humedad, consumo eléctrico, etc. viajan por canales seguros a diferentes países que contestan y actúan según el huso horario. Por lo tanto, si hay reglas para salir en Internet y un firewall sin deep inspection podríamos aprovecharlo para llevar nuestro shell inverso a través de un canal encubierto.

Después como comentábamos, para poder manipular los valores de la temperatura del termostato este tiene que tener alguna vulnerabilidad explotable conocida (o no conocida). En la conferencia Blackhat del año pasado ya se presentaron ataques a termostatos de la marca Nest, por lo que no parece descabellado comprometer algunos de estos dispositivos, más aún cuando muchas veces por defecto no implementan grandes medidas de seguridad siendo diseñados y pensados para comunicarse sólo con los monitores de entorno en un segmento de red muy limitado.

En resumen tenemos un backdoor (RPi) con gestión remota y con conexión al termostato vulnerable... falseamos la temperatura sólo de una zona específica, aumenta el calor y rezamos para que la propia cabina de backup o ningún otro dispositivo o appliance de un rack cercano se sobrecaliente lo suficiente como para generar una alarma. Recordemos que cualquier switch incluso de gama media puede equipar un sensor de temperatura y basta controlar los valores mediante SNMP con un servicio de monitorización tipo Nagios y un trigger que genere una alerta a tiempo...

Concluimos... ¿Es imposible borrar las cintas hackeando el sistema de refrigeración y aumentando la temperatura? No, pero sí muy difícil e improbable...

Comentarios

  1. Por la parte de redes si. Pero habría que hackear la maquinaria de refrigeración, y a nivel hardware :). No he visto ningun CPD que tenga radiadores o emisores que alcancen la temperatura de 50º ni en oficinas y menos en salas de almacenajes de cintas, que si que he llegado a ver. Las salas de servidores, sais, etc que necesitan ser refrigeradas suelen ser un circuito de refrigeración bastante independizado del resto del edificio, y por temas de eficiencia energética.

    ResponderEliminar

Publicar un comentario