martes, 18 de enero de 2011

Informe de ciberguerra de la OCDE, una primera crítica.

Hace pocos días se ha hecho público un informe encargado por la OCDE (Organización para la Cooperación y el Desarrollo Económico) con el título “Reducing Systemic Cybersecurity Risk”.
Después de una primera lectura del documento podemos decir sin duda que estamos frente al mejor de los informes en literatura abierta que se ha escrito hasta el momento sobre el tema de la ciberguerra. Entre otros puntos viene a refutar lo que en algunos ambientes se ha llamado el “Pearl Harbour digital”, el riesgo de un ataque informático sorpresivo con escala e impacto global y consecuencias catastróficas,en esta linea entre otros aspectos el estudio denuncia el uso incorrecto de métricas a la hora de presentar los incidentes de seguridad, por ejemplo por parte de estadísticas de ciberataques que consideran incidente el scanneo de un puerto o un correo de phishing bancario. Lejos de minimizar la importancia de la ciberguerra el estudio también advierte que hemos entrando en una carrera ciberarmamentistica generalizada, y que en un futuro próximo asistiremos al uso combinado de armamento tradicional y ciberarmamento.

La verdad es que punto por punto podríamos asumir como tremendamente acertados todos los párrafos que se recogen en el resumen ejecutivo, quizá con una única excepción. Veámoslo:

The vast majority of attacks about which concern has been expressed apply only to Internet-connected computers. As a result, systems which are stand-alone or communicate over proprietary networks or are air-gapped from the Internet are safe from these. However these systems are still vulnerable to management carelessness and insider threats.

Esta redacción implicaría que los sistemas aislados, las redes propietarias y las redes separadas físicamente de internet (air-gapped) están a salvo de los ciberataques salvo que estos provengan de amenazas internas o de una gestión descuidada.

La realidad, en mi humilde opinión, es muy distinta: existen múltiples posibles puntos de entrada o tácticas que un atacante puede utilizar sin contar con la colaboración de personal interno o acceso físico a las instalaciones y a continuación veremos algunas de ellos.

Si hablamos de redes públicamente accesibles debemos en primer lugar recordar que Internet no es la única red pública de transmisión de datos, como bien conocen los hackers de la vieja escuela, antes y durante los primeros tiempos de internet era frecuente la intrusión en sistemas mediante redes X.25 como Iberpac o mediante accesos Dial-up conectados a la red telefónica. Conexiones de estos tipos suponen puntos de acceso desde el exterior a sistemas internos, pese a no estar contactos a Internet, y por tanto susceptibles de una falsa sensación de seguridad. Es común que incluso la más restringida de las redes cuente con alguno de estos accesos para el soporte remoto por parte del fabricante de software o como forma de acceso out of band para la resolución de problemas de red si se pierde la conectividad por los medios habituales.

Otra posibilidad de acceso viene derivado de redes lógicamente separadas de internet, pero que hacen uso de infraestructura pública de comunicaciones. Si estas redes no implementan medidas adicionales como encriptación pueden ser comprometidas externamente si se dispone de acceso al equipo, redes o sistemas adecuados. Ejemplo de ello son las vulnerabilidades en redes MPLS o la facilidad de hijacking de trafico encapsulado GRE cuando se hacen uso de en conexiones satélite DVB/IP.

Tampoco se puede descartar la interconexión de esas redes internas con redes wireless, por ejemplo de la familia 802.11, que proporcionarían acceso desde el exterior de las instalaciones. Incluso si estas redes tienen políticas que prohíben su conexión a redes wireless siempre existe la posibilidad de conexión inadvertida. Puede venir de un punto de acceso instalado por un usuario descuidado o como quedo demostrado durante un caso real que el autor de esta entrada localizo durante una auditoria a la red de una organización de investigación y desarrollo en el sector de la defensa un portátil conectado a la red interna. Portatil que a su vez contaba con un interfaz inalámbrico que intentaba conectarse a las redes wireless preferidas, entre las que estaban redes abiertas tipo un hotspot inalámbrico. Un portátil con esa configuración si resulta comprometido puede convertirse en la puerta trasera por la que sería posible acceder.

De forma similar en muchas ocasiones las redes internas, incluso de infraestructuras criticas, no son realmente air-gapped , si no que son accesibles desde otras redes como la intranet corporativa y esta a su vez tiene acceso a internet. Así aunque lógicamente no exista una conexión directa, un intruso podría comprometer desde el exterior un sistema intermedio, por ejemplo explotando una vulnerabilidad de navegador o mediante un troyano combinado con el uso de ingeniera social, y pivotando desde ese sistema intermedio de nuevo llegar hasta la red interna.

Otra posibilidad, tal como se ha visto en la practica con el malware Stuxnet , es la de crear un gusano que infecta medios removibles, como pendrives USB, y de esta forma llegar incluso a redes air-gapped. Un usuario con acceso a las diversas redes podría ser el medio de transmisión del malware al introducir un dispositivo infectado desde una estación de trabajo de la red A a la red B. De hecho según informaba Wired, en 2008 redes separadas de internet y utilizadas para manejar información clasifica de las fuerzas armadas estadounidenses SIPRNET y JWCIS habían resultado afectadas por un troyano de replicación mediante infección de dispositivos. Aunque el articulo venia a resaltar que el troyano no había podido establecer comunicación con el exterior esto no seria impedimento para un malware diseñado con el fin de borrar o alterar información.

Creo que con estos son suficientes ejemplos para refutar la opinión vertida en el citado párrafo dentro de un por lo demás excepcional informe. Informe que seguro dará en un futuro próximo bastante de que hablar en el entorno de defensa y seguridad informática, y por supuesto en este blog.

No hay comentarios:

Publicar un comentario en la entrada