domingo, 3 de abril de 2011

Informática forense talibán

Los titulares de importantes intrusiones en las últimas semanas han llevado a que se hable mucho de la APT (Amenaza Avanzada Persistente), término que viene a describir una amenaza que emplea técnicas extremadamente sofisticadas y detrás de la que estarían supuestamente gobiernos de países como China o Rusia.

Esto nos puede llevar a olvidar que no todas las amenazas tienen porqué usar la más alta tecnología o depender de ataques avanzados realizados a través de internet, hay ocasiones en las que una falta de las medidas de seguridad informática elementales puede provocar que información critica caiga en manos del enemigo, incluso cuando este enemigo utiliza medios comparativamente primitivos.

Con relativa frecuencia saltan a los medios noticias en los que un ordenador portátil conteniendo información confidencial se pierde o es sustraído, en 2007 el FBI reconocía que perdida unos 40 portátiles al año, mientras que en 2008 el Ministerio de Defensa Británico perdió un soporte con datos de más de cien mil militares.

En la mayoría de ocasiones es imposible precisar si los datos contenidos en esos equipos y soportes llega a manos de fuerzas hostiles, aunque si existe al menos un precedente conocido en el que así ocurrió. Veamos el caso de un video de hace unos años difundido por As-Sahab, el brazo mediático de Al Queda, titulado “La guerra del pueblo oprimido” donde nos muestran imágenes del combate mantenido en Kunar, Afghanistan con un grupo de cuatro miembros de las fuerzas especiales de la Us Navy, los Navy Seals.

El 28 de junio de 2005 un grupo Seal llevaba a cabo la operación “Red Wings” , con el objetivo de capturar o matar a un importante líder talibán, cuando fueron sorprendidos por una fuerza ampliamente superior en número. El grupo de cuatro hombres mantuvo un combate durante dos horas en el que solo uno de ellos consiguió sobrevivir malherido. Un helicóptero MH-47 Chinook enviado en su ayuda, con otros ocho Seals y ocho miembros del 160th SOAR, fue derribado por una granada RPG pereciendo todos sus ocupantes. En total en un solo día diecinueve miembros de las fuerzas especiales norteamericanas resultaron muertos.

Marcus Luttrell , único superviviente de la fallida operación.

El video de As-Shab no solo muestra parte del enfrentamiento o imágenes de soldados norteamericanos muertos, si no que presenta también el material capturado que incluye armas, municiones, equipos de navegación, observación y comunicaciones , así como un ordenador portátil dañado suponemos que durante el combate.


Fragmento del vídeo. Completo aquí (30m09s).

Lo destacable del vídeo desde el punto de vista de la seguridad informática, es que los militantes islámicos enseñan como extraen el disco duro del portátil capturado, lo colocan en una carcasa usb externa para discos duros y exponen el contenido de diversos documentos de inteligencia que contiene.


Seria salvando las distancias, el equivalente terrorista de la informática forense, en la que a un equipo se le suele extraer sus soportes para identificar, preservar, analizar y presentar los datos almacenados.

Sorprendente que un grupo de operaciones especiales se despliegue en una zona controlada por el enemigo con un portátil, incluso aunque la información utilizada pueda ser de un bajo nivel de clasificación y que este no cuente con algún tipo de cifrado en sus soportes, en previsión precisamente de la pérdida o captura del mismo.

Prevenir este caso hubiera sido sencillo, desde hace años existen una amplia variedad de productos tanto comerciales como open source que permiten crear unidades virtuales cifradas o incluso proteger el contenido total del disco duro. Algunas incluso vienen de serie con el propio sistema operativo como el Encrypting File System (EFS) disponible desde Windows 2000 es un sistema que trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema o BitLocker funcionalidad de cifrado completa de disco, incluido en las versiones Ultimate y Enterprise de Windows Vista y Windows 7 así como en Windows Server 2008.

No hay comentarios:

Publicar un comentario en la entrada