martes, 29 de enero de 2013

Estrategias ciberseguridad estadounidenses y europeas

Recientemente se han publicado los resúmenes de las líneas fundamentales de las estrategias sobre ciberseguridad que se están planteado en Estados Unidos y en la Unión Europea.

Aunque son esbozos muy generales, nos dan una idea de por dónde van los tiros en cada lado del océano:

http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative

http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/cyber-security-strategies-paper

Hagamos un pequeño análisis estadístico de algunos de los términos más relevantes de cada estrategia:

                                    Menciones

Termino clave             Europa             USA

-------------------------------------------------------------------------

Framework                 10                    0

Governance                4                      0

Definition                    7                      0

Regulat*                     11                    0

Manage*                     0                     8

Deploy*                      0                     5

Develop*                    8                     25


Mientras en este lado del atlántico aparentemente están aun sentando las bases de las estrategias de ciberseguridad, debatiendo la semántica de términos abstractos o intentando regular un mundo en constante cambio, parece que al otro lado del charco están ya manos a la obra securizando de verdad sus redes.

Esto me recuerda una pequeña fabula sobre seguridad. La fabula de los 2 bancos:

Erase una vez dos sucursales bancarias en un tranquilo pueblo que tenían estrategias muy diferentes para evitar robos.

1) En el primero basaban su protección en 3 medidas:

- La dirección ha decidido crear un nuevo puesto que se llamara "policía" y que se dedicara a detener ladrones. Por desgracia aun no tienen presupuesto para contratar ninguno.

- Han establecido una definición clara del término "ladrón": Un señor que lleva jersey negro, gorro de lana y barba; y algunas veces roba dinero.

- Van a solicitarle al alcalde que cree una ley que declare ilegal el robo de bancos.

2) En el segundo sin embargo han tomado otras medidas:

- Guardias armados controlan el interior del recinto.

- Han instalado alarmas en todo la instalación que detectan accesos no autorizados.

- Se ha construido una caja acorazada donde guardan el dinero.

¿Cual creéis vosotros que atracaran primero?



viernes, 18 de enero de 2013

Atribución en ciberguerra - 1



Un tema recurrente en los debates que tengo con los compañeros del blog es el relativo a la dificultad de realizar la atribución de acciones ofensivas en el mundo digital.

Uno de mis compañeros suele opinar que es muy difícil atribuirle con cierta fiabilidad a un estado o a una entidad determinada la autoría de una acción en el mundo digital ya que la mayoría de evidencias son igualmente digitales y son fáciles de falsificar.

Sin embargo yo opino que la diferencia con la atribución de acciones ofensivas convencionales no es tanta como puede parecer. En el mundo físico no son raros los casos de operaciones de bandera falsa, agentes dobles, mercenarios o falsificación de pruebas; que igualmente dificultan la atribución de un suceso.

Es cierto que en el mundo digital además tenemos que lidiar con la "volatilidad" de muchas de las evidencias, pero también contamos con herramientas adicionales.

Algunas de estas herramientas son:

  • Análisis de metodologías de ataque.
  • Análisis de objetivos.
  • Análisis de diseminación.
  • Análisis de información externa contenida en el propio ataque.



Análisis de metodologías de ataque

Copiar o comprar herramientas y exploits, incluir comentarios o textos en otro idioma, lanzar los ataques desde direcciones IP de otro estado, son técnicas sencillas para ocultar la autoría de una acción y son fáciles de replicar.

Sin embargo copiar la metodología de trabajo completa de un equipo de atacantes es más difícil. Al ser todavía un mundo altamente especializado la preparación de cualquier equipo requiere de individuos con años de experiencia. Durante esos años las personas aprenden rutinas y manías, que son difíciles de replicar si no se conocen a fondo.

Como escribía Sun Tzu; no solo hay que conocer las armas del enemigo sino que hay que llegar a conocer su mente y su espíritu.

Pongamos un ejemplo; la comunidad hacker en España principalmente tiene sus orígenes en el mundo de las BBS hace unos 15 o 20 años. Un analista sénior que haya vivido esa época conocerá algunas herramientas, técnicas o jerga que desconocen los recién llegados a este mundillo. Este tipo de conocimientos son difíciles de replicar y pueden ser un indicio fiable de la autoría de una acción determinada. Teniendo en cuenta además que en esa  época los círculos underground eran muy cerrados y que la información pública sobre técnicas de ataque disponibles era mucho menor.

Otro ejemplo podrían ser algunos ataques APT publicados en los últimos años y atribuidos supuestamente a agentes chinos porque el origen de muchas de las conexiones eran direcciones IP de ese país.

En algunos de estos ataques se han utilizado técnicas de hacking old-school (de la vieja escuela) relativamente antiguas, que pueden hacernos sospechar. Si tenemos en cuenta que la comunidad hacker en China es relativamente joven (menos de 10 años) podemos albergar dudas razonables sobre esta atribución.

Aunque siempre podríamos estar ante el caso de agentes extranjeros subcontratados, individuos especialmente brillantes (que no hubiese comunidad hacker no implica que no hubiese individuos que ya hubiesen adquirido esos conocimientos de forma independiente) o incluso de colaboraciones entre países.

En cualquier caso son indicios relativamente fiables y una pieza más del puzle que nos puede ayudar a hacer una atribución más acertada.