viernes, 18 de enero de 2013

Atribución en ciberguerra - 1



Un tema recurrente en los debates que tengo con los compañeros del blog es el relativo a la dificultad de realizar la atribución de acciones ofensivas en el mundo digital.

Uno de mis compañeros suele opinar que es muy difícil atribuirle con cierta fiabilidad a un estado o a una entidad determinada la autoría de una acción en el mundo digital ya que la mayoría de evidencias son igualmente digitales y son fáciles de falsificar.

Sin embargo yo opino que la diferencia con la atribución de acciones ofensivas convencionales no es tanta como puede parecer. En el mundo físico no son raros los casos de operaciones de bandera falsa, agentes dobles, mercenarios o falsificación de pruebas; que igualmente dificultan la atribución de un suceso.

Es cierto que en el mundo digital además tenemos que lidiar con la "volatilidad" de muchas de las evidencias, pero también contamos con herramientas adicionales.

Algunas de estas herramientas son:

  • Análisis de metodologías de ataque.
  • Análisis de objetivos.
  • Análisis de diseminación.
  • Análisis de información externa contenida en el propio ataque.



Análisis de metodologías de ataque

Copiar o comprar herramientas y exploits, incluir comentarios o textos en otro idioma, lanzar los ataques desde direcciones IP de otro estado, son técnicas sencillas para ocultar la autoría de una acción y son fáciles de replicar.

Sin embargo copiar la metodología de trabajo completa de un equipo de atacantes es más difícil. Al ser todavía un mundo altamente especializado la preparación de cualquier equipo requiere de individuos con años de experiencia. Durante esos años las personas aprenden rutinas y manías, que son difíciles de replicar si no se conocen a fondo.

Como escribía Sun Tzu; no solo hay que conocer las armas del enemigo sino que hay que llegar a conocer su mente y su espíritu.

Pongamos un ejemplo; la comunidad hacker en España principalmente tiene sus orígenes en el mundo de las BBS hace unos 15 o 20 años. Un analista sénior que haya vivido esa época conocerá algunas herramientas, técnicas o jerga que desconocen los recién llegados a este mundillo. Este tipo de conocimientos son difíciles de replicar y pueden ser un indicio fiable de la autoría de una acción determinada. Teniendo en cuenta además que en esa  época los círculos underground eran muy cerrados y que la información pública sobre técnicas de ataque disponibles era mucho menor.

Otro ejemplo podrían ser algunos ataques APT publicados en los últimos años y atribuidos supuestamente a agentes chinos porque el origen de muchas de las conexiones eran direcciones IP de ese país.

En algunos de estos ataques se han utilizado técnicas de hacking old-school (de la vieja escuela) relativamente antiguas, que pueden hacernos sospechar. Si tenemos en cuenta que la comunidad hacker en China es relativamente joven (menos de 10 años) podemos albergar dudas razonables sobre esta atribución.

Aunque siempre podríamos estar ante el caso de agentes extranjeros subcontratados, individuos especialmente brillantes (que no hubiese comunidad hacker no implica que no hubiese individuos que ya hubiesen adquirido esos conocimientos de forma independiente) o incluso de colaboraciones entre países.

En cualquier caso son indicios relativamente fiables y una pieza más del puzle que nos puede ayudar a hacer una atribución más acertada.

No hay comentarios:

Publicar un comentario en la entrada