Un tema
recurrente en los debates que tengo con los compañeros del blog es el relativo
a la dificultad de realizar la atribución de acciones ofensivas en el mundo
digital.
Uno de mis
compañeros suele opinar que es muy difícil atribuirle con cierta fiabilidad a
un estado o a una entidad determinada la autoría de una acción en el mundo
digital ya que la mayoría de evidencias son igualmente digitales y son fáciles
de falsificar.
Sin embargo
yo opino que la diferencia con la atribución de acciones ofensivas
convencionales no es tanta como puede parecer. En el mundo físico no son raros
los casos de operaciones de bandera falsa, agentes dobles, mercenarios o falsificación
de pruebas; que igualmente dificultan la atribución de un suceso.
Es cierto
que en el mundo digital además tenemos que lidiar con la
"volatilidad" de muchas de las evidencias, pero también contamos con
herramientas adicionales.
Algunas de
estas herramientas son:
- Análisis de metodologías de ataque.
- Análisis de objetivos.
- Análisis de diseminación.
- Análisis de información externa contenida en el propio ataque.
Análisis de
metodologías de ataque
Copiar o comprar herramientas y exploits, incluir
comentarios o textos en otro idioma, lanzar los ataques desde direcciones IP de
otro estado, son técnicas sencillas para ocultar la autoría de una acción y son
fáciles de replicar.
Sin embargo copiar la metodología de trabajo completa de un
equipo de atacantes es más difícil. Al ser todavía un mundo altamente especializado
la preparación de cualquier equipo requiere de individuos con años de experiencia.
Durante esos años las personas aprenden rutinas y manías, que son difíciles de
replicar si no se conocen a fondo.
Como escribía Sun Tzu; no solo hay que conocer las armas
del enemigo sino que hay que llegar a conocer su mente y su espíritu.
Pongamos un ejemplo; la comunidad hacker en España
principalmente tiene sus orígenes en el mundo de las BBS hace unos 15 o 20
años. Un analista sénior que haya vivido esa época conocerá algunas
herramientas, técnicas o jerga que desconocen los recién llegados a este
mundillo. Este tipo de conocimientos son difíciles de replicar y pueden ser un
indicio fiable de la autoría de una acción determinada. Teniendo en cuenta además
que en esa época los círculos
underground eran muy cerrados y que la información pública sobre técnicas de
ataque disponibles era mucho menor.
Otro ejemplo podrían ser algunos ataques APT publicados en
los últimos años y atribuidos supuestamente a agentes chinos porque el origen
de muchas de las conexiones eran direcciones IP de ese país.
En algunos de estos ataques se han utilizado técnicas de
hacking old-school (de la vieja escuela) relativamente antiguas, que pueden
hacernos sospechar. Si tenemos en cuenta que la comunidad hacker en China es
relativamente joven (menos de 10 años) podemos albergar dudas razonables sobre
esta atribución.
Aunque siempre podríamos estar ante el caso de agentes
extranjeros subcontratados, individuos especialmente brillantes (que no hubiese
comunidad hacker no implica que no hubiese individuos que ya hubiesen adquirido
esos conocimientos de forma independiente) o incluso de colaboraciones entre
países.
En cualquier caso son indicios relativamente fiables y una
pieza más del puzle que nos puede ayudar a hacer una atribución más acertada.
No hay comentarios:
Publicar un comentario