lunes, 28 de octubre de 2013

¿Qué podemos aprender de la NSA?

Desde el inicio de las filtraciones de Edward Snowden se han venido sucediendo una serie de revelaciones de operaciones de la NSA , en este articulo dejaremos a un lado las implicaciones políticas y sociales. Lo que intentaremos es analizar que podemos aprender desde el punto de vista técnico, a partir de los datos conocidos hasta el momento, tanto en la vertiente de la ciberdefensa como de las operaciones ofensivas en redes de ordenadores.

Para buena parte de expertos mucho de lo que se ha divulgado no ha sido realmente una sorpresa. Como vino a twittear un reconocido experto en seguridad: “la NSA ha conseguido que me encuentre indignado pero no sorprendido”.  Y es que ciertamente la historia  de Snowden nos trae ecos del espionaje indiscriminado de ciudadanos norteamericanos conocido a través de la comisión de investigación Church o de las “revelaciones” de espionaje a las comunicaciones diplomáticas de otros países que hizo publicas Herbert O. Yardley en “The American Black Chamber”.

Si bien las filtraciones han omitido intencionalmente buena parte de los detalles técnicos y operativos de las acciones de espionaje al menos han abierto una brecha en la que atisbar las técnicas utilizadas.


Hasta el momento de las filtraciones lo que venía en llamarse ataques APT, aquellos organizados y patrocinados por naciones-estado solían tener como punto en común el uso de malware diseñado exprofeso. No es por eso de extrañar que la mayor parte de la información sobre estos ataques disponible abiertamente venia el análisis realizado por empresas antivirus. Los iconos de estos ataques serian casos conocidos como Stuxnet  o especialmente los atribuidos a la inteligencia china como la Operación Aurora o APT1. La mayoría de estos ataques, responden a un patrón definido: compromiso previo de estaciones de trabajo de usuarios mediante ataques tipo Spear-phishing o Watering-hole,  profundización con el acceso obtenido en la red hasta llegar la información confidencial que se pretende sustraer y posterior exfiltración de la misma.

En los últimos años APT se convirtió en el término de moda en la industria de seguridad informática, centrándose en el tipo de ataque indicado. Olvidando que el verdadero significado de APT  (amenaza avanzada y persistente) hace referencia a la determinación y medios del oponente más que al uso de una técnica concreta.

Sin embargo si echamos un vistazo a los métodos empleadas tanto históricamente como a las reveladas en las filtraciones observamos que si bien el arsenal de la NSA incluye el malware dirigido también hace uso de una amplia variedad de técnicas, tanto del espionaje electrónico clásico como del derivado del mundo ciber.
Entre las técnicas que parecen confirmarse o descubrirse de las revelaciones están: la interceptación de comunicaciones por satélite (FORNSAT), el aprovechamiento de emisiones electromagnéticas no intencionadas de dispositivos (VAGRANT, OCEAN, DROPMIRE), compromiso físico de dispositivos de almacenamiento para realizar copias del contenido de los mismos (CUSTOMS, LIFESAVER), hacking de centralitas telefónicas tipo PBX, el acceso a los backbones de fibra óptica de internet (UPSTREAM), la colaboración de las principales redes sociales (PRISM), la implantación de todo tipo de puertas traseras en los objetivos tanto hardware como software diseñadas para obtener acceso a redes segregadas, incluso a redes consideradas  “air-gapped” .


Lo que nos dejar ver las últimas revelaciones de la NSA es que esta organización hace uso de todos los posibles vectores de ataque a su alcance. En palabras de Hallam-Baker “NSA when confronted with A and B choices, select both.”

¿Qué consecuencias tiene todo esto para  aquellos que se pueden enfrentar a una amenaza gubernamental de la entidad de la NSA? ¿Qué lecciones deben aprender  el personal dedicado a las tareas de protección de redes y sistemas críticos nacionales? Quizá la más importante es que no se debe centrar la defensa ante un único escenario. Ciertamente el malware dirigido seguirá siendo  una de las más importantes amenazas, pero en ningún caso se debe infravalorar el hacking “clásico”, el compromiso de los sistemas de comunicaciones, la seguridad física y operativa.


Desde el punto de ciberdefensa a nivel estratégico nos recuerda que la independencia tecnológica nacional (particularmente en comunicaciones, criptografía o ciberdefensa) no es algo solo deseable si no que se trata de un imperativo.Dicho en otras palabras: en la ciberguerra existen los países aliados pero no los países amigos.

Por otro lado aquellos dedicados a la informática ofensiva deben extraer la siguiente conclusión: enfrentados a un objetivo difícil de penetrar es extremadamente importante disponer de la mayor cantidad de técnicas, medios y vectores de ataque disponible. Cuanto más variadas sean  estas capacidades mayor es posibilidad de explotar aquellas que puedan estar expuestas en  la pequeña superficie de ataque que presente un objetivo "duro". Por ello tal como tratábamos de forma distendida en nuestra entrada Como debería ser un Tiger Team, el disponer de equipos verdaderamente multidisciplinares es una baza imprescindible en las ciber-operaciones ofensivas.