lunes, 13 de octubre de 2014

Ciber-BDA: Evaluación de daños de ciber-combate.


Nuevas operaciones APT, variantes de malware o descubrimiento de vulnerabilidades son la tónica habitual en los titulares de prensa del día a día. Esto nos podría hacer pensar que la ciberdefensa es un campo relativamente maduro. Sin embargo aunque la escalada tecnología ha sido notable, la seguridad informática ofensiva sigue teniendo mucho de artesanal y poco de proceso formal.  O como tratábamos en nuestra anterior entrada, en ocasiones basado en la anécdota y la excepción en lugar de la regla. Si en un futuro se desea equiparar el empleo de medios ciber-ofensivos estos deberían de ir más allá del último exploit o vulnerabilidad. Integrándose junto con otras capacidades militares como un medio mas para la consecución de los objetivos asignados. 

Entre las actividades de soporte ya existentes en el ámbito militar y que necesitaran una análogo ciber se encuentra el BDA. El Battle Damage Assement que podría traducirse por Estimación de Daños de Combate es una actividad surgida como consecuencia de las tácticas usadas en la segunda guerra mundial. El uso del bombardero aéreo ocasiono que al contrario que en las tácticas militares usadas en guerras anteriores, el efecto del ataque no fuera inmediatamente discernible. Fue necesario que desarrollar por tanto unas actividades específicas para determinar el impacto de los bombardeos sobre el enemigo de los ataques. Por ejemplo vuelos de reconocimiento que permitieran una comparación de la situación del objetivo antes y después. Por ello el BDA se conocía inicialmente como “Bomb Damage Assement”, y con su aplicación a otras armas como artillería o misiles se paso posteriormente a “Battle”.


El BDA es necesario para determinar si los objetivos atacados han sufrido los efectos deseados dentro de la estrategia general. En caso positivo se debe actualizar la inteligencia disponible sobre el enemigo en cuando a medios y capacidades. En caso negativo se pueden  plantear nuevos ataques para obtener los resultados deseados, posiblemente variando las tácticas o armas empleadas si se estima que las usadas han sido inefectivas.

En la doctrina de ciber-operaciones el CNA (Computer Network Attack) comprende las acciones realizadas para degradar o destruir la capacidad de las redes y los sistemas informáticos enemigos. Este puede realizarme de forma temporal como pueden ser ataques de red DoS y DDoS. O suponer una degradación más permanente, por ejemplo resultado del borrado de sistemas, cambio de configuraciones, corrupción de datos almacenados,  etc. Incluso ocasionando daños desde el software en sistemas físicos como fue el caso de Stuxnet. Como vemos en muchos casos el CNA se realizaría por medio de un acceso remoto obtenido mediante acciones CNE previas. Dado que hasta el momento no se ha producido ningún gran conflicto bélico entre adversarios con capacidades cibernéticas el protagonismo a estado en las actividades CNE de inteligencia protagonizadas por los APT. Pero en caso de conflicto abierto es de suponer que el CNA cobre protagonismo.

Si se desean disponer de una capacidades CNA efectivas serán necesarios medios de soporte para la identificación de objetivos, integración con actividades CNE, desarrollo especifico de herramientas y capacidades para provocar daños sobre sistemas industriales o de infraestructuras críticas, etc. Y tambien será necesario desarrollar metodologías y herramientas destinadas al ciber-BDA.

En el caso de ataques a sistemas SCADA o infraestructuras críticas que puedan tener un impacto directo en el mundo físico será factible el uso de sistemas de inteligencia tradicional. (IMINT, HUMINT) o datos abiertos de medios de comunicación (alertas a la población, noticias de resultado, etc.).

Los ataques que se desarrollen mas directamente en el campo ciber (ataques a sistemas C2, ISR,  datalinks, etc.) no podrán estimarse tan fácilmente, por lo que se deberán incorporar y desarrollar herramientas especificas para la realización de tareas BDA.

Algunos ejemplos de herramientas o tácticas que podrían usarse para el BDA son:

  •  Sistemas distribuidos geográficamente capaces de realizar test de conectividad (ping, traceroute, dns, http, etc.), que permitan cuantificar el impacto de los ataques en la disponibilidad de la red desde diversos orígenes y destinos. Algo curiosamente muy similar a lo que conocemos a través de las filtraciones de Snowden de TREASURE MAP. De hecho entre los usos de este programa se incluye la media de efectividad de otras misiones.
     
  • Capacidades de medida de red activos y pasivos en los implantes software RAT (Remote Access Tool). Esto permite usar las maquinas controladas previamente como sensores de funcionalidad dentro de la propia red del adversario.
     
  • Capacidades de exfiltración de información en herramientas, malware o gusanos instalados en el objetivo, incluso aunque su finalidad no sea propiamente el CNE. Destinadas a realizar inteligencia de evaluación de daños de forma posterior a los ataques CNA.
      
  • Entradas de información desde otros sistemas de inteligencia militar que puedan aportar datos del uso de sistemas de backup. Permitiendo deducir que el sistema principal objetivo ha sido efectivamente degradado. Por ejemplo el análisis de tráfico sobre sistemas de mando y control alternativos (radio HF, satélite, etc.) a las redes telematicas .
  • Análisis de fuentes abiertas, especialmente útiles para medir la efectividad de ciertas actividades CNA, como ataques DoS en internet. Usándose desde comentarios en redes sociales a datos públicos de organismos de gestión de internet.

miércoles, 8 de octubre de 2014

Seguridad basada en anécdotas

Últimamente el sector de la CiberSeguridad cada vez se parece más a un circo. Lo importante es el espectáculo y lo que menos importa es si nuestros sistemas realmente son más seguros.

Siempre se ha dicho que la seguridad es como una cadena, un conjunto de elementos cuya fortaleza depende de que todos ellos sean lo suficientemente robustos. Al final la cadena es tan fuerte como su eslabón más débil.

Siguiendo este principio, deberíamos revisar todos los elementos de nuestra seguridad, para garantizar que todos ellos alcanzan un nivel aceptable. No podemos centrarnos solo en algunos elementos y olvidar el resto.

Sin embargo el sector va en dirección contraria. Lo que vende son las anécdotas, las modas.

Este año toca la moda de los ataques de denegación de servicio distribuidos. Todo el mundo corre a comprar el último “Appliance” y a contratar los últimos servicios de “Threat Intelligence”. ¿Y el resto de frentes, los olvidamos?

Hay también muchos casos de empresas o profesionales, que se han especializado en determinado tipo de vulnerabilidades o de ataques. Cuando contratas un proyecto de auditoria o consultoría con ellos, ya sabes lo que vas a recibir: Con un “Cross Site Scripting” son capaces de entrarte “hasta la cocina”.

Y me parece bien, la especialización en seguridad suele ser algo positivo. Además, debe ser un espectáculo ver a esta gente explotando “su” vulnerabilidad, pero ¿Y el resto de elementos de mi seguridad? ¿Y si no tengo un “Cross Site Scripting”? ¿De verdad merece la pena pagar por un proyecto tan específico? ¿Y los otros 100 tipos de vulnerabilidades que esta empresa no me va a analizar?


En seguridad es raro encontrar recetas mágicas que sirvan para todos los casos. Si tenemos más de un elemento a proteger, no debemos acudir solamente a los que venden siempre lo mismo y tenemos que analizar con la cabeza fría cuales son nuestras necesidades reales de nuestra organización, sin dejar huecos por cubrir ni dejarnos cegar por bonitas “demos”.