miércoles, 12 de abril de 2017

Ciber-armas: efectivas, asequibles y negables

En la ultima Rootedcon, una de las charlas mas interesantes fue la que dio Mikko Hypponen, director de investigación de Fsecure.

Una de las ideas que dejo caer, fue que estamos viviendo el inicio de una nueva carrera armamentística, centrada en el ciber-espacio. Recordemos que ya en el 2016 la doctrina de la OTAN reconoció este espacio como quinto dominio o dimensión militar.

Aquí tenéis un resumen de esa parte de su charla:


Para Mikko las ciber-armas tienen 3 caracteristicas muy ventajosas a la hora de invertir en ellas.
  • Son efectivas. Pueden provocar importantes daños; economicos o incluso físicos.
  • Son asequibles. Son baratas en comparacion con otro tipo de armas (p.e. un tanque).
  • Son negables. La atribucion o autoria de un ataque es dificil de demostrar. Y por lo tanto se dificultan los posibles contra-ataques.

Estoy de acuerdo con estas afirmaciones, pero no es todo tan facil como pueda parecer.

Una ciber-arma puede ser muy efectiva o dañina, pero su efectividad es efimera, muy poco duradera en el tiempo. Un malware o un exploit dependen en gran medida del efecto sorpresa, de no ser conocidos previamente por el objetivo. Si este los conoce de antemano es facil que pueda defenderse.

La ciber-arma mas famosa y que se pone a menudo como ejemplo, Stuxnet, probablemente hoy no seria efectiva a menos que sufriese unos cambios radicales. Para empezar seria detectada por las herramientas de seguridad (antivirus, ips) y los exploits 0-day que utilizaba ya no serian efectivos.

Esto nos lleva al segundo aspecto. Una ciber-arma puede ser barata, pero normalmente solo admite unos pocos usos. No podemos reutilizar de forma indefinida un exploit o un malware ya que acabaran por ser detectados. De forma que para cada operacion necesitaremos crear nuevas herramientas o modificar notablemente las anteriores.

No solo por cuestiones de efectividad sino tambien por negabilidad. Si utilizamos la misma herramienta en mas de una operacion, perdemos esta ventaja y la atribucion se simplifica.
Por esta razon las ciber-armas normalmente no son escalables. No podemos fabricarlas en cadena y por lo tanto de manera agregada no son tan economicas como pueda parecer.

Volviendo al ejemplo de Stuxnet, su coste estimado se situa alrededor de los 100 millones de dolares. Si quisiesemos realizar una campaña ofensiva contra una nacion rival, necesitariamos realizar multiples operaciones de este tipo de forma paralela. Supongamos que digidas a las 35 principales empresas o industrias de esa nacion. Esto nos daria un coste agregado de 3500 millones de dolares. Las cifras van subiendo.

Podrian ser incluso mayores, ya que los costes asociados al desarrollo, operacion y mantenimiento de este arsenal serian crecientes; habria que añadir: gastos politicos, de cordinacion, de infraestructura, de personal, etc.

Esto podria explicar por ejemplo porque el presupuesto para ciber-operaciones del Pentagono fue de 7000 millones en 2016.