miércoles, 12 de abril de 2017

Ciber-armas: efectivas, asequibles y negables

En la ultima Rootedcon, una de las charlas mas interesantes fue la que dio Mikko Hypponen, director de investigación de Fsecure.

Una de las ideas que dejo caer, fue que estamos viviendo el inicio de una nueva carrera armamentística, centrada en el ciber-espacio. Recordemos que ya en el 2016 la doctrina de la OTAN reconoció este espacio como quinto dominio o dimensión militar.

Aquí tenéis un resumen de esa parte de su charla:


Para Mikko las ciber-armas tienen 3 caracteristicas muy ventajosas a la hora de invertir en ellas.
  • Son efectivas. Pueden provocar importantes daños; economicos o incluso físicos.
  • Son asequibles. Son baratas en comparacion con otro tipo de armas (p.e. un tanque).
  • Son negables. La atribucion o autoria de un ataque es dificil de demostrar. Y por lo tanto se dificultan los posibles contra-ataques.

Estoy de acuerdo con estas afirmaciones, pero no es todo tan facil como pueda parecer.

Una ciber-arma puede ser muy efectiva o dañina, pero su efectividad es efimera, muy poco duradera en el tiempo. Un malware o un exploit dependen en gran medida del efecto sorpresa, de no ser conocidos previamente por el objetivo. Si este los conoce de antemano es facil que pueda defenderse.

La ciber-arma mas famosa y que se pone a menudo como ejemplo, Stuxnet, probablemente hoy no seria efectiva a menos que sufriese unos cambios radicales. Para empezar seria detectada por las herramientas de seguridad (antivirus, ips) y los exploits 0-day que utilizaba ya no serian efectivos.

Esto nos lleva al segundo aspecto. Una ciber-arma puede ser barata, pero normalmente solo admite unos pocos usos. No podemos reutilizar de forma indefinida un exploit o un malware ya que acabaran por ser detectados. De forma que para cada operacion necesitaremos crear nuevas herramientas o modificar notablemente las anteriores.

No solo por cuestiones de efectividad sino tambien por negabilidad. Si utilizamos la misma herramienta en mas de una operacion, perdemos esta ventaja y la atribucion se simplifica.
Por esta razon las ciber-armas normalmente no son escalables. No podemos fabricarlas en cadena y por lo tanto de manera agregada no son tan economicas como pueda parecer.

Volviendo al ejemplo de Stuxnet, su coste estimado se situa alrededor de los 100 millones de dolares. Si quisiesemos realizar una campaña ofensiva contra una nacion rival, necesitariamos realizar multiples operaciones de este tipo de forma paralela. Supongamos que digidas a las 35 principales empresas o industrias de esa nacion. Esto nos daria un coste agregado de 3500 millones de dolares. Las cifras van subiendo.

Podrian ser incluso mayores, ya que los costes asociados al desarrollo, operacion y mantenimiento de este arsenal serian crecientes; habria que añadir: gastos politicos, de cordinacion, de infraestructura, de personal, etc.

Esto podria explicar por ejemplo porque el presupuesto para ciber-operaciones del Pentagono fue de 7000 millones en 2016.

5 comentarios:

  1. Una ciber-arma no necesariamente necesita ser usada más de una vez; el caso más extremo es simple: conseguir de alguna manera algo que mate a millones de personas (imaginemos un silo nuclear "hackeado").
    Lo que hay que hacer es concienciar y concienciarse de esto, para luego obligar/regular que la seguridad no es una opción, si no una responsabilidad en todos los niveles.
    Gracias!

    ResponderEliminar
  2. Tras el fin de la guerra fría "tradicional", la carrera armamentística ha saltado al mundo digital. Ahora las naciones tienen que desarrollar y evolucionar nuevas armas y defensas de forma continúa que se van quedando obsoletas al poco tiempo.
    Además es muy probable que una ciberarma desarrollada contra la infraestructura I del país P no sea útil ante otra infraestructura del mismo país o la misma de otro país. Se trata de soluciones demasiado cerradas como para considerarlas económicamente asequibles.
    Otra cosa es que hablemos de sistemas de DDoS en base a botnets, campañas de phishing/whaling para espionaje (colar troyanos, keylogers, etc.) y tal. Que si pueden ofrecer un coste/beneficio interesante.

    ResponderEliminar
  3. Thank you The foreign visitors need to apply for visa to Kenya online. That offers them fast and secure e visa Kenya services. You also can check the al information regarding to visa here to get in the Kenya.

    ResponderEliminar
  4. I was completely captivated by this article. It's as if the author has a gift for channeling human thoughts and emotions into words. The writing is so evocative and engaging, it feels like a conversation with a trusted confidant. In a digital landscape cluttered with empty rhetoric, encountering such genuine expression is like finding a rare treasure. I eagerly anticipate more from this talented writer; their ability to resonate on a deep level is truly extraordinary.

    ResponderEliminar
  5. You have a knack for simplifying complex concepts and making them accessible. The theme of continuous learning as essential for personal and professional development really hit home for me. It’s a powerful reminder that there is always room for growth and improvement. Your practical examples were both relatable and motivating, showing that even small, regular efforts can lead to big changes. Your content stands out because it’s both informative and encouraging. I’m excited to see more of your posts in the future.

    ResponderEliminar