"Security & Pure Forensics"

.

jueves, 17 de enero de 2013

CIBERGUERRA, CIBERDEFENSA



Desde hace algo más de cuatro años voy (siempre que las circunstancias me dejan) a las conferencias CyCon que se realizan en el Centro de Excelencia del Centro de Ciberdefensa de la OTAN en Tallin, (Estonia). En ellas se reúnen a expertos de diferentes disciplinas y se exponen las tendencias recientes en materia de seguridad informática orientados en su mayoría a conflictos internacionales. El evento es siempre una mezcla de normativas, regulaciones, política, estrategia y como no podría faltar la parte técnica.

Como resumen, en todas las conferencias se hace hincapié al tema de las implicaciones y los mecanismos a utilizar ante un ataque a gran escala.

Durante el pasado año, Estados Unidos, Gran Bretaña y China han hecho pública su intención de crear departamentos “especiales” de defensa para desarrollar y desplegar todo un arsenal de nuevas “ciberarmas”. y es que no es para menos.

Eso es sólo el comienzo, pensemos en todos los servicios y sistemas que dependen para mantener a la sociedad funcionando sin problemas. La mayoría de estos servicios que disfrutamos  se ejecutan en redes y la gran mayoría con base en internet. Aun cuando los administradores de la red no conectaran sus ordenadores a internet, podrían seguir siendo vulnerables a un ataque cibernético.

La Ciberguerra es un problema grave en su totalidad, a diferencia de la guerra tradicional que requiere grandes cantidades de recursos, tales como personal, armas y equipo, la guerra cibernética sólo necesita a alguien con los conocimientos adecuados y equipos informáticos para causar estragos. El enemigo puede estar en cualquier lugar, incluso dentro de las fronteras de la nación víctima. Un poderoso ataque solamente podría requerir un ejército de redes zombis y una media docena de cibersoldados dispuestos a atacar.

LA CIBERGUERRA NO ES UNA NOVEDAD
UN REPASO A EL PASADO "PRESENTE"

Ya en el año 1997 el ejército de EEUU diseño un programa llamado 'Eligible Receiver', si bien la mayoría de los detalles son clasificados, el propósito principal de esta actividad era ver si un grupo de hackers expertos  podría infiltrarse en los sistemas informáticos del Pentágono.

Los resultados fueron impresionantes, este programa se saldo con una victoria para el equipo de expertos que obtuvo el control de los sistemas del Pentágono y el Mando Militar Nacional. Las lecciones aprendidas del momento revelaron que un verdadero ataque podría haber causado una parada de los sistemas informáticos e incómodo la idea de que los atacantes podían acceder y robar información. Según John Hamre, subsecretario de defensa de la época, en su momento indicó que se necesitaron tres días para darse cuenta de que los sistemas del pentágono estaban bajo un ataque.

De hecho, sólo un año después se tuvo constancia de un incidente real (llamado Moonlight Maze) en el que se produjo un ataque y alguien logró penetrar en varios sistemas informáticos en el Pentágono, la NASA y otras instalaciones y acceder a información clasificada. Funcionarios estadounidenses descubrieron los ataques por mera casualidad en el año 2000 después de pasar desapercibidos durante dos años.

Todo ello puso de relieve la poca preparación que se tenía en seguridad informática y lo importante que es disponer de mecanismos de ataques y defensa ante una intrusión o asedio por parte de otros gobiernos.

La ciberguerra había empezado.

Muchas cosas cambiaron a partir de esta acción, los EE.UU. han utilizado estrategias de guerra electrónica contra Irak y Afganistán. Durante la guerra de Kosovo, los EE.UU. utilizaron ataques para comprometer los sistemas de defensa aérea de Serbia. Los ataques distorsionaban las imágenes de los sistemas, dando a las fuerzas serbias información incorrecta durante la campaña aérea. Los agentes de seguridad y cibersoldados de aquella época también estaban trabajando para infiltrarse en las células terroristas y controlar los sistemas de forma remota.

La lista de rumores y ataques fundados e infundados no se detiene, algunos Gobiernos sospechan que Corea del Norte ha utilizado ataques en Corea del Sur. Hay rumores de que China utiliza los ataques contra Taiwan y que la organización terrorista 'Al Qaeda' ha declarado incluso un cyber jihad en los EE.UU.


Pantalla donde se muestra desde un ordenador del ejercito
 chino una IP perteneciente a una red de EEUU

Por otro lado Leon Panetta, secretario de Defensa de los Estados Unidos y ex director de la CIA dice: “Lo cierto es que existe la capacidad de tumbar nuestras redes eléctricas, o de paralizar el sistema financiero de nuestro país. Y creo que tenemos que estar preparados no solo para defendernos contra esta clase de ataques sino, en caso necesario, también para ser agresivos”. 

ESTRATEGIAS DE ATAQUE.

Podríamos definir dos estrategias a grandes rasgos y que siempre han tenido buenos resultados ante una incursión, estamos hablando del factor sorpresa y guerra de guerrillas o comandos.

El factor sorpresa consistiría en que los enemigos podrían coordinar un ciberataque con un asalto físico.

Imagina en tu ciudad, un escuadrón de paracaidistas que coordinados desde el centro de mando consiguen asaltar el suministro eléctrico, hace años consiguieron mediante un PDF acceder a información clasificada entre los que se encuentra planos y documentación de activación de aplicaciones y sistemas. Estos asaltantes no son soldados tradicionales incorporan última tecnología y mediante una llamada activan al cibertroyano que años atrás se incubo dentro de la aplicación que gestiona la energía. Dentro de unas horas habremos retrocedido a la edad de las cavernas. 

Este tipo de ataque no sólo podría causar mucho daño, sería una táctica psicológica poderosa. Algunos expertos temen que organizaciones terroristas como Al Qaeda están trabajando en planes que siguen esta estrategia.

El otro método de ataque (los comandos o troyanos) es mucho más lento, pero muy peligroso. En lugar de cometer un asalto cibernético masivo, el enemigo consigue infiltrarse en los sistemas informáticos y sólo observa y espera. Esta estrategia implica espionaje y reconocimiento. La clave está en evitar la detección y reunir tanta información como sea posible. El enemigo podría usar esa información para dirigir ataques a los puntos débiles en la infraestructura de la nación víctima.

No todos los troyanos atacan de forma instantánea. Algunos hackers construyen sus troyanos en factores que pueden activar con un comando manual o basado en el tiempo. Otros utilizan cambios sustanciales en líneas de código fuente y pueden estar latentes durante años. Este método toma más tiempo que un ataque sorpresa, pero también es más difícil de detectar, prevenir o reparar.

¿COMO RESPONDERÍAMOS ANTE UN ATAQUE A INSTALACIONES ESPAÑOLAS?



Plantéense la pregunta. Disponga de su tiempo y siempre llegará a la misma conclusión, es prácticamente imposible. Pensemos la siguiente suposición

¿Podríamos para un ataque de miles y miles de 'bots' cuyo origen provienen de equipos de escritorio de  grandes empresas de España e incluso de proveedores que trabajan para el ejército?  Más bien no. Quizá podríamos descubrir un ataque o eliminar un malware, pero muy dificilmente un ataque de DOS.

DEFENSA

Debido a que la ciberguerra es tan diferente de la guerra tradicional, no se puede confiar en las mismas reglas que usarías en un conflicto físico. Con las técnicas adecuadas, un pirata informático puede hacer un ataque prácticamente imposible de rastrear. 

Parte de la preparación para un ataque cibernético es educar a los ciudadanos de un país. Richard Clark, ex asesor de seguridad cibernética para los Estados Unidos, dice que parte de la responsabilidad recae en las empresas de software. Él ha dicho que las empresas de software a menudo se apresuran en crear  productos sin poner ellos a través de una fase de control de calidad que sea riguroso.

Otra cosa a considerar es que las empresas privadas son propietarias de la mayor parte de la infraestructura de Internet . A menos que el gobierno pone en práctica regulaciones, le toca a estas empresas privadas para garantizar la seguridad de sus redes. Incluso los expertos como Richard Clark ha dicho que la regulación no es la decisión correcta - argumenta que inhibe la innovación y reduce los estándares de seguridad en todas las industrias.

¿QUE PASOS SON NECESARIOS?

De la forma que actuaríamos en la vida real, pero dando un toque de las normas que tenemos y que nos basamos para la gestión de la seguridad informática.

1.- Fortalecer técnicamente el equipo de respuestas ante incidentes.

Todos los miembros del entorno de TI deben saber cómo actuar en caso de incidente. El CSIRT realizará la mayoría de las acciones en respuesta a un incidente, pero todo el personal de TI debe saber cómo informar de incidentes internamente.

Los usuarios finales deben informar de cualquier actividad sospechosa al personal de TI directamente o a través de un personal de asistencia, no directamente al CSIRT.

Cada miembro del equipo debe revisar el plan de respuesta a incidentes detalladamente. El hecho de que el plan sea fácilmente accesible para todo el personal de TI ayudará a garantizar que, cuando se produzca un incidente, se seguirán los procedimientos correctos.

El personal tendrá la capacidad técnica de distinguir un ataque real de un falso positivo, os recuerdo que no existe la herramienta maravillosa que nos dice que los chinos nos están atacando desde el cibercafé de la esquina. El mejor motor de correlación es la experiencia del analista ante estos ataques.

Para elaborar un plan satisfactorio de respuesta a incidentes se deben seguir estos pasos:
  • Realizar una evaluación inicial.
  • Comunicar el incidente.
  • Contener el daño y minimizar el riesgo.
  • Identificar el tipo y la gravedad del ataque.
  • Proteger las pruebas.
  • Notificar a los organismos externos, si corresponde.
  • Recuperar los sistemas.
  • Compilar y organizar la documentación del incidente.
  • Valorar los daños y costos del incidente.
  • Revisar las directivas de respuesta y actualización.
2.- Disponer de tecnología que le permita analizar 'anomalías' y monitorización.

Estamos hablando de SIEM, registro de actividad, gestión de Logs que permita la recopilación de eventos, normalización, correlación y respuesta a incidentes, inventario, despliegue de sensores y alarmas.

Los sistemas de seguridad tienen que ser muy a medida permitiendo:
  • Automatizar la detección de nuevas amenazas
  • Automatizar el proceso de análisis de ataques
  • Creación de firmas de ataques en tiempo real
  • Auditoria automática del estado de seguridad de las redes
  • Apoyar el proceso de respuesta ante incidentes de seguridad
  • Proporcionar estadísticas de ataques contra las redes.
Otra de las cosas importantes es disponer de tecnología 'Made in Spain' y si es posible el código de la aplicación o una NDA que vincule una estrecha colaboración entre el ejército y el proveedor en caso de ciberconflicto. Recuerdo un caso en 2008 en el cual el FBI alertaba de tarjetas de red falsas de marca CISCO.



3.- Equipos de defensa y ataque

Una de mis mayores funciones que he tenido que hacer profesionalmente es 'jugar al ratón y al gato' es decir poner trampas para poder detectar ataques. Es fundamental disponer de técnicas que puedan entretener al atacante desviando su atención en un entorno trampa y poder aprender que es lo que busca y como lo hace.

Por lo tanto es muy importante tener un equipo multidisciplinar que nos permita acometer 'el factor sorpresa' o bien la preparación de un entorno donde repeler el ataque.

Para ello es necesario que los componentes del equipo cibersoldado disponga:
  • Formación técnica especializada.
    • Arquitectura de redes.
    • Programación en diversos lenguajes.
    • Exploits.
    • Ingeniería inversa.
    • Bastionado.
  • Conocimientos en arquitectura de seguridad e Instalación de redes trampa (Honeypots, honeynets) que incluyan: 
    • Creación de un segmento de red idéntico a la producción.
    • Programar eventos que respondan ante ataques determinados.
    • Cambiar datos ficticios muy a menudo para que sea lo mas idéntico a producción (tarea compleja pero muy efectiva).
  • Una buena formación en Forensics, antiforensics y en productos SIEM comerciales o no.
  • Una buena 'box' de 0Days para todos.
Evidentemente esto es imposible soportarlo en una única persona por lo que puede haber distintos grupos para distintas acciones.

4.- Disponer de una red militarizada

Dicho de otra forma tener una red interconectada con todos los dispositivos militares sin utilizar las infraestructuras de internet, en un momento dado de conectividad con otras redes independientes, utilizar VPN, Cifrados, etc.

CONCLUSIONES 

Soy consciente de que nuestro ejercito está preparándose y dispone de profesionales muy especializados, en los últimos cursos que asistí como ponente en el curso de Informática forense y Ciberseguridad en el Centro Superior de Estudios para la Defensa Nacional (CESEDEN) hubo más asistentes de la previsión inicial y fue exclusivamente para Oficiales Superiores con responsabilidad en la Seguridad de la Información del Ministerio de Defensa cosa que denota el interés por la materia.

Por otro lado, la OTAN ya dispone de un grupo (NCIRC Task Unit) que en el caso de un ataque contra un sistema de información de la OTAN, se dispone un plan de acción cuyo objetivo es restaurar los sistemas para que todo vuelva a su funcionamiento normal tan pronto como sea posible.


El grupo a definir en este año 2013 tendrá un núcleo permanente de seis expertos especializados que puedan coordinar y ejecutar misiones. También habrá expertos nacionales de los países miembros de la OTAN en áreas específicas. Estos componentes tendrán todo el equipo necesario: Equipos de informática y telecomunicaciones, como teléfonos por satélite y equipos para la recolección de pruebas digitales, criptografía, análisis forense digital, gestión de vulnerabilidades, seguridad de redes, etc


No quiero finalizar estas impresiones sin antes plantear que la ciberguerra compite a mas actores y no solo a los militares, por ejemplo implica de lleno a los Gobiernos y sus componentes (ministros, asesores, secretarios), aún recuerdo la siguiente noticia en la que el ministro del interior ha perdido un ipad y un iphone ¿mala memoria?, ¿robo? Nunca sabremos que han sido de estos dispositivos.

Los servicios de inteligencia tienen trabajo sobre todo en los puntos críticos como instalaciones de gas, electricidad, detección de malware, ataques APT, etc. y sobre todo en puntos tan estratégicos como son los consulados, en diversas conferencias cuando se hablaba de las funciones de estos, me venia a la cabeza diversas preguntas:

¿Los empleados y colaboradores del consulado Español en otros países son Españoles?, ¿cuando se estropea un ordenador del consulado quien lo arregla?, ¿un servicio técnico local?, ¿hay procedimientos de borrado de la información de ese ordenador antes de salir de la instalación?, ¿existe cifrado en los discos duros?.

Muchas preguntas y pocas respuestas, pero la verdadera cuestión en todo este tema  no es si va a producir una ciberguerra, si no cuando y para ello todos debemos estar preparados.

Referencias:

http://www.nato.int/cps/en/SID-1E3FDE6F-9C0B5CC0/natolive/75747.htm
http://www.defensa.gob.es/ceseden/bienvenida/
http://www.ncirc.nato.int/index.htm
http://www.andovercg.com/services/cisco-counterfeit-wic-1dsu-t1.shtml
http://www.forbes.com/2010/04/08/cyberwar-obama-korea-technology-security-clarke.html
http://es.wikipedia.org/wiki/Moonlight_Maze

2 comentarios:

A ver si algún día nos cuentas algo del COSDEF ;)
Gran blog.

Estimado Pedro Sanchez
Muy interesante su enfoque respecto a la concientización que debemos brindarle a la Seguridad de la información , visto desde el aspecto estratégico como nación. Soy estudiante y quisiera saber más respecto a la implementacion de una honeynet de alta interacción el cual será parte de mi proyecto de fin de master; o en todo caso como podria contactarlo.