Cautela a la hora de adjudicar a Corea del Norte el hack contra Sony
En la mañana del 16 de diciembre, el matutino estadounidense The New York Times informó...
En la mañana del 16 de diciembre, el matutino estadounidense The New York Times informó que oficiales de inteligencia de los EE.UU. habían concluído que el gobierno norcoreano estaba 'involucrado de manera central' en el ataque informático masivo contra Sony (NYSE: SNE), y que la Casa Blanca aún no había decidido cómo responder.
Tal aseveración, de ser cierta, exige que se lleven a cabo dos cosas de manera inmediata:
- Las identidades de los oficiales de inteligencia deben ser reveladas o, al menos, indicarse para qué agencia trabajaban.
- Las probabilidades de que la agencia a cargo haya sido el Departamento de Seguridad Interior (Homeland Security, o DHS) son del 50%; se trata de la agencia que, desde su concepción, ha redefinido el concepto de incompetencia.
A lo largo de los pasados cuatro años, empleados han abandonado el DHS con un índice que casi duplica en velocidad al gobierno federal en su totalidad, y la tendencia está acelerándose, de acuerdo con una revisión llevada a cabo sobre bases de datos federal.
Un desfile de renuncias de alto nivel, por encima de otros factores, ha ayudado mientras tanto a reducir las inciativas clave en materia de ciberseguridad, incluyendo un programa dirigido al bloqueo de software malicioso antes de que pueda infiltrar a ordenadores civiles del gobierno, han dicho funcionarios retirados.
El informe del Inspector General del DHS ha sido igualmente crítico.
Pero, aún cuando la fuente del New York Times no haya sido el DHS, la IC rara vez se muestra unificada en ocasión de análisis de inteligencia; especialmente en materia de ciberinteligencia. La investigación del NASDAQ informada por Bloomberg es un gran ejemplo. A comienzos de enego, la NSA presentó sus conclusiones a funcionarios de alto nivel de la seguridad nacional: hackers rusos de élite habían franqueado la bolsa de valores e insertado una bomba digital. En el mejor de los casos, los hackers habían incorporado a su malware un módulo de destrucción ante la eventualidad de ser detectado, y necesitaban llevar a cabo un desbarajuste en los ordenadores bancarios del NASDAQ para alejar a sus perseguidores. En el peor de los casos, el mero hecho de generar ese desbarajuste era su intención. El presidente estadounidense Barack Obama fue informado sobre los hallazgos.
Más tarde en la investigación, algunos funcionarios del gobierno americano cuestionaron la posibilidad de que la NSA haya llevado la evidencia demasiado lejos. A menudo, el malware suele cambiar de manos -suele ser vendido, robado o compartido. Y las diferencias técnicas entre código de ataque y algo menos destructivo pueden ser sorprendentemente pequeñas. En aquella oportunidad, el director de la NSA, Keith Alexander, se vio involucrado en una puja con ramas del gobierno en relación a cuánto poder la NSA debe tener a la hora de proteger a compañías privadas ante este novedoso tipo de agresión. Ese descarado ataque podría, ciertamente, motorizar aquel escenario para la NSA
La inteligencia cibernética puede ser contradictoria y poco confiable
La demanda desde las agencias federales para contar con inteligencia cibernética contra amenazas es voraz, y paga bien. Tal demanda suele ser satisfecha frecuentemente con compañías como Mandiant -ahora parte de FireEye, la compañía a cargo de administrar la respuesta sobre el caso Sony. El problema es que estas compañías no tienen supervisión alguna y carecen también de una investigación de antecedentes sobre las fuentes a las que recurren.
Un reciente informe de Carnegie Mellon sobre intercambio de ciberinteligencia refirió:
'Por sobre todo, los hallazgos clave indican que las organizaciones emplean una miríada de enfoques para llevar adelante acciones de ciberinteligencia. Aquéllas no adhieren a estándares universales para establecer y ejecutar un programa de ciberinteligencia, de recolección de información, o de entrenamiento para analistas que interpretan hallazgos sobre datos y comunicaciones, o que lleven a cabo medidas con formato de liderazgo'.
Y no es difícil hallar ejemplos.
Shamoon. El último informe de Cylance defendió la tesis de que 'Irán es un sofisticado ciberadversario', y apuntó a Shamoon como prueba. Sin embargo, los informes técnicos compartidos por Kaspersky Lab y Crysys Lab notaron que el autor de Shamoon era incompetente; ello debido a 'errores tontos', y a que el malware era solo un 50% efectivo. Si Usted desea presentar el caso de que Irán es un sofisticado actor en ciberguerra, no debería tomar como ejemplo un malware pobremente desarrollado.
El foro XCAR. El informe 'Putter Panda' de Crowdstrike presentó el caso de que los posts en un foro chino de XCar consistía en mensajes codificados de forma secreta para transmitir información sobre empleos para hackers cuando, en rigor, solo se trataba de un foro en línea para automóviles. Este error tuvo lugar porque los investigadores de Crowdstrike emplearon el servicio de Google Translate en lugar de lingüistas nativos chinos. Cuando los investigadores ven mensajes ocultos de piratas informáticos chinos allí donde no los hay, se hace difícil aceptar sus análisis sobre las peculiaridades del idioma norcoreano.
DARK SEOUL. De acuerdo a Sophos, el malware conocido como Dark Seoul no es particularmente sofisticado, en tanto es sencillo de detectar. Symantec se refirió a Dark Seoul no como si se tratase de malware, sino de un grupo de hackers responsable de cuatro años de ataques contra sitios web surcoreanos, incluyendo el ataque DDoS (Denegación de Servicio) contra algunos sitios web del gobierno estadounidense en los albores del fin de semana del Día de la Independencia, en julio de 2009. McAffee se refirió a Dark Seoul como un nombre operacional, pero luego lo cambió a Operation Troy (Operación Troya), extendiendo el ataque a una campaña de cuatro años y, a diferencia de Symantec, agregó la tesis del espionaje como propósito para la campaña.
Los nombres son recolecciones de indicadores técnicos, no de personas
Los nombres otorgados a agrupaciones de hackers por parte de compañías de ciberinteligencia no se refieren, en realidad, a personas reales (con algunas pocas y notables excepciones). En lugar de ello, se refieren a indicadores técnicos o a TTPs (tools, techniques and procedures | herramientas, técnicas y procedimientos) que los ataques tienen en común. No existe modo de decir quién pertenece a qué grupo, o si si Usted puede identificar a un miembro del grupo en un año determinado, cuando la persona es miembro hoy. Más aún, distintas compañías asignan nombres distintos a los mismos grupos, por lo cual Usted termina con nombres tales como Comment Crew, APT1, Soy Sauce, GIF89a, Shanghai Group, y Comment Panda en lo que respecta a los no-clasificados, y 'Bravo Charlie' en el grupo de clasificados.
Esta suerte de asignación de tareas a firmas de inteligencia comercial que no han sido sujetas a ningún tipo de escrutinio o validación de fuentes para agencias de inteligencia -en donde se obtiene un nuevo nombre en código y una nueva clasificación- remite a un desastre a punto de ocurrir.
Desafiarlo todo
¿Es Corea del Norte responsable por el ataque a Sony? No puedo imaginar un escenario más improbable que ése, por muchas de las razones que Kim Zetter detalló en su excelente artículo para la revista Wired.
Mi recomendación para periodistas, ejecutivos de firmas privadas, legisladores y el público en general es que desafíe todo aquello que se lee u oye en materia de atribución sobre ciberataques. Todos en su conjunto deben exigir ver evidencias, y no 'indicadores de responsabilidad' que nunca puedan ser validados. Debe advertirse que el FBI, el Servicio Secreto, la NSA, la CIA y el DHS rara vez se muestran de acuerdo el uno con el otro, y que las compañías comerciales de ciberinteligencia están en el negocio de copmetir una contra la otra, y que la 'ciberinteligencia' es frecuentemente el oxímoron más grande del mundo.
Lectura complementaria (en inglés)
'Responsabilidad por atribución: prerrequisito para asignar responsabilidad', por el autor - Centro Cooperativo y de Excelencia en Ciberdefensa de la OTAN; Talin, Estonia.
Traducción al español: Matías E. Ruiz | Artículo original en inglés, en http://bit.ly/1x63LXY | Traducido y republicado con permiso.
Es fundador y CEO de Taia Global y autor del libro 'Inside Cyber Warfare' (Sobre la Ciberguerra). Es consultado periódicamente por agencias del gobierno de los Estados Unidos de América y de países aliados en relación a estrategias y tácticas en guerra cibernética desde Rusia y de China, así como también sobre amenazas emergentes. Su libro ha sido aprobado por el General Kevin Chilton (ex Comandante del Comando Estratégico de Estados Unidos, USSTRATCOM) y por su Jefe de Estado Mayor Abraham Turner, entre otros. Carr ha sido invitado especialmente para tratar temáticas relacionadas con la guerra cibernética en los más variados sitios, brindando conferencias en la Agencia de Inteligencia de Defensa (DIA, Defense Intelligence Agency), el Colegio de Guerra del Ejército de Estados Unidos, el Instituto de la Fuerza Aérea para Tecnología (Air Force Institute of Technology), el Grupo de Estudios Estratégicos de la Jefatura de Operaciones Navales (Chief of Naval Operations Strategic Study Group) y la Conferencia sobre Ciberconflicto de la OTAN (Cooperative Cyber Defence Centre of Excellence, Centro de Excelencia Cooperativa en Ciberdefensa). Publica periódicamente en su blog personal, en http://jeffreycarr.blogspot.com/.