Estrategias militares en Ciberespacio I: Blitzkrieg
Desde Areópago vamos a aportar nuestro Brainstorming a este tema en una serie de artículos. En algunos casos, como en este artículo, intentaremos la adaptación de estrategias conocidas, en otros, contaremos estrategias ya seguidas en ciberconflictos conocidos, y también aportaremos ideas que espero sean influyentes. Queridos lectores, como con todos los artículos que hemos publicado sentíos libres de comentar nuestras ideas o aportar las vuestras.
La historia bélica, demuestra que el que entiende mejor las "armas" del momento y entiende la estrategia a usar con las mismas, normalmente prevalece en la guerra. Ejemplo de estos casos son el Capitán Nelson en la batalla de Trafalgar, Alejandro Magno en Gaugamela o Napoleón manejando, este último, eficientemente la artillería gracias a la influencia de Jean Baptiste Vaquette de Gribeauval.
Blitzkrieg
Estaba yo jugando a un wargame (de mesa, Barbarossa: Kiev to Rostov) e intentando defender Rostov del avance del Eje con el ejército rojo y me puse a pensar si la guerra Blitzkrieg (Guerra Relámpago) que tanto éxito le dieron a los alemanes durante la Segunda Guerra Mundial podría aplicarse a un escenario de ciberguerra, algunas ideas se me han ocurrido.
La guerra relámpago era un nuevo y terrorífico concepto de la guerra, un golpe frontal a todo lo que se ponía por delante, siendo el general Heinz Guderian uno de sus grandes exponentes, el mismo fue el encargado de barrer a los aliados en Francia y los echaron a patadas al Canal de la Mancha durante los primeros años de la guerra. Así mismo esta estrategia aplastó en primer término al ejército rojo en la operación Barbarossa, siendo este éxito, en parte, la razón de su posterior derrota dada la sobre extensión de las líneas de suministro dado la gran cantidad de terreno avanzado en territorio soviético.
La rutina de esta estrategia consistía en mandar un avión de reconocimiento (normalmente al alba) para situar las posiciones enemigas.
El segundo paso es un intenso bombardeo usando todo lo posible, artillería y por oleadas de Junker 87 (el famoso Stuka) con sus bombardeos en picado. El objetivo era debilitar las posiciones defensivas en un punto muy concreto.
El tercer paso son las divisiones de tanques Panzer, rodando a toda velocidad, golpeando fuerte y pasando por encima de todo lo que se ponía por delante, generalmente por una sola carretera.
Tras si llegaban los regimientos de infantería motorizada. Esta toma posiciones tras las líneas defensivas enemigas, las cuales, debido a la velocidad de penetración, no son conscientes de que están siendo rodeados. ¡Ojo! los Panzer siguen avanzando :D
El último paso es atacar las líneas defensivas desde la línea del frente inicial, embolsando a los enemigos y venciéndolos así.
El objetivo es crear bolsas de enemigos en diferentes puntos, algunas veces a la vez en diferentes puntos.
El ataque de los Panzers sigue por la carretera tomada y ya con menos defensas la táctica de rodearlas es más sencilla, llegando a realizar en un solo ataque varias bolsas de enemigos.
Este sistema hace avanzar la línea del frente mucho en MUY poco tiempo y destroza la estrategia defensiva del enemigo. Y todo esto porque la Wehrmacht entendió en 1938 un arma, el tanque, que ya se usaba años atrás. Por ejemplo, el primer ataque blindado francés fue el 6 de Abril de 1917 en la ofensiva de Aisne, cuando el primer tanque alemán data de este mismo año, es decir, en unos principios iban muy por detrás tecnológicamente, pero a través de los años vieron la auténtica importancia de este arma y se dedicaron a desarrollar su avance tecnológico y teórico sobre su función en el campo de batalla. La clave está en la velocidad.
CiberBlitzkrieg
Si simplificamos aún más la doctrina de la guerra relámpago, podemos definir los siguientes pasos siendo así más fácil adaptarlos, como se verá estos pasos son en algunos casos tareas paralelas:
1- Obtención de información sobre las fuerzas y situación enemigas.
2- Bombardeo/Debilitamiento de las defensas.
3- Un equipo realiza un ataque. Objetivos velocidad y sobre todo profundidad.
4- Otro equipo sitúa posiciones tras las líneas defensivas siguiendo el camino abierto por el ataque anterior. El primer equipo prosigue con su ataque (paso 3) buscando profundidad.
5- Atacar las posiciones enemigas rodeadas. El primer equipo prosigue con su ataque (paso 3) buscando profundidad.
6- Otros equipos se encargan de otros sistemas según se va profundizando.
Seguro que ahora está bastante claro, para un experto en redes, como aplicar esta estrategia en un ciberconflicto. No obstante, esta estrategia no es siempre la recomendada ya que produce mucho "ruido" y puede alertar a los administradores del sistema asediado rápidamente, y recordemos que es importante, la desconexión de sistemas una vez se entiende lo que ocurre se puede realizar muy muy rápido (tirar del cable), o muy rápido añadiendo reglas al firewall.
Como ya he expresado en otros artículos, en este mundo, el tanque es la vulnerabilidad/exploit 0 day (vulnerabilidad no conocida fuera del descubridor y un grupo muy cerrado, por este motivo lo normal es que no exista parche para arreglarla). Esta es el arma nos puede permitir acceder a una red enemiga y además permitir profundizar en la misma (En una red suelen existir sistemas muy similares para facilitar la gestión de los mismos).
Pensemos una situación donde esta estrategia es recomendable:
Un Tiger Team de un país consigue un 0 day para una vulnerabilidad que aún no ha sido publicada, este exploit lo han comprado en el "grey market" y por lo tanto saben que la información de esta vulnerabilidad puede llegar rápidamente a sus enemigos y estos pueden aislar sus sistemas vulnerables y aplicar reglas a sus IPS "Intrusion Prevention Systems". Además supongamos que el exploit deja rastros muy identificables en el sistema hackeado (un servicio inestable por ejemplo o existe un sistema centralizado de log donde quedan registros del ataque), en este caso, sabe que desde que entra hasta que le detecten puede pasar poco tiempo. En este caso es altamente recomendable una CiberBlitzkrieg.
Elegir el momento es clave a la hora de elegir un ataque (¡obvio!), en estos casos, se suele decir que las noches de las fiestas y fines de semana es lo mejor, claro está es seguir el horario y las costumbres del enemigo (¡obvio! x2).
Realizando el ataque, con el exploit que tiene este TT, se logra entrar en uno o varios sistemas de la red enemiga, el TT crea un "camino" de entrada sencillo para que otro TT entre en estos sistemas. Lo normal suele ser que estos sistemas pertenezcan a una DMZ. Esta es la estructura más común de una red:
La tarea del segundo TT, la metástasis por el resto de sistemas y en la elevación de privilegios si es necesario de la DMZ, además y dado la necesidad de velocidad en cada intrusión se ejecuta un programa que se encarga de recolectar ficheros claves (identificamos estos ficheros por extensión, por palabra clave dentro de ese fichero o ciertos ficheros conocidos como los de passwords ) y enviarlos a la "base de operaciones" donde son analizados por otro TT, descifrar contraseñas, obtener información que permita mejorar la profundidad en la intrusión, el análisis de inteligencia de documentos obtenidos puede hacerse en paralelo por analistas de inteligencia.
Mientras el primer TT, siguen buscando maneras de pasar al siguiente nivel, según la arquitectura normal, la red interna. Para la realización de esta tarea es posible que sea necesario extender la intrusión junto al segundo TT, pero una vez conseguida, se centrarán en abrir un camino para que otro TT (un tercer TT si es necesario) amplíen la intrusión, la redes internas suelen tener poca protección y suelen tener muchos sistemas, para esta tarea lo ideal sería un buen número de expertos.
A partir de este momento, el primer TT busca conexiones a otras redes (muy posiblemente las interesantes), aquí entramos en el bucle de intrusión en nueva red/metástasis en la misma. Tal y como lo vemos, la ciberblitzkrieg debe pasar por alto todos los sistemas de logs, da igual generar alertas, da igual dejar servicios caídos, da igual alterar la configuración de los sistemas, se trata de alcanzar los objetivos propuestos en el menor tiempo posible. El TT principal debe de ir accediendo a sistemas lo más rápido que pueda sin preocuparse de ninguna otra cosa, va poniendo puertas traseras y pasándole el acceso a los equipos que se encargan de descargar información de los mismos o de hacer lo que tengan que hacer.
Otras opciones a tener en cuenta, es introducir un equipo para evitar la desconexión (lógica), por ejemplo cambiando las contraseñas de los administradores, cerrando servicios de administración remota o metiendo reglas de firewall contra los propios administradores.
Clave es tener diferentes equipos que se dedicarán a diferentes funciones, estos equipos han de compartir información que puede facilitar la intrusión y la identificación de los sistemas más interesantes a atacar.
Excelente artículo, lo publicaré en mi Blog haciendo la respectiva referencia.
ResponderEliminar