miércoles, 30 de marzo de 2011

Estrategias militares en Ciberespacio II: Elegir el campo de batalla


En 490 a.C. fuerzas invasoras persas desembarcan en las cercanías de Maratón, a 32 kilómetros de Atenas. La historia habla de unos 100.000 persas, pero los historiadores cifran la cantidad de persas en 20.000-25.000 soldados. Los persas eligieron Maratón  ya que estaban lo suficientemente lejos de Atenas como para poder desembarcar de forma ordenada, además la llanura de Maratón resultaba adecuada para la caballería persa que superaba a la ateniense.

A la hora de la batalla 10.000 atenienses y 1.000 platenses se enfrentaron a un ejército  de al menos el doble de experimentados soldados. Entre un ejército y otro había apenas 1.500 metros, cuando los atenienses avanzaron rápidamente al ataque, las flechas persas pasaron por encima ya que estaban demasiado cerca, además debido a la estrechez del llano la caballería persa no pudo avanzar por los flancos como tenía previsto entorpecían las montañas por un lado y el mar por el otro. La batalla terminó con el increíble resultado de 203 muertos en el ejército atenienses (192 atenienses y 11 platenses) y 6.400 caídos persas, teniendo en cuenta que estos son datos de Heródoto un historiador griego. Al final el resultado de la batalla, exagerado o no, fue debido a una mala elección del campo de batalla por parte de los persas.


¿Puede afectar el concepto campo de Batalla a la ciberguerra? 

Como siempre hago, pensemos en una posible situación.  Un Tiger Team, diseña e implementa su nueva arma: un virus que explota una vulnerabilidad que nadie, solo ellos, conoce y que por lo tanto no está parcheada que además abre un camino para que los miembros de equipo entren en la red objetivo.

Con el mismo consiguen acceso a un servidor externo de la entidad atacada. Una vez dentro, aparecen los primeros problemas. Resulta que los sistemas internos no funcionan con sistemas operativos “estándar”, la red interna no es una red IPv4 al uso sino una red IPv6 o una red Novell (El caso de Novell lo digo por experiencia propia en el desarrollo de una auditoría de seguridad), las herramientas que tenemos preparadas para la metástasis interna no están adaptadas. Toca tomar una decisión: intentar ampliar la intrusión sacándose lo que se pueda, o una retirada estratégica esperando que no se den cuenta y poder volver en un futuro cercano.

En la situación anterior, ninguna de las opciones a tomar es buena, tanto una como con la otra existe la probabilidad de que nos detecten, además a la hora de hacer el análisis de la intrusión, puede que se detecte la vulnerabilidad 0 day que este Tiger Team tenía para introducirse en los sistemas “enemigos”.  Desde mi punto de vista, una tragedia estratégica.

En otra situación, un equipo logra entrar en un sistema, tiene acceso a preciadas bases de datos con información crítica, por ejemplo, sobre el diseño de la red eléctrica de un país (información muy importante y útil a la hora de hacer unos bombardeos convencionales por ejemplo). Los ficheros de estas bases de datos pueden ser de un gran tamaño por la cantidad de información que tienen. A la hora de hacer un downloading de esta información, la velocidad de subida del objetivo es extremadamente baja y a cuanto más tiempo dura esa transmisión de información más probabilidades de que detecten este robo de información. Esto ya ha pasado, en el siguiente link se cuenta la historia de un troyano instalado en un ordenador de la oficina de la Canciller Angela Merkel y otros sistemas de miembros del gobierno alemán, el ataque se detectó cuando el troyano enviaba 160 Gigabytes de datos a una IP de China desde un PC de un ministro Alemán.


Otras situaciones lógicas es que en ciertos puntos estratégicos, los gobiernos o empresas introduzcan en sus detectores de intrusiones alerten del tráfico con dirección IP de destino u origen China (por ejemplo), o Irán, o Francia…..

Elegir bien

¿Qué se debería de buscar (en el mundo digital) a la hora de elegir un Campo de Batalla?
- Anonimato (o no….).
- Rapidez en las maniobras.
- Aprovechamiento al máximo de las herramientas y conocimientos que se poseen.
- Indetectabilidad del ataque (o no….).

En los términos que se habla normalmente, se piensa siempre en ataques cibernéticos que se realizan desde posiciones distantes gracias a que Internet nos acerca a todos. Mi planteamiento personal es que siempre cuanto más cerca mejor, con la idea clara de que los que realizan el ataque no puedan ser descubiertos o identificados a posteriori.

Mi primera idea es que si vamos a entrar en la red de una entidad de un país extranjero, si podemos situar un equipo en ese país perfecto. Si este equipo puede tener una conexión en el mismo proveedor que el objetivo mejor (siempre con una identidad falsa, claro). En muchas ocasiones, esto incluso puede facilitar el proceso de ataque sobre el objetivo, un caso sería en el que ya que estamos en el mismo proveedor hacernos con sus routers y por lo tanto con el tráfico a Internet del objetivo. Hay que tener en cuenta que esto también agiliza la investigación del caso por parte del afectado.

Además, seamos imaginativos, que mejor que en una intrusión obtener las contraseñas de las redes inalámbricas del objetivo (si es que no se pueden piratear de por si…), esto nos permitiría desde una posición cercana más velocidad y más capacidad de penetración en su red. 

El uso de direcciones de Internet cercanas al rango del objetivo, puede hacer que el ataque pase algo más desapercibido, o al menos, el operador de turno dude un poco más en definir un tráfico extraño como un ataque. También al no usar direcciones extranjeras, permite ligeramente algo más de seguridad frente a la opción de que un detector de intrusiones salte al detectar envío de datos hacia un país extranjero.

También se ha de realizar un estudio del objetivo para ver que “terreno” nos vamos a encontrar una vez dentro de su red Interna, para ser algo ilustrativo he realizado unas pruebas con un  posible objetivo. En este caso, he elegido la ahora desgraciadamente famosa Tepco (Tokyo Electric Power COmpany), la dueña de la central nuclear de Fukushima Daiichi. Ya en situaciones normales es un claro ejemplo de posible objetivo en una situación de ciberguerra.

Todos los expertos españoles y muchos extranjeros conocen la FOCA de Informática 64, vamos a ver que nos da sobre esta compañía:
  





Si examinamos todos los resultados encontraremos nombres de usuario, rutas internas, sistemas operativos y software usado internamente. Con esta información, al menos sabemos algunas de las cosas que tenemos dentro.

Otra forma para obtener información sobre lo que nos podemos encontrar la podemos sacar de los correos electrónicos de los empleados de la compañía objetivo, en las cabeceras de estos, podemos encontrar IP internas, los diferentes SMTPs por los que ha pasado el correo antes de llegar al destinatario, software y versión de los mismos en muchos casos, además se puede extraer el cliente de correo y versión de la cabecera X-Mailer de los que se puede deducir el sistema operativo usado. Lluis Mora, uno de los grandes en España en el mundo de la seguridad informática, ya presentó en 2007 una ponencia sobre esta técnica:


Existen numerosas formas de conseguir inteligencia sobre los sistemas y servicios que nos podemos encontrar  más allá de los que se muestran a Internet.

Es importante resaltar que se ha de conocer donde atacar para conseguir tu objetivo, cualquier experto en seguridad sabe que atacar, por ejemplo, la página principal de FBI de nada sirve si no es que quieres cambiar la foto de Bin Laden por la de G.W. Bush, pero si quieres obtener información de su red interna, se tendría que entrar por otros sitios… Saber la IP por la que salen o entran los correos electrónicos por ejemplo:





Un estudio además puede reflejar las diferentes tecnologías que usa una entidad para conectarse entre sus diferentes centros y/o agentes, ya que pueden plantear un campo de batalla mejor como podrían comunicaciones vía satélite, comunicaciones móviles y los dispositivos que suelen usar.

Determinar previamente y concienzudamente, que sistemas atacar y desde donde es un requisito esencial para el éxito de una misión de ciberataque y entra perfectamente en la analogía de Campo de Batalla usado en la guerra convencional.
«Caballeros, examinen este territorio con cuidado, será un campo de batalla, y ustedes jugarán un papel en él».
Napoleon Bonaparte antes de la Batalla de Austerlitz

2 comentarios:

  1. El campo de batalla en Internet? Cuando se puede decidir donde se pelea el campo de batalla no es una preocupación:

    http://www.elpais.com/articulo/tecnologia/China/secuestro/abril/trafico/Internet/elpeputec/20101117elpeputec_2/Tes

    ResponderEliminar
  2. Creo que no es lo mismo, lo que yo quiero decir es, que antes de gastar tus bazas en una intrusión, asegúrate lo más posible que dentro de la red Interna te podrás mover con soltura, rapidez y que puedes llegar hasta tu objetivo.

    Aparte este "ataque" de China de desvio de tráfico, no estoy tan seguro de que sea en realidad un ciberataque. Me parece demasiado llamativo, aunque cierto es que a los chinos parece que esto le importa poco pero es que se puede hacer más silencioso y seguro que mucha gente cambió sus contraseñas debido a esto, la efectividad.. bueno puede no ser tan efectivo desde el punto de vista que el uso del VPN cifradas en la empresa privada está a la orden del día actualmente, es perder una oportunidad MUY importante, a no ser que el objetivo y la seguridad de la consecución del mismo merezca la pena.

    Ha pasado antes varias veces, un técnico confunde la configuración de unas rutas BGP y desvía todo el tráfico de ciertos rangos por un punto, puede ser un error, yo pienso que es un error si no tengo más pruebas. (Pero es que es China....)

    A pesar de esto, como he puesto en el artículo, ¿que se busca?
    Anonimato (o no...)
    Indetectabilidad del ataque (o no...)

    ;)

    ResponderEliminar