jueves, 5 de julio de 2012

No enseñes tus cartas demasiado pronto


Últimamente están saliendo a la luz noticias que hablan sobre acciones ofensivas desarrolladas por países occidentales en Internet contra algunos grupos terroristas. Por ejemplo:


 
A raíz de estas noticias están apareciendo voces críticas en el mundo de la ciber-seguridad que cuestionan la utilidad de algunas de estas acciones.

Por una parte el impacto real de estas operaciones en la propaganda del enemigo es muy bajo y en pocos días han reconstruido sus infraestructuras en Internet.

Por otra parte estas operaciones podrían dejar al descubierto las armas tecnologías (técnicas de ataque y exploits 0-day) de los ciber-comandos que han realizado estas acciones.

Como bien decía mi compañero de blog los 0-days y las técnicas de ataque originales son unas de las armas ofensivas más poderosas en ciberguerra. Si dejamos estas herramientas al descubierto en operaciones de poco calado, cuando realmente sean más necesarias serán menos efectivas.

Este punto debe ser tenido muy en cuenta y se produce por las diferentes las características de las armas tradicionales respecto a las armas informáticas. En el caso de las armas tradicionales (físicas), también puede darse el caso de que caigan en manos del enemigo y este pueda copiar su tecnología, pero normalmente es posible su destrucción preventiva si fuese necesario. Pero en el caso de los exploits o las técnicas de hacking es muy difícil eliminar todas las evidencias que puedan dejar en los sistemas atacados, es más, el enemigo podría estar incluso grabando de forma preventiva todas las comunicaciones de red para poder estudiar posteriormente los ataques recibidos.

Esto puede llevar a plantear algunas dudas sobre las razones de la presunta ciber-estrategia China de acosar y atacar electrónicamente a entidades y corporaciones occidentales.

Si estas acciones están siendo realmente realizadas por agentes relacionados con el gobierno Chino, en caso de que se produzca un conflicto mayor, las potencias occidentales ya conocerán parte de las tácticas y de las capacidades de los presuntos ciber-comandos Chinos.

Además, la información forense que se pueda extraer de estos ataques no solo podrá ser recuperada por las entidades que los hayan sufrido sino que además quedará expuesta a todos aquellos operadores de comunicaciones a través de los que hayan pasado los flujos del ataque (por ejemplo proveedores de cable, telefonía, satélite, etc.), es decir a terceras naciones.

Por eso, determinar dónde está el equilibrio entre los resultados obtenidos de este tipo de operaciones y la posibilidad de filtrar técnicas novedosas es un elemento de decisión clave a la hora de plantear las estrategias de ciber-ataque.

En algunos casos debería planterase incluso la utilizacion de tácticas de distracción combinadas con los ataques, por ejemplo utilizando técnicas convencionales o ataques ficticios para evitar dar pistas de las verdaderas capacidades y evitar asi comprometer la disponibilidad de nuestros 0-days.