211service.com
Forajidos de Moore
Eugene Kaspersky, director ejecutivo de la empresa rusa de antivirus Kaspersky Lab, admite que el año pasado se le pasó por la cabeza que podría morir en un accidente aéreo provocado por un ciberataque. Kaspersky es un hombre de gustos eclécticos y humor juvenil; Cuando nos reunimos en su oficina en las afueras de Moscú, estaba masticando un bocadillo de cangrejos bebés enteros, endulzados y liofilizados de Japón, y en un momento me mostró un par de ropa interior masculina, comprada en una calle de Moscú, que había con el sello Protegido por Kaspersky Anti-Virus. Pero se puso bastante serio cuando el tema pasó a los días previos al 1 de abril de 2009.
Esa era la fecha en que se esperaba que un virulento gusano informático llamado Conficker recibiera una actualización de su creador desconocido, pero nadie sabía con qué fin. Un ajuste al código de Conficker podría hacer que los aproximadamente tres millones de máquinas en su ejército de computadoras esclavizadas, llamadas botnet, comiencen a atacar los servidores de alguna empresa o red gubernamental, vomiten miles de millones de spam o simplemente mejoren el propio gusano. capacidad de propagarse. Es como si tuvieras un millón de ejércitos de soldados reales. ¿Qué puedes hacer? Kaspersky preguntó retóricamente. Todo lo que quieras . Dejó que eso se hundiera por un momento. Estábamos esperando el 1 de abril, para algo . Revisé mi horario de viaje para asegurarme de que no tenía ningún vuelo. No teníamos idea de esta funcionalidad. Los oficiales de seguridad estaban realmente nerviosos. ¿En el final? No pasó nada. ¡Uf! ¡Uf! Kaspersky gritó. Se santiguó, juntó las manos en una pose de oración y miró hacia el techo.
Esta historia fue parte de nuestro número de julio de 2010
- Ver el resto del número
- Suscribir
Las incógnitas sobre Conficker en la primavera de 2009 (la infección sigue estando muy extendida pero, hasta ahora, inactiva) reflejan mayores incógnitas acerca de cuán mala se volverá la seguridad cibernética ( ver Briefing ). Las tendencias no son prometedoras: recorra los laboratorios de Kaspersky, o los de cualquier empresa de seguridad informática o centro de investigación, y rápidamente se dará cuenta de que el malware es más difícil de detectar, la entrega de spam más rápido y los ataques aumentan en número e impacto financiero ( ver El aumento de las amenazas cibernéticas globales Ver presentación de diapositivas ). Los expertos en seguridad y los atacantes están atrapados en una especie de carrera armamentista. En el caso de Kaspersky, sus ingenieros y criptógrafos hacen de todo, desde buscar métodos de detección de virus automatizados más rápidos hasta rastrear blogs de piratas informáticos en ruso en busca de pistas sobre lo que se avecina.
Las soluciones ingeniosas se multiplican, pero los ataques se multiplican aún más rápido. Y las revelaciones de este año de los ataques con base en China contra objetivos corporativos y políticos, incluidos Google y el Dalai Lama, sugieren que el espionaje electrónico sofisticado también se está expandiendo. Lo que hemos estado viendo, durante la última década más o menos, es que la Ley de Moore está funcionando más para los malos que para los buenos, dice Stewart Baker, ex consejero general de la Agencia de Seguridad Nacional y exjefe de políticas de la Departamento de Seguridad Nacional de EE. UU., En referencia a la predicción de que los circuitos integrados duplicarán la capacidad de transistores aproximadamente cada dos años. Realmente son los 'forajidos de Moore' quienes están ganando esta pelea. El código es más complejo y eso significa más oportunidades para explotar el código. Se puede ganar más dinero explotando el código, y eso significa que cada vez hay más personas sofisticadas que buscan explotar las vulnerabilidades. Si observa cosas como malware encontrado o ataques, o el tamaño del botín que la gente está obteniendo, hay un aumento exponencial.
A medida que continúan estos conflictos de bajo grado, la amenaza de una guerra cibernética absoluta también está aumentando. Más de 100 naciones han desarrollado organizaciones para la realización de ciberespionaje, según el FBI, y al menos cinco naciones (Estados Unidos, Rusia, China, Israel y Francia) están desarrollando armas cibernéticas reales, según un informe de noviembre de 2009 de la empresa de seguridad informática McAfee. (En mayo, el Senado de los Estados Unidos confirmó al director de la Agencia de Seguridad Nacional, el general Keith Alexander, como jefe del Comando Cibernético de los Estados Unidos recién creado). Estos arsenales podrían inutilizar las redes militares o derribar las redes eléctricas. Y la batalla podría escalar a la velocidad de la luz, no solo a la de los misiles balísticos intercontinentales. Las armas cibernéticas pueden afectar a una gran cantidad de personas, además de las armas nucleares. Pero hay una gran diferencia entre ellos, dice Vladimir Sherstyuk, miembro del Consejo de Seguridad Nacional de Rusia y director del Instituto para Asuntos de Seguridad de la Información de la Universidad Estatal de Moscú. ¡Las armas cibernéticas son muy baratas! Casi gratis.
Esa forma de batalla sigue siendo en gran medida especulativa y puede involucrar algunas armas especializadas, mientras que el asedio de ataques de piratas informáticos y malware es una realidad diaria para individuos y empresas. Pero los dos tipos de conflicto comparten el mismo medio y podrían compartir algunos de los mismos enfoques. Quizás lo más significativo es que el primero se vuelve más fácil de afrontar y más peligroso en el entorno turbio y caótico creado por el segundo. Ir tras las redes de bots, perseguir el espionaje corporativo, no eliminará la amenaza de una guerra cibernética disruptiva, dice Greg Rattray, un exfuncionario de seguridad nacional de la Casa Blanca y autor de S guerra estratégica en el ciberespacio . Pero un ecosistema más limpio arrojaría una luz más brillante sobre la actividad de la guerra cibernética, lo que la haría más fácil de detectar y de defenderse.

Sonreír y aguantar: En ausencia de acuerdos internacionales sólidos sobre la lucha contra el delito cibernético, la colaboración ad hoc a veces hace el trabajo, como cuando Eugene Kaspersky, director ejecutivo de la empresa de seguridad de Moscú Kaspersky Lab, ayudó a la policía holandesa a cerrar una botnet. Pero estos éxitos aislados no van a la par con el aumento exponencial de los ataques.
En un nivel básico, la tecnología defectuosa es responsable de todo el lío. Muchos componentes de nuestras redes actuales no fueron diseñados para ser particularmente seguros ( ver The Internet Is Broken, diciembre de 2005 / enero de 2006 ). Informe tras informe de las agencias federales, el Consejo Nacional de Investigación y los think tanks como Rand han dejado en claro que arreglar el ciberespacio para siempre requerirá acelerar la investigación y el desarrollo para hacer que el hardware, el software y las tecnologías de redes sean más seguras, y luego obtener esas tecnologías rápidamente. en su lugar. La última llamada se produjo en un informe emitido en noviembre pasado por el Departamento de Seguridad Nacional, que concluyó que la única solución a largo plazo ... es garantizar que las generaciones futuras de estas tecnologías estén diseñadas con seguridad incorporada desde cero.
Pero asegurar el ciberespacio no puede esperar a redes completamente nuevas. Mientras tanto, debemos empezar a abordar una serie de otros problemas sistémicos. Entre ellos: las prácticas de seguridad de sentido común a menudo se ignoran, la cooperación internacional es tan irregular como la tecnología es porosa y los proveedores de Internet no hacen lo suficiente para bloquear el tráfico malicioso. El endurecimiento de los objetivos, y tener buenas leyes y buena capacidad para hacer cumplir la ley, son las piezas fundamentales clave sin importar qué otras actividades queramos intentar realizar, señaló Christopher Painter, director senior de seguridad cibernética de la Casa Blanca, en una conferencia reciente. Revisión de tecnología investigó tres episodios recientes (una investigación de botnet excepcional en Holanda, una investigación de espionaje con base en China en India y otras naciones, y los ataques de Internet de 2007 al pequeño estado báltico de Estonia) para obtener lecciones sobre cómo vigilar mejor y proteger a los defectuosos ciberespacio que tenemos, y prepararse para la guerra cibernética que esperamos nunca llegue.
Shadow y Grum
El holandés de la ciudad de Sneek tenía solo 19 años, pero ya había logrado más de lo que la mayoría de nosotros podemos afirmar: asumió el control ilícito de hasta 150.000 computadoras en todo el mundo. Las víctimas involuntarias habían sido detenidas mediante mensajes inteligentes que parecían provenir de sus contactos en Windows Live Messenger de Microsoft. Aquellos que hicieron clic en un enlace en el mensaje descargaron un virus; luego, cada computadora se convirtió en un bot. En el verano de 2008, según una acusación de Estados Unidos, el hombre, Nordin Nasiri, decidió vender el control de estas máquinas esclavizadas, una botnet que llamó Shadow, por 25.000 euros.
Las botnets se encuentran entre las amenazas más graves en Internet. Son los motores detrás del spam y el fraude y el robo de identidad que perpetúa el spam (según un informe reciente de la firma de seguridad MessageLabs, cada día se envían casi 130 mil millones de mensajes de spam y las botnets son responsables del 92 por ciento de ellos). También son responsables de amenazas como los ataques de denegación de servicio, en los que bandas de computadoras inundan un servidor corporativo o gubernamental con tanto tráfico que no puede funcionar. Miles de grandes botnets pululan por el éter digital, incluidas algunas que son millones de máquinas potentes. Las redes de bots son realmente la causa principal y el vehículo para llevar a cabo gran parte de la maldad que está sucediendo y afectando a todos, dice Christopher Kruegel, científico informático e investigador de seguridad de la Universidad de
California, Santa Bárbara.

Espionaje en la nube: Cómo los piratas informáticos con sede en China explotaron los servicios Web 2.0 para ejecutar una red de espionaje global.
La primavera pasada, los investigadores descubrieron una red de espionaje informático dirigida desde China por perpetradores que siguen siendo desconocidos. En el mapa de arriba, los círculos representan ubicaciones de 139 computadoras que se sabe que han sido infectadas con el software espía; entre ellos se encuentran los de la Secretaría del Consejo de Seguridad Nacional de la India, la Oficina del Dalai Lama y la embajada de Pakistán en los Estados Unidos. Las computadoras infectadas utilizaron servicios populares de Web 2.0 (representados arriba como una nube) para registrarse en los sitios de los atacantes, y estos sitios luego enviaron a las máquinas las direcciones de los servidores de comando y control a los que se conectarían y enviarían sus datos. En un caso documentado por los investigadores, 1.500 de las cartas del Dalai Lama fueron enviadas desde Dharamsala, India, a un servidor de comando y control en Chongqing, China. Los investigadores sospechan que las infecciones originales echaron raíces cuando algunas víctimas abrieron documentos Word y PDF cargados de virus que se les enviaron por correo electrónico. También se encontraron computadoras infectadas en China; algunos fueron utilizados por los atacantes para probar su sistema.
A medida que salieron las cosas, el caso Nasiri fue un modelo para una exitosa investigación de botnets transnacionales. En Estados Unidos, el FBI recibió una pista sobre el holandés y la pasó a la unidad de alta tecnología de la Policía Nacional Holandesa, que lo arrestó. Luego, en un toque inusual, los investigadores holandeses buscaron la ayuda de compañías antivirus para elaborar instrucciones para borrar la infección de las computadoras de las víctimas y hacerse cargo del sistema de comando y control de la botnet, que operaba en servidores en los Países Bajos. Querían hacer algo novedoso: eliminar la botnet, recuerda Roel Schouwenberg, investigador de antivirus de Kaspersky Lab, a quien la policía holandesa se puso en contacto para realizar la tarea. Existía cierto riesgo de que otros malos lo robaran.
El problema es que la investigación entre Estados Unidos y Holanda fue una excepción. En el momento en que se cerraba Shadow, otra botnet, conocida como Grum, estaba ganando fuerza ( ver la instantánea de la botnet en la presentación de diapositivas) . El sistema de comando y control de Grum estaba alojado en una empresa ucraniana llamada Steephost. En noviembre de 2009, Alex Lanstein, investigador de la firma estadounidense de seguridad informática FireEye, escribió un serio correo electrónico a la dirección de notificación de abusos de Steephost. Hola, Abuse, comenzó, pensé que le interesaría saber de una red criminal que se encuentra en el origen. Expuso los hechos sobre Grum y otros sitios maliciosos que alojaba, pero no recibió respuesta. Unos días más tarde, sin embargo, notó la apariencia de una especie de hoja de parra de botnet: las direcciones web de los sitios maliciosos ahora conducían a páginas de inicio de comercio electrónico falsas. En marzo, la firma de seguridad informática Symantec dijo que Grum era responsable del 24 por ciento de todo el spam en Internet, frente al 9 por ciento a fines de 2009.
Los propietarios de Steephost, que no pudieron ser contactados para hacer comentarios, tenían poco de qué preocuparse al burlarse de personas como Lanstein. Las botnets operan libremente a través de las fronteras nacionales y la aplicación de la ley está muy rezagada. Un tratado que busca impulsar la cooperación en la investigación, el Convenio Europeo sobre Ciberdelito, ha sido firmado por 46 países, principalmente en Europa, pero que incluye a Estados Unidos, Canadá, Sudáfrica y Japón. Pero no ha sido firmado por China, Rusia o Brasil, que (junto con Estados Unidos) compiten por el liderazgo como los principales anfitriones de ataques cibernéticos del mundo. Algunos signatarios, como Ucrania, no son conocidos por sus esfuerzos entusiastas para detener las botnets. Y los intentos de crear una versión global se han estancado ( ver Atasco global sobre delitos cibernéticos ). Las botnets son una seria amenaza, pero no tenemos suerte hasta que no haya un acuerdo internacional de que el ciberdelito realmente necesita contramedidas y enjuiciamientos bastante rigurosos en casi todas las naciones que usan Internet, dice Vern Paxson, científico informático de la Universidad de California, Berkeley, que estudia los ataques de Internet a gran escala.
Dadas las malas perspectivas de un acuerdo global, Estados Unidos está tratando de forjar acuerdos bilaterales con algunas de las peores fuentes de ataques, incluida Rusia. Rusia coopera de forma ad hoc en la persecución de los ciberdelincuentes locales (recientemente ayudó en el arresto de varias personas en Rusia que supuestamente habían llevado a cabo un robo en línea de $ 10 millones del Banco de Escocia), pero no llega a permitir la aplicación de la ley de otros acceso de las naciones a sus redes. Aún así, Sherstyuk, el zar de seguridad de la información de Rusia, me dijo: Queremos ayudar a establecer las reglas en la esfera de la información. Y apuesto a que hay muchas cosas que podemos hacer juntos.

Instantánea de la botnet: Una botnet llamada Grum es una de las principales fuentes de spam en Internet. Estas son algunas de sus estadísticas vitales.
Muchos proveedores de servicios de Internet, otra posible fuente de defensa, también están haciendo un tibio esfuerzo. Los ISP tienen la capacidad de identificar y poner en cuarentena las máquinas infectadas en sus redes, conteniendo así una fuente de spam y ataques. Pero en la práctica, la mayoría de los ISP ignoran todas las máquinas excepto aquellas que son tan nocivas que incitan a otros ISP a tomar represalias bloqueando el tráfico. Es mucho más barato proporcionar ancho de banda adicional que tratar realmente el problema, dice Michel van Eeten, profesor de política tecnológica en la Universidad Tecnológica de Delft de Holanda, que estudia las redes de bots. Describe el caso de un ISP australiano que estaba considerando la tecnología para cortar automáticamente las computadoras infectadas. El ISP pronto abandonó el plan cuando se dio cuenta de que 40.000 clientes confundidos y enojados estarían llamando a las líneas de atención al cliente cada mes, preguntándose por qué se cortaron y cómo limpiar sus máquinas. Los ISP normalmente se encargan de los bots que desencadenan contramedidas contra el propio ISP, van Eeten
dice, pero no muchos más, debido al impacto en los costos de ampliar tal esfuerzo.
En cuanto al caso holandés, reveló que incluso las investigaciones exitosas son difíciles de procesar. Hoy Nasiri está a la espera de juicio en Holanda por cargos holandeses. Pero un brasileño acusado originalmente junto con él escapó del juicio. La acusación de Estados Unidos alegaba que el brasileño orquestó el recibo de 23.000 euros de un comprador y dispuso recibir medios electrónicos de Nasiri que contenían el código del bot. Parecía que lo habían pillado con las manos en la masa. El año pasado, sin embargo, Estados Unidos retiró los cargos, citando la falta de disponibilidad de un testigo clave. La policía holandesa dice que lo escoltaron al aeropuerto Schiphol de Ámsterdam y regresó en avión a Brasil, un hombre libre.
Espionaje
En 1959, el líder espiritual tibetano, el Dalai Lama, huyó a Dharamsala, una pintoresca ciudad en las estribaciones del Himalaya del norte de la India que todavía alberga al gobierno exiliado del Tíbet. Allí, un café local llamado Common Ground también sirve como una organización no gubernamental que intenta cerrar la brecha entre las culturas china y tibetana. Pero en 2009, un informático que visitaba el café descubrió un puente de otro tipo: una tubería de espionaje electrónico. El investigador, Greg Walton, notó que las computadoras en la red de malla Wi-Fi de la ciudad, llamada TennorNet, se dirigían a un servidor de comando y control en Chongqing, China.
El alcance del espionaje se extendió mucho más allá del café. Según investigadores de la empresa de ciencia forense cibernética de Ottawa SecDev Group (incluido Walton) y la Universidad de Toronto, las víctimas incluyeron agencias del establecimiento de seguridad nacional de la India; Los datos comprometidos incluían información personal, financiera y comercial perteneciente a tibetanos, indios y figuras de derechos humanos de todo el mundo ( ver Espionaje en la nube en presentación de diapositivas ). El descubrimiento se produjo antes de que los ataques con sede en China contra Google y otras empresas occidentales impulsaran a Google a retirarse de China ( ver China's Internet Paradox, mayo / junio de 2010 ). Carecemos de buenas métricas para determinar qué tan grande es el problema del espionaje, pero parece claro que está empeorando mucho, y rápido, dice Paxson. Google China fue una llamada de atención y hay mucho más por ahí.

Batalla báltica: En 2007, tras una disputa sobre los planes de Estonia de trasladar un monumento ruso, estallaron disturbios entre rusos y estonios.
China niega que su gobierno estuviera detrás de los ataques del Dalai Lama o de Google, y el grupo de Toronto dice que el grupo de Toronto dice que no puede probar que lo esté. Pero podemos especular bastante que existe un mercado chino para la inteligencia sobre personas activas en los círculos tibetanos. Muchas instituciones (corporaciones, gobiernos, universidades) están en una posición similar a la del gobierno del Tíbet en el exilio, ya que tienen datos que vale la pena robar porque son valiosos para alguien. Y el trabajo canadiense arrojó luz sobre las técnicas de espionaje global que, según todos los informes, están mucho más extendidas que los ataques de los atacantes con base en China contra objetivos tibetanos. Con un crecimiento exponencial de los delitos cibernéticos, las organizaciones públicas y privadas encontrarán penetraciones cibernéticas si buscan, dice John Mallery, científico informático del Laboratorio de Inteligencia Artificial y Ciencias de la Computación del MIT. Más o menos, las organizaciones están atrapadas en infraestructuras y componentes intrínsecamente inseguros que nunca fueron diseñados para la seguridad y, en el mejor de los casos, se han actualizado con medidas de seguridad parciales. Hoy, el atacante tiene la ventaja en los niveles arquitectónicos y está innovando más rápido que los defensores. Por tanto, lo que pueden hacer las organizaciones es gestionar su vulnerabilidad aislando información valiosa.
Como sugiere Mallery, la lección es que las organizaciones deben planificar las pérdidas y permanecer constantemente vigilantes, porque ninguna infraestructura de TI en red puede ser realmente segura. Considere que en respuesta a incursiones anteriores (también detectadas por los investigadores canadienses), el personal del Dalai Lama había instalado firewalls de última generación un año antes del descubrimiento de Walton. Pero los cortafuegos generalmente deben programarse para bloquear sitios hostiles, y los espías con sede en China utilizaron una variedad siempre cambiante de intermediarios aparentemente benignos, incluidos Grupos de Google, Twitter y Yahoo Mail. Se cree que los atacantes han incrustado su malware en documentos de Microsoft Word y PDF enviados desde direcciones de correo electrónico aparentemente amigables que habían sido falsificadas o pirateadas. Si la víctima abrió el archivo adjunto con una versión vulnerable de Adobe Reader o Microsoft Office, el software espía echó raíces.
Afortunadamente, algunas tecnologías emergentes podrían proporcionar una solución incluso en estos casos. El ciberespionaje a menudo implica el envío de comandos maliciosos a una computadora infectada que luego devuelve los datos. Detectar la firma de esos comandos, y luego bloquearlos, es el objetivo de Kruegel de Santa Bárbara, quien ha desarrollado tecnología que detecta la comunicación incluso si la infección inicial no fue detectada. Aunque los atacantes pueden comprometer las máquinas, dice Kruegel, si puede identificar los comandos lo suficientemente rápido, puede apuntar y derribarlos. Espera llevar la tecnología al mercado dentro de un año.
Los cambios a nivel político también podrían marcar la diferencia: en este momento, ningún tratado impide lo que hicieron los agentes con sede en China. Si bien las convenciones de la ONU hacen declaraciones contundentes sobre los derechos humanos, por ejemplo, y tales convenciones son frecuentemente
invocado para condenar las acciones de China y otras naciones; nada comparable aborda el saqueo digital que victimiza a objetivos en los ámbitos de la política, los negocios y los derechos humanos. El crimen cibernético se está transformando en espionaje cibernético debido a la ausencia de restricciones a nivel global, dice Ronald Deibert, quien ayudó a liderar la investigación de espionaje como director del Citizen Lab, un puesto de investigación en la Universidad de Toronto. Tener un tratado ayudaría a que los gobiernos rindan cuentas. Puede decir: 'Aquí está el tratado, y China, no está cumpliendo las reglas, pero lo firmó'. ( Véase Militarizar el ciberespacio, Cuadernos, pág.12. ) Mientras tanto, es seguro asumir lo peor sobre la prevalencia del ciberespionaje. Necesitamos ver esto como una pequeña ventana a un problema mucho más amplio, dice. Como que sumergimos nuestro dedo en una piscina aquí.

Luego, una serie de ciberataques cerró gran parte de Internet en Estonia. La dificultad de atribuir esos ataques destaca la necesidad de nuevas tecnologías y acuerdos internacionales ampliados.
¿Quién lo hizo?
En la mañana del 27 de abril de 2007, el gobierno de Estonia, a pesar de las protestas de Rusia, comenzó a mover una estatua de bronce de un soldado soviético que se había instalado originalmente en la ciudad capital de Tallin para conmemorar los muertos de la Segunda Guerra Mundial. Los 300.000 rusos étnicos que vivían en Estonia estaban furiosos. Poco tiempo después, comenzaron los ataques por Internet. Las botnets se dirigieron a periódicos, telecomunicaciones, bancos y sitios gubernamentales de Estonia. La red de la nación estuvo sitiada durante semanas. Rusia parecía el culpable obvio: su gobierno había advertido que retirar la estatua sería desastroso.
Si estuviera observando el tráfico de la red de Estonia durante los ataques, habría visto a ejércitos de bots avanzando desde Estados Unidos, Egipto, Perú y otros países. Pero una inspección más cercana reveló que muchos de los bots recibían pedidos de computadoras en Rusia (y las instrucciones sobre cómo inundar los sitios web de Estonia con pings inútiles se extendían en las salas de chat en línea con sede en Rusia). Aún así, era imposible determinar si el propio gobierno ruso estaba dirigiendo las actividades hostiles. Rusia negó su responsabilidad pero se negó a permitir ningún análisis forense de sus redes.
En resumen, no había una forma fácil de atribuir el ataque. En un mundo que soporta la perspectiva de una guerra cibernética, situaciones como la perspectiva de una guerra cibernética, situaciones como esa se encuentran entre los mayores problemas que enfrentan las naciones, pero ciertamente no son los únicos. Si una brecha en la red destinada al espionaje no se puede distinguir fácilmente de una que es un preludio de un ataque, es difícil saber cuándo se justifica un contraataque. Tampoco hay forma de realizar inspecciones de armas cibernéticas, medir su rendimiento potencial o certificar que han sido destruidas. Cuando el Senado presionó al general Alexander, el nuevo jefe del Comando Cibernético de EE. UU., Para que explicara cómo Estados Unidos abordaría estos problemas, sus respuestas fueron clasificadas. Todo el fenómeno de la guerra cibernética está envuelto en tal secreto gubernamental que hace que la Guerra Fría parezca una época de apertura y transparencia, escribe Richard Clarke, el ex zar antiterrorista, en su nuevo libro, Cyber War: The Next Threat to National Security. Y que hacer al respecto.
Pero las implicaciones del problema de la atribución son bastante claras. Un ataque a una nación de la OTAN obliga a otros miembros de la OTAN a unirse a la lucha, señala Michael Schmitt, decano y profesor de derecho internacional en el Centro Europeo George C. Marshall para Estudios de Seguridad en Alemania. Hacerlo mal sería un desastre. Esta no es una situación en la que pueda pensar el otro lado atacó, dice. Tienes que saber . Como aprendimos recientemente, es necesario obtener las pruebas correctas cuando se va a la guerra. Y en el caso de una amenaza cibernética, un gobierno podría fácilmente juzgar mal su fuente, ya que las direcciones de Internet pueden estar ocultas o falsificadas. Me aterroriza que atribuyas incorrectamente a un estado, dice Schmitt.
A largo plazo, las soluciones tecnológicas propuestas podrían abordar este problema. Los grupos de investigación de Georgia Tech, la Universidad de California, San Diego, la Universidad de Washington y otras instituciones están trabajando en formas de establecer la procedencia de los datos. En un enfoque desarrollado por investigadores de San Diego y la Universidad de Washington, la identidad de la computadora original que emitió un paquete de datos permanecería adjunta a esos datos, en forma encriptada. La clave digital de esta identidad estaría en manos de un tercero de confianza, quizás accesible solo por orden judicial. Todos los instrumentos del poder nacional, desde la fuerza diplomática hasta la militar y la influencia económica, son bastante inútiles si no se puede atribuir quién organizó un ataque, dice Stefan Savage, científico informático de la Universidad de California en San Diego, que está desarrollando La tecnología. Pero si bien la tecnología puede potencialmente decirle la identidad
La tecnología puede potencialmente decirle la identidad de una máquina que lanzó un ataque (o cometió un crimen), esto no siempre es útil si la fuente original fue una computadora pública. Ser capaz de atribuir actividad a una máquina en particular es muy diferente a poder decir '¿Cuál fue su verdadera fuente?', Dice Vern Paxson de Berkeley. Incluso si llegara hasta el sistema final de la terminal, es decir, el lugar del verdadero origen de un ataque, es posible que tenga una cafetería en Shanghai. Paxson advierte que, en general, los enfoques para rastrear identidades en el ciberespacio conllevan obvias implicaciones de privacidad. La tecnología para abordar este tipo de problemas, la capacidad de poder monitorear quién está haciendo qué y rastrearlo, sería muy poderosa, dice. Pero también sería tecnología de estado policial.
Con las soluciones aún lejanas, evitar un brote innecesario o una escalada de guerra cibernética tendrá que depender de técnicas de inteligencia más convencionales. La vigilancia de las redes informáticas a veces puede proporcionar las pistas necesarias para identificar y exponer a un atacante potencial, dice Bret Michael, científico informático de la Escuela de Posgrado Naval en Monterey, CA. También pueden hacerlo las redes básicas de inteligencia humana. Si las agencias de inteligencia pueden identificar la fuente de una amenaza, pueden arrojar luz sobre un malhechor antes de que ataque o poco después, dice. A veces, el simple hecho de ser identificado es suficiente para evitar que se produzca un ataque.
Cumbre cibernética
En una fresca mañana de abril de este año, más de 140 diplomáticos, responsables políticos e informáticos llegaron a la ciudad montañosa de Garmisch-Partenkirchen, Alemania. Su anfitrión fue el Ministerio del Interior de Rusia.
El tema de la conferencia que los llevó allí: cómo proteger la esfera de la información, como dicen los rusos. Pero esto significó cosas diferentes para personas de diferentes países. Painter, asistente de la Casa Blanca, enfatizó la lucha contra el crimen cibernético. Los hablantes de ruso, conscientes de los atentados suicidas con bombas que habían azotado recientemente el metro de Moscú, hablaron de frustrar el entrenamiento y la organización terrorista en línea. Un investigador indio habló sobre el uso de la red por parte de los terroristas de Mumbai y describió cómo se reformaron las leyes indias en respuesta. Representantes de la Corporación de Internet para la Asignación de Nombres y Números (ICANN), la autoridad responsable de los nombres de dominio, hablaron de las últimas correcciones de seguridad. Una pequeña delegación china asistió pero observó en silencio.
Luego, en el segundo día, Michael Barrett, el director de seguridad de la información de PayPal, subió al podio para recordar a los asistentes lo que tenían en común: un conjunto roto de tecnologías. Al igual que otros objetivos, dijo, PayPal, que ofrece a los usuarios de Internet una forma segura de enviar dinero en efectivo en 190 países y regiones, está bajo asedio. Lo que nos queda claro, y de hecho cualquier practicante de la seguridad de la información, es que la mayoría de las curvas, y todos podemos desenterrar estas curvas, la cantidad de virus en Internet, la cantidad de incursiones y bla, bla, bla, todas parece deprimente similar. Todos tienden a verse en escala logarítmica. Todos suben como ese , dijo con un brusco movimiento de la mano hacia el cielo.
Refiriéndose a conversaciones anteriores sobre cómo mejorar la cooperación y agregar parches de seguridad, agregó: No es que esas cosas sean malas. Pero en este punto me recuerda un poco la definición de locura, es decir, hacer lo mismo una y otra vez y esperar un resultado diferente. Nuestra hipótesis es que para proteger Internet, tenemos que pensar en la seguridad a nivel del ecosistema, y eso significa repensar los cimientos de Internet. Justo cuando Barrett se estaba calentando, los organizadores rusos lo interrumpieron. Estaban retrasados y era hora de almorzar, pero la decisión simbolizaba un problema mayor. Básicamente, no tenemos la tecnología para abordar las amenazas que genera la infraestructura de red que hemos implementado, dice John Mallery, investigador del MIT. Varios proyectos de investigación han creado bancos de pruebas para nuevas arquitecturas de Internet o han creado prototipos de sistemas operativos y arquitecturas de hardware más seguros, como chips que almacenan algún software en áreas aisladas. Pero el informe del Departamento de Seguridad Nacional aún encontró una necesidad urgente de acelerar la investigación y el desarrollo para asegurar el ciberespacio.
La discusión colectiva en Garmisch fue útil para avanzar en los esfuerzos a corto plazo. Será crucial cambiar el comportamiento de los usuarios individuales de computadoras y las corporaciones; también lo hará estrechar los lazos con las fuerzas del orden, instalar los últimos parches tecnológicos y expandir la diplomacia. Pero, en última instancia, será necesario cambiar a nuevas tecnologías. Y eso no es probable que suceda hasta que experimentemos un colapso o ataque importante. Lo que hemos visto es que las carreras de armamentos a menudo progresan de forma evolutiva. Pero de vez en cuando, salto , dice Paxson. Si hay un ciberataque que arruina una ciudad durante una semana, o si una gran empresa se pone de rodillas, será un cambio de juego. No tengo forma de saber cómo predecir eso. Es como decir aquí en el Área de la Bahía: '¿Habrá un gran terremoto en los próximos tres años?' Realmente no lo sé.
Sus comentarios me recordaron los temores de Kaspersky sobre un accidente aéreo; colectivamente, simplemente no podemos predecir cómo y cuándo las cosas podrían cambiar. Pero como dijo Baker, la lección del 11 de septiembre, la lección del huracán Katrina, es que tarde o temprano sucederá.
David Talbot es Revisión de tecnología Corresponsal en jefe.
