211service.com
Los principales equipos de seguridad de Google cerraron unilateralmente una operación antiterrorista
Unsplash
- Los equipos de seguridad de Google expusieron públicamente una operación de piratería de nueve meses
- Lo que no se reveló: la medida cerró una operación antiterrorista activa llevada a cabo por un gobierno occidental.
- La decisión ha despertado alarmas dentro de Google y en otros lugares.
Google ejecuta algunas de las operaciones de ciberseguridad más veneradas del planeta: su proyecto cero equipo, por ejemplo, encuentra poderosas vulnerabilidades de seguridad no descubiertas, mientras que su Grupo de análisis de amenazas contrarresta directamente la piratería respaldada por gobiernos, incluidos Corea del Norte, China y Rusia. Y esos dos equipos atraparon un pez inesperadamente grande recientemente: un grupo de expertos en piratería que explotó 11 vulnerabilidades poderosas para comprometer dispositivos que ejecutan iOS, Android y Windows.
Pero MIT Technology Review se enteró de que los piratas informáticos en cuestión eran en realidad agentes del gobierno occidental que realizaban activamente una operación antiterrorista. La decisión de la empresa de detener y publicitar el ataque provocó división interna en Google y planteó interrogantes dentro de las comunidades de inteligencia de Estados Unidos y sus aliados.
Historia relacionada
Google dice que es demasiado fácil para los piratas informáticos encontrar nuevas fallas de seguridad Los atacantes explotan los mismos tipos de vulnerabilidades de software una y otra vez, porque las empresas a menudo pierden el bosque por los árboles.Un par de Google recientes publicaciones de blog detalle la colección de vulnerabilidades de día cero que descubrió que usaron los piratas informáticos en el transcurso de nueve meses. Los exploits, que se remontan a principios de 2020 y utilizaron técnicas nunca antes vistas, fueron ataques de abrevadero que utilizaron sitios web infectados para entregar malware a los visitantes. Llamaron la atención de los expertos en ciberseguridad gracias a su escala, sofisticación y velocidad.
Sin embargo, el anuncio de Google omitió detalles clave, incluido quién fue el responsable de la piratería y a quién se dirigía, así como información técnica importante sobre el malware o los dominios utilizados en la operación. Al menos parte de esa información normalmente se haría pública de alguna manera, lo que llevaría a un experto en seguridad a criticar el informe como un agujero oscuro.
Diferentes cuestiones éticas
Las empresas de seguridad cierran regularmente las vulnerabilidades que utilizan gobiernos amigos, pero tales acciones rara vez se hacen públicas. En respuesta a este incidente, algunos empleados de Google argumentaron que las misiones antiterroristas deberían estar fuera de los límites de la divulgación pública; otros creen que la empresa estaba en todo su derecho y que el anuncio sirve para proteger a los usuarios y hacer que Internet sea más seguro.
Project Zero se dedica a encontrar y parchear vulnerabilidades de día cero y publicar investigaciones técnicas diseñadas para avanzar en la comprensión de nuevas vulnerabilidades de seguridad y técnicas de explotación en toda la comunidad de investigación, dijo un portavoz de Google en un comunicado. Creemos que compartir esta investigación conduce a mejores estrategias defensivas y aumenta la seguridad para todos. No realizamos la atribución como parte de esta investigación.
Es cierto que Project Zero no atribuye formalmente la piratería a grupos específicos. Pero el Grupo de Análisis de Amenazas, que también trabajó en el proyecto, realiza la atribución. Google omitió muchos más detalles además del nombre del gobierno detrás de los ataques y, a través de esa información, los equipos sabían internamente quiénes eran el hacker y los objetivos. No está claro si Google notificó con anticipación a los funcionarios del gobierno que publicarían y cerrarían el método de ataque.
Pero las operaciones occidentales son reconocibles, según un ex alto funcionario de inteligencia de EE. UU.
Hay ciertos sellos distintivos en las operaciones occidentales que no están presentes en otras entidades... se puede ver reflejado en el código, dijo el exfuncionario, quien no está autorizado a comentar sobre las operaciones y habló bajo condición de anonimato. Y aquí es donde creo que entra una de las dimensiones éticas clave. La forma en que se trata la actividad de inteligencia o la actividad de aplicación de la ley impulsada bajo supervisión democrática dentro de un gobierno representativo elegido legalmente es muy diferente a la de un régimen autoritario.
Hay ciertos sellos distintivos en las operaciones occidentales que no están presentes en otras entidades... puedes ver cómo se traducen en el código.
La supervisión está integrada en las operaciones occidentales a nivel técnico, comercial y de procedimiento, agregaron.
Google descubrió que el grupo de piratas informáticos explotó 11 vulnerabilidades de día cero en solo nueve meses, una gran cantidad de vulnerabilidades en un período corto. El software que fue atacado incluía el navegador Safari en iPhones pero también muchos productos de Google, incluido el navegador Chrome en teléfonos Android y computadoras con Windows.
Pero la conclusión dentro de Google fue que quién estaba pirateando y por qué nunca es tan importante como las propias fallas de seguridad. A principios de este año, Maddie Stone de Project Zero argumentó que es demasiado fácil para los hackers para encontrar y usar poderosas vulnerabilidades de día cero y que su equipo se enfrenta a una batalla cuesta arriba detectando su uso.
En lugar de centrarse en quién estaba detrás y en el objetivo de una operación específica, Google decidió tomar medidas más amplias para todos. La justificación fue que incluso si un gobierno occidental fuera el que explotaba esas vulnerabilidades hoy, eventualmente será utilizado por otros, por lo que la elección correcta siempre es corregir la falla hoy.
No es su trabajo averiguar
Esta no es la primera vez que un equipo de ciberseguridad occidental atrapa a piratas informáticos de países aliados. Algunas empresas, sin embargo, tienen una política discreta de no exponer públicamente tales operaciones de piratería si tanto el equipo de seguridad como los piratas informáticos se consideran amistosos, por ejemplo, si son miembros de la alianza de inteligencia Five Eyes, que está formada por los Estados Unidos. , el Reino Unido, Canadá, Australia y Nueva Zelanda. Varios miembros de los equipos de seguridad de Google son veteranos de las agencias de inteligencia occidentales y algunos han realizado campañas de piratería para estos gobiernos.
En algunos casos , las empresas de seguridad limpiarán el llamado malware amigable pero evitarán hacerlo público.
Por lo general, no atribuyen operaciones basadas en EE. UU., dice Sasha Romanosky, exfuncionario del Pentágono que publicó recientemente investigar en las investigaciones de ciberseguridad del sector privado. Nos dijeron que se apartaron específicamente. No es su trabajo averiguarlo; educadamente se hacen a un lado. Eso no es inesperado.
Si bien la situación de Google es inusual en algunos aspectos, ha habido casos similares en el pasado. La firma rusa de ciberseguridad Kaspersky quedó bajo fuego en 2018 cuando expuso una operación cibernética antiterrorista liderada por Estados Unidos contra miembros de ISIS y Al Qaeda en el Medio Oriente. Kaspersky, al igual que Google, no atribuyó explícitamente la amenaza, pero sin embargo la expuso y la volvió inútil, dijeron funcionarios estadounidenses, lo que provocó que los operativos perdieran el acceso a un valioso programa de vigilancia e incluso pusieran en riesgo la vida de los soldados en el terreno.
Kaspersky ya estaba bajo fuertes críticas por su relación con el gobierno ruso en ese momento, y la empresa finalmente fue prohibido de los sistemas gubernamentales de EE.UU. Siempre ha negado tener alguna relación especial con el Kremlin.
Google también se ha encontrado en aguas similares antes. En 2019, la empresa lanzó investigar sobre lo que pudo haber sido un grupo de piratas informáticos estadounidense, aunque nunca se hizo una atribución específica. Pero esa investigación se trataba de una operación histórica. Los anuncios recientes de Google, sin embargo, ponen de relieve lo que había sido una operación de ciberespionaje en vivo.
¿Quién está siendo protegido?
Las alarmas emitidas tanto dentro del gobierno como en Google muestran que la empresa se encuentra en una posición difícil.
Los equipos de seguridad de Google tienen una responsabilidad con los clientes de la empresa, y se espera que hagan todo lo posible para proteger los productos (y, por lo tanto, los usuarios) que están bajo ataque. En este incidente, es notable que las técnicas utilizadas afectaron no solo a los productos de Google como Chrome y Android, sino también a los iPhone.
Si bien diferentes equipos dibujan sus propias líneas, Project Zero se ha hecho un nombre al abordar vulnerabilidades críticas en Internet, no solo las que se encuentran en los productos de Google.
Historia relacionada
La NSA encontró una falla peligrosa en Windows y le dijo a Microsoft que la arreglara La secreta agencia de seguridad identificó la vulnerabilidad y está tomando crédito público como parte de un esfuerzo por generar confianza.Cada paso que damos para hacer que el día 0 sea difícil, nos hace a todos más seguros, tuiteó Maddie Stone , uno de los miembros más respetados del equipo de seguridad, cuando se publicó la última investigación.
Pero si bien es importante proteger a los clientes de los ataques, algunos argumentan que las operaciones antiterroristas son diferentes, con posibles consecuencias de vida o muerte que van más allá de la seguridad diaria de Internet.
Cuando los piratas informáticos respaldados por el estado en las naciones occidentales encuentran fallas de seguridad cibernética, existen métodos establecidos para calcular los costos y beneficios potenciales de revelar la brecha de seguridad a la empresa afectada. En los Estados Unidos se llama el proceso de acciones de vulnerabilidades. A los críticos les preocupa que la inteligencia estadounidense acumule una gran cantidad de hazañas, pero el sistema estadounidense es más formal, transparente y expansivo que lo que se hace en casi todos los demás países del mundo, incluidos los aliados occidentales. El proceso está destinado a permitir que los funcionarios del gobierno equilibren las ventajas de mantener en secreto las fallas para usarlas con fines de inteligencia con los beneficios más amplios de informar a una empresa de tecnología sobre una debilidad para que la solucionen.
El nivel de supervisión, incluso en las democracias occidentales, sobre lo que realmente están haciendo sus agencias de seguridad nacional es, en muchos casos, mucho menor que el que tenemos en los Estados Unidos.
El año pasado, la NSA hizo el movimiento inusual de atribuirse el mérito de revelando una vieja falla en Microsoft Windows . Ese tipo de informe del gobierno a la industria normalmente se mantiene anónimo y, a menudo, en secreto.
Pero a pesar de que el proceso de divulgación del sistema de inteligencia estadounidense puede ser opaco, los procesos similares en otras naciones occidentales suelen ser más pequeños, más secretos o simplemente informales y, por lo tanto, fáciles de eludir.
Incluso en las democracias occidentales, el nivel de supervisión sobre lo que realmente están haciendo sus agencias de seguridad nacional es, en muchos casos, mucho menor que el que tenemos en los Estados Unidos, dice Michael Daniel, quien fue coordinador de seguridad cibernética de la Casa Blanca durante la administración Obama.
El grado de control parlamentario es mucho menor. Estos países no cuentan con los sólidos procesos interinstitucionales que tiene Estados Unidos. Normalmente no soy de los que se jactan de los EE. UU., tenemos muchos problemas, pero esta es un área en la que tenemos procesos sólidos que otras democracias occidentales simplemente no tienen.
El hecho de que el grupo de hackers afectado por la investigación de Google poseyera y utilizara tantas vulnerabilidades de día cero con tanta rapidez podría indicar un desequilibrio problemático. Pero a algunos observadores les preocupa que las operaciones cibernéticas de contraterrorismo en vivo se cierren en momentos potencialmente decisivos sin la capacidad de reiniciarse rápidamente.
No todos los aliados de EE. UU. tienen la capacidad de regenerar operaciones completas tan rápido como otros jugadores, dijo el ex alto funcionario de inteligencia de EE. UU. Las preocupaciones sobre perder repentinamente el acceso a una capacidad de explotación o ser detectado por un objetivo son particularmente altas para las misiones antiterroristas, especialmente durante los períodos de exposición increíble cuando se lleva a cabo una gran cantidad de explotación, explicó el funcionario. Es probable que la capacidad de Google para cerrar una operación de este tipo sea la fuente de más conflictos.
Esto todavía es algo que no se ha abordado bien, dijo el funcionario. La idea de que alguien como Google puede destruir tanta capacidad rápidamente se está dando cuenta de la gente.