¿A quién no le ha pasado? El detective nos sorprende con su genialidad, aptitud y paciencia para desenmascarar al villano. La interacción de la ciencia forense y el conocimiento psicológico nos han fascinado desde Sherlock Holmes hasta las series policiacas que vemos en la televisión como CSI. Algunas veces la respuesta es totalmente inesperada, como en el libro Asesinato en el Expreso de Oriente. Otras veces, el misterio es conocido por todos nosotros, pero pronto lo desechamos: “El Comandante recibió un disparo. Reúna a los sospechosos.”
Recientemente, el iSMG Fraud and Breach Prevention Summit, que se realizó en la Ciudad de Nueva York, incluyó una conversación fascinante sobre el valor de la atribución, encabezada por Avivah Litan de Gartner. El panel se llamó: “Pasando de los indicadores de compromiso a los indicadores de ataque: ¿Pero la atribución de los atacantes realmente nos ayuda?” Entre los panelistas estuvieron Jackie Castelli de CrowdStrike, Noam Jolles de Diskin Advanced Technologies, y Richard T. Jacobs del FBI, División Nueva York. En esta nota comparto mis observaciones sobre dicha conversación.
En el mundo de la seguridad informática, ¿cuál es el valor de la atribución? Hay cuatro posibles razones para identificar al individuo o al equipo que puso en riesgo la seguridad de la información.
- Para la evidencia forense que justifica un arresto
- Para que un gobierno determine si hubo un casus belli
- Para que un objetivo potencial conozca los detalles de un próximo ataque – o de un ataque en progreso
- Para ejercer represalias (UNA IDEA MUY, MUY MALA)
Proteger la evidencia debe ser parte del plan de respuesta a los incidentes informáticos de cualquier organización. De no contar con un plan, tomar decisiones puede ser un proceso muy complicado. Veamos un ejemplo: Una empresa tuvo que elegir entre preservar la evidencia o restablecer las operaciones en línea. Decidieron restaurar los sistemas a un estado previo a que ocurriese el ataque y volver a estar en línea. Esta opción le acarreó algunos problemas. Primero, al restaurar el sistema a su estado anterior al ataque, éste recreó las mismas vulnerabilidades que se usaron con éxito en su contra. El atacante pudo provocar el mismo problema una vez más sin gran esfuerzo. Segundo, el atacante no tuvo que cubrir sus huellas: fue la víctima quien lo hizo. El atacante pudo usar el mismo ataque contra otra víctima, sin información previa disponible para establecer un patrón.
Las autoridades son las que finalmente deben determinar la fuente real de un ataque. Al trabajar con las fuerzas policiales, las empresas pueden ayudarles a desarrollar y hacer una evaluación de la evidencia. Como uno de mis colegas escribió, “Una de las principales razones por las que no atribuimos públicamente es que es muy fácil hacerlo mal. La única gente que puede decir con seguridad que ocurrió un ataque criminal es la Fuerza Policial –e incluso entonces sólo después de revisar toda la evidencia, provista por la industria y reunida por ellos mismos, incluyendo la que se encuentra en las máquinas sospechosas incautadas. Para la atribución a nivel estatal, sólo una agencia militar o de inteligencia que, a través de sus propias operaciones de contrainteligencia, tiene un profundo entendimiento de la persona que está otro lado. De lo contrario, es muy fácil caer en falsas alarmas –pistas que apuntan a otro grupo de ataque. Imagine el escenario donde una unidad de inteligencia de X país afecta a una compañía de gas localizada en Medio Oriente. Añada algunos vínculos rusos y, dado el interés natural de Rusia en el gas como recurso, por supuesto que se le señalará como el culpable. Por otro lado, considere a un grupo criminal que lanza un ataque contra un banco: Basta instalar una copia del malware Lazarus en la máquina, y se acusará a Corea del Norte. Incluso si usted piensa que es un grupo de X país, ¿es este un grupo patrocinado o apoyado por un estado, es disidente, patriota, criminal, etcétera?”
Los gobiernos necesitan saber quién atacó sus intereses para formular una respuesta adecuada. Conocer la fuente real permite a los gobiernos actuar seguramente contra el enemigo real, en lugar de lanzar una acción errónea. Además, en algunos casos, si bien el ataque pudo haberse originado de una organización patrocinada por un gobierno, el individuo que perpetró el ataque puede no haber estado actuando con la autorización gubernamental. Un individuo solitario podría abusar de las capacidades que se dieron sin órdenes directas para hacerlo.
Entender la secuencia de los eventos que culminaron en un incidente informático en su contra puede ser de gran beneficio para los objetivos potenciales. En este caso, la atribución significa entender lo suficientemente bien el ataque para anticiparlo e interrumpirlo antes de que provoque un daño real. El US CERT y los ISACs ofrecen alertas sobre ataques con la suficiente información para este propósito.
La revancha nunca es una buena idea. Los individuos y las corporaciones pueden tener un nivel razonable de certeza respecto al origen de un ataque. ¡Aunque hay que tener cuidado! Un acto vengativo podría interferir en la investigación criminal. Y quien lo realice podría enfrentar una investigación criminal: Recuerde, todo hackeo es ilegal, sin importar qué parte lo esté haciendo, o lo haya iniciado. Los cibercriminales, hacktivistas y servicios de inteligencia extranjeros tienen capacidades importantes. Pueden sembrar pistas engañosas que apunten a otra dirección. Si bien resulta penoso sufrir una brecha, sería sustancialmente más serio apuntar a una parte inocente como consecuencia de una respuesta errónea y equivocada para castigar al perpetrador sospechoso.
Además, algunas veces un ataque no es realmente un ataque. Por ejemplo, el reciente incidente que sufrió OnionDog:
/http://blog.trendmicro.com/trendlabs-security-intelligence/oniondog-not-targeted-attack-cyber-drill/
En Trend Micro no atribuimos ataques a las naciones. Compartimos la evidencia con las agencias de seguridad nacionales para ayudarles a buscar al responsable. Lea estos blogs sobre el combate al cibercrimen, la colaboración con las fuerzas policiales y el trabajo que se realiza con la Interpol, así como esta declaración de nuestro CTO, Raimund Genes, en nuestro Canal de YouTube. Rechazamos categóricamente cualquier acto (potencialmente criminal) de retribución o lex talionis. Trabajamos para revelar los patrones de ataque y así ayudar a nuestros clientes y al mundo a reconocer los actos hostiles y perturbadores, prepararse para enfrentarlos y detenerlos.
¿Quién lo hizo? Si no hicieron mucho, no importa tanto.
Leave a Reply