10 June, 2011

El Arte de la Guerra y sus cibercomandos

Por

Por Enrique Carrillo síguelo en @ahhkikin

Recientemente los gobiernos de China y Reino Unido anunciaron públicamente la existencia de grupos, o en este caso, divisiones completas de sus ejércitos especializadas en protección y respuesta a ciberataques. Y vaya que la información causó conmoción porque pocas horas después el Pentágono amenazó que cualquier sabotaje computacional (o en términos más generales Hackeo) sería tomado como un acto de guerra que obtendría una respuesta militar tradicional. Nos queda claro que en cuanto a uso de armamento e invasión de países tienen amplia experiencia; ante estas noticias supongo que a todos nos surgen las siguientes dudas: ¿cómo estarán conformados estos nuevos cibercomandos y si utilizarán las mismas estrategias seguidas por la milicia durante siglos?

El Arte de la Guerra, libro de tácticas y estrategias militares escrito por Sun Tzu hace alrededor de 2,500 años, es un referente obligado para cualquier persona que pertenezca al ejercito. El texto, incluso es utilizado a nivel civil en diversas actividades sociales para resolver conflictos laborales en diferentes niveles e industrias. Pero, ¿será de la misma utilidad si cambiamos los campos de batalla y las salas de juntas por equipos computacionales, sistemas y redes?

En mi apreciación personal, el libro de Tzu no podría estar más relacionado con este nuevo escenario, pues señala que siempre se debe tener una estrategia planeada donde se contemplen todos los factores posibles, identificar todas las debilidades y fortalezas del adversario para engañarlo y sacar provecho de ellas.

 

El primer escuadrón en entrar en acción durante una Ciberguerra será el de Reconocimiento.

Su misión es obtener la mayor cantidad de información posible de nuestro adversario, cualquier tipo de datos es de gran valor para la operación, la búsqueda se realizará en la mayor cantidad de medios posibles, con especial interés en el web e información referente a inversiones en nuevas tecnologías, sistemas, y servicios proporcionados a terceros.

Armamento preferido para la tarea: búsquedas manuales y Web Crawlers (programas que obtienen toda la información de un sitio Web), entre otros.

La segunda misión del escuadrón de Reconocimiento será obtener información de la tecnología utilizada por el enemigo y sus puntos débiles, en este caso direcciones IP, puertos abiertos,  servicios, hosts, servidores web, sistemas operativos, bases de datos, nombres de dominio, servidores de correo electrónico, y en general la tecnología en la cual el enemigo basa sus sistemas de comunicación y operaciones. Armamento a utilizar: Nmap, Httprint, Nikto y numerosas herramientas de escaneo de puertos, redes y paquetes, técnicas de espionaje como Dumpster diving (búsqueda de información en la basura del objetivo) e ingeniería social.

Una vez que conocemos más acerca de nuestro adversario y el campo de batalla, es momento de planear la estrategia de ataque. ¿Se intentará un ataque frontal, se rodeará al enemigo para atacarlo desde distintos puntos o se tratará de romper sus defensas desde el interior?, las actividades definidas por el General serán ejecutadas por el escuadrón de Asalto, soldados especialmente entrenados en técnicas de ataque y sigilo, su objetivo final será romper las defensas del enemigo, identificar usuarios válidos en sus sistemas, obtener acceso, escalar privilegios en el sistema, crear nuevos huecos para poder desplazarse, ocultar cualquier evidencia de su presencia y, dependiendo de las órdenes del Cuartel General, robar, alterar o destruir la información u operación del sistema.

Las técnicas de sigilo más utilizadas por el escuadrón de Asalto son: IP Spoofing (oculta la IP de la maquina atacante), HTTP Tunneling (establece comunicaciones vía http a servicios bloqueados por un firewall), Proxies (uso de redes de servidores que permiten ocultar la identidad del atacante).

Entre sus técnicas preferidas de ataque se encuentra el SQL Injection (explotar huecos en la validación de solicitudes SQL hacia los servidores), DDoS (denegación de servicios distribuida), Session Hijacking (robo de sesiones), Password cracking (descifrado de passwords de cuentas del sistema), instalación de Sniffers (programas de captura de comunicación en una red), Keyloggers (software de captura de teclas oprimidas por un usuario), Spyware (sistema que registra las actividades de un equipo), y Rootkits (programas que contienen diversas funciones con el fin de que el atacante mantenga acceso al sistema).

Un escuadrón que posiblemente no verá la acción en el campo de batalla pero seguramente será el que cuente con una mayor inversión es el de Inteligencia, este comando está formado con soldados de elite (o l33t como les gusta ser nombrados), altamente capacitados en arquitecturas de sistemas, lenguajes de programación, protocolos de comunicación y todas las habilidades de los escuadrones anteriores, encargados de la investigación de nuevas vulnerabilidades en cualquier tipo de hardware y software, y el desarrollo de herramientas que se aprovechen de las mismas.

No sería descabellado pensar que este tipo de escuadrones ya se encuentran trabajando en nuevos virus, gusanos, troyanos, rootkits o la fusión de varias de estas herramientas contra objetivos estratégicos  y específicos. Creo que no es necesario recordarles el caso del gusano Stuxnet y las centrales nucleares en Irán.

Ahora un ejército no puede dejar desprotegido su cuartel cuando está en plena una batalla, el escuadrón encargado de proteger la base es el de Respuesta a fuego enemigo, una unidad de combate que conoce todas las técnicas utilizadas por sus compañeros del escuadrón de ataque y sabe cómo protegerse ante ellas, la mayoría de las veces usan las mismas herramientas que sus enemigos para encontrar vulnerabilidades en sus propias instalaciones, investigar los hechos después de que ocurrió algún atentado y cuando no se encuentran bajo ataque están ocupados desarrollando planes de continuidad de las operaciones y respuesta a incidentes.

Armas comúnmente utilizadas: escáner de vulnerabilidades, firewalls, honeypots, DMZ, herramientas de forensia digital, editores hexadecimales, así como planes de continuidad, respuesta a incidentes y recuperación de desastres.

Con una fotografía como la anterior, esperemos que durante una Ciberguerra la mayoría de las bajas sean de sistemas y equipos de cómputo en vez de vidas humanas. O mejor dicho espero que la palabra guerra sea una que jamás entre al vocablo de internet, por más difícil que esto parezca.

 

Enrique Carrillo (e.carrillo.diaz@accenture.com) es ingeniero en Cibernética y Sistemas Computacionales egresado de La Salle (02-06), consultor en seguridad de información desde 2007. Ha colaborado con empresas públicas y privadas en la definición de programas de seguridad y ejecución de análisis de vulnerabilidades, pen test y forensia digital.