Recomiendo:
0

Mientras se fragua una guerra cibernética, ataques de represalia de Anonymous contra HBGary Federal muestran la profundidad de la guerra.

Lecciones de Anonymous sobre la guerra cibernética

Fuentes: Al-Jazeera

Traducido del inglés para Rebelión por Germán Leyens

«Ciberguerra» es un término muy emotivo, que conjura imágenes inspiradas en Hollywood de hackers que causan la explosión de refinerías de petróleo.

Algunas celebridades de la seguridad se pronunciaron con mucha energía contra la idea misma, y afirmaron que la ciberguerra es menos ciencia, y más ciencia ficción.

El año pasado, el 21 de mayo, el Ciber-Comando de EE.UU. (USCYBERCOM) informó de que había llegado a capacidad operativa inicial, y abundan las historias sobre soldados estadounidenses que reciben un entrenamiento cibernético básico, lo que apunta a la idea de que las superpotencias tradicionales comienzan a explorar el área.

Recientes actividades de un contratista del gobierno y Anonymous, sin embargo, muestran claramente que han tenido lugar operaciones cibernéticas desde hace bastante tiempo, y que el sector privado ha estado más que dispuesto a cumplir con el papel de cibermercenario a cambio de mucho dinero

Anonymous contra HBGary

A principios de 2011, Aaron Barr presentó una conferencia de seguridad en la que quería «concentrarse en eliminar a los principales protagonistas del grupo Anonymous«.

Barr, director ejecutivo de HBGary Federal, basado en Washington, había dedicado tiempo a «infiltrar al grupo» utilizando múltiples identidades en redes sociales y en canales IRC de Anonymous.

Tenía suficiente confianza en su análisis como para publicarlo en partes a través del Financial Times. Barr (y por cierto el resto de la compañía) tenía la intención de aprovechar la exposición, preparando una serie de reuniones para beneficiarse de la investigación, desde una entrevista con 60 Minutes a múltiples tratos potenciales con agencias federales.

El director ejecutivo de HBGary preparó un artículo en el que explicaba cómo había mostrado su «fuerza hoy al revelar las identidades de todos los máximos dirigentes dentro del grupo Anonymous

Anonymous reaccionó rápidamente.

Incluso mientras Barr cantaba victoria y amenazaba con «sacarse los guantes», Anonymous estaba introduciéndose profundamente en su red.

Al terminar el ataque, se dice que el iPad de Barr había sido borrado, sus cuentas en LinkedIn y Twitter habían sido secuestradas, el sitio en la web HBGary Federal había sido desfigurado, el código de fuente registrado HBGary robado y más de 71.000 correos privados publicados en Internet. HBGary había quedado desnudo.

Ésta, fue nuestra primera lección: La asimetría de la ciberguerra.

HBGary, una compañía de seguridad bien financiada, con un historial, con fuertes capacidades cibernéticas ofensivas, había sido derrotada por un colectivo de hackers sin finanzas, poco organizado.

El incidente contiene una serie de lecciones para los que quieran asegurar sus redes contra ataques, pero lo que es mucho más interesante son los correos filtrados que nos dan una visión del mundo tenebroso de los «cibercontratistas» y de lo que se llama «el complejo digital militar».

HBGary: traficante de armas de la ciberguerra

HBGary fue formada por el veterano en la investigación de la seguridad Greg Hoglund, quien ha llegado a ser conocido con el pasar de los años en la realización de investigación sobre tecnología rootkit [programas malignos].

Un rootkit es un programa instalado para asegurar que un atacante pueda mantener el control de un ordenador comprometido. Los rootkits están diseñados para evitar la detección una vez que se han instalado.

Los correos de Hoglund afirman que sus productos actuales se hicieron con «cerca de 2 millones de dinero del Tío Sam», pero esto no es impactante por sí solo. Los gobiernos financian permanentemente la investigación tecnológica, y HBGary también estaba desarrollando un producto comercial.

Lo que, sin embargo, es impactante, son algunos otros detalles que salieron a la luz.

Los correos dejaron claro que HBGary vendió rootkits y keyloggers (instrumentos para registrar y ‘exfiltrar’ clandestinamente pulsaciones de teclas) a contratistas del gobierno por precios entre 60.000 y 200.000 dólares cada uno.

Esos productos de «malware» se adaptaban específicamente a las necesidades de los clientes, lo que indudablemente reflejaba el estado de los objetivos finales, es decir: «… la prueba del instrumento contra McAfee y Norton».

Algunos rootkits eran bastante rutinarios, mientras que otros revelaban claramente necesidades específicas: «Funciona con MS Windows XP sp2 y Office 2003, encuentra archivos de MS Office utilizando la técnica XRK para exfiltrar archivos».

Incluso se exploraron rootkits de la generación siguiente -para que siguieran activos a pesar de la extracción de un disco duro o para persistir en una máquina a través de la tarjeta vídeo.

No cabe duda, se trataba de instrumentos cibernéticos ofensivos, hechos a medida.

Incidentes de seguridad (exploits) de día cero

Los rootkits permiten mantener el control de una máquina comprometida, pero todavía sería necesario un vector de compromiso inicial.

Una vez más, los archivos de correo lo dicen: se puede ver a personal de ventas de HBGary refiriéndose a «Juicy Fruit», su nombre interno para incidentes de seguridad de día cero (0day) suministrados por HBGary.

0day se refiere a exploits que son actualmente desconocidos para el vendedor de software, haciendo que a veces la defensa contra ataques de día cero sea imposible.

Un correo enumera su arsenal de día cero, que incluía ataques contra Adobe Flash, Windows 2003, Sun Java y una serie de productos más.

Los correos incluso diferencian entre exploits que se han vendido a un cliente y los que todavía son exclusivos.

Otros correos incluyen discusiones sobre la venta de software de puerta trasera a gobiernos extranjeros y de planes para crear «temas para videojuegos y filmes adecuados para Medio Oriente y Asia. Esos paquetes de temas contendrían puertas traseras.«

Obviamente, los ciberataques contra extranjeros están permitidos.

Si la línea ética en cosas semejantes es ligeramente confusa, se eliminó completamente con los planes de combatir a WikiLeaks atacando a los partidarios de la causa:

De – mar Feb 08 09:06:48 2011

Tema: Re: Primer corte

De: Aaron Barr

Fecha: Viernes, 3 dic 2010 08:32:12 -0500

Cc: Eli Bingham , BERICO-Sam.Kremin

A: Matthew Steckman

Otra cosa. Pienso que tenemos que destacar a gente como Glenn Greenwald. Glenn fue esencial en la transición de Amazon a OVH y ayudó a que Wikileaks suministrara acceso a la información durante la transición.

Es el nivel de apoyo lo que tenemos que atacar. Son los profesionales establecidos que tienen un sesgo liberal, pero si se les presiona en última instancia la mayoría elegirá la preservación profesional por encima de la causa; es la mentalidad de la mayoría de los profesionales empresariales. Sin el apoyo de gente como Glenn Wikileaks se destruiría.

Aaron

(Correos subsiguientes muestran que el proyecto de atacar a WikiLeaks debía venderse por 2 millones de dólares.)

¿Tal vez GBGary fue un caso atípico?

En este punto podríamos llegar a la conclusión de que HBGary era sólo una manzana podrida, que opera al otro lado de la línea ética, por su propia cuenta, pero podríamos equivocarnos.

El correo citado indica que el proyecto para desacreditar a WikiLeaks (y a sus seguidores) fue una operación conjunta de HBGary Federal, Palantir y BericoTechnologies, aunque las demás compañías involucradas se apresuraron a distanciarse de HBGary después del hack de Anonymous.

Endgame Systems, una compañía que carece casi totalmente de presencia pública, también fue lanzada al centro de atención, cuando varios de sus informes y presentaciones previamente bien protegidos se compartieron en los correos.

En un temprano correo a Aaron Barr, Endgame Systems dejó claro que había «tenido mucho cuidado de NO presentar una cara pública de nuestra compañía». El director ejecutivo de Endgame Systems fue claro: «Por favor hagan saber a HBGary que no queremos en ningún caso que nuestro nombre aparezca en un comunicado de prensa».

¿Entonces qué hace exactamente la secreta Endgame Sustems? La compañía, comenzada por ex ejecutivos de ISS y de la CIA, promete (en privado) «suministrar a nuestros clientes el software ofensivo CNA/CNE (Ataque de Redes Informáticas/Explotación de Redes Informáticas) de la mayor calidad en el mundo».

Su visión de conjunto deja en claro que sirve a «los requerimientos especiales del Departamento de Defensa de EE.UU. y de la Comunidad de la Inteligencia».

Su plataforma, filtrada en PowerPoint, propone suscripciones de 2.500.000 dólares por año por acceso a exploits de día cero, con «informaciones de inteligencia» ligeramente más asequibles que venden información sobre servidores vulnerables por región geográfica.

Con un solo informe (y una libreta de cheques bastante grande) es posible encontrar todos los servidores vulnerables a ataques en el gobierno venezolano, junto con el software necesario para explotarlos.

Incluso sólo el currículo enviado a HBGary para solicitar empleo resultó instructivo, ya que revela detalles que no circulan frecuentemente en el área pública.

Un candidato había «dirigido un equipo de 15 personas, responsables de la coordinación de operaciones informáticas ofensivas para el Departamento de Defensa de EE.UU. y otras agencias federales».

Operaciones cibernéticas evidentemente ofensivas que anteceden de lejos la fundación en 2009 de USCYBERCOM.

Las conversaciones por correo electrónico dejan claro que muchos han tenido conocimiento de qué operaciones cibernéticas ofensivas contra individuos y naciones-Estado han tenido lugar durante mucho, mucho tiempo.

Hay expertos que afirman que en el mejor de los casos están mal informados, o que en el peor difunden activamente desinformación. Cuando se trata de la ciberguerra, el asunto es tratado de la mejor manera por la famosa cita de William Gibson: «El futuro ya está presente – sólo que no está distribuido equitativamente».

Haroon Meer es fundador de Thinkst, una compañía de investigación aplicada con un profundo enfoque en la información de seguridad. Ha contribuido a varios libros de información sobre la seguridad y ha presentado investigación en conferencias industriales y académicas en todo el mundo.

Fuente: http://english.aljazeera.net/indepth/opinion/2011/03/20113981026464808.html

rCR