déjenlos pelear ….en el ciberespacio · • ‘ciber crimen’ es noción de ciber amenaza...
Post on 21-May-2020
1 Views
Preview:
TRANSCRIPT
Déjenlos Pelear ….en el Ciberespacio
¿Pueden los Ciber Conflictos Sustituir a los Conflictos Armados Entre Estados?
Photo by Markus Spiske on Unsplash
La Ciber Guerra Ha Llegado
“…en potencia, el próximo Pearl Harbor bien puede ser un ciber ataque.”
Leon PanettaDirector de la CIA (2011)
Photo by Markus Spiske on Unsplash
Estonia: Sociedad de la Información• 1990: Primeros servicios electrónicos vía Internet (Banca)• 2000: Reformas a la Ley Administrativa -> firma electrónica• 2005: Voto vía Internet• 2007: 95% de las operaciones bancarias de forma electrónica
98% del territorio con cobertura para acceso a Internet99% de penetración de telefonía móvil+1000 e-servicios en el sector público
Conflicto:• 26 de Abril 2007: Gobierno reubica al ‘Soldado de Bronce’
estallan protestas violentas en la capital,incrementan tensiones con Rusia.
• 27 de Abril 2007: Inician ciber ataques a sitios web del gobiernoy medios de comunicación online (DoS básico)
• 30 de Abril 2007: Ataque principal (DDoS, Botnet 85.000 PCs)• 18 de Mayo 2007: Fin de los ataques tras 22 días.
Photo by Markus Spiske on Unsplash
Hallazgos:• Se usaron métodos conocidos: ping flood, udp flood, queries
mal formadas, email spam, etc.• Sistemas atacados: Servidores Web, eMail, DNS; Routers• Entidades atacadas: Gobierno, Presidencia, Parlamento, Policía,
Bancos, ISPs, Medios de Comunicación.• Incrementos en complejidad y coordinación de los ataques.
Evaluación:• Alta capacidad de respuesta del CERT-EE• Efectos notables en sector empresarial, público, y en la sociedad
pero no permanentes• No hay claridad en cuanto al autor detrás de los ataques• No se ha podido probar la participación del gobierno Ruso
• Ciber-protestas en lugar de Ciber-guerra (T. Rid – 2012)
Photo by Markus Spiske on Unsplash
Georgia: Sector de la Información• 2008: Usuarios de Internet 7 (en 100 hab.)
Poca capacidad y dependencia en infraestructuras de TICrecimiento usuarios de Banda AnchaInterconexión Terrestre limitada (vía Rusia, Turquía, Azerbaijan-Rusia)Interconexión mediante fibra óptica submarina en construcción.
Conflicto:• 19 de Julio 2008: primeros ciber ataques esporádicos a sitios
web e infraestructura de red.• 7 de Agosto 2008: Ejército de Georgia realiza un ataque armado
como respuesta a provocaciones de fuerzas separatistas en la región de Ossetia del Sur.
• 8 de Agosto 2008: Ciber ataques por 20 días (DDoS, Botnets)• 8 de Agosto 2008: Ejército Ruso invade Georgia. Conflicto Bélico• 12 Agosto 2008: Cese al Fuego.
Photo by Markus Spiske on Unsplash
Hallazgos:• Métodos muy similares a los de Estonia 2007• Sistemas atacados: Servidores Web, Mail.• Entidades atacadas: Gobierno, Ministerios, Medios,
Instituciones Financieras.• Coordinación y redistribución de herramientas para ataque.
Evaluación:• Limitada capacidad de respuesta local. Soporte internacional• Efectos limitados, no permanentes, no violentos.• Principal afectación: Impedir que el gobierno informe del
evento a la comunidad internacional.• Sociedad menos vulnerable que en el caso de Estonia• No hay pruebas concluyentes sobre el autor de los ciber ataques
• Cyber-subversión en lugar de Cyber-guerra (T. Rid – 2012)
Photo by Markus Spiske on Unsplash
¿Los Ciber Ataques a Estonia y Georgia son Actos de Agresión?
• Un acto de agresión justifica una respuesta bélica
• Bajo este argumento, los ciber ataques que interrumpan el normal funcionamiento de la sociedad podrían ser repelidos mediante el uso de la fuerza física, resultando en pérdidas materiales y humanas.
• Los daños a la propiedad privada causados por los ataques de DDoS y deformación de sitios web fueron limitados y temporales. No existen pérdidas humanas.
• No se puede discriminar al agresor. Dificultad para ejecutar una respuesta
Photo by Markus Spiske on Unsplash
¿Los Ciber Ataques que Afecten a las Infraestructuras Críticas de un Estado, Constituyen Actos de Agresión?
Photo by Fré Sonneveld on UnsplashPhoto by Cassie Matias on Unsplash Photo by WORKSITE Ltd. on Unsplash
Caso de Estudio:
Stuxnet
“Átomos para la paz y átomos para la guerra son gemelos siameses”
Hannes AlfvénPremio Nobel de Física (1970)
Programa Nuclear de Irán (Zetter, 2014):
• 1957: Irán inicia su programa nuclear –con el apoyo de occidente-
• Cambio de gobierno (1979) y Conflicto con Iraq (1980-1988) -> programa secreto de enriquecimiento de uranio
• 1999: Primeras pruebas de enriquecimiento resultan exitosas• 2000: Inicia la construcción en Natanz de una planta para
producción a gran escala.
• 2006: N.U declaran a Irán en incumplimiento. Impone sanciones
• Otros gobiernos analizan opciones alternas (ataques aéreos)
Stuxnet: Sistema de Control Encubierto? (McGraw, 2013):
• Propagación:- Vía redes IP (privadas o Internet) - Vía USB Pen Drive
• Instalación:- Vulnerabilidad Día-Cero en S.O. Windows- Evasión de antivirus- Comunicación con centro de comando y control
• Ejecución:- Detección de software siemens S7 instalado en PC- Descarga en PLCs de la serie Simatic S7-400 de Siemens- Activación únicamente en aquellos PLCs ubicados en
Natanz y Bushehr.
Photo by Brina Blum on Unsplash
Symantec. W32.Stuxnet Dossier
Symantec. W32.Stuxnet Dossier
Hallazgos:
• Muy alto nivel de planificación:- Fechas de compilación datan entre 2001 y 2003- Liberado en 2008; Detectado en Julio 2010
• Daños colaterales:- +100mil hosts infectados en 155 países (60% Irán)- 33% de hosts infectados en Irán no usan Step7 de Siemens
Photo by Brina Blum on Unsplash
Symantec. W32.Stuxnet Dossier
Symantec. W32.Stuxnet Dossier
Evaluación:
• Efecto principal:- Retraso del programa nuclear de Irán aprox. 2 años- Daños materiales a centrifugadoras de uranio
• Respuesta de Irán: ciber ataques en 2010 dirigidos a bancos y sitios web en Estados Unidos (Segal, 2016).
Photo by Jason Leung on Unsplash
¿La Ciber Guerra Ha Llegado?
“…existen formas mucho más simples y menos costosas de atacar infraestructuras críticas, desde llamadas telefónicas falsas
hasta camiones-bomba o aviones secuestrados”
Tom StandageEditor The Economist (2002)
Photo by Jason Leung on Unsplash
Espacios, Estados y Ciber Espacio (Choucri, 2012):
• Espacios como dominios de interacción entre Estados• Características posibilitan una expansión de poder / influencia• Variable crítica ante amenazas (soberanía, estabilidad, seguridad)
• Noción tradicionalmente asociada con la territorialidad: la contienda por el poder se daba mediante expansión física hacia otros territorios.
• Avances tecnológicos permiten el acceso a nuevas formas de espacio (nano espacio, espacio genético, ciber espacio)
• En la contienda por el poder e influencia, el Ciber Espacio presenta nuevas oportunidades para la competencia, la disputa, y el conflicto.
Espacios, Estados y Ciber Espacio (Choucri, 2012):
Photo by Jason Leung on Unsplash
¿Qué Está en Juego?
• Depende del cristal con que se mire
• Dos concepciones distintas (Majikian, 2010):
• Comunidad Académico-Técnica (Liberal)- Oportunidades para potenciar libertades
individuales- Estructuras de Cooperación Internacional- Participación y Movilización de la Sociedad Civil
• Círculos Militares, Defensa, Estudios Estratégicos (Neo Realista)
- Amenazas puedan pasar al dominio físico- Nuevas iniciativas en Defensa y armamento.- 5to Dominio Estratégico de Guerra (Aire, Mar, Tierra,
Espacio Exterior, Ciber Espacio)Photo by imgix on Unsplash
Photo by Jason Leung on Unsplash
Photo by imgix on Unsplash
Denominador Común:
• Las características únicas del ciber espacio –que lo diferencian del espacio físico- son las que crean nuevas oportunidades para la interacción humana.
• Al mismo tiempo representan riesgos, amenazas o retos para la seguridad.
• Son fuentes de inseguridad en especial:- Su naturaleza transnacional- Las bajas barreras de ingreso- El anonimato.
Photo by Jason Leung on Unsplash
Amenazas Percibidas (Eriksson y Giacomello):
• Discursos sobre seguridad de la información, o sobre ciber amenazas pueden posicionar visiones compartidas
• ´ciber guerra’ ‘guerra informática’ ‘ciber terrorismo’ enmarcan amenazas percibidas por la comunidad militar, burocrática.
• ‘ciber crimen’ es noción de ciber amenaza percibida por la comunidad empresarial, la sociedad civil, o el gremio policial.
• La comunidad tecnológica por otro lado percibe amenazas más acotadas, enfocadas en la interrupción de las comunicaciones y sistemas informáticos.
Photo by Jason Leung on Unsplash
Seguridad Informática …¿Construcción Social? (Nissenbaum, 2005):
• Existen dos concepciones prominentes sobre Seguridad Computacional.
• ‘Seguridad Computacional Técnica’- Comunidad ingenieros y científicos de la computación.- Propósito: asegurar la disponibilidad, integridad, y
confidencialidad de los datos.
• ´Ciber-Seguridad’- Agencias gubernamentales de seguridad nacional.- Propósito: minimizar el uso del ciber espacio para
actividad criminal; asegurar a las infraestructuras críticas.
Photo by Jason Leung on Unsplash
Seguridad Informática …¿Construcción Social? (Nissenbaum, 2005):
• Difieren en- Cómo caracterizan el grado y naturaleza de las ciber
amenazas.- El foco de la seguridad.- El elemento que debe ser protegido.
Ciber Ataque: Propagación de un código
maligno a través de Internet
Seguridad Computacional Tec.:- Ataque a usuarios individuales- Sistema Judicial local
Ciber-Seguridad:- Ataque a la Nación- Respuestas Seguridad Nacional
Photo by Jason Leung on Unsplash
Respuesta ante un Ataque: El Problema de la Atribución.
• Implementación de respuestas ante un ciber ataque depende de la habilidad para identificar su origen
• El proceso que determina la identidad (nombre, usuario, cuenta, etc.) o ubicación (geográfica, física, dirección lógica) de un atacante o de sus intermediarios.
• Barreras para atribuir un ciber ataque:
- Ciber espacio fue creado priorizando objetivos de eficiencia en el intercambio de información. No en la seguridad (Singer, 2014). DDoS, IP Spoofing
- Carácter Transnacional. Ataques multi-fase. (Estonia)
Photo by Claire Anderson on Unsplash
Photo by Bill Oxford on Unsplash
Photo by Jason Leung on Unsplash
Respuesta a un Ataque: ¿Es Realmente Ataque? (Dunn Cavelty, 2008):
• Previo a la atribución y a la respuesta a un ataque se requiere determinar con evidencia concluyente que el incidente es efectivamente un ciber ataque.
• No son los únicos eventos que causan daños a la información, sistemas, e infraestructuras:
- Existe la posibilidad de Fallas (software, hardware)- Error Humano- Accidentes
• Flash-Crash de la Bolsa de Valores de New York en 2010
¿Pueden los Ciber Conflictos Sustituir a los Conflictos Armados Entre Estados?:
• El ciber espacio, por sus características intrínsecas (transnacional, bajas barreras de entrada, barreras para atribución) presenta una opción para lograr objetivos políticos con reducido grado de violencia, o para postergar una decisión de uso de fuerza física.
• Existen escenarios en los que el ciber conflicto puede reducir el uso de la fuerza:- Escenario 1: Nación débil ataca a una más fuerte (expresión de insatisfacción) ej. Irán
2010- Escenario 2: Nación fuerte ataca a una más débil para avanzar su agenda política ej.
Stuxnet
• No implica que en el futuro no habrán guerras en el dominio físico.- Los efectos de un ciber ataque son temporales. Proporcionan una ventaja táctica- El conflicto armado incluirá más ciber operaciones (como un complemento, no
reemplazo). Ej. Georgia
¿Pueden los Ciber Conflictos Sustituir a los Conflictos Armados Entre Estados?:
• Implicación:
- Si el ciber conflicto reduce la probabilidad de violencia o conflicto armado, entonces la elaboración de normativas y regulaciones internacionales, así como los avances tecnológicos que tiendan a resolver el problema de la atribución podrían anular el potencial del ciber espacio como elemento que atenúa o previene el uso de la fuerza.
• ¿Evidencia Empírica?
Photo by William Iven on Unsplash
Ciber Incidentes Significativos2006 - 2018
“…en teoría, no hay diferencia entre teoría y práctica. En la práctica, si la hay”
Benjamin BrewsterThe Yale Literary Magazine (1882)
Photo by William Iven on Unsplash
Construcción del Dataset:
• Partiendo del listado de Ciber Incidentes significativos publicado por el CSIS. (328 registros desde 2006 hasta 2018*)
• Significativos: - Objetivos son agencias del gobierno, defensa, o empresas
de tecnología.- O representan pérdidas económicas de $1millón o más.
Group Name Values
Reported_On {Date}
Occurred_On {Date]
Update
Incident
General Info
Not Specified
Other
Incident_# {Sequence}
Vandalism
Denial of Service
Intrusion
Infiltration
Combined
Not Specified
Other
Successful
Attempt
Not Specified
Other
Disruption
Theft
Data Theft
Espionage
Sabotage
Coercion (behaviour)
Ransom
Not Specified
Other
Succeded
Failed
Not Specified
State
State-sponsored
Non-state actor
Not Specified
Other
I_Name {Name}
Yes
No
Not Specified
State
State-sponsored
State and Non-state
R_Name {Name(s)}
Private/Non-state
Private - Defence
Private - Critical Infrastructure
Initiating Actor-related variables
I_Type of Actor
I_Verified
Receiving Actor-related variables
R_Type of Actor
R_Sector
Dataset Variables
Entry-related variablesType_of_Record
Event-related variables
E_Type
E_Result
E_Objective
E_Achievement
• Definición de variables: basadas en el estudio de Valeriano y Maness (2014)
- Nivel de Registro- Nivel de Evento- Nivel de Origen- Nivel de Receptor
Photo by William Iven on Unsplash
Resultados:
• Diferenciación entre medios y fines; Ciber Ataque es el medio para lograr un objetivo final
- Desfiguración Web- Denegación de Servicio (DoS, DDoS)- Intrusión- Infiltración
• Objetivo final: el propósito, aquello que busca el atacante- Robo de Información- Interrupción- Espionaje- Robo ($)- Sabotaje- Rescate/Extorsión- Coerción- No especificado- Otro
Photo by William Iven on Unsplash
Resultados:
• Incremento sostenido del número de ciber ataques significativos registrados desde 2006 (CSIS)
• 79% de ataques con éxito. De éstos, la mayoría son intrusiones no autorizadas a sistemas informáticos, a pesar de tener menor eficacia frente a ataques DoS o desfiguración de sitios web
• El objetivo final de los ataques exitosos no puede ser determinado para el 19% de los casos.
• El Robo de Información es el fin más buscado, lo que explica la predilección por ataques de menor eficacia
Photo by William Iven on Unsplash
Resultados:
• No todos los ciber ataques exitosos lograron el objetivo final: lo que añade otro nivel de complejidad
• Receptores:
Photo by William Iven on Unsplash
Resultados:
• La mayor eficiencia en cuanto a objetivo final se observa en ataques al sector privado; a pesar de esto existen más ataques hacia el sector estatal
• Actores maliciosos encuentran mayor dificultad en penetrar agencias estatales, pero posiblemente piensan que la recompensa de alcanzar un objetivo final es mucho mayor que en el caso del sector privado
• La tendencia cambia dependiendo del país que recibe el ataque (Estados Unidos, o Reino Unido)
• El cambio se puede explicar por la diferencia en capacidades de ciber defensa en dichos países comparada con los demás; o también por limitaciones de acceso para recolección de información (India).
Photo by William Iven on Unsplash
Resultados:
• Analizando por sub sector, las áreas estratégicas son atacadas con menor frecuencia, tanto en sector estatal como en el privado
• Iniciadores:
Photo by William Iven on Unsplash
Resultados:
• Conflicto Inter Estatal: al separar exclusivamente a los actores estatales o auspiciados por un estado.
• La matriz se reduce más si el criterio de atribución es estricto
Photo by William Iven on Unsplash
Conclusiones:
• Existe un escaso número de incidentes entre estados, lo suficientemente graves como para ser calificados como actos de agresión.
• Necesidad de evaluar los incidentes teniendo en cuenta no solamente lo posible, sino también la probabilidad de que aquello ocurra (Ciber Guerra, Ciber Pearl Harbor)
• En estados iniciales de un proceso de evolución de conflicto político entre estados, la aparición de ciber incidentes no necesariamente conduce a que se establezca una nueva rivalidad.
• La mayoría de ciber conflictos inter estado involucra rivalidades previamente existentes.
• Ciber incidentes no han logrado romper alianzas (Estados Unidos – Alemania)
• En estados avanzados de un proceso de evolución de conflicto, bajo ciertas condiciones los ciber incidentes podrían disminuir o prevenir la ocurrencia de un desenlace violento
Photo by Rizky Subagja on Unsplash
Déjenlos Pelear …en el Ciber Espacio¿Pueden los Ciber Conflictos Sustituir a los Conflictos
Armados Entre Estados?
27 Noviembre 2019
Presentado en el Coloquio Técnico del FIRST ECCuenca – Ecuador
Juan Diego PesántezConsultoría y Análisis Estratégico
Ciemtelcom
@_juan_diego
juan.pesantez@ciemtelcom.com
top related