Ataque SolarWinds de Rusia: Schneier sobre seguridad


Ataque SolarWinds de Rusia

Todos los artículos de noticias recientes han estado hablando de la ruso ciberataque contra Estados Unidos, pero eso está mal en dos aspectos. No fue un ciberataque en términos de relaciones internacionales, fue espionaje. Y la víctima no fue solo Estados Unidos, fue el mundo entero. Pero era enorme y peligroso.

Espionaje está permitido internacionalmente en tiempos de paz. El problema es que tanto el espionaje como los ciberataques requieren las mismas intrusiones en la red y en la computadora, y la diferencia es solo unas pocas teclas. Y dado que esta operación rusa no está dirigida en absoluto, el mundo entero está en riesgo, y no solo Rusia. Muchos países llevan a cabo este tipo de operaciones, ninguno más extensamente que Estados Unidos. La solución es priorizar la seguridad y la defensa sobre el espionaje y el ataque.

Esto es lo que sabemos: Orión es un producto de gestión de redes de una empresa llamada SolarWinds, con más de 300.000 clientes en todo el mundo. En algún momento antes de marzo, los piratas informáticos que trabajaban para el SVR ruso, anteriormente conocido como KGB, piratearon SolarWinds y abrieron una puerta trasera en una actualización de software de Orion. (No sabemos cómo, pero el año pasado el servidor de actualización de la empresa fue protegido con la contraseña “solarwinds123”, algo que habla de la falta de cultura de seguridad). Los usuarios que descargaron e instalaron esa actualización corrupta entre marzo y junio, sin saberlo, dieron a los piratas informáticos de SVR acceso a sus redes.

Esto se denomina ataque a la cadena de suministro, porque apunta a un proveedor para una organización en lugar de una organización en sí misma, y ​​puede afectar a todos los clientes de un proveedor. Es una forma cada vez más común de atacar redes. Otros ejemplos de este tipo de ataque incluyen aplicaciones falsas en la tienda de Google Play y pantallas de reemplazo pirateadas para su teléfono inteligente.

SolarWinds ha eliminado su lista de clientes de su sitio web, pero Internet Archive lo guardé: las cinco ramas del ejército de los EE. UU., el departamento de estado, la Casa Blanca, la NSA, 425 de las compañías Fortune 500, las cinco de las cinco principales firmas de contabilidad y cientos de universidades y colegios. En una presentación ante la SEC, SolarWinds dijo que cree que "menos de 18.000" de esos clientes instalaron esta actualización maliciosa, otra forma de decir que más de 17.000 lo hicieron.

Son muchas redes vulnerables y es inconcebible que el SVR las haya penetrado todas. En cambio, eligió cuidadosamente entre su cornucopia de objetivos. De Microsoft análisis identificó 40 clientes que fueron infiltrados usando esta vulnerabilidad. La gran mayoría de ellos estaban en los EE. UU., Pero las redes en Canadá, México, Bélgica, España, el Reino Unido, Israel y los Emiratos Árabes Unidos también fueron atacadas. Esta lista incluye gobiernos, contratistas gubernamentales, empresas de tecnología de la información, grupos de expertos y ONG, y ciertamente crecerá.

Una vez dentro de una red, los piratas informáticos de SVR siguieron una libro de jugadas estándar: establecer un acceso persistente que permanecerá incluso si se corrige la vulnerabilidad inicial; moverse lateralmente por la red comprometiendo sistemas y cuentas adicionales; y luego exfiltrar los datos. No ser cliente de SolarWinds no es garantía de seguridad; esta operación SVR utilizada otros vectores y técnicas de infección inicial también. Estos son piratas informáticos sofisticados y pacientes, y solo estamos aprendiendo algunas de las técnicas involucradas aquí.

Recuperándose de este ataque no es fácil. Debido a que cualquier pirata informático de SVR establecería un acceso persistente, la única forma de asegurarse de que su red no se vea comprometida es quemarlo hasta el suelo y reconstruirlo, similar a reinstalar el sistema operativo de su computadora para recuperarse de un ataque malicioso. Así es como muchos administradores de sistemas van a pasar sus vacaciones de Navidad, e incluso así no pueden estar seguros. Hay muchas formas de establecer un acceso persistente que sobrevive a la reconstrucción de redes y equipos individuales. Sabemos, por ejemplo, de un exploit de la NSA que permanece en un disco duro incluso después de reformatearlo. Código para ese exploit fue parte de las herramientas del Equation Group que los Shadow Brokers, que nuevamente se creía que eran Rusia, robaron de la NSA y publicaron en 2016. La SVR probablemente tenga los mismos tipos de herramientas.

Incluso sin esa advertencia, muchos administradores de red no pasarán por el proceso de reconstrucción largo, doloroso y potencialmente costoso. Solo esperarán lo mejor.

Es difícil exagerar lo malo que es esto. Todavía estamos aprendiendo sobre las organizaciones gubernamentales de EE. UU. Violadas: el Departamento Estatal, la Departamento de Tesorería, seguridad nacional, la Laboratorios Nacionales Los Alamos y Sandia (donde se desarrollan armas nucleares), el Administración Nacional de Seguridad Nuclear, la Institutos Nacionales de Saludy mucho mas. En este punto, no hay indicios de que se haya penetrado en ninguna red clasificada, aunque eso podría cambiar fácilmente. Se necesitarán años para saber en qué redes ha penetrado la SVR y dónde todavía tiene acceso. Gran parte de eso probablemente será clasificado, lo que significa que nosotros, el público, nunca lo sabremos.

Y ahora que la vulnerabilidad de Orion es pública, otros gobiernos y ciberdelincuentes la utilizarán para penetrar en redes vulnerables. Puedo garantizarles que la NSA está utilizando el ataque de SVR para infiltrarse en otras redes; ¿por qué no lo harían? (¿Alguna organización rusa usa Orion? Probablemente).

Si bien se trata de un fallo de seguridad de enormes proporciones, no lo es, como dijo el senador Richard Durban. dijo, "Prácticamente una declaración de guerra de Rusia a los Estados Unidos". Si bien el presidente electo Biden dijo que hará de esto un máxima prioridad, es poco probable que haga mucho para tomar represalias.

La razón es que, según las normas internacionales, Rusia no hizo nada malo. Éste es el estado de cosas normal. Los países se espían entre sí todo el tiempo. No hay reglas ni normas, y básicamente se trata de "comprador, cuidado". Estados Unidos regularmente no toma represalias contra las operaciones de espionaje, como la de China cortar a tajos de la Oficina de Gestión Personal (OPM) y anteriores Trucos rusos – porque nosotros también lo hacemos. Hablando del hack de OPM, el entonces director de inteligencia nacional, James Clapper, dijo: “Tienes que saludar a los chinos por lo que hicieron. Si tuviéramos la oportunidad de hacer eso, no creo que dudaríamos ni un minuto ".

No lo hacemos, y estoy seguro de que los empleados de la NSA están impresionados a regañadientes con el SVR. Estados Unidos tiene, con mucho, la operación de inteligencia más extensa y agresiva del mundo. La NSA presupuesto es la más grande de todas las agencias de inteligencia. Aprovecha agresivamente la posición de Estados Unidos que controla la mayor parte de la red troncal de Internet y la mayoría de las principales empresas de Internet. Edward Snowden divulgado muchos objetivos de sus esfuerzos alrededor de 2014, que luego incluido 193 países, el Banco Mundial, el FMI y la Agencia Internacional de Energía Atómica. Sin duda, estamos llevando a cabo una operación ofensiva en la escala de esta operación SVR en este momento, y probablemente nunca se hará pública. En 2016, el presidente Obama presumido que tenemos "más capacidad que nadie tanto a la ofensiva como a la defensiva".

Puede que haya sido demasiado optimista sobre nuestra capacidad defensiva. Estados Unidos prioriza y gasta muchas veces mas en la ofensiva que en la ciberseguridad defensiva. En los últimos años, la NSA ha adoptado un estrategia de "compromiso persistente", a veces llamado "defender hacia adelante". La idea es que en lugar de esperar pasivamente a que el enemigo ataque nuestras redes e infraestructura, vayamos a la ofensiva y desestabilicemos los ataques antes de que lleguen a nosotros. Esta estrategia fue acreditada con frustrar una trama por la Agencia de Investigación de Internet de Rusia para interrumpir las elecciones de 2018.

Pero si el compromiso persistente es tan efectivo, ¿cómo podría haberse perdido esta operación masiva de SVR? Parece que prácticamente todo el gobierno de Estados Unidos estaba enviando información a Moscú sin saberlo. Si nosotros tenido estado observando todo lo que estaban haciendo los rusos, habríamos visto alguna evidencia de esto. El éxito de los rusos bajo la atenta mirada de la NSA y el Cyber ​​Command de EE. UU. Muestra que se trata de un enfoque fallido.

¿Y cómo la capacidad defensiva de Estados Unidos se perdió esto? La única razón por la que sabemos sobre esta violación es porque, a principios de este mes, la empresa de seguridad FireEye descubierto que había sido pirateado. Durante su propia auditoría de su red, descubierto la vulnerabilidad de Orion y alertó al gobierno de Estados Unidos. ¿Por qué organizaciones como los Departamentos de Estado, Tesoro y Seguridad Nacional no realizan regularmente ese nivel de auditoría en sus propios sistemas? El sistema de detección de intrusos del gobierno, Einstein 3, falló aquí porque no detecta nuevos ataques sofisticados, una deficiencia señaló en 2018 pero nunca reparado. No deberíamos tener que depender de una empresa privada de ciberseguridad para alertarnos de un gran ataque de un estado-nación.

En todo caso, la priorización de la ofensiva sobre la defensa por parte de Estados Unidos nos hace menos seguros. En interés de la vigilancia, la NSA ha impulsado una inseguro estándar de cifrado de teléfonos móviles y puerta trasera en generadores de números aleatorios (importante para el cifrado seguro). El DoJ nunca ha cedido en su insistencia que los sistemas de cifrado más populares del mundo se vuelvan inseguros a través de puertas traseras, otro punto caliente donde el ataque y la defensa están en conflicto. En otras palabras, permitimos estándares y sistemas inseguros, porque podemos usarlos para espiar a otros.

Necesitamos adoptar un estrategia de defensa dominante. A medida que las computadoras e Internet se vuelven cada vez más esenciales para la sociedad, es probable que los ciberataques sean el precursor de una guerra real. Simplemente somos demasiado vulnerables cuando damos prioridad a la ofensa, incluso si tenemos que renunciar a la ventaja de usar esas inseguridades para espiar a otros.

Nuestra vulnerabilidad se magnifica, ya que las escuchas ilegales pueden convertirse en un ataque directo. El acceso del SVR les permite no solo escuchar a escondidas, sino también modificar datos, degradar el rendimiento de la red o borrar redes enteras. El primero podría ser un espionaje normal, pero el segundo ciertamente podría considerarse un acto de guerra. Es casi seguro que Rusia está sentando las bases para futuros ataques.

Esta preparación no tendría precedentes. Hay muchos ataques en el mundo. En 2010, EE. UU. E Israel atacado el programa nuclear iraní. En 2012, Irán atacado la compañía petrolera nacional saudita. Corea del Norte atacado Sony en 2014. Rusia atacó la red eléctrica de Ucrania en 2015 y 2016. Rusia es hackear la red eléctrica de EE. UU. y EE. UU. hackear La red eléctrica de Rusia, en caso de que algún día se necesite la capacidad. Todos estos ataques comenzaron como una operación de espionaje. Las vulnerabilidades de seguridad tienen consecuencias en el mundo real.

No vamos a poder proteger nuestras redes y sistemas en este mundo sin reglas, libre para todos, cada red para sí mismo. Estados Unidos debe renunciar voluntariamente a parte de su ventaja ofensiva en el ciberespacio a cambio de un ciberespacio global mucho más seguro. Necesitamos invertir para proteger las cadenas de suministro del mundo frente a este tipo de ataque y para presionar para normas internacionales y acuerdos que priorizan la ciberseguridad, como el 2018 Llamado de París para la confianza y la seguridad en el ciberespacio o la Comisión Global sobre la Estabilidad del Ciberespacio. Fortalecer el software ampliamente utilizado como Orion (o los protocolos básicos de Internet) ayuda a todos. Tenemos que frenar esta carrera armamentista ofensiva en lugar de exacerbarla, y trabajar para paz cibernética. De otra manera, hipócritamente criticar a los rusos por hacer lo mismo que hacemos todos los días no ayudará a crear el mundo más seguro en el que todos queremos vivir.

Este ensayo aparecido previamente en el guardián.

Publicado el 28 de diciembre de 2020 a las 6:21 AM •
8 comentarios



Enlace a la noticia original