Discussion sobre el papel de las fuerzas del orden en la lucha …


La acción del FBI para eliminar los shells internet de los servidores Microsoft Exchange comprometidos provoca una discusión más amplia sobre la respuesta de los funcionarios a los ciberataques.

(Imagen: Kristina Blokhin a través de Adobe Stock)

(Imagen: Kristina Blokhin a través de Adobe Stock)

El mes pasado, el FBI recibió autorización para eliminar shells world-wide-web maliciosos de las máquinas que ejecutan versiones locales de Microsoft Trade Server, una medida que llamó la atención de los profesionales de la ciberseguridad y provocó una conversación sobre el papel del gobierno en la respuesta a estos ataques.

Esta operación, que autorizó específicamente la actividad para servidores de correo electrónico en los Estados Unidos, se anunció unas seis semanas después de que Microsoft revelara las vulnerabilidades críticas de Trade Server que desde entonces se han utilizado para atacar miles de redes en todo el mundo. Un atacante podría encadenar las fallas para comprometer un servidor expuesto y robar datos, entre otras acciones.

Por lo standard, estas infecciones comienzan con la implementación de un shell world-wide-web, que los adversarios pueden usar más tarde para comunicarse con las máquinas de destino y distribuir archivos para infectarlos con malware adicional. Si bien muchos administradores de sistemas de destino pudieron eliminar con éxito estos shells website de miles de dispositivos, otros no lo hicieron. Los shells web persistieron, sin paliativos, en algunos servidores de destino.

Pronto se convirtieron en el objeto de una operación del FBI que eliminó los proyectiles world-wide-web restantes de un grupo de piratería temprana. Los proyectiles web podrían haberse utilizado para «mantener y aumentar el acceso persistente y no autorizado a las redes estadounidenses», escribió el Departamento de Justicia. en una oracion. Los funcionarios llevaron a cabo la eliminación emitiendo un comando a través del shell world-wide-web al servidor, que fue diseñado para hacer que el servidor solo elimine el shell world wide web, según lo identificado por su ruta de archivo única.

Es importante tener en cuenta que, si bien el FBI copió y eliminó los shells net, no parcheó ninguna de las vulnerabilidades, ni buscó ni eliminó malware adicional o herramientas de piratería que pudieran haber estado presentes en los servidores de destino. Los funcionarios dijeron que estaban intentando contactar a los propietarios y operadores de las máquinas infectadas después de la operación no dieron aviso previo.

El FBI ha estado involucrado en varias operaciones contra el ciberdelito. Los funcionarios se unieron más recientemente con las agencias de aplicación de la ley globales para derribar la botnet Emotet.

Pero esta operación, en la que el FBI estaba presente en servidores empresariales sin el conocimiento de los propietarios, llamó la atención de muchos. Se siente diferente a la aplicación de la ley que desmantela una botnet, que a menudo implica rastrear un servidor de comando y regulate con el que se comunican los bots, interrumpir la comunicación y obtener el management sobre él.

«Esa es una diferencia matizada, pero es un poco diferente a que el FBI conozca específicamente los puntos finales que están comprometidos, se comuniquen de forma remota y eliminen un shell net», dice Katie Nickels, directora de inteligencia de amenazas de Crimson Canary, que se siente «bastante dividida» sobre el operación.

Para Nickels, y para muchos defensores, fue difícil a principios de marzo ver a muchas organizaciones comprometidas en los ataques de Trade Server. Los profesionales de la seguridad saben que hay equipos que no están actualizados en las noticias de seguridad y no saben cómo aplicar parches o detectar shells website, explica. Es frustrante, como defensor, saber que todas estas empresas van a estar comprometidas y no saberlo.

«Una parte de mí, como defensora, está realmente feliz de que alguien esté tratando de ayudar a estas organizaciones a eliminar un shell world-wide-web», dice. «Por supuesto, está el otro lado: ¿qué tipo de precedente establece esto, que permite a las fuerzas del orden entrar en una computadora … qué tipo de precedente establece eso para el futuro? ¿Cuándo podrían estas operaciones tomar medidas en el futuro y qué ¿Cuáles serían las implicaciones de eso? Ese es el otro lado «.

«Me siento completamente desgarrado, y eso es lo que he escuchado de la mayoría de la gente», agrega Nickels. En los últimos meses, a medida que el mundo se enteró de los ataques de SolarWinds y Trade Server, la comunidad de seguridad ha visto una creciente disparidad entre las organizaciones preparadas para enfrentar estos incidentes y las que no lo están, y la necesidad de ayudar a las empresas que carecen de protección a protegerse.

El objetivo de perturbar al adversario
El papel de las fuerzas del orden en el ciberdelito es un asunto complejo porque gran parte de esto nunca se ha hecho antes, la legislación no se ha puesto al día con la tecnología y las cosas avanzan rápidamente, dice Shawn Henry, presidente de CrowdStrike Providers y exdirector ejecutivo asistente del FBI. Los empleados del sector privado a menudo se defienden de profesionales militares capacitados.

«Hay tantas complejidades allí, y es por eso que estas cosas nunca son fáciles», dice sobre navegar por la miríada de leyes, problemas, enmiendas y ramificaciones de intervenir. «Si creo que la responsabilidad principal del gobierno es proteger a los ciudadanos, creo que su papel en un caso como este es perturbar la infraestructura. Esa es un área en la que el gobierno puede tener éxito».

El papel del gobierno en la lucha contra el crimen a menudo se centra en la disuasión. En el mundo físico, esto podría significar la incautación de activos comprados con fondos robados, cuentas bancarias utilizadas para lavar dinero y depósitos y otras instalaciones utilizadas para almacenar y vender productos ilícitos. Los delincuentes no pueden operar en un entorno donde su infraestructura está destruida y su retorno de la inversión cae.

Henry aplica el mismo concepto a la ciberseguridad, un área en la que los atacantes «operan con impunidad» y, a menudo, fuera de lugares donde no se puede esperar que intervenga el país anfitrión.

«Por lo tanto, las fuerzas del orden de los EE. UU. Deben tomar medidas para intentar interrumpir la infraestructura en áreas donde pueden tener un impacto significativo … para tratar de aumentar el costo para ellos o negarles la capacidad de llevar a cabo sus acciones», dice. Sanciones, como las de EE. UU. recientemente impuesto sobre Rusia en respuesta a la intrusión de SolarWinds, es una forma de hacerlo. La interrupción de una botnet, que evita que los operadores lancen ataques de denegación de servicio o envíen spam, es otra.

En el caso de los ataques de Exchange Server, continúa Henry, si la aplicación de la ley opera dentro de los límites de la ley y aplica la ley dentro de los límites permitidos, esto se convierte en un problema de política pública.

En el ámbito lawful, el operativo se llevó a cabo luego de una orden de registro e incautación bajo Regla 41 de las Reglas Federales de Procedimiento Penal. Entre otras cosas, permite a las fuerzas del orden solicitar a un juez una orden «para utilizar el acceso remoto para buscar medios de almacenamiento electrónicos y para incautar o copiar información almacenada electrónicamente» al investigar daños a computadoras protegidas. Esta orden no autorizó la «incautación de ninguna propiedad tangible», ni permitió a los funcionarios incautar o copiar contenido de, o alterar la funcionalidad de, medios de almacenamiento electrónico.

Incertidumbre para el futuro
Si bien se realiza legalmente, esta operación va más allá del alcance de lo que los funcionarios encargados de hacer cumplir la ley han hecho anteriormente en respuesta al delito cibernético. Algunos expertos no están de acuerdo con las acciones que se tomaron otros se preguntan si la operación debería haber ido más lejos en su defensa.

El Dr. David Brumley, cofundador y director ejecutivo de ForAllSecure y profesor de ingeniería eléctrica e informática de la Universidad Carnegie Mellon, apoya la notion de eliminar las carcasas internet, pero cuestiona si el FBI debería haberlo hecho. Él ve que la comunidad de seguridad está de acuerdo con las strategies clave: se estaba cometiendo un crimen y los proyectiles net eran peligrosos.

(La historia continúa en la página siguiente).

Kelly Sheridan es la editora de private de Darkish Examining, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Anterior

1 de 2

próximo

Lectura recomendada:

Más información





Enlace a la noticia initial