Firewalling y ciberguerra

Firewalling y ciberguerra

Guerra informática (cyberwar)
http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica

Hace un tiempo, varios países grandes están construyendo grandes infraestructuras de firewall alrededor de sus redes principales, de modo que si fuera necesario, podrían clausurar el acceso desde Internet hacia cualquier host dentro de sus redes nacionales.

Muchos autores de artículos y blogs expresan constantemente un único punto de vista no técnico respecto de este tema, cuyo foco es la masiva capacidad de auditoría y censura de las comunicaciones que se obtiene al armar esas infraestructuras.

Por ejemplo:
"China levanta su ‘Gran Cortafuegos’ para proteger al régimen de la Red"
http://internacional.elpais.com/internacional/2012/10/26/actualidad/1351278234_650074.html

Aparte de lo anterior (y su nivel de veracidad, cualquiera sea), hay otro punto de vista, también obvio pero con un foco técnico: la "cyberguerra".

Los ataques a infraestructuras informáticas auspiciados por países están en auge desde hace bastantes años, simplemente que luego de los incidentes de 2007 y 2008:

http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
http://en.wikipedia.org/wiki/Cyberattacks_during_the_2008_South_Ossetia_war


http://www.telegraph.co.uk/news/worldnews/europe/georgia/2539157/Georgia-Russia-conducting-cyber-war.html
http://bits.blogs.nytimes.com/2008/08/11/georgia-takes-a-beating-in-the-cyberwar-with-russia/

se hizo evidente para la opinión pública y al poco tiempo se hicieron públicos diversos esfuerzos de orden nacional en muchos países para construir infraestructuras de firewalling alrededor de sus redes y con motivos de peso, como se puede advertir en la escalada de incidentes hasta el presente:

http://en.wikipedia.org/wiki/Cyberwarfare#Incidents

Los ataques a infraestructuras informáticas son frecuentes y habituales, ya sea en operaciones directas, solo involucrando cyberataques o como apoyo para otras acciones militares y/o de inteligencia.

Los ataques "indirectos" también son otra gran motivación para el montaje de infraestructuras de firewalling de borde alrededor de redes nacionales:

http://en.wikipedia.org/wiki/Stuxnet
http://en.wikipedia.org/wiki/Flame_(malware)
http://en.wikipedia.org/wiki/Duqu


Plazos
Es importante considerar también que la mayoría de los riesgos residen en el largo plazo. Los ataques a infraestructuras informáticas que pudieron ser rastreados hasta naciones estado particulares (al menos con un alto grado de fiabilidad), por ejemplo:

http://en.wikipedia.org/wiki/Flame_(malware)#Origin

tienen la particularidad de haber sido planificados, deployados sus recursos y efectivamente realizados a lo largo de varios años, desde el momento de la decisión, hasta la disponibilidad de la decisión de "atacar o no atacar":

"Several other details have been uncovered which suggest there was possibly at least one further spyware module based on the same platform in 2007-2008, and several other programs whose functionality was unclear between 2008 and 2010."

---

"Varios otros detalles fueron descubiertos los cuales sugieren que había posiblemente al menos un futuro módulo spyware  basado en la misma plataforma en 2007-2008, y varios otros programas cuya funcionalidad no estaba clara entre 2008 y 2010"

Fuente:
http://www.securelist.com/en/analysis/204792208/Stuxnet_Duqu_The_Evolution_of_Drivers


Hardware de Networking
El hardware de networking es un punto clave a analizar en este tema. 

Si bien hay varios modos de filtrar el tráfico de un equipo de networking y lograr determinar si incluye algun tipo de backdoor (simples puertos abiertos, alguna irregularidad en el manejo de algun protocolo de comunicaciones salientes que pudiera "pinpointear" OTRO protocolo de comunicaciones subyacente embebido, etc.); está el problema de que es muy difícil detectar si hay algun mecanismo subyacente de comunicaciones subrepticias si es que este está inserto directamente en el hardware mismo.

Justamente es la razón explicada para banear productos Huawei y ZTE en EE.UU.

"The task of finding and eliminating every significant vulnerability from a complex product is monumental. If we also consider flaws intentionally inserted by a determined and clever insider, the task becomes virtually impossible."

-------------

"La tarea de encontrar y eliminar cada vulnerabilidad significativa de un producto complejo es monumental. Si también consideramos las fallas intencionales insertadas por un infiltrado determinado y astuto, la tarea se vuelve virtualmente imposible."


Fuente:
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/Huawei-ZTE%20Investigative%20Report%20(FINAL).pdf


Un artículo relacionado (más legible) aquí:
"Congress accuses Chinese tech giants of un-American activities
Huawei and ZTE "cannot be trusted," says House Intelligence Committee."
http://arstechnica.com/tech-policy/2012/10/congress-accuses-chinese-tech-giants-of-un-american-activities/


Así, el incidente en progreso en relación a Huawei y Cisco está fundado en esa idea:

"Huawei ofrece acceso al código fuente de sus equipos en Australia"
http://www.europapress.es/portaltic/empresas/noticia-huawei-ofrece-acceso-codigo-fuente-equipos-australia-20121024115252.html

"Chinese Huawei, ZTE face new hurdles in U.S. market"
http://english.sina.com/business/2012/1008/514156.html

Claro, que no se puede evitar considerar el punto de vista económico donde otras acciones parecen apuntar más bien a una guerra económica encubierta como "preocupaciones de seguridad".

"China Unicom replaces Cisco devices over security concerns"
http://www.morningwhistle.com/html/2012/Company_Industry_1026/214830.html


Sin embargo, hay bastantes fundamentos lógicos en la idea detrás de la proscripción de compra de equipamiento de networking Huawei y ZTE en EE.UU:

http://www.heritage.org/research/reports/2012/10/china-cyber-threat-huawei-and-american-policy-toward-chinese-companies


Conclusiones
Como se puede ver la construcción de infraestructuras masivas periféricas de firewalling de alta resiliencia a ataques externos es una - relativamente - nueva necesidad para asegurar el correcto funcionamiento de los servicios informáticos a nivel nacional, más aún dada la posibilidad de atacantes hostiles financiados - sino plenos miembros de sus fuerzas de seguridad/militares - por un país, ya sean ataques subrepticios o directos.

La naturaleza típica de "caja negra" del equipamiento de networking y firewalling existente vuelve igualmente dicha seguridad parcialmente relativa, ya que dicho equipamiento podría contener insertas diferentes mecanismos de backdooring:

http://en.wikipedia.org/wiki/Backdoor_(computing)

y ello especialmente si hablamos de espionaje informático y operaciones subrepticias de infiltración (de equipamiento con backdoors) y sabotaje (en base a criterios preventivos: "si fuera necesario", "cuando sea necesario", etc.)  a largo plazo auspiciadas por naciones estado.

El - de vuelta, relativamente - nuevo escenario se configura en una escalada de riesgo de ataques informáticos, mucho mayor que cualquier amenaza preexistente, especialmente de particulares y organizaciones criminales, de una escala muy significativamente menor en relación con hostiles vinculados y respaldados por naciones estado.