Analiză: Construirea unei armate cibernetice este mai grea decât se credea. Unde apar provocările

Articolul este semnat de către Max Smeets, cercetător senior la Centrul pentru Studii de Securitate din cadrul universității ETH Zurich și director al Inițiativa de Cercetare Europeană a Conflictelor Cibernetice.

Smeets este autorul cărții „Fără scurtături: de ce se chinuie statele să dezvolte forțe militare cibernetice”, apărută la Oxford în mai 2022.

Nu este îndeajuns să ai oameni tehnici

Conform expertului, nu este îndeajuns să ai programatori pentru a avea o armată cibernetică eficientă.

Acesta spune că e necesară îndeplinirea mai multor condiții: oameni, exploit-uri (o bucată de software, un bloc de date sau o secvență de comenzi care profită de o eroare sau o vulnerabilitate a unei aplicații sau a unui sistem, potrivit Bitdefender), seturi de unelte, infrastructură și structură organizațională.

O viziune tot mai răspândită în managementul e afaceri este că aptitudinile cognitive devin mai importante decât tehnologia. Acesta „joburi de gânditori” necesită gândire creativă pentru rezolvarea de probleme. Pentru puterile cibernetice aspirante, acest lucru este mai important decât experții tehnici.

Recomandări

Ioana Tănase, femeia care a călătorit singură cu motocicleta, din România până în Mongolia: „Țipam și plângeam de fericire, într-un peisaj de vis”

O organizație cibernetică militară necesită analiști de vulnerabilități, adică vânători de bug-uri. Acești angajați cercetează softuri pentru a descoperi găuri de securitate.

Dar pe lângă aceștia, sunt necesari programatori, operatori, testeri și administratori de sistem pentru a executa cu succes o operațiune.

În primul rând, este necesară asistență și suport pentru operatori și dezvoltatori. Este vorba de activități precum înregistrarea de conturi sau cumpărarea de capabilități de la companii private.

Strategia, importantă

O organizație militară va eșua fără o strategie. Succesurile operaționale sau tactice nu înseamnă neapărat o victorie strategică. Comandamentul Cibernetic al SUA poate șterge datele de pe un server iranian al unei companii petroliere, dar acest lucru nu va schimba politica externă a țării.

O sarcină importantă a stregilor este să își coordoneze activitățile cu alte unități militare sau cu state aliate.

Recomandări

Am scăpat de Ciolacu și Iohannis, am dat de Ciolacu și Iohannis

Un job separat este cel de „țintași”, care nominalizează țintele, analizează daunele colaterale, manageriază dezescaladarea conflictului și ajută la planurile operaționale.

Avocații se asigură că sunt respectate legile războiului

De asemenea, orice agenție ce conduce operațiuni cibernetice trebuie să aibă avocați. Acești experți judiciari sunt implicați în antrenare, consultare și monitorizare. Ei trebuie să se asigure că operațiunea se supune legilor războiului, legilor privind conflictele armate și alte mandate legale și să prevină violarea acestora.

Spre exemplu, Comandamentul Cibernetic al SUA a plănuit în 2016 tăierea internetului pentru Statul Islamic, iar acești experți au ajutat la întocmirea planului, a pașilor misiunii și a procesului de autorizare.

Modul în care se derulează anumite operațiuni face ca această consultare legală să fie mai grea. Spre exemplu, în cazul malware-ului Stuxnet, care a distrus centrifugile iraniene, odată pornit planul este dificil să te mai întorci.

Analiștii non-tehnici

Analiștii non-tehnici sunt și ei esențiali. Aceștia spun cum vor reacționa țintele și oferă informații specifice despre țară, cultură sau organizația-țintă.

De asemenea, este nevoie de personal care să lucreze la distanță.

Recomandări

România a fost condamnată să-i plătească 85 de milioane de euro oligarhului rus care a fost proprietar al RAFO Onești

În fine, centrele cibernetice au nevoie de administratori de resurse umane, legături cu instituțiile interne și internaționale și cu presa. Comunicarea poate ajuta la depășirea scepticismului public și nu doar în domeniul serviciilor secrete. Comunicarea ajută și la recrutare, mai ales într-o piață de muncă foarte competitivă.

Exploatarea de vulnerabilități

Cel mai cunoscut element al dezvoltării unor capabilități ofensive cibernetice o constituie exploit-urile. Este vorba de găuri de securitate.

Despre unele nu știe nimeni în afara centrului cibernetic, nici măcar compania care vinde produsul sau softul nu știe. Acestea sunt numite „zero-day exploits”. Altele sunt cunoscute, dar nereparate, iar altele sunt cunoscute, dar reparate.

De multe ori, atacatorii combină multiple vulnerabilități într-un lanț de atac.

Jason Healey, cercetător senior la Școala pentru Afaceri Publice și Internaționale din cadrul Universității Columbia, a făcut un studiu în 2016. Acesta spune că SUA deține în 2015/16 zeci de exploit-uri zero-day. Organizațiile au proceduri foarte eficient realizate de a beneficia de pe urma lor.

Totuși, nu trebuie exagerată importanța lor, deoarece nu este ca și cum ai merge cu o cheie-master și deschizi ușa.

Între detectare și reparare

De multe ori, organizațiile cibernetice militare profită de timpul dintre detectarea unei vulnerabilități și momentul la care este reparată. Deși în medie ia puțin peste o lună repararea unor vulnerabilități medii a unor aplicații web, pentru sistemele de control și date sunt necesare 150 de zile în medie.

Din cauză că e necesar mult timp și a lipsei de standardizare în sistemele industriale de control au existat atacuri. În decembrie 2016, un grup rus de hakeri sprijinit de Kremlin a folosit malware-ul CrashOverride și Industroyer pentru a tăia curentul în mari părți dun Ucraina. Au reușit acest lucru din cauza unei vulnerabilități în sistemele Siemens.

Infrastructura necesită timp pentru construire

Există apoi o credință că lansarea unui atac este ieftin, iar apărarea este scumpă. Dar lansarea necesită o infrastructură, iar aceasta înseamnă procese, structuri și facilități necesare.

Infrastructura este și ea de două feluri: de control și de pregătire. Cea de control reprezintă procesele folosite direct pentru a rula operațiunea. După o operațiune nereușită, aceasta este distrusă. Acest tip include domenii web pentru site-uri de phishing (care pozează ca altele oficiale – n.r.), adrese de email scurse sau alte tehnologii. De asemenea, include infrastructura de comandă și control necesară pentru a comunica cu sistemele compromise. Aceasta este folosită pentru a fura date. În funcție de scop și resurse, aceasta poate fi un server sau o rețea externă.

Actorii maturi folosesc însă infrastructură mai complexă și tehnici care rămân nedetectate. În 2016, grupul rus de hackeri Fancy Bear a cheltuit 95.000 de dolari pe infrastructura folosită pentru a ataca alegerile prezidențiale din SUA.

Exerciții

Infrastructura de pregătire reprezintă procesele folosite pentru a asigura realizarea misiunii. Rar un atacator aruncă această infrastructură după o operațiune eșuată.

Unul dintre cele mai dificile lucruri este testarea unei unelte înainte de atacul în sine. Mare parte din infrastructura de pregătire o reprezintă baze de date ce sunt folosite în cartografierea țintei. Acest lucru ajută atacatorii să vizualizeze dispozitivele-țintă din anumite rețele.

Un caz ilustrativ este atacarea Belgacom, un furnizor de internet și telefonie din Belgia, deținut parțial de stat. Acesta furnizează servicii către Comisia Europeană, Parlamentul European și Consiliul European.

GCHQ a folosit vulnerabilități pentru a avea acces la routerele Belgacom, iar de acolo a putut lansa atacuri de tipul „man în the middle”. În cadrul acestora, utilizatorilor li se prezintă noi pagini de logare, iar aceștia își dau parolele de autentificare. În acest caz, a fost vorba de hackerirea smartphone-urilor. Atacul asupra Belgacom a avut loc între 2010 și 2011 în mai multe etape, pentru ca în final să fie compromis chiar nucleul rețelei.

Simularea unor atacuri

Pregătirea unui atac necesită și crearea unei game cibernetice. Este vorba de o platformă pentru dezvoltarea și utilizarea unor simulări interactive ce pot fi folosite pentru antrenament. Aceste game sunt dezvoltate pe serverele Amazon Web Services, Microsoft Azure sau Google sau pe rețele private.

O mare parte din discuții, susține autorul, vin și în privința analizării dacă operațiunile cibernetice pot produce avantaje. Pentru asta trebuie să ne întrebăm când sunt statele cu adevărat capabile să conducă operațiuni?

Deși proliferarea de comandamente cibernetice sugerează că există o schimbare în războiul cibernetic, să faci o astfel de organizație să funcționeze rămâne în continuare mult mai greu și mult mai scump decât apare.

Urmărește-ne pe Google News