Duras lecciones del hack de SolarWinds

Duras lecciones del hack de SolarWinds

En diciembre, se dieron a conocer detalles sobre una de las violaciones más masivas de la ciberseguridad de Estados Unidos en la historia reciente. Un grupo de piratas informáticos, probablemente del gobierno ruso, se había metido en una empresa de gestión de redes llamada SolarWinds y se había infiltrado en las redes de sus clientes. Luego, este acceso se utilizó para violar todo, desde Microsoft hasta las agencias gubernamentales de EE. UU., Incluido el Tesoro de EE. UU. Y los departamentos de Seguridad Nacional, Estado, Defensa y Comercio.

En el episodio de hoy de Decoder , me acompaña Joseph Menn, un reportero de Reuters que se centra en las investigaciones de ciberseguridad y autor del nuevo libro Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World . Discutimos qué significa esta violación para la seguridad de EE. UU. Y las empresas de la cadena de suministro de SolarWinds que podrían haberse visto afectadas.

El hack de SolarWinds realmente no ha recibido la atención que se merece porque sucedió durante el caos posterior a las elecciones presidenciales , pero es un gran problema. Y plantea muchas preguntas sobre cómo responder a un ataque tan masivo y la responsabilidad del sector privado en lo que respecta a la seguridad nacional. No hay muchas respuestas fáciles aquí, pero está claro que se avecinan cambios con la administración de Biden.

Está bien, Joseph Menn. Aquí vamos.

A continuación se muestra un extracto ligeramente editado de nuestra conversación.

Es complicado que el hack sucediera en un año electoral. La administración Trump, y específicamente el propio presidente Trump, es extrañamente amigable con Rusia. Ahora, hay una nueva administración. Parece que Biden va a adoptar una postura más agresiva hacia Rusia. En medio de todo esto, está el ruido de la seguridad electoral, Trump despide a Christopher Krebs , quien está a cargo de la ciberseguridad. ¿Cómo influye todo eso en esto? ¿Es "No queríamos decir que era Rusia demasiado alto, y ahora nos sentimos cómodos diciéndolo un poco más alto"? ¿Es que “la administración Trump no tenía una buena infraestructura de ciberseguridad”?

No creo que eso sea algo que sepamos todavía. Puede haber sido un poco seguro por parte de los rusos que, bajo Trump, el gobierno de los Estados Unidos no castigó agresivamente – particularmente, el poder ejecutivo no castigó agresivamente – a Rusia por una gran cantidad de comportamientos realmente malos que otros gobiernos harían. han hecho más al respecto. Hubo sanciones, pero fue impulsada por la acción del Congreso. Así que no es necesario ser un gran teórico de la conspiración para pensar que los rusos creen: “Bueno, nos hemos salido con la nuestra invadiendo Ucrania. Podemos hacer este gran truco, e incluso si nos atrapan, esta es la Casa Blanca menos probable en la memoria para hacer sonar la alarma y hacer sonar un sable contra nosotros ". Entonces, desde aquí, ciertamente dudo que hubiera algún conocimiento previo de esto en la administración. Pero desde la perspectiva del atacante, Estados Unidos está distraído y tiene un presidente que es menos propenso que sus predecesores a gritar y amenazar con sanciones si nos descubren.

Ahora tenemos un nuevo presidente. ¿La postura hacia este acto, pero también las operaciones cibernéticas de Rusia, ha cambiado en absoluto?

[ Suspiros ]

Ese fue un suspiro muy revelador.

La administración ha estado en el trabajo durante unos días y, en la acalorada atmósfera política, hay un amplio espectro de ruido antes de que las cosas se solucionen. Durante la transición, Biden dijo que esto es algo específicamente a lo que se va a responder a lo grande. Algunas personas dijeron que esto es un acto de guerra. Las personas que han estado en esto durante mucho tiempo y no tienen un hacha en particular para moler no están diciendo que sea un acto de guerra. No hay evidencia de destrucción. No se pierde ninguna vida humana. Este es el espionaje clásico. Es solo que nos poseyeron realmente mal. Es similar, quiero decir, en mi opinión, al hackeo de la oficina de administración de personal ampliamente atribuido a China hace algunos años, donde obtuvieron archivos de personal clasificados sobre la mayoría de las personas en el gobierno de EE. UU. Y fuera del gobierno de EE. UU. Con un secreto liquidación o superior. Eso fue muy, muy malo, pero no fue una guerra. Eso es una victoria de espionaje. Y estamos tratando de hacer exactamente ese tipo de cosas con China, Rusia y otros gobiernos.

Pero creo que está claro que habrá algún tipo de respuesta. Habrá audiencias sobre esto, pero como muchas cosas cibernéticas, tiene muchos aspectos. Como, “¿Estamos seguros de que el país X estaba detrás de esto? ¿Podemos probar eso a satisfacción del mundo? ¿Y luego respondemos económica o diplomáticamente y de otras formas? " Ojalá no militarmente, aunque supongo que es una posibilidad. Y luego, "¿Cómo podemos evitar que esto vuelva a suceder?" Y eso es realmente difícil y complicado.

Implica defensa contra ataque. Implica preguntar cómo asegura la cadena de suministro. ¿Qué hace con los empleados en otros países y los contratistas en otros países? Es similar a la guerra comercial con China. Nuestras computadoras y su software van y vienen docenas de veces antes de terminar en su escritorio. Y es bastante imposible asegurarlo por completo. Entonces, ¿qué haces al respecto? ¿Intentas deshacer todas estas relaciones globales porque a veces eres rivales? Si lo hace, dañará la economía de una manera bastante importante. Así que hay grandes problemas espinosos, y sería bueno que la nueva administración y el Congreso se lo tomen en serio y presenten un plan. Realmente no ha sucedido antes.

Una infracción de esta escala , que involucra a las empresas más grandes de Estados Unidos y al propio gobierno estadounidense, suele ser lo que cataliza el cambio, lo que conduce a una ley de divulgación o un replanteamiento de la postura estadounidense hacia los ciberataques ofensivos. Pero debido a la transición [de Trump a la administración de Biden] y el tipo de silencio instantáneo de las partes atacadas, no parece que este sea ese momento. ¿Hay un grupo de personas que van a abordar esto en la administración Biden? ¿Tiene un grupo designado que tenga la experiencia para elevar el perfil de esto nuevamente y construir el capital político para realmente hacer el cambio?

Bueno, eso es realmente interesante. Y esto se está desarrollando en tiempo real. Biden ha designado a la mayoría de las personas cibernéticas más importantes. A partir de esta mañana, había uno o dos agujeros de cerradura. Pero entre otras cosas, por primera vez, hay una asesora adjunta de seguridad nacional para ciber, Anne Neuberger. Anne es muy bien considerada, estuvo en la NSA durante muchos, muchos años y, entre otras cosas, estaba cumpliendo parte de la misión de la NSA de cooperar con las industrias de defensa. Hay una serie de personas que tienen una experiencia militar y gubernamental realmente sólida. A partir de este fin de semana, la presunta nueva zar cibernética dentro de la Casa Blanca es Jen Easterly, quien fue una de las personas que ayudó a crear Cyber Command como una unidad separada del Pentágono, las personas responsables de ejecutar ciberataques en otros países.

Así que tienes gente realmente inteligente y con mucha experiencia. ¿Tienen el tipo de pensamiento estratégico amplio y de cielo azul que podría ayudar a solucionar este problema realmente retorcido? No lo sé. Ya veremos. El hecho de que ambas cámaras del Congreso sean del mismo partido probablemente ayude, al igual que el hecho de que mucho de esto no sea tan partidista en un entorno terriblemente polarizado. Nadie es un gran fanático de que otros países lo hagan pedazos. Así que ahora soy más optimista de lo que he estado en 20 años cubriendo esto, pero eso no significa que apostaría por un cambio completo.

Entonces estás comenzando desde una barra baja, es lo que estás diciendo.

Si.

Mencionaste que esto parece una operación de espionaje. Lo interesante de eso es que viene de la visión de espionaje de Microsoft, pero la forma en que los estadounidenses lo verían es: “Bueno, ese es el problema de Microsoft. No necesitamos al gobierno ni al Pentágono … ”o“ Eso no merece una respuesta militar ”, que es algo de lo que estás describiendo. Pero al mismo tiempo, este es un problema de seguridad nacional importante. ¿Cómo juega eso juntos?

Entonces esa es una muy buena pregunta. … Muy, muy raramente se ve una respuesta militar a objetivos legítimos de espionaje que son atacados. Pero está el problema separado, al que le tocó, que es como, ¿es este un problema de Microsoft? En mi opinión, no es justo esperar que las empresas privadas, por grandes que sean, se defiendan de Estados-nación enteros. El trabajo del gobierno de los Estados Unidos debería ser defender la empresa privada de otros países.

Es muy, muy difícil cuando intentas meterte en la maleza porque a veces un estado-nación utilizará las mismas técnicas que un joven de 16 o 17 años. Por lo tanto, debería haber algún estándar de defensa razonable que se espera de las empresas. Pero nuevamente, en el extremo realmente alto, si los rusos ingresaron a la NSA o los chinos ingresaron a los archivos de personal clasificados, no importa qué tan grande sea la empresa. Te van a poseer si realmente quieren que lo hagas. Así que ese es uno de los grandes temas estratégicos que espero que aborden la Casa Blanca y el Congreso. ¿Dónde se traza la línea? ¿Qué tipo de ayuda se puede brindar? ¿Y qué es extralimitarse?

¿Cree que hay un cambio cultural con la nueva generación de legisladores? Quiero decir, ahora tenemos algunos legisladores más jóvenes. Tenemos mucha gente joven que ha surgido en cosas como Cult of the Dead Cow en partes del gobierno. La gente es buena con las computadoras ahora de una manera que tal vez no era tan buena con las computadoras hace 10 años.

Sí, esta es una de las cosas buenas. Quiero decir, en los viejos tiempos, cuando comencé a cubrir esto, lo único bueno que se podía decir sobre la ciberseguridad era: "Bueno, la conciencia está aumentando". Y ahora es verdad. Hay gente en el Congreso que realmente entiende. Hay ingenieros reales en el Congreso. Todavía tienes una audiencia en la que arrastran a [el CEO de Facebook, Mark] Zuckerberg y los miembros del Congreso hacen preguntas vergonzosas, pero es un gran cambio desde donde estaba, y hay personal experto en tecnología en todos los niveles. Son nativos digitales y entienden estas compensaciones. Creo que hay más posibilidades que nunca de que la gente tenga una discusión real sobre esto.

Pero nuevamente, me preocupa más el establecimiento, los Generales de Cuatro Estrellas, la gente que dirige las agencias de inteligencia, la gente en la Casa Blanca que todavía piensa en la guerra y la inteligencia en los viejos términos y no se mete en cuestiones del sector privado. frente al sector público porque no hay respuestas realmente sencillas. En este momento, nuestro gobierno ha sido tan disfuncional que no pudo lograr que las dos casas se pusieran de acuerdo sobre los ingredientes de la pizza, entonces, ¿cómo van a abordar algo como esto? Quiero decir, la Cámara de Comercio, el grupo de presión privado, estaba indignado de que la gente del Departamento de Energía y [el Departamento de Seguridad Nacional] quisieran publicar pautas voluntarias para las mejores prácticas para proteger las plantas nucleares o las plantas de energía de los piratas informáticos porque pensaban esa era una pendiente resbaladiza que conduciría a una mayor regulación. Ya no podemos tener esa mierda. Necesitamos personas que realmente estén dispuestas a dar y recibir y a lidiar con problemas complicados, o seguiremos siendo dueños de esta manera.

Facebook Comments