¿Qué está haciendo India por los ciberataques?

Hace poco leí un artículo sobre la preparación de la India contra los ciberataques, así que lo declaro aquí.

¡Este podría ser un artículo largo para leer, pero vale la pena! Supongo 😛

A principios de septiembre, se publicaron en línea detalles sobre el programa submarino Scorpene de alto secreto de la India. Esta presunta violación de datos trajo el tema de la seguridad cibernética a los titulares.

Sin embargo, a principios de este año, las noticias de violaciones potencialmente catastróficas de las redes indias apenas tuvieron un impacto. El 17 de mayo, la empresa de ciberseguridad Symantec declaró en una publicación de blog que había rastreado las infracciones de varias organizaciones indias a un grupo de ciberespionaje llamado Suckfly. Los sistemas específicos pertenecían al gobierno central, una gran institución financiera, un proveedor de la bolsa de valores más grande y una empresa de comercio electrónico. La actividad de espionaje comenzó en abril de 2014 y continuó hasta 2015, dijo Symantec. Basado en los objetivos que fueron penetrados, Symantec especuló que el espionaje estaba dirigido a la infraestructura económica de la India. Dichas acusaciones deberían hacer sonar las alarmas dentro del gobierno y entre las empresas privadas de todo el país. Y, sin embargo, de la respuesta pública oficial, uno pensaría que nada andaba mal.

Una semana después, otra empresa de ciberseguridad, Kaspersky Lab, anunció que también había rastreado al menos a un grupo de ciberespionaje, llamado Danti, que había penetrado en los sistemas del gobierno indio a través de las entidades diplomáticas de la India.

Las infracciones de las redes corporativas y gubernamentales no son nada nuevo. Por lo general, estas violaciones salen a la luz si los autores revelan el ataque, el objetivo del ataque revela la violación o porque los datos filtrados aparecen en Internet. Las infracciones de Suckfly y Danti son inusuales porque fueron informadas por un tercero, mientras que los objetivos (en este caso, las organizaciones indias y el gobierno) se han mantenido en silencio. Las infracciones reportadas por Symantec y Kaspersky de organizaciones indias recibieron cobertura tibia en India. Algunas organizaciones de noticias publicaron la misma historia electrónica que básicamente reescribió la información en las publicaciones originales, pero hubo muy poco seguimiento ya que no hubo mucha investigación de seguimiento para determinar los objetivos o un análisis para medir cuánto daño podrían causar las fugas. porque.

Parte de la razón por la que no hubo consecuencias puede tener que ver con la renuencia de las partes involucradas a proporcionar información. Symantec, en respuesta a múltiples solicitudes de más detalles, siguió refiriéndose a la publicación original del blog. El gobierno no hizo ninguna declaración confirmando o negando el informe. Se les preguntó a varios bancos, empresas de comercio electrónico y agencias gubernamentales si conocían a Suckfly, si la organización los había violado y si Symantec se había puesto en contacto con ellos. Solo Yatra, Axis Bank y Flipkart respondieron, negando que habían sido penetrados por Suckfly. La Bolsa Nacional de Valores también dijo que no había sido penetrada, aunque las preguntas fueron sobre si alguno de los proveedores de la bolsa había sido penetrado y si lo habían sido, si la NSE sabía de tal violación.

Esta falta colectiva de respuesta en todos los ámbitos indica una mentalidad que muestra la falta de preparación para las amenazas cibernéticas que son muy reales, existentes y en curso. Compare la reacción de Suckfly con la amenaza de una infiltración terrorista. En ese escenario, el gobierno se pone en alerta máxima, se movilizan recursos y se advierte al público. El gobierno luego trata de identificar la amenaza y evitar que haga daño. Los ciudadanos exigen que en el futuro el gobierno tome medidas proactivas para atrapar a los infiltrados y prevenir cualquier amenaza futura.

Débil respuesta del gobierno

Según Symantec, un método que utiliza Suckfly para obtener acceso es firmar su malware con certificados digitales robados. Este es el mismo método que se utilizó para infectar y sabotear las centrifugadoras nucleares iraníes con el virus Stuxnet, por lo que no se puede subestimar el potencial de daño de estas infracciones. Varios expertos en seguridad confirmaron la plausibilidad de tales escenarios del fin del mundo, como la autenticación de dos factores desactivada para transacciones con tarjeta de crédito, transferencias de dinero no autorizadas, fuga de datos de tarjetas de crédito, hashes de contraseñas robadas o información personal, cantidades masivas de pedidos falsos de comercio electrónico y manipulación de la bolsa de valores.

Todos los objetivos tomados en conjunto, el potencial de daño económico que representa la violación de Suckfly es inmenso. Si otro país o grupo malévolo quisiera causar estragos en la India, podría desencadenar el pánico bancario al vaciar las cuentas o un colapso del mercado de valores al volcar las existencias a valores fraccionarios.

Sin embargo, aún más inquietante es que si una entidad extranjera tiene acceso a las redes gubernamentales, tiene el potencial de recopilar contraseñas para sistemas críticos utilizando registradores de claves y escáneres de contraseñas. A partir de ahí, la entidad podría robar datos de seguridad nacional, interrumpir los sistemas de control de redes eléctricas o instalaciones nucleares y obtener acceso a todo lo que el gobierno sabe sobre sus ciudadanos, incluidos detalles personales, información financiera e información de identidad. En un nivel un poco menos peligroso, los fondos del banco central podrían ser robados, como el reciente intento de robar $ 800 millones del banco central de Bangladesh.

Un informe sobre los riesgos que enfrenta la India, publicado en agosto por KPMG y la Confederación de la Industria India, dijo: “Si bien los ataques cibernéticos tradicionalmente se utilizaron en gran medida para causar pérdidas financieras y de reputación, hoy tienen el potencial de representar una amenaza para la vida humana. Si bien los perpetradores detrás de estos ataques fueron tradicionalmente un desafío para los ‘piratas informáticos’ que amaban con curiosidad desenfrenada, hoy vemos un número creciente de ciber terroristas patrocinados por el estado y delincuentes organizados detrás de los ataques “.

A la luz de amenazas tan serias, el gobierno necesita tomar más medidas para mitigar la amenaza y asegurar al público que está al tanto de la situación. Los informes de encuentros entre las fuerzas armadas y presuntos terroristas se transmiten con frecuencia a la prensa. Del mismo modo, el Centro Nacional de Informática (NIC) o su organización matriz, el Departamento de Electrónica y Tecnología de la Información, debe hacer una declaración pública cuando salgan a la luz violaciones de los sistemas gubernamentales o de organizaciones privadas a esta escala. Las agencias de investigación necesitan abrir una investigación sobre el asunto.

Un extracto recortado de la respuesta RTI del Centro Nacional de Informática.

En el caso de Suckfly, tomó una consulta de derecho de información de este autor para obtener una respuesta de la NIC. En la respuesta, el NIC declaró que no tenía conocimiento de ninguna violación de sus sistemas por parte de Suckfly, que no utilizó los servicios de Symantec y que Symantec no había notificado a NIC de ninguna violación. Por supuesto, la respuesta también plantea muchas más preguntas, que podrían hacerse si el gobierno tomara una actitud de apertura y divulgación.

El gobierno también necesita intensificar sus esfuerzos para identificar y neutralizar la amenaza. El Equipo de Respuesta a Emergencias Informáticas del gobierno indio (CERT-IN) es responsable, según su sitio web, de “responder a incidentes de seguridad informática cuando ocurran” y también recopilar información y emitir “directrices, avisos, notas de vulnerabilidad y documentos técnicos relacionados a las prácticas de seguridad de la información, los procedimientos, la prevención, la respuesta y la notificación de incidentes cibernéticos ”. Sin embargo, a partir del 12 de septiembre, su sitio web no menciona el exploit Backdoor.Nidoran que Suckfly supuestamente utilizó para obtener acceso durante al menos uno de sus ataques. La vulnerabilidad CVE-2015-2545 que usó Danti, según Kaspersky, tampoco figura en la lista. Cualquier organización o persona que confíe en CERT-IN para recibir notificaciones de vulnerabilidades estaría en la oscuridad y expuesta a una violación.

CERT-IN es un ejemplo perfecto de dónde el gobierno realmente podría hacer mucho más, comenzando con algunas cosas muy básicas. Por ejemplo, por diseño, no se puede hacer clic ni copiar las direcciones de correo electrónico de contacto que figuran en el sitio, por lo que se deben volver a escribir. Tal medida apenas detendría incluso a un hacker novato. Los mensajes de correo electrónico enviados a una de las direcciones de correo electrónico de contacto se devuelven. Si bien laudablemente publica su hash de cifrado de correo electrónico en su página de contacto, uno de los identificadores no coincide con lo que está registrado en los KeyStores públicos (generalmente eso sería un signo de un pirateo). Lo más evidente es que cualquiera que busque información sobre una vulnerabilidad en el sitio tendrá que hacer clic dentro y fuera de cada documento porque el sitio no tiene una función de búsqueda. Colectivamente, estos defectos dan la impresión de que, si bien el gobierno ha pensado en la seguridad cibernética, no está poniendo suficientes recursos y esfuerzos para hacer que sea una iniciativa creíble.

Las agencias reguladoras del gobierno también necesitan entrar en la refriega. Por ejemplo, una de las organizaciones que supuestamente incumplió Suckfly es una gran institución financiera. Tiene sentido, por lo tanto, que el Banco de la Reserva de la India (RBI), que supervisa a todas las instituciones financieras, haga obligatorio que un banco notifique al RBI cada vez que haya una violación de seguridad. El RBI hizo exactamente eso en una notificación emitida el 2 de junio de 2016, después de la violación de Suckfly. Sin embargo, la notificación no aborda la necesidad de informar al público. El RBI en sí también necesita ser más comunicativo. En el caso de Suckfly, el RBI no ha hecho ninguna declaración sobre si las instituciones financieras bajo su supervisión son seguras. Tomó una consulta RTI para obtener una declaración del RBI, y allí respondió que no tenía información sobre el asunto.

La Junta de Valores e Intercambio de la India (SEBI), que supervisa las bolsas de valores del país, inicialmente no respondió directamente si sabía de la violación en alguna empresa de TI que suministre una bolsa de valores india. Sin embargo, SEBI reaccionó a una consulta de RTI preguntando a todas las bolsas de valores bajo su manto para verificar con cada uno de sus proveedores de TI si hubo algún incumplimiento. Todos lo negaron. Si alguno de ellos no es sincero, han hecho una declaración falsa a SEBI. Sin embargo, si se toma su palabra, el público puede consolarse con el hecho de que el mercado de valores no se vio comprometido por este ataque.

SEBI también emitió un marco de política de seguridad cibernética para sus bolsas de valores en julio de 2015, cuando Suckfly pudo haber estado atacando activamente los sistemas. Cuando el RBI le pide a las instituciones financieras que informen las infracciones dentro de las seis horas posteriores a la detección, SEBI exige que los informes sean trimestrales. Dado lo rápido que viaja la información y cuántas transacciones se pueden hacer en cuestión de minutos, parece que es demasiado tiempo para que SEBI tome alguna medida efectiva. La política de SEBI tampoco aborda la necesidad de informar al público.

Lo que se necesita es una política coordinada, integral y unificada que se aplique a las bolsas de valores, instituciones financieras, organizaciones gubernamentales y empresas privadas. No importa de dónde se están robando los datos, lo que importa es qué tan rápido la organización se entera de ellos y se lo hace saber a las personas para que ellos también puedan tomar cualquier acción que necesiten.

¿Bien o mal?

Las negaciones generales de cualquier incumplimiento plantean la cuestión de si Symantec se equivocó. Los escépticos incluso podrían preguntarse si la compañía exageró la situación para aumentar las ventas de sus productos y servicios. Por su parte, Symantec se niega a proporcionar más información sobre el incumplimiento más allá de lo que está en su publicación inicial; La información crucial a este respecto incluiría más detalles forenses, que podrían identificar si la violación realmente tuvo lugar. Symantec tampoco confirmó si había notificado a los objetivos de los ataques, aunque el gobierno dice que no ha sido alertado por Symantec.

Por otro lado, según Sastry Tumuluri, ex Director de Seguridad de la Información del estado de Haryana, Symantec probablemente identificó correctamente las infracciones. Symantec recopila grandes cantidades de información en cada punto donde tiene presencia, como en computadoras individuales, en puntos de interconexión de Internet y servidores web a nivel mundial. Todos esos datos pueden dar una indicación bastante precisa y confiable de los sistemas que están siendo penetrados. Dependiendo de sus capacidades y nivel de sofisticación, las organizaciones objetivo también podrían decir con sinceridad que no han detectado una violación.

Si Symantec tiene razón al conjeturar que la violación de Suckfly se dirigió al sector económico de India, su falta de acción adicional es inquietante. India es una de las diez economías más grandes del mundo y la inestabilidad aquí tendría un efecto dominó a nivel mundial. Luego está el potencial del catastrófico ciberterrorismo. Es de interés para todos que Symantec se comunique con el gobierno y le haga saber al público qué organizaciones pueden verse comprometidas.

Según Pranesh Prakash, director de políticas del Centro de Internet y Sociedad y Bruce Schneier, un experto en seguridad reconocido a nivel mundial, la falta de conocimiento sobre qué organizaciones fueron atacadas reduce la confianza de las personas en Internet en todos los ámbitos. En una respuesta por correo electrónico, Schneier escribió: “Symantec tiene la obligación de revelar las identidades de los atacados. Al omitir esta información, Symantec nos está perjudicando a todos. Todos tenemos que tomar decisiones en Internet todo el tiempo sobre en quién confiar y en quién confiar. Cuanta más información tengamos, mejor podremos tomar esas decisiones “.

Mirándolo en la otra dirección, no es evidente si el gobierno ha pedido a Symantec y Kaspersky más información y una revelación de quiénes fueron los objetivos. Después de todo, si se violaron los sistemas gubernamentales, es una cuestión de seguridad nacional. Si el gobierno se ha acercado y ha recibido más información, tiene la obligación de informar al público.

Lo que otros gobiernos y empresas privadas están aprendiendo tardíamente es que es mejor revelar de manera proactiva las infracciones antes de que la información llegue a otras partes. Cuando el minorista estadounidense Target fue atacado, su violación de datos fue revelada por primera vez por el periodista de seguridad Michael Krebs. Target fue criticado por no presentarse y se enfrentó a varias demandas. En los EE. UU., La mayoría de los estados y jurisdicciones tienen leyes que exigen que las empresas divulguen las infracciones de datos, aunque los defensores de la transparencia señalan que existe una gran variación sobre cuánto tiempo pueden esperar las empresas para divulgar y qué eventos desencadenan una divulgación obligatoria. En Europa, los proveedores de servicios de telecomunicaciones e Internet deben informar un incumplimiento dentro de las 24 horas y otras organizaciones tienen 72 horas.

India no tiene una ley de divulgación obligatoria en el caso de violaciones de datos en organizaciones gubernamentales o privadas, dijo Prakash. Es algo que CIS apoya y ha propuesto desde 2011, agregó.

Según Schneier, una ley de divulgación obligatoria también sería valiosa si los acuerdos de confidencialidad impidieran que una empresa de seguridad como Symantec divulgue nombres de objetivos.

Finalmente, las empresas privadas deben comprender que no se están haciendo ningún favor al guardar silencio sobre el asunto. Incluso si Suckfly o sus clientes no usan la información que pueden haber obtenido, la falta de divulgación por parte de los objetivos debilitará la confianza en el comercio en línea y las transacciones financieras, dice Prakash. Por ejemplo, observando el comercio electrónico, si bien es cierto que el comercio electrónico ha crecido rápidamente en India, un estudio realizado en 2014 por YourStory y Kalaari Capital encontró que la falta de confianza y las dudas sobre la seguridad en línea eran obstáculos para el 80% de las personas que Nunca había hecho una compra en línea.

Cuando una organización informa al público que se ha violado, los usuarios del servicio o sitio pueden evaluar qué medidas deben tomar. Por ejemplo, si una persona usa la misma contraseña en varios sitios, sabría que necesita cambiar la contraseña en los otros sitios. Dependiendo de la violación, también podrían alertar a las compañías de tarjetas de crédito, así como a sus amigos y familiares.

Como dice el informe de KPMG, los ataques cibernéticos solo serán más comunes. A pesar de las múltiples advertencias, la respuesta por parte del gobierno indio y las organizaciones privadas ha sido bastante decepcionante. El gobierno necesita monitorear y responder proactivamente a los ataques. Los legisladores deben aprobar leyes que establezcan políticas de privacidad y divulgaciones obligatorias. Las empresas también deberán invertir en mejores prácticas de seguridad, así como ganar la confianza del público al reaccionar a las infracciones con prontitud y dejar que el público sepa qué están haciendo para recuperarse de ellas.

Fuente: ¿India está preparada para un ataque cibernético? Suckfly y otras respuestas pasadas dicen que no

Gracias !!

Related Content

¿Hay alguna diferencia entre el firewall de Linux y el firewall de Nginx? ¿Necesito escribir reglas para ambos?

¿Quién lanzó el ransomware Petya y cómo?

¿El servicio de Amazon AWS alguna vez brinda información sobre el uso / actividad de un cliente a otros clientes premium de AWS?

¿Es 'vpnsvc' un virus?

¿Cuáles son los supuestos beneficios de seguridad de la estrategia de correo electrónico "dead-drop" de David Petraeus?

More Interesting

¿Cómo se elimina un virus secuestrador del navegador?

¿Qué es un servicio de firewall?

¿Cuánto cuesta un control de seguridad profesional para virus en mi computadora?

¿Qué antivirus gratuito es bueno?

¿Hay algún requisito para el software antivirus si tengo Windows Defender en mi computadora?

¿Qué software de seguridad (seguridad de Internet o antivirus) debo usar?

¿SSH2 es susceptible a un ataque activo de hombre en el medio?

¿Qué tan seguro es ProtonMail hoy?

¿La colisión SHA-1 generará más inversiones en seguridad de la información?

¿Por qué se recomienda no implementar crypto usted mismo? ¿Por qué usar el cifrado proporcionado en las bibliotecas estándar?

¿Cuál debería ser mi hoja de ruta para los próximos 3 años para comenzar con la seguridad cibernética (3 años antes de que termine la universidad, estudiar ECE)?

¿Por qué el gobierno de los EE. UU. Reveló que había pirateado con éxito el iPhone, en lugar de simplemente dejar caer la demanda en silencio?

Cómo proteger un sitio web de hackers

¿Quiénes son los usuarios de la tecnología de cifrado?

¿Cómo ocultan los hackers el malware dentro de los archivos y lo ejecutan cuando se descargan?