Amenazas a la seguridad de la información a través de la óptica de Star Wars / Sudo Null IT News

Reseña del libro de Adam Szostak “Amenazas. Lo que Star Wars le enseña a todo ingeniero.

A finales de año, la editorial Bombora (una editorial de la supercorporación AST/Eksmo) publicará un libro en mi traducción escrito por uno de los especialistas más famosos en el campo de la seguridad de la información, Adam Shostack. El libro original fue publicado en 2023 con el título “AMENAZAS. Lo que todo ingeniero debería aprender de Star Wars.”

Quizás te preguntes: ¿por qué en mi traducción, quién eres tú de todos modos? En Habré se pueden encontrar muchas críticas a las publicaciones traducidas de la editorial Bombora, y finalmente el traductor llegó con sus recomendaciones. En mi defensa sólo puedo decir que he estado traduciendo literatura especializada durante los cuarenta años que llevo trabajando en la industria de TI, desde la época en que no se llamaba así. Las traducciones que he realizado o editado siempre han estado relacionadas con mi trabajo principal como director de proyectos, arquitecto de sistemas y evangelista de las tecnologías y arquitecturas adecuadas. Después de terminar mi carrera activa a nivel profesional, pasé a traducir ficción. Pero hace exactamente un año me ofrecieron nuevamente volver a la traducción técnica, pero esta vez los libros que ya me ofrecían no se correspondían con mi especialidad principal. La traducción de estos libros se convirtió para mí en una oportunidad de aprender algo nuevo, de ponerme al día con el curso de los acontecimientos en áreas menos conocidas para mí. Mi formación básica en TI me permite esperar no haber cometido ningún error grave.

Después de traducir tres libros en un año, dos de ellos bastante gruesos y sofisticados (además del libro de Shostak, una voluminosa monografía sobre redes neuronales profundas “Understanding Deep Learning” (autor Simon JD Prince), ya no me sorprendió cuando me pidieron que unirse a la empresa IDX como redactor (en el buen sentido). Pasemos a la historia real del libro.

¿Para quién es este libro?

Cogí el libro de Shostak sobre amenazas a la seguridad de la información después de leer a quién estaba destinado: ingenieros informáticos y de tecnología de la información que no habían trabajado previamente en estrecha colaboración con la seguridad de la información. Es decir, para mí también. Esto significa que si puedo entender lo que está escrito en él, probablemente podré interpretárselo a las mismas personas que yo, pero en el idioma de mi Aspen natal. Es probable que para los especialistas en seguridad de la información, este libro les parezca obvio, no puedo decirlo con seguridad.

No llamé reseña a este artículo, ya que no represento la opinión de un especialista en seguridad de la información, sino que comparto mi experiencia educativa y la experiencia de un traductor. Por cierto, en busca de ejemplos del uso de terminología de seguridad de la información, escaneé cuidadosamente Habr, por lo que los autores de numerosos artículos sobre seguridad de la información y reseñas de otros libros sobre seguridad de la información que aparecieron recientemente en Habr pueden considerarse consultores para mi traducción.

Ya escuché sobre este Shostak en alguna parte.

Permítanme presentarles al autor. Adam Szostak es uno de los principales expertos en el campo del modelado de amenazas. De algunas pistas en el texto del libro se puede suponer que, como muchos de sus otros colegas, no se convirtió de inmediato en un “hacker de sombrero blanco”, sino que comenzó a piratear sistemas para su propio placer y satisfacción de la curiosidad. Habiendo madurado y recuperado el sentido, continuó haciendo lo mismo, pero en beneficio de los creadores de los sistemas que pirateó. Esto incluyó trabajar en Microsoft durante casi diez años, haciendo esfuerzos significativos para equipar el código de los productos clásicos de Microsoft con protección contra amenazas de piratería que no estaban incluidas cuando estos productos se diseñaron hace muchos años. Allí también dirigió el diseño y la implementación de la herramienta Microsoft SDL Threat Modeling Tool para el modelado de amenazas.

Cita:

“Trabajé en Microsoft durante casi diez años y tengo un gran respeto por mis colegas que reforzaron la seguridad en MS Office y MS Windows, reemplazando partes de sus componentes internos. Consiguieron mucho más de lo que pensé que era posible de esta manera. Sin embargo, las partes internas muy diferentes de iOS y ChromeOS permiten que estos competidores se muevan más rápido hoy en día”.

Adam fue uno de los creadores del que quizás sea el registro más famoso de amenazas a la seguridad de la información, CVE (Common Vulnerabilities and Exposures). Este no es el único registro de amenazas utilizado por los profesionales de la seguridad, pero está financiado oficialmente por el Departamento de Seguridad Nacional de EE. UU., se utiliza en el protocolo SCAP y los ID de CVE están incluidos en la base de datos nacional de amenazas de EE. UU.

Cansado de tratar, Adam comenzó a enseñar; ha escrito varios libros, incluido este, ha creado varios juegos que enseñan modelos de amenazas y ha sido consultor para organizaciones académicas, incluida la Universidad de Washington como profesor afiliado.

¿De qué trata este libro?

El libro tiene un título humorístico, pero no dejes que eso te engañe. Este no es un libro popular para “tontos”, es solo para ingenieros que tienen un buen conocimiento de la arquitectura de la computadora, la estructura del código, incluso a nivel del código de máquina, pero que nunca se han encontrado con amenazas de piratear el código que crean, mantienen o modificar.

El autor admite que se convirtió en un fan empedernido de la franquicia Star Wars desde muy joven, y muchos de los episodios y tramas de esta epopeya le maravillaron tanto cuando era niño que le siguen sorprendiendo ahora, pero desde el punto de vista de un especialista en seguridad. Por supuesto, para comprender los ejemplos y chistes de Star Wars, es necesario ver al menos la trilogía clásica (episodios 4 a 6). O no puede verlo, simplemente omita estas inclusiones; el libro seguirá siendo útil como una introducción actualizada al tema “Amenazas a la seguridad de la información”.

Cuando se habla de amenazas a la ciberseguridad y de protección contra ellas, es decir, de las guerras cibernéticas modernas, a menudo se habla de la continuación de la “competencia de proyectiles y armaduras” en las guerras de épocas anteriores. En la introducción, el autor ofrece varios aforismos que describen este eterno enfrentamiento entre las amenazas a la seguridad y la protección contra ellas.

La NSA de EE. UU. supuestamente dice:

“Los ataques sólo están mejorando; nunca empeoran”.

El propio Adam Shostak dice:

«Computadora bLa seguridad es una perversión. Cuando quieres que algo sea difícil, es fácil de arreglar, y cuando quieres que algo sea fácil, es muy difícil”.

Gran parte del libro trata sobre amenazas, de ahí el título. Al final de cada capítulo hay una sección que describe brevemente la protección contra las amenazas descritas en ese capítulo.

Recuerda esta abreviatura

La composición de los seis primeros capítulos corresponde a la abreviatura PASOque define la comprensión clásica de las amenazas. PASO – estos son suplantación de identidad, manipulación, repudio, divulgación de información, denegación de servicio, ampliación de autoridad (suplantación de identidad, interferencia, denegación de responsabilidad, divulgación de información, denegación de servicio, ampliación de autoridad). Este es un mnemotécnico que le ayudará a recordar los seis grupos de amenazas principales que cubren los primeros seis capítulos del libro. A estos les siguen tres capítulos más sobre previsibilidad, scraping y cadenas de destrucción.

El primer capítulo del libro, el más extenso, está dedicado a la suplantación de identidad como actividad maliciosa. Dado que en IDX nos dedicamos a autenticar datos personales de nuestros clientes, este capítulo fue de gran interés práctico para mí. La suplantación de identidad es una violación de la autenticidad. El libro, por supuesto, analiza los métodos de autenticación en un contexto más amplio, pero lo encontramos muy útil para comprender nuestro lugar en el panorama general de la prevención y defensa contra amenazas y ataques de suplantación de identidad. En cada capítulo, se considera un grupo de amenazas para escenarios específicos: cuando se utilizan dispositivos móviles, en el entorno de Internet de las cosas (IoT), en la situación de uso de IA, en configuraciones de nube, etc. El capítulo termina con una breve mención de las técnicas de protección contra amenazas de suplantación de identidad. En particular, se sostiene que

“Ningún factor por sí solo funciona bien para autenticar a las personas, y utilizar más de un factor es la mejor manera de superar estas deficiencias”.

En la tarea de autenticar personas con computadoras (sí, este no es el único escenario de autenticación), se garantiza el multifactor verificando las respuestas a las siguientes preguntas:

• ¿Qué sabes? (combinación segura)

• ¿Qué tienes? (llave o documento de identidad)

• ¿Qué clase de persona eres? (biometría)

• ¿Dónde estás? (geolocalización)

• ¿Cómo te comunicas? (canal de acceso)

• ¿A quién conoces? (personas de confianza)

A modo de broma, a veces se dice que la autenticación multifactor es la respuesta a las preguntas “¿qué olvidaste?”, “qué perdiste” y “cómo eras cuando eras más joven y saludable”.

No volveré a contar aquí todos los chistes y ejemplos de Star Wars, para no estropear el placer de aquellos fanáticos de esta franquicia que planean leer este libro.

El segundo capítulo describe las amenazas de interferencia y violaciones de integridad que ocurren después de una suplantación de identidad exitosa, cuando alguien se hizo pasar por alguien distinto de quien es y obtuvo acceso a recursos con los que ahora puede hacer cualquier cosa, desde bromas relativamente inocentes hasta causar daños graves, a menudo irreparables. . dañar. En este capítulo, aprendí una nueva palabra para mí: “ofuscador” (ofuscador del significado del código), así como sobre una familia de ataques que apareció relativamente recientemente, como “rawhammer”, que puede provocar cambios en el contenido de RAM por efectos físicos provocados en circuitos integrados de alta densidad. Para aquellos que no están involucrados en la producción de equipos, esto es casi imposible de creer.

El tercer capítulo trata más sobre trucos legales para cometer fraude al interferir con la correspondencia y repudiar obligaciones tanto por parte del comprador como del vendedor. Este grupo de ataques puede resultar de interés para muchas empresas que trabajan con una gran base de clientes. En países con un sistema de protección legal en funcionamiento, hay muchos a quienes les gusta “cambiar el sistema” buscando compensación por daños supuestamente causados ​​mediante la renuncia a obligaciones. El conjunto de métodos para implementar este grupo de amenazas incluye, por ejemplo, la falsificación de registros, que se utilizan para investigaciones cuando surgen disputas. Para mí era material prácticamente nuevo.

El cuarto capítulo sobre divulgación de información y privacidad sigue el modelo de la NSA de EE. UU., que distingue entre robo de información en reposo y robo de información en movimiento. Los ejemplos de robo y análisis de metadatos parecieron interesantes; por ejemplo, la ausencia de algunos metadatos podría servir para revelar información importante.

El quinto capítulo ofrece una mirada entretenida a lo que es relativamente bien conocido: los ataques destinados a causar denegación de servicio y reducir la disponibilidad de recursos de servicio público. Sí, estos son ataques DDoS familiares, pero no sólo eso. Se describen de manera interesante recomendaciones para protegerse contra la sobrecarga de recursos, que el libro llama “degradación elegante”.

Por cierto, esta y muchas otras versiones en ruso de términos en inglés fueron elegidas al traducir el libro después de un análisis exhaustivo de las publicaciones sobre Habré, como centro de conocimiento experto. La gran mayoría de los autores simplemente utilizan papel de calco o insertan términos en inglés, pero también hay intentos exitosos de introducir nuevos términos que transmitan correctamente el significado.

El Capítulo 6 identifica las amenazas a la autoridad como un grupo separado, que se perciben de manera diferente a otros grupos de amenazas, como la suplantación de identidad o la interferencia, que “… pueden percibirse como mecanismos o incluso objetivos. El empoderamiento puede parecer (o incluso ser) más bien un efecto o un trampolín”, pero cada uno de ellos es una amenaza. El empoderamiento es una amenaza para el sistema de autorización. Este capítulo proporciona un análisis semántico muy matizado de las diferencias entre permisos y capacidades, y entre autoridad y privilegios. Este ejercicio lexicográfico resulta muy útil, incluso a la hora de leer textos donde se utilizan aleatoriamente términos similares pero diferentes.

¿Qué más está pasando?

Los siguientes tres capítulos van más allá del modelo de amenazas STRIDE, pero también son extremadamente útiles porque presentan material muy relevante. En el capítulo siete sobre previsibilidad y aleatoriedad, fue muy interesante leer sobre cómo adivinar contraseñas. Y en el octavo capítulo, el autor declara la guerra santa al análisis, como principal vulnerabilidad de cualquier código, y declara cómplices del diablo a los programadores que producen analizadores innecesariamente y sin medida. Uno siente que la persona ha sufrido mucho al analizar los motivos de los ataques.

El capítulo nueve es quizás el más relevante. Describe cadenas de ataques o ataques por fases (kill chains), que logran de forma coordinada los objetivos marcados por los atacantes. Sin embargo, en esta área, la terminología apenas está surgiendo y justo en el momento de la publicación del libro, uno de los principales expertos en ciberseguridad, Rich Mogull, anunció que a partir de ahora llamaría simplemente cadenas de ataque secuencias de ataque. Todo el material del noveno capítulo es muy entretenido y presentado de forma ingeniosa. Como prueba, citaré un aforismo más de los muchos utilizados en el libro.

El atacante debe tener suerte sólo una vez, pero el defensor debe tener suerte todo el tiempo.

Con esto terminaré mi historia sobre el libro y, asumiendo que la mayoría de los lectores de Habra están en el lado luminoso de la Fuerza, les deseo buena suerte.

¡Que la Fuerza esté contigo!

Sobre la dura realidad

En conclusión, sobre lo triste. Desafortunadamente, no puedo decir cuándo se publicará el libro. Parece que hoy en día ni un solo editor puede indicar las fechas exactas de publicación de sus libros. A veces los libros se retrasan un par de años. Si la ficción apenas se deteriora por esto, entonces la relevancia de la literatura especializada, por supuesto, disminuye con el rápido desarrollo de las tecnologías de seguridad de la información. En cualquier caso, te recomiendo que leas el original.

Esto no quiere decir que el libro esté escrito en un lenguaje muy sencillo. Cuando la editora hojeó mi traducción, se sorprendió por la gran cantidad de “lugares oscuros” y cuando miró el original, quedó convencida de que en el original “no eran más claros”. El editor me reprochó casi en broma no “mejorar el original”, pero mis principios de traducción no me permiten hacerlo. Traduje lo que había allí;