NO BUS

Término utilizado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA)

NOBUS (" Nobody But Us ") es un término utilizado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para describir una vulnerabilidad de seguridad conocida que cree que sólo Estados Unidos (EE.UU.) puede explotar . ^[1]

A medida que la tecnología y el cifrado avanzan, las entidades de todo el mundo están gravitando hacia plataformas y sistemas comunes, como Microsoft, Linux y Apple. ^[2] Esta convergencia en el uso crea un conflicto entre parchar las vulnerabilidades del sistema para proteger la propia información y explotar las mismas vulnerabilidades del sistema para descubrir información sobre un adversario. ^[2] Para manejar este conflicto, la NSA desarrolló el sistema NOBUS en el que evalúan la probabilidad de que un adversario pueda explotar una vulnerabilidad conocida en un sistema. ^{[2] [3]} Si determinan que la vulnerabilidad solo es explotable por la NSA por razones como recursos computacionales, presupuesto o conjunto de habilidades, la etiquetan como NOBUS y no se moverán para parcharla, sino que la dejarán abierta para explotarla contra objetivos actuales o futuros. ^[4]

En términos generales, el concepto de NOBUS se refiere a la brecha en las capacidades de inteligencia de señales (SIGINT) entre los EE. UU. y el resto del mundo. ^[4] Los críticos creen que este enfoque de la inteligencia de señales plantea más una amenaza que una ventaja para los EE. UU. a medida que progresan las capacidades de otras entidades y evoluciona el mercado de compra de vulnerabilidades. ^[5]

Historia

Durante el siglo XX, proteger las propias comunicaciones mientras se interceptaban las comunicaciones de los adversarios no estaba en conflicto. ^{[4] La inteligencia de señales} de la Primera Guerra Mundial (WWI) y la Segunda Guerra Mundial (WWII) contenía una mezcla de escuchas a escondidas de las comunicaciones de radio y descifrado de mensajes cifrados de objetivos , acciones que no debilitaban la seguridad de la propia información. ^[4] La Operación Ultra de los Aliados durante la Segunda Guerra Mundial fue responsable de descifrar Enigma , el dispositivo de cifrado alemán utilizado para transmitir mensajes militares. ^[6] Al descifrar Enigma, la seguridad de la máquina de cifrado de los Aliados, SIGABA , no se vio afectada, ya que eran sistemas separados que usaban tecnología separada. ^[4] A medida que avanzaba la tecnología, esta separación entre SIGINT ofensiva, el acto de interceptar las comunicaciones de los adversarios, y SIGINT defensiva, el acto de proteger los propios mensajes, comenzó a desaparecer. ^[4]

El avance de las telecomunicaciones, Internet y grandes corporaciones como Microsoft y Apple han hecho que, a menudo, ambos bandos de un conflicto utilicen el mismo sistema. ^[4] Por lo tanto, si un grupo descubre una vulnerabilidad en el sistema de un objetivo, es probable que también haya descubierto una vulnerabilidad en su propio sistema. ^[4] Revelar la vulnerabilidad para solucionarla debilita la inteligencia, mientras que retener información sobre la vulnerabilidad debilita la seguridad, lo que hace que la decisión de qué hacer con un exploit descubierto sea increíblemente complicada. ^{[4] [2]}

El grupo de alianza de inteligencia conocido como los Cinco Ojos , formado por los EE. UU., Canadá, Australia, Nueva Zelanda y el Reino Unido, alcanzó una posición única en el mundo para aprovechar el progreso de la tecnología para sus capacidades SIGINT. ^[7] Casi todas las comunicaciones en todo el mundo pasan físicamente a través de uno de los Cinco Ojos, lo que les permite una ventaja física en sus capacidades de espionaje. ^[4] Esta posición geográfica fue una de las razones por las que Estados Unidos lideró la carga SIGINT desde el principio. ^[4]

Además, muchas empresas tecnológicas eran empresas estadounidenses, lo que daba a Estados Unidos un poder legal sobre las corporaciones del que carecían otras entidades y gobiernos. ^[4] Un ejemplo de esta ventaja de NOBUS es el programa de la NSA conocido como PRISM , que les da la capacidad de exigir información a empresas como Google, Apple , Microsoft y otras, sobre sus objetivos. ^[4]

El ex director de la NSA Michael Hayden ha reconocido posteriormente el concepto de NOBUS:

Se ve una vulnerabilidad desde una perspectiva diferente si, incluso con la vulnerabilidad, se requiere una potencia computacional sustancial u otros atributos sustanciales y hay que decidir quién más puede hacerlo. Si hay una vulnerabilidad que debilita el cifrado pero aún se necesitan cuatro acres de computadoras Cray en el sótano para que funcione, se piensa en algo así como "NOBUS" y esa es una vulnerabilidad que no estamos obligados ética ni legalmente a intentar reparar; es una vulnerabilidad que ética y legalmente podríamos intentar explotar para mantener a los estadounidenses a salvo de los demás. ^[5]

La mercantilización del mercado de exploits de día cero cambió el panorama de SIGINT en la década de 2000. ^[2] Un exploit de día cero (o día 0) es una vulnerabilidad de software de la que el desarrollador de software no es consciente y, por lo tanto, no tiene una solución inmediata. ^[8] En otras palabras, cuando el exploit se utiliza para robar información o corromper un sistema, los desarrolladores tienen días cero para solucionarlo. ^[2] Los exploits de día cero estaban siendo desarrollados y vendidos por unos pocos individuos en la década de 1990, pero a principios de la década de 2000 comenzaron a aparecer empresas dedicadas a comprar exploits de piratas informáticos de todo el mundo. ^{[8] [2]} Este mercado gris para exploits de día cero permitió que cualquier persona en el mundo con fondos suficientes comprara exploits para sistemas de uso común. ^[8]

En 2013, el denunciante estadounidense Edward Snowden filtró documentos de la NSA que revelaban que la NSA estaba gastando una cantidad considerable de dinero en el mercado de día cero para acumular exploits, probablemente el mayor comprador en el campo. ^[2] La capacidad de gastar mucho dinero en exploits se considera una capacidad NOBUS, ya que muchas otras entidades a menudo no pueden gastar tanto en un exploit. ^[2] Para 2012, un solo error de iOS podría generar hasta $ 250,000 en el mercado gris. ^[8] En 2021, se sabe que la NSA gasta 10 veces más en SIGINT ofensivo que en defensivo, con 100 empleados trabajando en la ofensiva por cada 1 empleado en la defensa. ^[2]

Las filtraciones de Snowden también revelaron un programa de la NSA en cooperación con su homólogo británico, el Cuartel General de Comunicaciones del Gobierno (GCHQ), conocido como Muscular . Este programa implicaba interceptar los cables submarinos de Internet de empresas como Google y Yahoo. ^[9] Esta recopilación de información que viaja sin cifrar entre servidores internos de la empresa se conoce como recopilación "upstream" y las corporaciones afectadas no eran conscientes de ello. ^[9] Muscular se llevó a cabo en territorio británico, lo que ejemplifica una capacidad NOBUS dado que la NSA y el GCHQ eran aliados y trabajaban juntos en el programa. ^[2]

Respuesta del gobierno de EE.UU.

Tras las filtraciones de Edward Snowden, en 2014 el presidente de los Estados Unidos, Obama, abordó las tácticas SIGINT de la NSA. ^[10] En su discurso, anunció que reforzaría la supervisión ejecutiva de la inteligencia con la esperanza de que se puedan tener en cuenta la seguridad individual, las relaciones exteriores y las intenciones de las corporaciones. ^[10] También anunció que nombraría a un nuevo funcionario de alto rango en la Casa Blanca responsable de implementar nuevas salvaguardas de la privacidad. ^[10] Sin embargo, no se discutió directamente el uso de exploits de día cero, y el enfoque del discurso se centró en la recopilación de registros telefónicos de la NSA dentro de los EE. UU.

En 2014, unos meses después del discurso de SIGINT del presidente Obama, se descubrió un error en la popular herramienta de cifrado OpenSSL. ^[2] Este exploit, conocido como Heartbleed , se filtró en software de todo el mundo, incluido el Pentágono de EE. UU . ^[2] Tras el descubrimiento de Heartbleed, Michael Daniel, coordinador de ciberseguridad de la administración Obama, abordó públicamente el procedimiento utilizado por la NSA para determinar qué vulnerabilidades mantener y qué revelar. ^[3] Daniel enumeró numerosos puntos que la agencia tomó en consideración, a saber, cuánto daño podría causar el exploit si se divulgara y si la inteligencia podría recopilarse de otra manera. ^[3] Además, Daniel destaca que si se mantuviera la vulnerabilidad para su uso, solo sería temporal y se entregaría para que la agencia la parcheara después de un corto período de uso. ^[3] Esta fue la primera vez que el gobierno de EE. UU. reconoció públicamente el uso de exploits de día cero en SIGINT. ^[2] Este protocolo esbozado por Daniel en 2014 se conoce como Vulnerabilities Equities Process (VEP). ^[2]

Crítica

Los críticos sostienen que la NSA, y por lo tanto los EE. UU., ya no están tan significativamente por delante del resto del mundo en SIGINT como lo estaban antes. ^[2] Por lo tanto, es peligroso para la NSA dejar abierta una vulnerabilidad de seguridad solo porque se cree que es NOBUS. ^[2] Se cita un memorando filtrado de la NSA de 2012 que dice "se está volviendo evidente que otros estados-nación están perfeccionando sus habilidades y uniéndose a la escena", evidencia de que la NSA es consciente de la brecha cada vez menor en capacidades. ^[2] En agosto de 2016, un grupo de piratas informáticos aún desconocidos conocidos como Shadow Brokers filtró el código de la NSA que reveló las herramientas exactas de la agencia, otorgando efectivamente capacidades NOBUS a cualquiera que tuviera en sus manos el código. ^[5] En abril de 2017, Shadow Brokers fue más allá y filtró veinte de los exploits de día cero más efectivos que la agencia había desarrollado y recopilado. ^{[11] [2]} Tras esta filtración, el ex director de la NSA Michael Hayden, que apoyó a la agencia durante las filtraciones de Snowden en 2013, dijo que no podía "defender a una agencia que tiene herramientas poderosas si no puede protegerlas y mantenerlas en sus propias manos". ^[12]

Al filtrar el arsenal cibernético de la NSA, los Shadow Brokers también revelaron que la NSA estaba ocultando vulnerabilidades de bajo nivel que no requerían de un gran equipo o experiencia. ^[2] Se informó que algunas de las herramientas eran tan fáciles de usar que eran esencialmente "apuntar y disparar". ^[12] Estas vulnerabilidades no son, por definición, NOBUS, y mantenerlas en el arsenal cibernético de la NSA en lugar de revelarlas para que puedan ser reparadas amenaza la seguridad de personas inocentes en todo el mundo que usaron el software vulnerable. ^[2] El descubrimiento de que la NSA estaba ocultando exploits de bajo nivel durante años contradecía directamente el VEP esbozado en 2014 por el entonces coordinador de seguridad cibernética Michael Daniel. ^{[3] [2]}

El mercado de vulnerabilidades de día cero también ha provocado críticas contra la NSA. ^[4] Las vulnerabilidades adquiridas en el mercado gris claramente no son NOBUS, ya que cualquiera con fondos suficientes tiene la capacidad de comprarlas. ^[5] Tampoco hay forma de garantizar que si una entidad vende una vulnerabilidad a un grupo, no se la venda a otro. ^[2] Por lo tanto, a los críticos les preocupa que mantener abiertas las vulnerabilidades en lugar de parchearlas amenace la seguridad de personas inocentes que usan sistemas vulnerables, ya que no se puede confirmar quién tiene acceso a las vulnerabilidades. ^[5]

Otra crítica común al sistema NOBUS es que, dado que la NSA explota vulnerabilidades en sistemas utilizados por ciudadanos estadounidenses y recolecta datos de servidores alojados en Estados Unidos, existen preocupaciones éticas y legales sobre la capacidad de la agencia para evitar recolectar datos de ciudadanos estadounidenses. ^[4]

Los críticos también han comentado que no hay evidencia de que la estrategia NOBUS mantenga a las personas seguras. ^[13] En el pasado se ha informado que NOBUS ha detenido 50 ataques terroristas, sin embargo, el número luego se modificó a 1 o 2. ^[13] En 2017, un estudio financiado por la Oficina del Director de Inteligencia Nacional (ODNI) recomendó que la Comunidad de Inteligencia se alejara de la inteligencia de señales como fuente de información. ^[14] Los métodos de cifrado se están volviendo rápidamente demasiado avanzados para romperlos y las leyes en los EE. UU. están priorizando la privacidad de los ciudadanos estadounidenses sobre la recopilación de inteligencia, lo que significa que la NSA y otras agencias de inteligencia se enfrentan a una batalla cuesta arriba por la inteligencia de señales. ^[14]

Referencias

1. "¿Qué es NOBUS?". www.computerhope.com . Archivado desde el original el 22 de octubre de 2021 . Consultado el 22 de octubre de 2021 .
2. NICOLE., PERLROTH (2022). ASÍ ME DICEN QUE TERMINA EL MUNDO: la carrera armamentística de las armas cibernéticas. BLOOMSBURY. ISBN 978-1-63557-849-2.OCLC 1243263428  .
3. "Heartbleed: Understanding When We Disclaimer Cyber ​​Vulnerabilities" (Heartbleed: Entender cuándo revelamos vulnerabilidades cibernéticas). whitehouse.gov . 28 de abril de 2014. Archivado desde el original el 4 de diciembre de 2021. Consultado el 7 de diciembre de 2021 .
4. «Nadie más que nosotros: el ascenso y la caída de la era dorada de la inteligencia de señales». Lawfare . 7 de septiembre de 2017. Archivado desde el original el 26 de noviembre de 2023 . Consultado el 22 de octubre de 2021 .
5. Peterson, Andrea (4 de octubre de 2013). «Por qué todo el mundo está menos seguro cuando la NSA no ayuda a solucionar los fallos de seguridad». The Washington Post . Archivado desde el original el 5 de enero de 2016. Consultado el 27 de diciembre de 2015 .
6. Hinsley, Sir Harry (26 de noviembre de 1996). «La influencia de ULTRA en la Segunda Guerra Mundial» (PDF) . Archivado (PDF) del original el 5 de diciembre de 2015. Consultado el 2 de diciembre de 2021 .
7. "Canadá y la comunidad de inteligencia Five Eyes" (PDF) . 10 de septiembre de 2015. Archivado desde el original (PDF) el 10 de septiembre de 2015 . Consultado el 25 de octubre de 2021 .
8. Ablon, Lillian (2014). "Zero-Day Vulnerabilities in the Black and Gray Markets" (Vulnerabilidades de día cero en los mercados negro y gris). www.jstor.org . RAND Corporation: 25–28. JSTOR  10.7249/j.ctt6wq7z6.11. Archivado desde el original el 16 de noviembre de 2021 . Consultado el 16 de noviembre de 2021 .
9. «Cómo sabemos que la NSA tuvo acceso a los datos internos de Google y Yahoo en la nube». Washington Post . ISSN  0190-8286. Archivado desde el original el 25 de marzo de 2018. Consultado el 7 de diciembre de 2021 .
10. "Comentarios del presidente sobre la revisión de la inteligencia de señales". whitehouse.gov . 17 de enero de 2014. Archivado desde el original el 8 de diciembre de 2021 . Consultado el 7 de diciembre de 2021 .
11. "Shadow Brokers Redux: el vertido de herramientas de la NSA empeora aún más". Lawfare . 14 de abril de 2017. Archivado desde el original el 24 de septiembre de 2023 . Consultado el 7 de diciembre de 2021 .
12. Shane, Scott (17 de mayo de 2017). «El caso del malware es un duro golpe para la NSA» The New York Times . ISSN  0362-4331. Archivado desde el original el 7 de diciembre de 2021. Consultado el 7 de diciembre de 2021 .
13. Schneier, Bruce (6 de enero de 2014). «Cómo la NSA amenaza la seguridad nacional». The Atlantic . Archivado desde el original el 25 de octubre de 2021. Consultado el 25 de octubre de 2021 .
14. Williams, Brad D. (23 de julio de 2019). "La 'época dorada de SIGINT puede haber terminado': el nuevo cifrado frustra las escuchas clandestinas de los circuitos integrados". Breaking Defense . Consultado el 25 de octubre de 2021 .