A existência de uma corrida armamentista cibernética é uma dos temas mais debatidos entre especialistas em segurança/defesa cibernética e a mídia especializada. Esta apresentação pretende explorar o atual conhecimento sobre a capacidade cibernética ofensiva de Estados-Nação e avaliar se há de fato uma corrida armamentista em curso.
Apresentaremos detalhes sobre as campanhas de 20 países – principais alvos (governo, forças armadas, diplomacia, infraestruturas críticas, indústria de petróleo e gás, setor privado, etc), técnicas empregadas (vulnerabilidade zero day, spear phishing, watering hole, drive by-download, etc) e os efeitos concretos (espionagem, sabotagem, negação de serviço, etc) – serão apresentados para descrever a capacidade cibernética ofensiva dos principais.
Além dos países com capacidade cibernética ofensiva demonstrada, foram identificados 70 Estados-Nação com potencial capacidade cibernética ofensiva.
Ao final da apresentação há propostas de taxonomia das principais ameaças proporcionadas pelos mais de 70 Estados-Nação com capacidade ofensiva efetiva ou potencial.
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
Capacidade Cibernética dos Estados
1. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
Corrida armamentista cibernética
panorama global da capacidade
cibernética de Estados-Nação
Eduardo Izycki
Brazil Cyber Defense, 26 de abril de 2018
4. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
INTRODUÇÃO
Existe uma percepção geral de que ataques
cibernéticos são mais graves e mais frequentes
? ?
Ataque Cibernético
A própria definição de Ataque Cibernético é um
conceito contestado. Divergência entre
Segurança da Informação x Segurança
Cibernética ilustra isso.
Atribuição
Existem dados quantitativos de ataques
cibernéticos, mas, na maioria dos casos, não
são atribuídos em nível de Estado-Nação
5. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
INTRODUÇÃO
Percepção deve ser validada/negada com base em
evidências
1 2
Potências “Tradicionais”
Mesmo numa dimensão tão recente quanto a
cibernética já existem os países que são
considerados potências tradicionais (EUA,
China, Rússia, Irã, Israel e Coreia do Norte).
Evidências de novos protagonistas
Um dos objetivos dessa pesquisa é identificar
novos protagonistas na dimensão cibernética.
Quais são os países que exercem poder por
meio de ações ofensivas?
7. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
Empresas de
Segurança
Instituições de
Pesquisa e ONG
Portais de
Vazamentos
• Análises técnicas de malware,
• Campanhas,
• Ataques Persistentes Avançados (APT).
• Relatórios sobre privacidade digital,
• Análises/Denúncias casos de violação de
privacidade em nível nacional
• Atuação de insiders que divulgam
informações privilegiadas
• Ações provocadas por ataques de
terceiros
METODOLOGIA
1 2 3
• Utilizados 643 relatórios, publicações em
blogs e análises técnicas
• Harmonização entre diferentes nomes de
campanhas e grupos (Bears, Dragons,
Cedar, etc...),
• Utilizados 284 relatórios, análises e
denúncias,
• Uso de linguagem jornalística exigiu
expressões regulares específicas para
processar o conteúdo
• Vazamentos não tem conteúdo
semelhante, logo cada um foi analisado
especificamente
• Interface de busca do Wikileaks ajudou
8. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
METODOLOGIA
Atribuição de autoria (País e/ou
grupo responsável)
Alvos (países, organizações, pessoas alvos
do ataque)
Alvos (forças armadas, segmentos
econômicos, diplomáticos, políticos,
industrial)
Indicadores de Comprometimento
(domínios, IP, arquivos, hahses)
Técnicas, Táticas e Procedimentos (CVE,
Malwares, Backdoors)
Consequências (acesso a dados,
destruição de dados, efeitos cinéticos,
SCADA)
1
2
3
4
5
6
+
Processamento de linguagem natural (Python 3 – NLTK) e uso amplo de
expressões regulares (RegEx)
10. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
RESULTADOS GERAIS
29% 78% 402 126
+
Dos 3.125 documentos,
927 contém evidências
Com evidência de
capacidade efetiva em
728 documentos
Campanhas e/ou
grupos
Indicação de origem do
ataque
Resultados indicam que há atividade cibernética ofensiva que
pode ser associada a Estados-Nação
11. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
RESULTADOS GERAIS
57% 26 45
+
Documentos com
evidência de capacidade
potencial
Em 41 países foi
possível identificar o
usuário
Países com capacidade
potencial nas
FFAA/Inteligência
Países com unidades
cibernéticas formais nas
FFAA
Resultados apontam para uma grande difusão de capacidade
cibernética ofensiva entre os Estados-Nação
71
13. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
Casos em que um Estado Nacional teve atribuição de
autoria de ataque cibernético
1 2
Em 196 casos as campanhas foram consideradas
originárias de um país ou praticadas por grupos
com uma nacionalidade
Em 77 campanhas identificadas sugerem que a
autoria é de um Estado Nação
2
14. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
Patrocínio estatal em ações cibernéticas ofensivas
1 2
18 países diferentes já realizaram ações que foram
consideradas com patrocínio/suporte estatal
Os ataques com patrocínio estatal totalizaram 760
vítimas identificadas
Foram identificados 116 diferentes países como
alvos de ações com patrocínio estatal
2
15. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
EUA
México
França
Reino Unido
Egito
Emirados Árabes
Palestina
Israel
Turquia
Líbano
Irã
Síria
Etiópia
Índia
Paquistão
China
Coreia do Norte
Rússia
PATROCÍNIO ESTATAL
16. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
1
1
1
1
1
2
2
2
2
2
2
2
3
4
5
12
14
20
Turquia
Palestina
México
Israel
Egito
Síria
Paquistão
Líbano
Índia
França
Etiópia
Emirados Árabes
Reino Unido
Estados Unidos
Coreia do Norte
Irã
Rússia
China
Campanhas – Patrocínio Estatal
CAMPANHAS COM INDÍCIO DE
PATROCÍNIO ESTATAL1
46
41
32
27
24
18 17 17
8 8
6 5
Segmentos Alvo - Patrocínio Estatal
17. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
VÍTIMAS – PATROCÍNIO ESTATAL
9
12
13
13
15
16
18
19
19
20
21
21
22
25
27
36
Brasil
Canadá
Egito
Israel
França
Emirados Árabes
Paquistão
Turquia
Reino Unido
Irã
Índia
Rússia
Alemanha
Arábia Saudita
China
Estados Unidos
Vítimas - Patrocínio Estatal
3%
8%
5%
1%
27%
18%
33%
5%
3%
22%
6%
7%
1%
24%
12%
17%
8%
Autores e Vítimas
Africa Europa EUA/Canadá LA Oceania
OMNA Russia & CIS SA Sub-Ind
18. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
EUA
México
França
Reino Unido
Egito
Emirados Árabes
Palestina
Israel
Turquia
Líbia
Irã
Síria
Etiópia
Itália
Nigéria
Romênia
Ucrânia
Líbano
Brasil
Índia
Paquistão
China
Coreia do Norte
Rússia
Cazaquistão
ATAQUES PERSISTENTES
Vietnã
19. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
ATAQUES PERSISTENTES E
ALGUMAS CARACTERÍSTICAS1
2
2
2
3
3
3
3
4
5
5
6
16
34
74
Vietnã
Líbano
Itália
Nigéria
Israel
França
Estados Unidos
Palestina
Paquistão
Índia
Coreia do Norte
Irã
Rússia
China
Atribuição – Ataques Persistentes
67
58
53
36
40
23 21
24
5
9 8
15
46
41
32
27
24
18 17 17
8 8 6 5
Segmentos Alvo - APT
APT Patrocínio Estatal
21. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
Busca por Soluções
Ofensivas
Novas Ameaças
Estatais
Sempre tenha um
backup
Existem evidências de que 79 países
diferentes adquiriram soluções ofensivas
cibernéticas
Dentre eles 58 países não foram
identificados como dotados de capacidade
efetiva (não foram identificados como
autores ou sediaram APT)
Ao menos 15 países adquiriram mais de
uma solução ofensiva de diferentes
provedores privados
CAPACIDADE OFENSIVA
1 2 3
22. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
SOLUÇÕES ADQUIRIDAS
Bull / Amesys
2 países
Cyberbit
10 países
Dreamlab
2 países
Gamma Group
55 países
Hacking Team
37 países
NSO Group
3 países
SS8
4 países
Trovicor
9 países
Principais Provedores
Procera
2 países
23. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
“NOVAS” AMEAÇAS
Tipos de Usuário
Arábia Saudita
GIP / GID / MD
Azerbaijão
Azerbajan NS
Bangladesh
(DGFI)
Chipre
Inteligência
Equador
SENAIN
Espanha
CNI
Hungria
SSNS
Indonésia
Lembaga Sandi Negara
Quênia
NIS
Marrocos
CSDN / DST
Mongólia
SSSD
Malásia
MACC / MALMI / PMO
Omã
Inteligência
Panamá
Presidência
Sérvia
BIA
Singapura
IDA SGP
Tailândia
Royal Thai Army
Uganda
CMI
Uzbequistão
NSS
24. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CAPACIDADE OFENSIVA
QUANTIDADE DE SOLUÇÕES
2
6
1
2
0
8
3
5
2
15
27
4
13
1
29
13
17
5
Africa
Europa
EUA/Canadá
América Latina
Oceania
OM & NA
Russia & CIS
Sudeste Asiático
SubCont. Indiano
Países com múltiplas soluções
Soluções (Total) Múltiplos Provedores
1
1
1
2
2
2
11
21
30
FFAA / Segurança…
Receita
Operadora Telecom
FFAA
FFAA / Inteligência
Províncias
Segurança Pública
Inteligência
Desconhecido
Usuário - Solução Ofensiva
>
33. Autor: Eduardo Izycki – linkedin.com/in/eduardoizycki
CONCLUSÃO
As evidências sugerem que sim
A partir de 28 países já partiram ataques
avançados, sendo 18 com
patrocínio/suporte estatal.
E outros 58 países já adquiriram soluções
ofensivas.
Existe uma corrida
armamentista cibernética?
1
Se 86 países demonstram capacidade
ofensiva, muitos ainda são dependentes de
tecnologia estrangeira. Contudo, isso não
os torna menos perigosos no curto prazo.
Panorama global indica algo para
o espaço cibernético?
2
Difusão de poder, mas não igualdade