SOLAR SUNRISE Después de 25 años: ¿Somos 25 años más sabios?

Jul 11, 2023

Washington, DC, 28 de febrero de 2023 - En febrero de 1998, hace 25 años este mes, Estados Unidos sufrió una serie de intrusiones cibernéticas conocidas como SOLAR SUNRISE que el entonces subsecretario de Defensa John Hamre llamó "el [ciberataque] más organizado y sistemático que el Pentágono ha visto hasta la fecha ." Próximamente después de ELIGIBLE RECEIVER 1997 (ER97)[1], un ejercicio de múltiples agencias sin previo aviso que planteó más preguntas que respuestas sobre cómo manejaría el gobierno un asalto a la infraestructura cibernética de EE. UU., SOLAR SUNRISE no fue un simulacro. Al igual que el escenario hipotético presentado por ER97 menos de un año antes, los ataques SOLAR SUNRISE incluyeron la violación de las redes del Departamento de Defensa (DOD) por presuntos actores internacionales con posibles motivaciones geopolíticas y la participación de entidades e infraestructuras civiles y del sector privado. Ambos episodios también plantearon una pregunta persistente: ¿Quién está a cargo aquí?

Los documentos destacados aquí hoy para conmemorar el 25.º aniversario de SOLAR SUNRISE arrojan luz sobre los mecanismos entrelazados de la diplomacia y la investigación y sugieren la necesidad de una respuesta multiinstitucional a las ciberamenazas emergentes. Los registros también enfatizan la importancia de la colaboración del sector civil y privado con las investigaciones cibernéticas y revelan el profundo impacto en la preparación de ciberseguridad de EE. UU. de "dos jóvenes piratas informáticos de California" que operaban "bajo la dirección de un adolescente pirata informático de Israel". [Documento 1, p.7]

La serie de intrusiones en los sistemas gubernamentales tuvo lugar durante un período de tres semanas, del 1 al 26 de febrero de 1998, y se centró en los sistemas DOD no clasificados. Un memorando del FBI del 25 de febrero de 1998 titulado "Solar Sunrise; CITA Matters", describe el origen de los ataques y señala que "el intruso parece haberse dirigido a los servidores de nombres de dominio y obtenido el estado raíz mediante la explotación de la vulnerabilidad 'statd' en el sistema operativo Solaris 2.4". [Documento 2, p.1] El memorando explica además que, desde el 1 de febrero, "se sabe que al menos 11 sistemas DOD se han visto comprometidos", con intrusiones o intentos de intrusión detectados en la "Base de la Fuerza Aérea Andrews (AFB), Columbus AFB , Base de la Fuerza Aérea Kirkland, Base de la Fuerza Aérea Maxwell (Anexo Gunter), Base de la Fuerza Aérea Kelly, Base de la Fuerza Aérea Lackland, Base de la Fuerza Aérea Shaw, Base de la Fuerza Aérea MacDill, Estación Naval Pearl Harbor y una Base del Cuerpo de Marines de Okinawa". [páginas. 1-2] Una diapositiva de una presentación de 1999 al Estado Mayor Conjunto [Documento 3] ilustra aún más la distribución generalizada de las intrusiones, que afectaron no solo a los sistemas militares sino también a universidades como Harvard y Notre Dame y al sector privado. incluido el proveedor de servicios de Internet Maroon.com:

Documento 4, p.11

La presentación también destaca los desafíos de la atribución, ya que los múltiples nodos que atravesaron los intrusos durante el ataque ocultaron su origen y obstaculizaron partes de la investigación a través de restricciones legales:

Documento 4, p.14

Aunque los investigadores de varias agencias, incluido el FBI, la Agencia de Sistemas de Información de Defensa (DISA) y el DOD, no pudieron identificar de inmediato a los intrusos o su país de origen, el uso de un nodo en los Emiratos Árabes Unidos, Emirnet, desencadenó campanas de alarma que harían eco en los niveles más altos del Pentágono.

Las primeras intrusiones se detectaron justo cuando EE. UU. desplegó aproximadamente 2.000 infantes de marina en Irak para apoyar y hacer cumplir las inspecciones de armas que formaban parte del régimen de sanciones establecido después de la derrota de Irak en la Primera Guerra del Golfo (1991). Después de años de relativa cooperación, en 1997 el gobierno iraquí se negó a dar acceso a los inspectores a ciertas áreas, lo que llevó al Consejo de Seguridad de la ONU a exigir el cumplimiento de Irak a través de resoluciones. Las tensiones aumentaron después de la expulsión de los inspectores estadounidenses en octubre de 1997 y la posterior declaración de Bagdad en enero de 1998 de que tres sitios específicos estarían prohibidos. Para el 6 de febrero de 1998, parecía inminente una intervención militar estadounidense, con el despliegue de unos 2.000 infantes de marina en el Golfo Pérsico, reforzados por un tercer portaaviones estadounidense enviado a la región.[2]

Mientras EE. UU. se preparaba para desplegar las tropas, se detectaron las primeras intrusiones en los sistemas DOD no clasificados. Al intentar rastrear el camino de los piratas informáticos, los investigadores descubrieron el uso de Emirnet, un ISP en los Emiratos Árabes Unidos y uno de los únicos portales de Internet en Irak. Esta información, combinada con el momento de las intrusiones y la selección sistemática de los sistemas DOD, generó la pregunta: ¿Estados Unidos fue víctima de un ataque cibernético desde Irak?

Un memorando interno del FBI de la División de Seguridad Nacional (NSD) y el Centro de Evaluación de Amenazas de Infraestructura e Investigaciones Informáticas (CITAC) a todas las oficinas de campo afirmó estas preocupaciones, señalando cómo "la escala y el momento de estas intrusiones, que continúan ocurriendo mientras Estados Unidos Unidos se prepara para grandes operaciones militares, han planteado grandes preocupaciones para el Departamento de Defensa". [Documento 4, p.1]

Si bien los sistemas en cuestión no estaban clasificados, la información crítica que se producía, almacenaba y transmitía en ellos era fundamental para que el Departamento de Defensa continuara sus operaciones en Irak. En su testimonio de junio de 1998 ante el Comité Senatorial de Asuntos Gubernamentales, el entonces director de la CIA, George Tenet, afirmó que, "si bien no se penetraron los sistemas clasificados ni se accedió a los registros clasificados, se accedió a los sistemas de logística, administración y contabilidad. Estos sistemas son los núcleo central de datos necesarios para administrar nuestras fuerzas militares y desplegarlas en el campo". [Documento 1, p.7]

De manera similar, un documento de orientación emitido por el Comando del Pacífico de EE. UU. (USPACOM) sugirió que las intrusiones habían reducido el nivel general de confianza en la integridad de los sistemas militares y gubernamentales creados para prevenirlas y detectarlas. Si bien afirma que una "postura sólida de seguridad de los sistemas de información es vital para respaldar completamente las operaciones diarias y de contingencia dentro del teatro del Pacífico", la directiva advirtió que el "estado actual del sistema es sospechoso" y recomendó la instalación de "parches de seguridad". " [Documento 5, p.3]. Además, "los usuarios del sistema operativo Solaris 2.4" debían revisar las marcas de fecha y hora "para asegurarse de que las fechas de instalación sean consistentes con la actividad del administrador del sistema". El documento advirtió además que "la actividad de .mil y .gov también debe revisarse. No asuma que existen relaciones de confianza". Se aconsejó a las personas que "aumenten la conciencia de opsec [seguridad operativa] de lo que se pone en NIPRNET". [p.5]

Los documentos revelan numerosas preguntas e incertidumbre general sobre las intrusiones y los próximos pasos probables de los atacantes, pero también demuestran el valor de la colaboración y cooperación interinstitucional con los civiles y el sector privado. Un memorando sin fecha del FBI recordó a sus destinatarios, probablemente de diferentes agencias y oficinas, sobre la carga de evidencia requerida para obtener una orden judicial (probablemente para una trampa y rastreo), a saber, que el gobierno debe citar "hechos específicos y articulables que demuestren que hay motivos razonables para creer que el contenido de una comunicación por cable o electrónica, o los registros u otra información buscada, son relevantes y materiales para una investigación criminal en curso". [Documento 6, p.2] El documento luego revisó los "sitios relevantes identificados" y los alineó con la agencia o agencias involucradas con la investigación de ese sitio:

Documento 6, p.3

Otros documentos indican que hubo cierto nivel de cooperación entre las agencias y varias entidades privadas, incluidas universidades y civiles. Un memorando del FBI del 24 de febrero con la sinopsis, "Resultados de la entrevista con *redactado* del Grupo de Servicios Informáticos, Universidad de Harvard" [Documento 7], señaló que, "Los registros del sistema de la Universidad de Harvard fueron entregados a SA [Agente especial] *redactado* WFO [Oficina local de Washington], el 13 de febrero de 1998, aproximadamente a las 3:00 p. m. [Oficina local de Boston] aún está obteniendo el consentimiento de todos los usuarios del sistema para realizar una copia de seguridad completa de las computadoras de Harvard". [pág. 1-2]

De manera similar, el Documento 8, una Declaración del Demandante tomada por la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI) en Randolph AFB, revela la disposición de algunos civiles con acceso a los sistemas afectados o implicados para contribuir a la investigación. En la declaración, el denunciante dijo que después de enterarse de que "un individuo basado en mi máquina... había accedido ilegalmente a máquinas militares en Internet" se habían reunido con un investigador de campo de la Fuerza Aérea. La declaración señaló que "el agente de campo no me tomó ninguna información en ese momento y no quería contraseñas ni información", sino que "me dio instrucciones (si estaba dispuesto a cooperar y solo entonces) para apagar el recorte de mi registrar archivos en mi crontab y no cambiar ninguna configuración de la máquina aparte de eso". [p.3] Luego, el individuo solicitó al agente de campo "horas generales en las que se observó que se produjo la actividad de piratería", que el agente suministró. Armado con esta información, el individuo emitió los comandos provistos para apagar el recorte. Al ser contactado por otro investigador de campo, el denunciante afirmó que cualquier acción de asistencia que había tomado fue "totalmente bajo mi consentimiento y [el agente de campo] me dejó perfectamente claro que no tenía que hacer una copia de seguridad de los discos duros ni cooperar con ellos en absoluto". [p.4] En la portada adjunta a la declaración del denunciante, el remitente comentó: "Aquí está esa declaración: todavía la estoy leyendo. Parece que hay mucha información buena. -provided] registros del sistema en este momento". [p.1]

Después de tres semanas de febril investigación, los investigadores identificaron a los perpetradores: dos adolescentes de Cloverdale, California, bajo la dirección de un adolescente israelí mayor, Ehud "The Analyzer" Tenebaum:

Documento 4, p.17

Aunque el caso llegó a una conclusión posiblemente positiva, quedaba una pregunta preocupante: si los niños pueden hacer esto, ¿qué podrían hacer los piratas informáticos determinados y sofisticados?

Las lecciones aprendidas tanto del ejercicio ELIGIBLE RECEIVER 1997 como del ataque SOLAR SUNRISE impulsaron una acción significativa por parte del gobierno de EE. UU. En mayo de 1998, la Administración Clinton publicó la Directiva de Política Presidencial 63 [Documento 9], que destacaba la relación de "reforzamiento mutuo y dependencia" entre las fuerzas armadas y la economía:

Debido a nuestra fuerza militar, los futuros enemigos, ya sean naciones, grupos o individuos, pueden tratar de dañarnos de formas no tradicionales, incluidos los ataques dentro de los Estados Unidos. Debido a que nuestra economía depende cada vez más de infraestructuras interdependientes y cibernéticas, los ataques no tradicionales a nuestra infraestructura y sistemas de información pueden dañar significativamente tanto nuestro poderío militar como nuestra economía. [p.2]

Para facilitar mejor las investigaciones y la respuesta a las amenazas a la infraestructura crítica, el PPD 63 autorizó formalmente "al FBI a expandir su organización actual[3] a un Centro Nacional de Protección de Infraestructura (NIPC) a gran escala", que servirá "como una infraestructura crítica nacional". entidad de evaluación de amenazas, advertencia, vulnerabilidad e investigación y respuesta de las fuerzas del orden”. [p.12] El NIPC tenía la tarea de proporcionar "un punto focal nacional para recopilar información sobre amenazas a las infraestructuras" y debía "proporcionar los medios principales para facilitar y coordinar la respuesta del gobierno federal a un incidente, mitigar ataques, investigar amenazas y monitorear los esfuerzos de reconstitución". [p.13]

Quizás la contribución más valiosa de SOLAR SUNRISE fue que confirmó los hallazgos de ELIGIBLE RECEIVER 1997:

Documento 4, p.16

El NIPC, primero dirigido por el Director Michael A. Vatis, fue el primer centro de fusión interagencial creado con el encargo de cerrar o al menos minimizar estas brechas. En una conversación con el autor, Vatis reveló que si bien el PPD 63 proporcionó un "imprimátur presidencial" para el establecimiento formal de la NIPC, "la NIPC fue rechazada por el DOJ/FBI en febrero [de 1998], justo cuando SOLAR SUNRISE estaba ocurriendo". Según Vatis, aunque todavía estaba en sus inicios durante los ataques de febrero, la NIPC "demostró el valor de tener una sola entidad capaz de coordinar la investigación y las acciones interinstitucionales, lo que resultó en una conclusión rápida de la investigación".[4] En su testimonio de octubre de 1999 ante el Subcomité de Tecnología, Terrorismo e Información Gubernamental del Comité Judicial del Senado ("Examen de los esfuerzos de protección que se están realizando contra las amenazas extranjeras a la infraestructura informática crítica de los Estados Unidos") [Documento 10], Vatis describió las enfoque integrador, fusionando no solo personal de agencias dispares pero dependientes, sino también la experiencia de extracción del sector privado:

La misión de la NIPC claramente requiere la participación y la experiencia de muchas agencias además del FBI. Esta es la razón por la cual el NIPC, aunque alojado en el FBI, es un centro interinstitucional que reúne al personal de todas las agencias relevantes. Además de nuestros 79 empleados del FBI, el NIPC cuenta actualmente con 28 representantes de: DOD (incluidos los servicios militares y las agencias componentes), la CIA, el DOE, la NASA, el Departamento de Estado y las fuerzas del orden público federales, incluido el Servicio Secreto de EE. UU. el Servicio Postal de EE. UU. y, hasta hace poco, la Policía Estatal de Oregón. El NIPC está en el proceso de buscar representantes adicionales de las fuerzas del orden estatales y locales.

Pero claramente no podemos confiar solo en el personal del gobierno. Gran parte de la experiencia técnica necesaria para nuestra misión reside en el sector privado. En consecuencia, confiamos en los contratistas para brindar asistencia técnica y de otro tipo. También estamos en el proceso de hacer arreglos para que representantes del sector privado trabajen en el Centro a tiempo completo. En particular, el Fiscal General y la Asociación de Tecnología de la Información de América (ITAA) anunciaron en abril que la ITAA asignaría personal a la NIPC como parte de una "Asociación de Ciudadanos Cibernéticos" entre el gobierno y la industria de la tecnología de la información (TI). Los representantes de la industria de la tecnología de la información que prestan servicios en el NIPC mejorarían nuestra experiencia técnica y nuestra comprensión de la infraestructura de la información y las comunicaciones. [págs. 31-32]

Más de dos décadas después de su testimonio, Vatis observa: "Me sorprende que esta lección parece tener que volver a aprenderse continuamente: que no existe una sola agencia que pueda manejar todos los aspectos de detección, advertencia, investigación y respuesta, pero no existe debe ser un mecanismo operativo que esté facultado para coordinar las actividades de todas las agencias relevantes, socios internacionales, gobiernos estatales y locales y entidades del sector privado". [5] Los EE. esenciales) para mejorar el intercambio de información y la fusión de conocimientos en las últimas dos décadas, lo que plantea la pregunta: desde el amanecer de SOLAR SUNRISE, somos 25 años más viejos, pero ¿somos 25 años más sabios?

Documento 1

Base de datos ProQuest

Esta es la transcripción completa de la segunda de la serie de audiencias de 1998 sobre seguridad cibernética ante el Comité Senatorial de Asuntos Gubernamentales. Se centra principalmente en la seguridad de la información en el Departamento de Defensa.

Documento 2

Asociación de Estudios de Conflictos Cibernéticos (CCSA) FOIA

Este memorándum de la Oficina de Campo de Albuquerque del FBI a la División de Seguridad Nacional/División de Investigación Criminal y a las Agencias Residentes de Las Cruces y Roswell describe el progreso de la investigación SOLAR SUNRISE y tiene la intención de "establecer pistas en Las Cruces [Agencia Residente] y Roswell [Agencia residente]". Señala que los intrusos parecen "haber apuntado a servidores de nombres de dominio y obtenido el estado raíz mediante la explotación de la vulnerabilidad 'statd' en el sistema operativo Solaris 2.4".

Documento 3

Jason Healey y Karl Grindal

Esta presentación de 1999 al Estado Mayor Conjunto describe eventos y hallazgos tanto del RECEPTOR ELEGIBLE 97 como del SOLAR SUNRISE, señalando que las intrusiones de SOLAR SUNRISE "Hallazgos confirmados del RECEPTOR ELEGIBLE", es decir, que "los problemas legales siguen sin resolverse", que "no hay Indicaciones y sistema de advertencia", que los "sistemas de detección de intrusos" del gobierno son "insuficientes", que "las deficiencias organizativas del DOD y del gobierno dificultan la capacidad de reaccionar de manera efectiva" y que "persisten los problemas de caracterización y atribución".

Documento 4

CCSA FOIA

Este memorando de la División de Seguridad Nacional del FBI brinda orientación para las consultas de prensa sobre SOLAR SUNRISE, y señala que aunque "la investigación ha sido clasificada a nivel secreto... apareció un informe bastante detallado en una publicación técnica", lo que lleva al FBI a especular que "no Continuará el interés de esta manera por parte de la prensa nacional”.

Documento 5

CCSA FOIA

Este documento de orientación sobre seguridad de la información emitido por el Comando del Pacífico de EE. UU. (USPACOM) advierte al personal sobre una posible vulnerabilidad en el sistema operativo Solaris 2.4 y les exige que "garanticen la instalación de los parches más recientes para su sistema operativo". El memorándum también "solicita que los centros de control de la red desempeñen un papel activo en la revisión del tráfico del sistema de detección de intrusos local para garantizar la reacción más rápida posible a la actividad sospechosa o maliciosa de la red".

Documento 6

CCSA FOIA

Este documento sin fecha del FBI enumera los diversos sitios objeto de la investigación SOLAR SUNRISE, así como la variedad de agencias involucradas. El memorando recuerda a los investigadores los requisitos legales para obtener una orden judicial, a saber, "hechos articulables que demuestren que existen motivos razonables para creer que el contenido de un cable o comunicación electrónica... es relevante y material para una investigación criminal en curso".

Documento 7

CCSA FOIA

Este memorando de la oficina de campo de Boston a la sede del FBI informa que "los registros del sistema de la Universidad de Harvard fueron entregados" al FBI, pero que la oficina de campo "todavía está obteniendo el consentimiento de todos los usuarios del sistema para una copia de seguridad completa de las computadoras de Harvard".

Documento 8

CCSA FOIA

Esta declaración de un denunciante desconocido, tomada por la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI), detalla la cooperación entusiasta de un civil con la investigación SOLAR SUNRISE. Después de que el individuo se entera de que su computadora estuvo involucrada en intrusiones a sistemas militares, ejecuta comandos para preservar evidencia y luego entrega esos registros y una copia de seguridad del sistema a los investigadores.

Documento 9

Federación de Científicos Estadounidenses (www.fas.org)

La introducción a esta directiva señala que el ejército y la economía de EE. UU. "dependen cada vez más de ciertas infraestructuras críticas y de sistemas de información cibernéticos". El resto de la directiva de 18 páginas especifica la intención del presidente de "asegurar la continuidad y validez de las infraestructuras críticas" frente a amenazas físicas o cibernéticas. La directiva también articula un objetivo nacional, delinea una asociación público-privada para reducir la vulnerabilidad, establece pautas, especifica la estructura y la organización, analiza la protección de las infraestructuras críticas del gobierno federal, ordena a un subgrupo del NSC que elabore un cronograma para la finalización de una variedad de tareas. , y ordena que se elabore un informe anual de implementación. La directiva también establece formalmente el Centro Nacional de Protección de Infraestructura (NIPC) dentro del FBI, aunque el NIPC se había levantado en febrero de 1998 durante la investigación de intrusión cibernética SOLAR SUNRISE.

Documento 10

Imprenta del gobierno de EE. UU.

La transcripción de esta audiencia ante el Subcomité de Tecnología, Terrorismo e Información Gubernamental incluye el testimonio de Michael A. Vatis, entonces director del Centro Nacional de Protección de Infraestructura, y John S. Tritak, entonces director de la Oficina de Garantía de Infraestructura Crítica. Sus testimonios detallan las lecciones aprendidas del ejercicio RECEPTOR ELEGIBLE 1997 y la investigación de intrusión cibernética SOLAR SUNRISE, la variedad de amenazas cibernéticas en el horizonte para la infraestructura crítica y los esfuerzos que cada oficina estaba haciendo para prevenir, detectar, responder e investigar incidentes cibernéticos.

[1] Los análisis de los documentos ER-97, Parte I y Parte II, se pueden encontrar a través del Proyecto Cyber ​​Vault.

[2] Tim Maurer, "AMANECER SOLAR: ¿Ataque cibernético desde Irak?" Un dominio feroz: conflicto en el ciberespacio, 1986-2012, págs. 121-123.

[3] La "organización actual" del FBI en ese momento era el Centro de Evaluación de Amenazas de Infraestructura e Investigaciones Informáticas o CITAC, a la que se hace referencia con frecuencia en los documentos antes mencionados.

[4] Michael A. Vatis, mensaje de correo electrónico al autor, 27 de febrero de 2023.

[5] Ibíd.