viernes, 15 de agosto de 2014

Ciberguerra: Un procedimiento formal para determinar el origen de un ataque

Investigadores argentinos ayudan en el diseño un sistema formal para ayudar acto de atribución de guerra cibernética 

A medida que el ciberespacio se está convirtiendo en un terreno cada vez más importante para el conflicto internacional, a menudo es muy difícil para los tomadores de decisiones determinar de manera concluyente los orígenes de un determinado acto de guerra cibernética. Esta dificultad se refiere generalmente como el problema de atribución. En general, "la cyber-atribución es un problema de análisis de inteligencia altamente técnico donde un analista debe tener en cuenta una variedad de fuentes, cada una con su correspondiente nivel de confianza, para proporcionar un tomador de decisiones (por ejemplo, un comandante militar) la idea de que llevaron a cabo un determinado operación".


A menudo es muy difícil atribuir un ataque a un actor específico. 

Para abordar el tema, un grupo de investigadores diseñó un marco formal que combina las técnicas del campo de la inteligencia artificial: la programación lógica, el razonamiento probabilístico y la argumentación.

El marco fue llamado InCA (Intelligent Cyber Attribution). Se basa en dos modelos separados - uno totalmente coherente, que contiene hechos conocidos de inteligencia, detalles sobre el software utilizado y otras pruebas, y puntos de vista e ideas de otro investigador que contiene basan en los datos del primer modelo. El primer modelo, denominado modelo ambiental (environmental model - EM), puede contener datos como "el malware M se originó a partir de una dirección IP perteneciente a un actor X". Sin embargo, las proposiciones en la EM no son sólo derivan de una base de conocimiento que se da por medio del cálculo lógico, también se les asigna una probabilidad, permitiendo InCA evaluar el proceso argumentativo en consecuencia.

El segundo - modelo analítico (analytical model - AM) - contiene las ideas del investigador, como "el actor X tiene un motivo para atacar el objetivo Y". InCA emplea métodos de lógica argumentativa para verificar o rechazar las proposiciones contenidas en el AM. Esto se hace mediante el fraccionamiento de las reglas y las proposiciones contenidas en el modelo en cuatro subgrupos distintos - los hechos, las presunciones (proposiciones que pueden ser negadas), reglas y normas derrotables (reglas que pueden ser probadas poco fiable por el marco en sí). Datos deben ser consistentes con las proposiciones contenidas por la EM, que están relacionados con la AM en función de su probabilidad. Esto permite distinguir entre hechos dudosos y algunos dentro de la propia EM.

En resumen, la EM se describe el mundo a través de los hechos conocidos, mientras que la AM se deriva conclusiones a partir de las declaraciones de EM como locales. Lo que es nuevo en InCA es la combinación entre la lógica probabilística y revocable. Esto refleja de manera intuitiva la estructura de razonamiento en la atribución cyber o cualquier otro campo de la ciencia forense, para el caso: los hechos son probabilísticas, pero las conclusiones se derivan por medio de estrictas normas argumentativos. Al mismo tiempo, la derrotabilidad de ambas presunciones y reglas permite la exclusión de una de las dos líneas en conflicto de argumento, dejando el que es más convincente.

Por ejemplo, se puede concluir que un pájaro llamado Tweety puede volar porque es un pájaro, y no puede volar, porque es un pingüino. La declaración "Tweety es un pingüino, que es un tipo especial de pájaro" proporciona más información que "Tweety es un pájaro", y por lo tanto la primera línea de victorias argumento, permitiendo InCA a la conclusión de que Tweety no puede volar.

InCA permite a los investigadores ver el proceso de evaluación por sí mismos y por lo tanto evaluar argumentos compararon, salieron y derrotaron. Al mismo tiempo, se permite poner a prueba en lo que dada la configuración de EM cierto AM hipótesis sería verdad - es decir, el sistema puede informar a los investigadores sobre qué tipo de evidencia que falta para concluir en una hipótesis dada.

Los doctores Gerardo I. Simari y Marcelo A. Falappa son profesores del departamento de Ciencias e Ingeniería de la Computación de la Universidad Nacional del Sur, Bahía Blanca, Argentina.

Fuente del artículo: An Argumentation-Based Framework to Address the Attribution Problem in Cyber-Warfare, Paulo Shakarian, Gerardo I. Simari, Geoffrey Moores, Simon Parsons, Marcelo A. Falappa. arXiv:1404.6699v1 [cs.CR] 27 Apr 2014


Technology.org

No hay comentarios.:

Publicar un comentario