Investigadores luchan contra el cibercrimen con nuevas herramientas y técnicas digitales

En la interminable guerra de la ciberseguridad, Irfan Ahmed, Ph.D., proporciona a los buenos herramientas forenses digitales y el conocimiento para usarlas.

Ahmed es profesor asociado de ciencias de la computación y director del Laboratorio de Ingeniería Forense y de Seguridad dentro del Departamento de Ciencias de la Computación de VCU Engineering. En SAFE Lab, lidera un par de proyectos destinados a mantener los sistemas industriales a salvo de los malos y muestra cómo las mismas herramientas creadas para investigar ciberataques pueden usarse para investigar otros delitos.

Los ataques cibernéticos en la infraestructura física pueden iniciarse para causar el caos al interrumpir los sistemas y/o retener los sistemas para pedir rescate. SAFE Lab de Ahmed se enfoca en proteger los sistemas de control industrial utilizados en la operación de plantas nucleares, represas, sistemas de suministro de electricidad y una amplia gama de otras infraestructuras críticas en los EE. instalaciones nucleares iraníes antes de soltarse e infectar computadoras «inocentes» en todo el mundo.

Los ataques cibernéticos a menudo tienen como objetivo una parte de la arquitectura del software conocida como lógica de control, que recibe instrucciones del usuario y las entrega para que las ejecute un controlador lógico programable. Por ejemplo, la lógica de control que monitorea una tubería de gas natural podría programarse para abrir una válvula si el sistema detecta que la presión sube demasiado. Los programadores pueden modificar la lógica de control, pero también los atacantes.

Uno de los proyectos de Ahmed, llamado «Herramientas y técnicas forenses digitales para investigar ataques lógicos de control en sistemas de control industrial», le permite crear dispositivos y técnicas que los ciberdetectives pueden usar en sus investigaciones. Señaló que las capacidades de investigación son un área poco investigada, ya que el mayor énfasis se ha puesto en la prevención y detección de ataques cibernéticos.

«El mejor escenario es prevenir los ataques a los sistemas industriales», dijo Ahmed. «Pero si ocurre un ataque, ¿entonces qué? Aquí es donde tratamos de llenar el vacío en VCU. Y el conocimiento que obtenemos en una investigación de ciberataque puede ayudarnos aún más a detectar o incluso prevenir ataques similares».

En el mundo del gato y el ratón de la ciberseguridad, la forma en que trabajan los delincuentes está en constante evolución, y el SAFE Lab de Ahmed presta mucha atención a los últimos desarrollos de los malhechores. Por ejemplo, un atacante puede optar por un enfoque más sutil que modificar la lógica de control original. Un método de ataque llamado programación orientada al retorno ve al malhechor usando el código lógico de control existente pero cambiando ingeniosamente su secuencia de ejecución. Otros atacantes pueden insertar malware en otra área del controlador, programado para ejecutarse sin ser detectado hasta que pueda reemplazar la función de la lógica de control original.

Los atacantes siempre encuentran nuevos métodos, pero cada ataque deja un rastro de evidencia. El SAFE Lab examina escenarios de ataque a través de simulaciones. Los modelos a escala de los sistemas físicos, incluidos un ascensor y un sistema de cinta transportadora, se alojan en el laboratorio para facilitar el trabajo. El ascensor es un modelo de cuatro pisos con botones internos y externos que alimentan un controlador lógico programable. La cinta transportadora es más avanzada, equipada con sensores inductivos, capacitivos y fotoeléctricos y capaz de clasificar objetos.

Las herramientas y métodos aplicados en la lucha contra el ciberdelito pueden ser útiles para rastrear a otros malhechores. Ahí es donde entra en juego el segundo proyecto de Ahmed. Se llama «Capacitación forense digital experiencial integrada con ciencia de datos basada en estudios de casos del mundo real de artefactos de ciberdelincuencia». Ahmed es el investigador principal y trabaja con el co-PI Kostadin Damevski, Ph.D., profesor asociado de informática.

El objetivo es mantener al personal encargado de hacer cumplir la ley al tanto de las últimas tendencias en la investigación del delito cibernético y equiparlo con las últimas herramientas y técnicas, incluidas las desarrolladas en el SAFE Lab.

«Por ejemplo, los investigadores a menudo tienen que revisar miles de imágenes, correos electrónicos o chats en busca de algo muy específico», dijo Ahmed. «Creemos que las herramientas de ciencia de datos adecuadas pueden ayudarlos a reducir esa búsqueda».

El FBI y otras agencias de aplicación de la ley ya cuentan con unidades dedicadas a la investigación cibernética; la Policía del Estado de Virginia tiene una sección de recuperación de pruebas informáticas en Richmond. Ahmed y Damevski están organizando sesiones que muestran a los investigadores cómo las técnicas de la ciencia de datos y el aprendizaje automático pueden hacer que las investigaciones sean más eficientes al clasificar las montañas de evidencia digital que son cada vez más una característica del crimen moderno.