Las amenazas a la seguridad son potencialmente ejecutadas por los atacantes, que generalmente difieren en su capacidad y actividad. A continuación se resume brevemente qué propiedades se enmarcan bajo el nombre de capacidades y cuales en actividades, así como las clases de atacantes resultante de esta combinación.
Capacidad: La capacidad de un atacante normalmente se determina por:
- Coste. Relaciona el coste que un atacante requiere en términos de equipamiento para llevar a cabo un ataque con éxito. Este coste puede variar desde muy barato, (por ejemplo, sólo se requiere un soldador y algunos cables), a prohibitivamente alto, donde se necesita equipos extremadamente complejos y costosos.
- Habilidad. Por lo general, se refiere a los conocimientos que un atacante debe conocer para llevar a cabo un ataque exitoso. Algunos ataques pueden ser realizados por personal sin conocimientos, simplemente copiando un comando, mientras que otros pueden requerir un amplio conocimiento del servicio o protocolo particular de red, o bien una persona entrenada en el uso de algún equipo especial.
- Trazas. Este aspecto está relacionado con las huellas que deja por el atacante cuando realiza una acción ilegítima. Si después del ataque a un equipo, todo queda en el mismo estado que antes del ataque, incluyendo el contenido de la memoria, entonces es más difícil de saber que ha habido un ataque que en otras situaciones. El caso extremo opuesto sería aquel ataque que provoca la destrucción física de un equipamiento.
Actividad. En función de las actividades que se llevan a cabo en un ataque, éste se puede clasificar como pasivo o activo:
- Ataque pasivo. Un ataque pasivo es aquél en que el atacante monitoriza el canal de comunicación sin modificar ni añadir datos. Un atacante pasivo sólo pone en peligro la confidencialidad de los datos. El objetivo del atacante es obtener la información que se está transmitiendo. Estos ataques incluyen análisis de tráfico, monitorización de comunicaciones no protegidas, descifrado de tráfico encriptado y captura de información de autenticación, como passwords.
- Ataque activo. Un ataque activo intenta alterar los recursos del sistema o afectar a su funcionamiento. En este tipo de ataque el adversario intenta borrar, añadir, o modificar los datos transmitidos. Un atacante activo amenaza la integridad de datos y autenticación, así como la confidencialidad. En algunas ocasiones, los ataques pasivos son actividades previas para preparar un ataque activo.
Y también como ataques no invasivos, frente a semi-invasivos o invasivos:
- Ataques no invasivos. No manipulan el dispositivo.
- Ataques semi-invasivos. Manipulan a través del empaquetado del dispositivo, pero no establecen contacto eléctrico directo con la superficie del chip.
- Ataques invasivos. En estos casos no hay prácticamente ningún límite a las medidas adoptadas para extraer la información del dispositivo.
Debe tenerse en cuenta que no todos los ataques semi-invasivos o invasivos son ataques activos. Por ejemplo, los ataques semi-invasivos pasivos pueden tratar de capturar datos críticos de la memoria y ataques invasivos pasivo pueden utilizar una estación de sonda para detectar señales de datos valiosos. Ejemplos de ataques pasivos son el análisis de tráfico y monitorización. La mayoría de los ataques, sin embargo, son ataques activos, tales como ataques de enrutamiento, la suplantación de identidad, denegación de servicio, ataques físicos...
Clase. Para conjuntar tanto la capacidad como la actividad, IBM introdujo la siguiente taxonomía de clase de atacantes:
- Clase I (inteligentes y externos). A menudo son personas con muchos conocimientos de seguridad, pero pueden tener un conocimiento insuficiente del sistema que quieren atacar. Pueden tener acceso sólo a equipos moderadamente sofisticados. A menudo tratan de aprovecharse de una debilidad existente en el sistema, en lugar de tratar de buscar nuevas debilidades.
- Clase II (internos y con conocimientos). Tienen formación técnica especializada y experiencia notable. Pueden tener distinto nivel de comprensión de las partes del sistema, pero potencialmente pueden acceder a la mayor parte de equipos. A menudo tienen herramientas e instrumentos altamente sofisticados para el análisis.
- Clase III (organizaciones financiadas). Son capaces de formar equipos de especialistas con conocimientos relacionados y complementarios respaldados por grandes recursos económicos. Son capaces de analizar en profundidad un sistema, diseñar ataques sofisticados, y usar las herramientas de análisis más avanzados. Pueden utilizar atacantes de clase II como parte del equipo de ataque.