Jeg har diskutert maktutøvelse i cyberspace ved en rekke forskjellige anledninger, og én ting er sikkert. Det er like mange meninger om attribusjon og "hack-back" som det er personer som interesserer seg for tema. Med fare for å være litt for kategorisk, så deler attribusjonsmeningene seg i to leire: Ingeniørene, som vet alt om hvor lett det er å skjule sine tekniske spor, og analytikerne som leter etter informasjon i alle domener, også utenfor det rent tekniske. Ingeniørene mener som regel at attribusjon er umulig, eller i alle fall så vanskelig og usikkert at det ikke lar seg gjøre i praksis. Analytikerne tar dette som en utfordring.
Spørsmålet om attribusjon er viktig, for en eventuell motreaksjon må jo ikke ramme en uskyldig part.
Spørsmålet om motreaksjon er en annen rød klut. I tillegg til at en i utgangspunktet må være sikker på at en har funnet riktig mål (attribusjon) så må en tenke seg at det er mulig å møte cyberangrep med cyberangrep. For at det skal være mulig, må det både være teknisk gjennomførbart, og en må kunne levere en eller annen form for effekt. At dette er vanskelig er det ingen tvil om, men er det umulig? Kan cyberangrep kun brukes i form av first-strike operasjoner der en har planlagt alt i detalj over lang tid?
Ikke i følge denne artikkelen:
http://www.skatingonstilts.com/skating-on-stilts/2013/04/stewart-baker-cybersecurity-itrust-consulting-report-on-apt-1-pla-unit-61398.html
Gitt at det som blir gjengitt i artikkelen har funnet sted, så viser den for det første at attribusjon er mer enn å kun vurdere de tekniske atributtene ved angrepet. Attribusjon er også å vurdere motstanders TTP, Taktikk, Teknikk og Prosedyre. TTP springer gjerne ut fra motstanders utdanning, doktrine, kultur og andre ting som ikke endrer seg så ofte. Dette er vi bevisst på. Det er en grunn til at vi forsøker å bygge inn uforutsigbarhet i TTP'ene.
Videre ser vi at en dynamisk enhet kan utnytte et mulighetsrom som åpner seg. Vi får demonstrert at cyberangrep ikke bare må være first-strike operasjoner som er planlagt i lang tid.
Dette er selvfølgelig ikke enten-eller. Det handler om å gjøre verktøykassen større, om å skape et nytt handligsrom for seg selv.
Bør alle drive med hack-back? Selvfølgelig ikke. Dette skal reguleres gjennom Rules Of Engagements, som all annen maktbruk.
Andre eksempler på hack-back:
http://techcrunch.com/2009/05/05/researchers-take-over-botnet-grab-56000-passwords-an-hour/
http://www.darkreading.com/security/news/217201422/researchers-take-over-dangerous-botnet.html
https://www.google.no/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=https%3A%2F%2Fwww.usenix.org%2Fsystem%2Ffiles%2Fconference%2Fleet12%2Fleet12-final23.pdf&ei=2-lqUaq6I4aD4ATV9IGYAg&usg=AFQjCNE32z4HsJNOi33my7na8NOYk5d-CQ&sig2=9xGgBWfQ1EtZTtwRRDhAug&bvm=bv.45175338,d.bGE
Ingen kommentarer:
Legg inn en kommentar