Vilka är reglerna för engagemang i en cyberkrig?

LAS VEGAS — Om Freedonia skjuter en missil mot Ruritania, är det säkert motiverat för Ruritanians att skjuta tillbaka. Men vad händer om Freedonia avfyrar en avancerad ihållande hot eller stänger av det Ruritaniska elnätet på distans?

Black Hat Bug Art

“Linjerna mellan verkliga och virtuella världar suddar ut snabbt”, säger Mikko Hypponen, Chief Research Officer för det finska säkerhetsföretaget F-Secure, här på Black Hat. “Flera regeringar har offentligt uttalat att de förbehåller sig rätten att svara på cyberattacker med kinetisk kraft. Nu ser vi att det sker på riktigt.”

Krig och konflikt finns i en ny domän, berättade Hypponen för en uppslukad Black Hat-publik på Black Hat. “Vilka är reglerna för engagemang i dessa nya konflikter? Och vart tar cyberarmsloppet oss nästa gång?”

Det här är inga nya frågor; Hypponen har deltagit i Black Hat och dess partnerkonferens, DEF CON, i flera år. Men “världen är mer och mer virtuell. Vi lever 50 procent av vårt dagliga liv i en värld där geografi inte finns, spelar ingen roll eller spelar någon annan roll.”

Problemet med tillskrivning

Regeringstjänstemän har redan konstaterat att datasabotage kan vara en krigshandling, påpekade Hypponen. Och “de förbehåller sig rätten att svara på alla sätt, inklusive kinetiska attacker.”

Det stora problemet är tillskrivning. Vem gjorde det? Cybervapen är billiga, effektiva och förnekande. “Oavsett vad din policy säger, hur vet du egentligen vem som inledde attacken?” frågade Hypponen. “Om din fiende vet att du kommer att svara kan de maskera attacken som om de kommer från en annan av deras fiender.”

“Falska flagganattacker i cyber är verkliga”, fortsatte han. “Vi har sett fall där nationella myndigheter har försökt få det att se ut som om ett annat land stod bakom attacken. Saker som att vara värd för dina kommando- och styrservrar i andra länder. Vi har sett ryssar generera betesfiler med kinesiska ord i Mandarin. Hur kan du svara när du inte är säker vem som står bakom attacken? “

Domains of War

“Land, hav, luft, rymd och nu cyberspace; det här är krigets domäner”, säger Hypponen. “Teknik har alltid format konfliktens ansikte, men innovationen i en ny domän får inte de andra att försvinna, precis som införandet av havskrig inte gjorde att landkrig försvann.”

Hypponen fortsatte med att spekulera i vilka nya domäner som kommer att dyka upp och noterar att vad de än kommer att låta som science fiction, precis som cyberwar en gång gjorde. Han berörde idéer som DNA-krigföring eller nano-bot-krigföring.

“Den tekniska revolutionen som händer just nu är artificiell intelligens. Detta kan vara nästa domän, eller kan bli en del av cyberområdet. AI kommer att forma konfliktens ansikte, men ta det inte från mig, ta det från President Putin, “sade han, innan han spelade ett videoklipp där den ryska presidenten säger:” Den som blir ledare inom detta område kommer att bli världens härskare. “

Hypponen noterade att verkligt effektiv AI kommer att skapa mer konflikt, inte mindre. “Om en enhet meddelar att de är nära att göra genombrottet”, sade han, “kommer alla andra spelare inklusive regeringar att inse att det är över. Den med AI kommer att vinna allt, inklusive varje krig. Oavsett vad, den tekniken måste stulas eller förstördes. Tävlingen mot AI är en läskig ras. “

Spelarna

När det gäller de med de bästa cyberfunktionerna är USA “bäst på det här”, föreslog Hypponen, “med mer pengar, mer arbetskraft och mer tid än någon annan.” Efter att ha visat ett klipp av president Obama som sa att cyberattacker som härrör från Kina inte är acceptabla, kommenterade Hypponen: “Mellan USA och Kina vill han inte ha en kamp, ​​men vet att USA skulle vinna.”

Hypponen förklarade att andra mindre länder inte har så mycket att förlora. I synnerhet Nordkorea balanserar sin budget med cyberattacker på finansinstitut som stjäl kryptovaluta. “Ingen annan regering på denna planet skulle tillgripa den typen av stjäling”, sa han.

Kärnkraftsalternativet

“Nordkorea är inte ett problem i världsskala utan massförstörelsevapen”, säger Hypponen. “Kärnvapen förändrade världen. De avslutade andra världskriget, ett utmärkt exempel på avskräckande spel. De byggdes av människor som oss, nördarna och nördarna i deras generation. Man kan argumentera för att kärnfysiker förlorade sin oskuld 1945 när vi använde först den makten för att döda. “

På samma sätt “förlorade datavetare sin oskuld 2011 med Stuxnet, en attack som hade makten att döda. Vi vet inte att någon dog direkt på grund av Stuxnet-koden, men gott om datasäkerhetsfolk har dödats på grund av deras färdigheter . När datorexperter dödas känns det inte så trevligt. “

Han pekade på en händelse för några månader sedan, när Israel lanserade missiler för att ta ner ett Hamas-hackaroperationscenter. “Ingen skulle slå ett öga om de lanserade missiler mot en bombfabrik,” sa han, “men detta var ett cybercenter. Det kändes som om vi hade passerat en annan linje.”

“Det faktum att tillskrivning inte hindrade det verkliga svaret är viktigt”, fortsatte han. “Israelierna visste vem attackerna var. De kan ha haft insiders eller människor på marken. De hade förtroende för att tro att de tillskrivits. För de flesta cyberattacker är detta inte fallet. Dessutom skickade Hamas samtidigt fysiska attacker.”

Cyberweapons erbjuder ingen avskräckande

“Kraften hos traditionella vapen ligger mycket i avskräckande”, säger Hypponen. “Du kan visa dem i en militärparad. Du behöver inte använda dem. Det räcker att ha dem. Nukes har använts bara två gånger. Kraften hos tiotusentals nukes är att ha dem, inte använda dem . “

När det gäller cybervapen finns det ingen avskräckande kraft. “Vi vet inte vem som har vad”, sa han. “Vad är Nya Zeelands eller Vietnams cyberförmåga? Vi vet inte, och det finns ingen avskräckning i vapen som ingen känner till.”

Cybervapen har också kort hållbarhet. “En typisk nolla-dagars utnyttjande fungerar inte för alltid. Kanske kommer en ny version av målet till spel, eller så säljer säljaren sårbarheten.”

“En general som investerar miljoner i vapen som jetstrålkastare får smäll för pengarna”, sa han. “De får avskräckande. Investera miljoner i cyber som ingen känner till, du får ingen avskräckande, och sedan upphör de. Du får ingen avkastning på investeringen alls. Detta skulle kunna använda cybervapen mer sannolikt än traditionella vapen.

“Hur får du avskräckande kraft inom cyberområdet? Hur håller du en parad för dem? Kan du göra en offentlig demo, ha krigsspel, skrämma fienderna genom att visa hur bra du är? Vi har inte sett något land göra det. Det finns ingen cyber som ömsesidigt garanterad förstörelse. “

Konsekvenserna av Cyberwar

“Cyber ​​är nästa domän vi måste försvara”, säger Hypponen. “Det här är en lektion för både statliga och privata företag. De flesta attacker mot företag kommer från brottslingar. De vill bara ha pengar, och om du gör processen för dyr kommer de att attackera någon annan.

“När angriparen kommer från en regering är angriparen militär och militären följer order”, noterade Hypponen. “De får en order att gå sönder den här organisationen, få den här informationen och rapportera tillbaka. Militären kommer bara fortsätta att försöka. Att P i Advanced Persistent Threat.

“När vi tittar på länderna i världen är USA mest utsatt för cyberattack, mest beroende av teknik,” sa han. “Andra länder är inte lika beroende.

“Ska vi svara på cyberattacker med missiler? Ja det borde vi göra, men om angriparen gör mer än cyber”, avslutade han. “Om alla domäner är i spel finns det inga problem med tillskrivning och ingen anledning att inte svara med missiler.”

Om vi ​​skulle svara på missilattacker med cyberangrepp, vände Hypponen frågan. Han svarade med ett citat från säkerhetspundit Thaddeus e. grugq: “Total cyberkrig. Eftersom den främsta avskräckningen mot de mest aggressiva cyberattackerna är rädsla för kinetisk eskalering. Men när du redan är kinetisk, varför hålla tillbaka? Cyber ​​blir helt enkelt en annan konfliktdomän.” Så ja!

Hypponen avslutade med att tacka deltagarna och sa: “Sällan tackas någon för det arbete de gjorde för att förhindra katastrofen som inte hände. Det är mer sant i vår linje än de flesta andra. Vad vi gör är som Tetris. När du lyckas det försvinner. När du skruvar upp staplar det upp. “

Relaterade Artiklar

Back to top button