Vilka Àr reglerna för engagemang i en cyberkrig?

Vilka Àr reglerna för engagemang i en cyberkrig?

LAS VEGAS — Om Freedonia skjuter en missil mot Ruritania, Ă€r det sĂ€kert motiverat för Ruritanians att skjuta tillbaka. Men vad hĂ€nder om Freedonia avfyrar en avancerad ihĂ„llande hot eller stĂ€nger av det Ruritaniska elnĂ€tet pĂ„ distans?

“Linjerna mellan verkliga och virtuella vĂ€rldar suddar ut snabbt”, sĂ€ger Mikko Hypponen, Chief Research Officer för det finska sĂ€kerhetsföretaget F-Secure, hĂ€r pĂ„ Black Hat. “Flera regeringar har offentligt uttalat att de förbehĂ„ller sig rĂ€tten att svara pĂ„ cyberattacker med kinetisk kraft. Nu ser vi att det sker pĂ„ riktigt.”

Krig och konflikt finns i en ny domĂ€n, berĂ€ttade Hypponen för en uppslukad Black Hat-publik pĂ„ Black Hat. “Vilka Ă€r reglerna för engagemang i dessa nya konflikter? Och vart tar cyberarmsloppet oss nĂ€sta gĂ„ng?”

Det hĂ€r Ă€r inga nya frĂ„gor; Hypponen har deltagit i Black Hat och dess partnerkonferens, DEF CON, i flera Ă„r. Men “vĂ€rlden Ă€r mer och mer virtuell. Vi lever 50 procent av vĂ„rt dagliga liv i en vĂ€rld dĂ€r geografi inte finns, spelar ingen roll eller spelar nĂ„gon annan roll.”

Problemet med tillskrivning

RegeringstjĂ€nstemĂ€n har redan konstaterat att datasabotage kan vara en krigshandling, pĂ„pekade Hypponen. Och “de förbehĂ„ller sig rĂ€tten att svara pĂ„ alla sĂ€tt, inklusive kinetiska attacker.”

Det stora problemet Ă€r tillskrivning. Vem gjorde det? Cybervapen Ă€r billiga, effektiva och förnekande. “Oavsett vad din policy sĂ€ger, hur vet du egentligen vem som inledde attacken?” frĂ„gade Hypponen. “Om din fiende vet att du kommer att svara kan de maskera attacken som om de kommer frĂ„n en annan av deras fiender.”

“Falska flagganattacker i cyber Ă€r verkliga”, fortsatte han. “Vi har sett fall dĂ€r nationella myndigheter har försökt fĂ„ det att se ut som om ett annat land stod bakom attacken. Saker som att vara vĂ€rd för dina kommando- och styrservrar i andra lĂ€nder. Vi har sett ryssar generera betesfiler med kinesiska ord i Mandarin. Hur kan du svara nĂ€r du inte Ă€r sĂ€ker vem som stĂ„r bakom attacken? “

Domains of War

“Land, hav, luft, rymd och nu cyberspace; det hĂ€r Ă€r krigets domĂ€ner”, sĂ€ger Hypponen. “Teknik har alltid format konfliktens ansikte, men innovationen i en ny domĂ€n fĂ„r inte de andra att försvinna, precis som införandet av havskrig inte gjorde att landkrig försvann.”

Hypponen fortsatte med att spekulera i vilka nya domÀner som kommer att dyka upp och noterar att vad de Àn kommer att lÄta som science fiction, precis som cyberwar en gÄng gjorde. Han berörde idéer som DNA-krigföring eller nano-bot-krigföring.

“Den tekniska revolutionen som hĂ€nder just nu Ă€r artificiell intelligens. Detta kan vara nĂ€sta domĂ€n, eller kan bli en del av cyberomrĂ„det. AI kommer att forma konfliktens ansikte, men ta det inte frĂ„n mig, ta det frĂ„n President Putin, “sade han, innan han spelade ett videoklipp dĂ€r den ryska presidenten sĂ€ger:” Den som blir ledare inom detta omrĂ„de kommer att bli vĂ€rldens hĂ€rskare. “

Hypponen noterade att verkligt effektiv AI kommer att skapa mer konflikt, inte mindre. “Om en enhet meddelar att de Ă€r nĂ€ra att göra genombrottet”, sade han, “kommer alla andra spelare inklusive regeringar att inse att det Ă€r över. Den med AI kommer att vinna allt, inklusive varje krig. Oavsett vad, den tekniken mĂ„ste stulas eller förstördes. TĂ€vlingen mot AI Ă€r en lĂ€skig ras. “

Spelarna

NĂ€r det gĂ€ller de med de bĂ€sta cyberfunktionerna Ă€r USA “bĂ€st pĂ„ det hĂ€r”, föreslog Hypponen, “med mer pengar, mer arbetskraft och mer tid Ă€n nĂ„gon annan.” Efter att ha visat ett klipp av president Obama som sa att cyberattacker som hĂ€rrör frĂ„n Kina inte Ă€r acceptabla, kommenterade Hypponen: “Mellan USA och Kina vill han inte ha en kamp, ​​men vet att USA skulle vinna.”

Hypponen förklarade att andra mindre lĂ€nder inte har sĂ„ mycket att förlora. I synnerhet Nordkorea balanserar sin budget med cyberattacker pĂ„ finansinstitut som stjĂ€l kryptovaluta. “Ingen annan regering pĂ„ denna planet skulle tillgripa den typen av stjĂ€ling”, sa han.

KĂ€rnkraftsalternativet

“Nordkorea Ă€r inte ett problem i vĂ€rldsskala utan massförstörelsevapen”, sĂ€ger Hypponen. “KĂ€rnvapen förĂ€ndrade vĂ€rlden. De avslutade andra vĂ€rldskriget, ett utmĂ€rkt exempel pĂ„ avskrĂ€ckande spel. De byggdes av mĂ€nniskor som oss, nördarna och nördarna i deras generation. Man kan argumentera för att kĂ€rnfysiker förlorade sin oskuld 1945 nĂ€r vi anvĂ€nde först den makten för att döda. “

PĂ„ samma sĂ€tt “förlorade datavetare sin oskuld 2011 med Stuxnet, en attack som hade makten att döda. Vi vet inte att nĂ„gon dog direkt pĂ„ grund av Stuxnet-koden, men gott om datasĂ€kerhetsfolk har dödats pĂ„ grund av deras fĂ€rdigheter . NĂ€r datorexperter dödas kĂ€nns det inte sĂ„ trevligt. “

Han pekade pĂ„ en hĂ€ndelse för nĂ„gra mĂ„nader sedan, nĂ€r Israel lanserade missiler för att ta ner ett Hamas-hackaroperationscenter. “Ingen skulle slĂ„ ett öga om de lanserade missiler mot en bombfabrik,” sa han, “men detta var ett cybercenter. Det kĂ€ndes som om vi hade passerat en annan linje.”

“Det faktum att tillskrivning inte hindrade det verkliga svaret Ă€r viktigt”, fortsatte han. “Israelierna visste vem attackerna var. De kan ha haft insiders eller mĂ€nniskor pĂ„ marken. De hade förtroende för att tro att de tillskrivits. För de flesta cyberattacker Ă€r detta inte fallet. Dessutom skickade Hamas samtidigt fysiska attacker.”

Cyberweapons erbjuder ingen avskrÀckande

“Kraften hos traditionella vapen ligger mycket i avskrĂ€ckande”, sĂ€ger Hypponen. “Du kan visa dem i en militĂ€rparad. Du behöver inte anvĂ€nda dem. Det rĂ€cker att ha dem. Nukes har anvĂ€nts bara tvĂ„ gĂ„nger. Kraften hos tiotusentals nukes Ă€r att ha dem, inte anvĂ€nda dem . “

NĂ€r det gĂ€ller cybervapen finns det ingen avskrĂ€ckande kraft. “Vi vet inte vem som har vad”, sa han. “Vad Ă€r Nya Zeelands eller Vietnams cyberförmĂ„ga? Vi vet inte, och det finns ingen avskrĂ€ckning i vapen som ingen kĂ€nner till.”

Cybervapen har ocksĂ„ kort hĂ„llbarhet. “En typisk nolla-dagars utnyttjande fungerar inte för alltid. Kanske kommer en ny version av mĂ„let till spel, eller sĂ„ sĂ€ljer sĂ€ljaren sĂ„rbarheten.”

“En general som investerar miljoner i vapen som jetstrĂ„lkastare fĂ„r smĂ€ll för pengarna”, sa han. “De fĂ„r avskrĂ€ckande. Investera miljoner i cyber som ingen kĂ€nner till, du fĂ„r ingen avskrĂ€ckande, och sedan upphör de. Du fĂ„r ingen avkastning pĂ„ investeringen alls. Detta skulle kunna anvĂ€nda cybervapen mer sannolikt Ă€n traditionella vapen.

“Hur fĂ„r du avskrĂ€ckande kraft inom cyberomrĂ„det? Hur hĂ„ller du en parad för dem? Kan du göra en offentlig demo, ha krigsspel, skrĂ€mma fienderna genom att visa hur bra du Ă€r? Vi har inte sett nĂ„got land göra det. Det finns ingen cyber som ömsesidigt garanterad förstörelse. “

Konsekvenserna av Cyberwar

“Cyber ​​Àr nĂ€sta domĂ€n vi mĂ„ste försvara”, sĂ€ger Hypponen. “Det hĂ€r Ă€r en lektion för bĂ„de statliga och privata företag. De flesta attacker mot företag kommer frĂ„n brottslingar. De vill bara ha pengar, och om du gör processen för dyr kommer de att attackera nĂ„gon annan.

“NĂ€r angriparen kommer frĂ„n en regering Ă€r angriparen militĂ€r och militĂ€ren följer order”, noterade Hypponen. “De fĂ„r en order att gĂ„ sönder den hĂ€r organisationen, fĂ„ den hĂ€r informationen och rapportera tillbaka. MilitĂ€ren kommer bara fortsĂ€tta att försöka. Att P i Advanced Persistent Threat.

“NĂ€r vi tittar pĂ„ lĂ€nderna i vĂ€rlden Ă€r USA mest utsatt för cyberattack, mest beroende av teknik,” sa han. “Andra lĂ€nder Ă€r inte lika beroende.

“Ska vi svara pĂ„ cyberattacker med missiler? Ja det borde vi göra, men om angriparen gör mer Ă€n cyber”, avslutade han. “Om alla domĂ€ner Ă€r i spel finns det inga problem med tillskrivning och ingen anledning att inte svara med missiler.”

Om vi ​​skulle svara pĂ„ missilattacker med cyberangrepp, vĂ€nde Hypponen frĂ„gan. Han svarade med ett citat frĂ„n sĂ€kerhetspundit Thaddeus e. grugq: “Total cyberkrig. Eftersom den frĂ€msta avskrĂ€ckningen mot de mest aggressiva cyberattackerna Ă€r rĂ€dsla för kinetisk eskalering. Men nĂ€r du redan Ă€r kinetisk, varför hĂ„lla tillbaka? Cyber ​​blir helt enkelt en annan konfliktdomĂ€n.” SĂ„ ja!

Hypponen avslutade med att tacka deltagarna och sa: “SĂ€llan tackas nĂ„gon för det arbete de gjorde för att förhindra katastrofen som inte hĂ€nde. Det Ă€r mer sant i vĂ„r linje Ă€n de flesta andra. Vad vi gör Ă€r som Tetris. NĂ€r du lyckas det försvinner. NĂ€r du skruvar upp staplar det upp. “