Vijf redenen waarom terughacken een recept is voor cybersecurity-chaos

Een conceptuele afbeelding die terug hacken toont

Een conceptuele afbeelding die terug hacken toont Sally Thürer





Soms, wanneer tech-beleidsmakers een probleem proberen op te lossen, zou hun voorgestelde remedie de zaken alleen maar erger maken. Dat is zeker het geval met Amerikaanse conceptwetgeving die slachtoffers van cyberaanvallen de kans zou geven om hun vermoedelijke aanvallers op te sporen.

Het wetsvoorstel, dat bekend staat als de Active Cyber ​​Defense Certainty Act, of kortweg ACDC, is bedoeld om slachtoffers te laten proberen aanvallers op te sporen door de systemen binnen te gaan van organisaties waarvan ze vermoeden dat de hackers ze hebben gebruikt om aanvallen uit te voeren. Vaak zijn deze organisaties andere bedrijven die niet weten dat hun computers zijn gecompromitteerd. Een bestaande Amerikaanse wet verbiedt dit soort achtervolging, die bekend staat als terughacken. Slechts enkele overheidsinstanties, zoals de FBI, hebben de bevoegdheid om op deze manier verdachte hackers op te sporen.

Aanhangers van het wetsvoorstel, dat onlangs in het Amerikaanse Congres werd ingediend, zeggen dat de FBI en andere overheidsinstanties al overweldigd zijn door een aanval van cyberaanvallen, waaronder ransomware die computersystemen in steden als Atlanta en Baltimore heeft lamgelegd en massale gegevensdiefstallen bij grote bedrijven zoals de Marriott hotelketen. In theorie zou het geven van het recht aan bedrijven en individuen om zelf te jagen de inspanningen van de agentschappen ondersteunen.



Terug vechten

De Amerikaanse regering heeft aangegeven een meer proactieve benadering te hanteren om cyberdreigingen af ​​te schrikken . Maar de medesponsors van de ACDC-wet, het Republikeinse congreslid Tom Graves en de democraat Josh Gottheimer, stellen dat bedrijven en andere organisaties in de particuliere sector meer vrijheid nodig hebben om zichzelf te verdedigen. Ze zeggen ook dat sommige bedrijven al bezig zijn met sommige vormen van digitale waakzaamheid, en dat hun wetsvoorstel het juridische grijze gebied eromheen zou ophelderen.

De voorgestelde wetgeving (waarvan de volledige tekst onderaan het verhaal te vinden is) zou een bestaande Amerikaanse wet, de Computer Fraud and Abuse Act (CFAA), wijzigen om bedrijven en individuen in staat te stellen terug te hacken om hardnekkige aanvallers te lokaliseren. Ze zouden ook de systemen van de hackers kunnen controleren en hun activiteiten kunnen verstoren.

Het wetsvoorstel zegt dat de nieuwe bevoegdheden alleen mogen worden gebruikt door gekwalificeerde verdedigers die een hoge mate van vertrouwen hebben in de identiteit van hun aanvallers. Ze moeten de FBI informeren en advies inwinnen voordat ze terughacken - en hun best doen om te voorkomen dat systemen van derden worden beschadigd en dat de vijandelijkheden escaleren.



Dit klinkt misschien allemaal redelijk, maar de ACDC-wet vertoont ernstige tekortkomingen omdat:

1. De meeste bedrijven hebben niet de vaardigheden om geavanceerde aanvallers aan te pakken

Het wetsvoorstel zegt niet wat een bedrijf of persoon precies kwalificeert als een gekwalificeerde verdediger. Door deze vaagheid zouden allerlei soorten bedrijven terug kunnen hacken. Maar terwijl, laten we zeggen, een Google vrijwel zeker over de knowhow beschikt om dit effectief te doen, zullen vele anderen dat niet doen.



Sean Weppner, een voormalige cyberofficier van het Amerikaanse ministerie van Defensie die nu bij cyberbeveiligingsbedrijf Nisos werkt, is van mening dat terughacken het beste aan regeringen kan worden overgelaten. Er zijn maar weinig mensen die de ervaring en expertise hebben om dit genuanceerd en beheerst te doen, zegt hij.

2. Het is heel moeilijk om zeker te weten wie er achter een cyberaanval zit

Hackers zijn meesters in verduistering en verbergen hun sporen meestal door dingen als spoof-IP-adressen en hacktools te gebruiken ontwikkeld door anderen . Het is ook erg moeilijk om er zeker van te zijn dat een computer die achter een aanval lijkt te zitten, zelf niet is gehackt. Dat kan er gemakkelijk toe leiden dat de verkeerde systemen worden aangevallen.



3. Het wetsvoorstel biedt geen echte bescherming als er iets misgaat

Het is heel gemakkelijk om onbedoelde schade toe te brengen aan de computers van onschuldige partijen. Zelfs de meest geavanceerde hackers pompen soms code uit die onbedoelde gevolgen heeft.

Anne Toomey McKenna, een professor aan de Penn State University, wijst erop dat zelfs als de ACDC-wet zou worden aangenomen, bedrijven nog steeds aansprakelijk zouden zijn voor dure civiele rechtszaken op zowel federaal als staatsniveau als ze de computers of gegevens van andere Amerikaanse bedrijven zouden schaden. En als ze systemen in het buitenland beschadigen, kunnen ze nog steeds worden aangeklaagd volgens de binnenlandse anti-hackingwetten. Het opent een deur voor bedrijven [om terug te hacken], zegt ze, maar het beschermt hen niet echt.

4. Het wetsvoorstel zou onvermijdelijk leiden tot schadelijke represailles

De ontwerpwetgeving zegt dat degenen die terughacken, hun best moeten doen om de vijandelijkheden niet te laten escaleren. Maar hackers zullen aanvallen op hun eigen systemen niet licht opvatten. Omdat ze al kieren in de digitale verdediging van slachtoffers hebben gevonden, kunnen ze er misschien meer van uitbuiten als ze worden geprovoceerd.

5. Particuliere bedrijven kunnen geconfronteerd worden met natiestaten

Van landen als Noord-Korea, Rusland en Iran wordt gedacht dat ze achter enkele van de grootste cyberbedreigingen zitten waarmee bedrijven tegenwoordig worden geconfronteerd. Het zou zeker niet raadzaam zijn als één bedrijf ze overneemt.

Sandra Joyce van cyberbeveiligingsbedrijf FireEye maakt zich zorgen dat als de ACDC-wet wordt aangenomen, dit ook een precedent kan scheppen dat andere landen aanmoedigt om hun eigen anti-hackingwetten te versoepelen. Sommige landen komen misschien in de verleiding om het voor bedrijven veel gemakkelijker te maken om terug te hacken dan in de VS. Dat zou een nog groter risico op een cybercatastrofe opleveren, waarschuwt Joyce.

Een betere aanpak zou zijn dat bedrijven zich concentreren op het versterken van hun verdediging. Veel inbreuken zijn nog steeds het gevolg van elementaire beveiligingsfouten, zoals slecht beveiligde wachtwoorden en het niet regelmatig bijwerken van software.

Tegelijkertijd moeten de VS harder werken met hun bondgenoten om internationale normen te bevorderen die de spanningen in cyberspace zouden helpen verminderen. Het aannemen van wetgeving zoals de ACDC-wet zou alleen maar een legale weg naar meer hacking-hel creëren.

zich verstoppen