Fem anledningar till att hacka tillbaka är ett recept på cybersäkerhetskaos

En konceptuell illustration som visar hacka tillbaka

En konceptuell illustration som visar hacka tillbaka Sally Thurer





Ibland när tekniska beslutsfattare försöker lösa ett problem, skulle deras föreslagna botemedel bara göra saken mycket värre. Det är verkligen fallet med utkast till amerikansk lagstiftning som skulle ge offer för cyberattacker chansen att jaga sina misstänkta angripare.

Känd som Active Cyber ​​Defense Certainty Act, eller kortfattat ACDC, syftar lagförslaget till att låta offer försöka spåra angripare genom att gå in i systemen hos organisationer som de misstänker att hackarna har använt för att utföra övergrepp. Ofta kan dessa organisationer vara andra företag som inte är medvetna om att deras datorer har äventyrats. En befintlig amerikansk lag förbjuder denna typ av jakt, som kallas för att hacka tillbaka. Endast ett fåtal statliga myndigheter, som FBI, har befogenhet att jaga misstänkta hackare på detta sätt.

Anhängare av lagförslaget, som nyligen presenterades i den amerikanska kongressen, säger att FBI och andra statliga myndigheter redan är överväldigade av ett angrepp av cyberattacker, inklusive ransomware som har förlamat datorsystem i städer som Atlanta och Baltimore och massiva datastölder hos stora företag som Marriott hotellkedja. Att ge företag och privatpersoner rätt att bedriva egen jakt skulle i teorin stödja myndigheternas ansträngningar.



Slå tillbaka

Den amerikanska regeringen har signalerat att den tar ett mer proaktivt tillvägagångssätt för att avskräcka cyberhot . Men ACDC-lagförslagets cosponsorer, den republikanske kongressledamoten Tom Graves och demokraten Josh Gottheimer, hävdar att företag och andra organisationer inom den privata sektorn behöver större frihet att försvara sig. De säger också att vissa företag redan är engagerade i vissa former av digital vigilantism, och att deras lagförslag skulle klara upp det juridiska gråområdet kring detta.

Den föreslagna lagstiftningen (vars fullständiga text finns längst ner i historien) skulle ändra en befintlig amerikansk lag, Computer Fraud and Abuse Act (CFAA), för att låta företag och individer hacka sig tillbaka för att hitta ihärdiga angripare. De skulle också kunna övervaka hackarnas system och störa deras verksamhet.

Lagförslaget säger att de nya befogenheterna endast bör användas av kvalificerade försvarare som har en hög grad av förtroende för sina angripares identitet. De måste informera FBI och söka vägledning från det innan de hackar tillbaka – och göra sitt bästa för att undvika att skada tredje parts system och utlösa en upptrappning av fientligheterna.



Detta kan låta rimligt, men ACDC-lagen är allvarligt felaktig eftersom:

1. De flesta företag saknar kompetens att ta sig an sofistikerade angripare

Lagförslaget säger inte exakt vad som kvalificerar ett företag eller individ som en kvalificerad försvarare. Denna vaghet kan låta alla typer av företag hacka tillbaka. Men medan, säg, en Google nästan säkert har kunskapen för att göra det effektivt, kommer många andra inte att göra det.



Sean Weppner, en före detta cyberofficer vid USA:s försvarsdepartement som nu arbetar på cybersäkerhetsföretaget Nisos, anser att hackning är bäst att överlåta till regeringar. Få människor har den erfarenhet och kompetens som behövs för att göra detta på ett nyanserat och kontrollerat sätt, säger han.

2. Det är verkligen svårt att säkert veta vem som ligger bakom en cyberattack

Hackare är mästare på fördunkling och täcker vanligtvis sina spår genom att använda saker som falska IP-adresser och hackningsverktyg utvecklat av andra . Det är också mycket svårt att vara säker på att en dator som verkar ligga bakom en attack inte själv har blivit hackad. Det kan lätt leda till att fel system riktas in.



3. Lagförslaget ger inget riktigt skydd när det går fel

Det är mycket lätt att orsaka oavsiktlig skada på oskyldiga parters datorer. Även de mest sofistikerade hackare pumpar ibland ut kod som får oavsiktliga konsekvenser.

Anne Toomey McKenna, professor vid Penn State University, påpekar att även om ACDC-lagen antogs, skulle den fortfarande lämna företag ansvariga för kostsamma civilrättsliga stämningar på både federal och statlig nivå om de skadade andra amerikanska företags datorer eller data. Och om de skadade system i främmande länder kan de fortfarande åtalas enligt inhemska anti-hackinglagar. Det öppnar en dörr för företag [att hacka tillbaka], säger hon, men det skyddar dem inte riktigt.

4. Lagförslaget skulle oundvikligen leda till skadliga repressalier

Lagförslaget säger att de som hackar tillbaka bör försöka hårt för att inte eskalera fientligheterna. Men hackare kommer inte att ta lätt på attacker mot sina egna system. Efter att redan ha hittat sprickor i offrens digitala försvar, kan de mycket väl utnyttja fler av dem om de blir provocerade.

5. Privata företag kan finna sig i att konfrontera nationalstater

Länder som Nordkorea, Ryssland och Iran tros ligga bakom några av de största cyberthoten som företag står inför idag. Det skulle absolut inte vara tillrådligt för ett enda företag att ta sig an dem.

Sandra Joyce från cybersäkerhetsföretaget FireEye oroar sig för att om ACDC lagförslaget antas kan det också skapa ett prejudikat som uppmuntrar andra länder att lossa på sina egna anti-hackinglagar. Vissa nationer kan frestas att göra det mycket lättare för företag att hacka tillbaka än vad det är i USA. Det skulle skapa en ännu högre risk för en cyberkatastrof, varnar Joyce.

Ett bättre tillvägagångssätt skulle vara att företag fokuserar på att stärka sitt försvar. Många intrång är fortfarande resultatet av grundläggande säkerhetsfel, som dåligt skyddade lösenord och misslyckanden med att uppdatera programvara regelbundet.

Samtidigt måste USA arbeta hårdare med sina allierade för att främja internationella normer som skulle hjälpa till att lindra spänningar i cyberrymden. Att anta lagstiftning som ACDC-lagen skulle bara skapa en laglig väg till ett mer hackande helvete.

Dölj