Moores Outlaws





Eugene Kaspersky, VD för det ryska antivirusföretaget Kaspersky Lab, erkänner att det slog honom förra året att han kan dö i en flygolycka orsakad av en cyberattack. Kaspersky är en man med eklektisk smak och pojkaktig humor; När vi träffades på hans kontor i utkanten av Moskva mumsade han ett mellanmål av sötade, frystorkade hela krabbor från Japan, och vid ett tillfälle visade han mig ett par herrunderkläder, köpta på en gata i Moskva, som hade stämplat Skyddad av Kaspersky Anti-Virus. Men han blev ganska allvarlig när ämnet vände sig till dagarna fram till 1 april 2009.

Det var det datum då en elak datormask vid namn Conficker förväntades få en uppdatering från sin okända skapare – men ingen visste i vilket syfte. En justering av Confickers kod kan få de tre miljoner maskinerna i dess armé av förslavade datorer, kallade ett botnät, att börja attackera servrarna på något företag eller statligt nätverk, spy ut miljarder skräppost eller bara förbättra maskens egna. förmåga att fortplanta sig. Det är som om du har en miljon armé av riktiga soldater. Vad kan du göra? frågade Kaspersky retoriskt. Vad du än vill ha . Han lät det sjunka in ett ögonblick. Vi väntade på 1 april–för något . Jag kollade mitt reseschema för att se till att jag inte hade något flyg. Vi hade ingen aning om den här funktionen. Säkerhetstjänstemän var riktigt nervösa. I slutet? Inget hände. Oj! Oj! Kaspersky skrek. Han korsade sig, knäppte händerna i en bönslik ställning och stirrade mot taket.

Kan AIDS botas?

Den här historien var en del av vårt julinummer 2010



  • Se resten av frågan
  • Prenumerera

Det okända om Conficker våren 2009 (infektionen är fortfarande utbredd men än så länge inaktiv) återspeglar större okända uppgifter om hur dålig cybersäkerhet kommer att bli ( se Briefing ). Trenderna är inte lovande: besök Kasperskys labb – eller de hos något datasäkerhetsföretag eller forskningsutpost – och du lär dig snabbt att skadlig programvara är svårare att upptäcka, skräppostleverans snabbare och attacker ökar i antal och ekonomiska konsekvenser ( se The Rise in Global Cyber ​​Threats se bildspel ). Säkerhetsexperter och angripare är låsta i ett slags kapprustning. I Kasperskys fall gör hans ingenjörer och kryptografer allt från att söka snabbare automatiska virusdetekteringsmetoder till att trolla ryskspråkiga hackerbloggar efter ledtrådar om vad som kommer.

Geniala lösningar förökar sig, men attackerna förökar sig snabbare än. Och årets avslöjanden av Kina-baserade attacker mot företag och politiska mål, inklusive Google och Dalai Lama, tyder på att sofistikerat elektroniskt spionage också expanderar. Vad vi har sett under det senaste decenniet eller så, är att Moores lag arbetar mer för de onda än de goda, säger Stewart Baker, tidigare chefsjurist för National Security Agency och tidigare policychef på US Department of Homeland Security, med hänvisning till förutsägelsen att integrerade kretsar kommer att fördubblas i transistorkapacitet ungefär vartannat år. Det är verkligen 'Moore's outlaws' som vinner den här kampen. Koden är mer komplex, och det innebär fler möjligheter att utnyttja koden. Det finns mer pengar att tjäna på att utnyttja koden, och det betyder att det finns fler och mer sofistikerade människor som vill utnyttja sårbarheter. Om du tittar på saker som skadlig programvara som hittats, attacker eller storleken på draget som människor drar in, är det en exponentiell ökning.

När dessa låggradiga konflikter fortsätter, ökar även hotet om direkt cyberkrig. Mer än 100 nationer har utvecklat organisationer för att bedriva cyberspionage, enligt FBI, och minst fem nationer – USA, Ryssland, Kina, Israel och Frankrike – utvecklar faktiska cybervapen, enligt en rapport från november 2009 av datorsäkerhetsföretaget McAfee. (I maj bekräftade den amerikanska senaten direktören för National Security Agency, general Keith Alexander, som chef för det nyinrättade amerikanska cyberkommandot.) Dessa arsenaler skulle kunna inaktivera militära nätverk eller slå ner elnäten. Och striden kan eskalera med ljusets hastighet, inte bara med interkontinentala ballistiska missiler. Cybervapen kan påverka en enorm mängd människor, såväl som kärnvapen. Men det finns en stor skillnad mellan dem, säger Vladimir Sherstyuk, medlem av Rysslands nationella säkerhetsråd och chef för Institutet för informationssäkerhetsfrågor vid Moskvas statliga universitet. Cybervapen är väldigt billiga! Nästan gratis.



Den formen av strid är fortfarande till stor del spekulativ och kan involvera vissa specialiserade vapen, medan belägringen av attacker från hackare och skadlig programvara är en daglig verklighet för individer och företag. Men de två typerna av konflikter delar samma medium, och de kan dela några av samma tillvägagångssätt. Det kanske mest betydelsefulla är att den förra blir lättare att bekosta och farligare, i den skumma och kaotiska miljö som skapas av den senare. Att gå efter botnäten, gå efter företagsspionage, kommer inte att ta bort hotet om störande cyberkrig, säger Greg Rattray, en före detta nationell säkerhetstjänsteman i Vita huset och författare till S det tragetiska kriget i cyberrymden . Men ett renare ekosystem skulle sätta ett ljusare ljus på cyberkrigsaktivitet, vilket gör det lättare att upptäcka och försvara sig mot.

Grin och uthärda det: I avsaknad av starka internationella överenskommelser om att bekämpa cyberbrottslighet får ad hoc-samarbete ibland jobbet gjort – som när Eugene Kaspersky, VD för säkerhetsföretaget Kaspersky Lab i Moskva, hjälpte den holländska polisen att stänga av ett botnät. Men sådana isolerade framgångar håller inte jämna steg med den exponentiella ökningen av attacker.

På en grundläggande nivå är bristfällig teknik ansvarig för hela röran. Många komponenter i våra nuvarande nätverk byggdes inte för att vara särskilt säkra ( se Internet Is Broken, december 2005/januari 2006 ). Rapport efter rapport från federala myndigheter, National Research Council och tankesmedjor som Rand har gjort det klart att för att fixa cyberrymden för gott kommer det att krävas accelererande forskning och utveckling för att göra hårdvara, mjukvara och nätverksteknik säkrare - och sedan få dessa teknologier snabbt på plats. Det senaste samtalet kom i en rapport som utfärdades i november förra året av Department of Homeland Security, som drog slutsatsen att den enda långsiktiga lösningen ... är att säkerställa att framtida generationer av dessa tekniker är designade med säkerhet inbyggd från grunden.



Men att säkra cyberrymden kan inte vänta på helt nya nätverk. Under tiden måste vi börja ta itu med en mängd andra systemproblem. Bland dem: sunt förnuftssäkerhetspraxis ignoreras ofta, internationellt samarbete är lika fläckigt som tekniken är porös och internetleverantörer gör inte tillräckligt för att blockera skadlig trafik. Att hårdna mål – och att ha bra lagar och god brottsbekämpande kapacitet – är de viktigaste grunddelarna oavsett vilka andra aktiviteter vi vill försöka bedriva, påpekade Christopher Painter, Vita husets seniorchef för cybersäkerhet, vid en nyligen genomförd konferens. Teknikgranskning undersökte tre senaste episoder – en exceptionell botnätsutredning i Holland, en undersökning av Kina-baserat spionage i Indien och andra nationer, och 2007 års internetattacker mot den lilla baltiska staten Estland – för att dra lärdomar i hur man bättre kan polisera och säkra de felaktiga cyberspace vi har, och förbered dig för cyberkriget vi hoppas aldrig kommer.

Shadow och Grum

Holländaren från staden Sneek var bara 19 år gammal, men han hade redan uppnått mer än de flesta av oss kan hävda: han hade tagit olaglig kontroll över så många som 150 000 datorer runt om i världen. De ovetande offren hade samlats upp med hjälp av smarta meddelanden som såg ut att komma från deras kontakter på Microsofts Windows Live Messenger. De som klickade på en länk i meddelandet laddade ner ett virus; varje dator blev sedan en bot. Sommaren 2008, enligt ett amerikanskt åtal, beslutade mannen, Nordin Nasiri, att sälja kontrollen över dessa förslavade maskiner – ett botnät som han kallade Shadow – för 25 000 euro.

Botnät är bland de allvarligaste hoten på Internet. De är motorerna bakom spam och bedrägeri och identitetsstöld som skräppost vidmakthåller (enligt en färsk rapport från säkerhetsföretaget MessageLabs skickas nästan 130 miljarder skräppostmeddelanden varje dag, och botnät är ansvariga för 92 procent av dem). De är också ansvariga för sådana hot som denial-of-service-attacker, där datorgäng översvämmar en företags- eller statlig server med så mycket trafik att den inte kan fungera. Tusentals stora botnät svärmar den digitala etern, inklusive några som är miljontals maskiner starka. Botnät är verkligen grundorsaken och redskapet för att utföra mycket av det onda som pågår och som påverkar alla, säger Christopher Kruegel, datavetare och säkerhetsforskare vid University of



Kalifornien, Santa Barbara.

Spionage i molnet: Hur Kina-baserade hackare utnyttjade Web 2.0-tjänster för att driva ett globalt spionnätverk.

I våras avslöjade forskare ett datorspionagenätverk som riktats från Kina av förövare som fortfarande är okända. På kartan ovan representerar cirklar platser för 139 datorer som är kända för att ha infekterats med spionprogram; de inkluderade sådana i Indiens nationella säkerhetsråds sekretariat, Dalai Lamas kontor och den pakistanska ambassaden i USA. De infekterade datorerna använde populära Web 2.0-tjänster (avbildad ovan som ett moln) för att checka in på angriparnas webbplatser, och dessa webbplatser skickade sedan till maskinerna adresserna till kommando-och-kontrollservrar som de skulle ansluta till och skicka sina data till. I ett fall som dokumenterats av forskarna skickades 1 500 av Dalai Lamas brev från Dharamsala, Indien, till en kommando- och kontrollserver i Chongqing, Kina. Forskarna misstänker att de ursprungliga infektionerna slog rot när några offer öppnade virusladdade Word- och PDF-dokument som e-postats till dem. Infekterade datorer hittades också i Kina; några användes av angriparna för att testa deras system.

När saker och ting löste sig var Nasiri-fallet en modell för en framgångsrik transnationell botnätutredning. I USA fick FBI ett tips om holländaren och skickade det till högteknologiska enheten vid den holländska nationella polisen, som grep honom. Sedan, i en ovanlig touch, sökte de holländska utredarna hjälp av antivirusföretag för att skapa instruktioner för att radera infektionen från offrens datorer och att ta över botnätets kommando- och kontrollsystem, som fungerade på servrar i Nederländerna. De ville göra något nytt – att ta bort botnätet, minns Roel Schouwenberg, en antivirusforskare vid Kaspersky Lab, som den holländska polisen kontaktade för att utföra uppgiften. Det fanns en viss risk att den blev stulen av andra skurkar.

Problemet är att den amerikansk-nederländska utredningen var ett undantag. Ungefär när Shadow stängdes av, började ett annat botnät, känt som Grum, bli allt starkare ( se Botnet Snapshot i bildspel) . Grums kommando- och kontrollsystem var värd av ett ukrainskt företag som heter Steephost. I november 2009 skrev Alex Lanstein, en forskare vid det amerikanska datasäkerhetsföretaget FireEye, ett allvarligt e-postmeddelande till Steephosts adress för missbruksanmälan. Hej Abuse, började han, jag trodde att du skulle vara intresserad av att veta om ett kriminellt nätverk nedströms från dig. Han lade upp fakta om Grum och andra skadliga webbplatser som den var värd för, men han fick inget svar. Några dagar senare märkte han dock utseendet på ett slags botnätfikonblad: de skadliga webbplatsernas webbadresser ledde nu till falska e-handelshemsidor. I mars sa datasäkerhetsföretaget Symantec att Grum var ansvarig för 24 procent av all skräppost på Internet, upp från 9 procent i slutet av 2009.

Steephosts ägare, som inte kunde nås för en kommentar, hade lite att oroa sig för när de tummade på näsan på sådana som Lanstein. Botnät fungerar fritt över nationella gränser, och brottsbekämpningen ligger långt efter. Ett fördrag som syftar till att stärka utredningssamarbetet, den europeiska konventionen om cyberbrottslighet, har undertecknats av 46 länder – mestadels i Europa, men inklusive USA, Kanada, Sydafrika och Japan. Men det har inte undertecknats av Kina, Ryssland eller Brasilien, som (tillsammans med USA) kämpar för ledarskap som världens största värdar av cyberattacker. Vissa undertecknare, som Ukraina, är inte kända för entusiastiska ansträngningar för att stoppa botnät. Och försök att skapa en global version har avstannat ( se Global Gridlock om cyberbrott ). Botnät är ett allvarligt hot, men vi har ingen tur tills det finns internationell överenskommelse om att cyberbrottslighet verkligen behöver ganska rigorösa motåtgärder och lagföring i nästan alla internetanvändande nationer, säger Vern Paxson, datavetare vid University of Kalifornien, Berkeley, som studerar storskaliga internetattacker.

Med tanke på de dåliga utsikterna för en global överenskommelse, försöker USA att skapa bilaterala avtal med några av de värsta källorna till attacker, inklusive Ryssland. Ryssland samarbetar på ad hoc-basis för att förfölja hemodlade cyberbrottslingar – det hjälpte nyligen till vid arresteringen av flera personer i Ryssland som påstås ha utfört en onlinestöld på 10 miljoner dollar från Bank of Scotland – men slutar med att tillåta brottsbekämpning från andra nationernas tillgång till dess nätverk. Ändå sa Sherstyuk, den ryska informationssäkerhetstsaren, till mig: Vi vill hjälpa till att sätta reglerna på informationssfären. Och jag slår vad om att det finns många saker som vi kan göra tillsammans.

Botnet ögonblicksbild: Ett botnät som heter Grum är en ledande källa till spam på Internet. Här är några av dess viktiga statistik.

Många internetleverantörer, en annan potentiell källa till försvar, gör också en ljummet ansträngning. Internetleverantörer har kapacitet att identifiera och sätta infekterade maskiner i karantän i sina nätverk, och därmed innehålla en källa till spam och attacker. Men i praktiken ignorerar de flesta internetleverantörer alla utom dessa maskiner som är så skadliga att de uppmanar andra internetleverantörer att hämnas genom att blockera trafik. Det är mycket billigare att tillhandahålla den extra bandbredden än att faktiskt ta itu med problemet, säger Michel van Eeten, professor i teknikpolitik vid Hollands Delft University of Technology, som studerar botnät. Han beskriver fallet med en australisk internetleverantör som övervägde teknik för att automatiskt stänga av infekterade datorer. Internetleverantören övergav snart planen när den insåg att 40 000 förvirrade och arga kunder skulle ringa in till kundsupporten varje månad och undrade varför de blev avbrutna och hur de skulle rengöra sina maskiner. ISP:er tar vanligtvis hand om botarna som utlöser motåtgärder mot ISP själv, van Eeten

säger, men inte för många fler, på grund av kostnadseffekten av att skala upp en sådan insats.

När det gäller det holländska fallet avslöjade det att även framgångsrika utredningar är svåra att åtala. Idag väntar Nasiri på rättegång i Holland på grund av holländska anklagelser. Men en brasiliansk man som ursprungligen åtalades tillsammans med honom klarade sig undan rättegången. Det amerikanska åtalet hade påstått att brasilianen orkestrerade kvittot på 23 000 euro från en köpare och ordnade med att ta emot elektroniska medier från Nasiri som innehöll botkoden. Det verkade som om han hade tagits på bar gärning. Förra året lade dock USA ner anklagelserna med hänvisning till att ett nyckelvittne inte var tillgängligt. Den holländska polisen säger att de eskorterade honom till Amsterdams flygplats Schiphol och att han flyger tillbaka till Brasilien, en fri man.

Spionage

1959 flydde den tibetanska andlige ledaren, Dalai Lama, till Dharamsala, en naturskön stad vid Himalayas fot i norra Indien som fortfarande är hem för Tibets exilregering. Där fungerar ett lokalt kafé som heter Common Ground också som en icke-statlig organisation som försöker överbrygga klyftan mellan kinesiska och tibetanska kulturer. Men 2009 upptäckte en datavetare som besökte caféet en bro av ett annat slag: en elektronisk spionpipeline. Forskaren, Greg Walton, märkte att datorer i stadens Wi-Fi-nätverk, kallat TennorNet, skickade signaler till en kommando-och-kontrollserver i Chongqing, Kina.

Omfattningen av spionaget sträckte sig långt utanför caféet. Enligt forskare från Ottawas cyberkriminaltekniska företag SecDev Group (inklusive Walton) och University of Toronto, inkluderade offren organ från det indiska nationella säkerhetsetablissemanget; de komprometterade uppgifterna inkluderade personlig, finansiell och affärsinformation som tillhör tibetaner, indier och människorättspersoner runt om i världen ( se Spionage in the Cloud i bildspelet ). Upptäckten kom innan Kina-baserade attacker mot Google och andra västerländska företag fick Google att dra sig ur Kina ( se China's Internet Paradox, maj/juni 2010 ). Vi saknar bra mått för att ta reda på hur stort spionageproblemet är, men det verkar uppenbart att det blir mycket värre – och snabbt, säger Paxson. Google Kina var en väckarklocka, och det finns mycket mer av det där ute.

Baltic Battle: År 2007, efter en tvist om Estlands planer på att flytta ett ryskt monument, utbröt upplopp mellan ryssar och ester.

Kina förnekar att dess regering låg bakom antingen Dalai Lama- eller Google-attackerna, och Toronto-gruppen säger att Toronto-gruppen inte kan bevisa att det var det. Men vi kan ganska spekulera i att det finns en kinesisk marknad för underrättelser om personer som är verksamma i tibetanska kretsar. Många institutioner – företag, regeringar, universitet – befinner sig i en liknande position som Tibets exilregering, genom att de har data som är värda att stjäla eftersom de är av värde för någon. Och det kanadensiska arbetet kastade ljus över globala spionagetekniker som av allt att döma är mycket mer utbredda än de Kina-baserade angriparnas attacker mot tibetanska mål. Med exponentiell tillväxt av cyberbrottslighet kommer privata och offentliga organisationer att hitta cyberpenetrationer om de letar efter, säger John Mallery, datavetare vid MIT:s datavetenskap och artificiell intelligens Laboratory. Mer eller mindre är organisationer fastsittade i inneboende osäkra infrastrukturer och komponenter som aldrig designats för säkerhet och i bästa fall har eftermonterats med partiella säkerhetsåtgärder. Idag har angriparen fördelen på arkitektoniska nivåer och förnyar sig snabbare än försvarare. Så vad organisationer kan göra är att hantera sin sårbarhet genom att isolera värdefull information.

Som Mallery föreslår är lärdomen att organisationer bör planera för förluster och vara ständigt vaksamma, eftersom ingen nätverksansluten IT-infrastruktur kan vara riktigt säker. Tänk på att som svar på tidigare intrång (också upptäckt av de kanadensiska forskarna), hade Dalai Lamas personal installerat toppmoderna brandväggar ett år innan Waltons upptäckt. Men brandväggar måste generellt programmeras för att blockera fientliga webbplatser, och de Kina-baserade spionerna använde ett ständigt skiftande utbud av godartade mellanhänder, inklusive Google Groups, Twitter och Yahoo Mail. Angriparna tros ha inbäddat sin skadliga programvara i Microsoft Word- och PDF-dokument som skickats från till synes vänliga e-postadresser som antingen hade blivit falska eller hackade. Om offret öppnade bilagan med en sårbar version av Adobe Reader eller Microsoft Office slog spionprogrammet rot.

Lyckligtvis kan vissa framväxande teknologier erbjuda en lösning även i dessa fall. Cyberspionage innebär ofta att skadliga kommandon skickas till en infekterad dator som sedan skickar tillbaka data. Att upptäcka signaturen för dessa kommandon – och sedan blockera dem – är målet för Santa Barbaras Kruegel, som har utvecklat teknologi som upptäcker kommunikationen även om den första infektionen inte upptäcktes. Även om angripare kan kompromissa med maskiner, säger Kruegel, om du kan identifiera kommandona snabbt nog kan du rikta och skjuta ner dem. Han räknar med att ta ut tekniken på marknaden inom ett år.

Förändringar på politisk nivå kan också göra skillnad: just nu hindrar inget fördrag vad de Kina-baserade agenterna gjorde. Medan FN-konventioner gör starka uttalanden om mänskliga rättigheter, till exempel – och sådana konventioner är ofta

åberopas för att fördöma Kinas och andra nationers agerande – inget jämförbart tar itu med digital plundring som utsätter mål inom politik, näringsliv och mänskliga rättigheter. Cyberbrottslighet förvandlas till cyberspionage på grund av frånvaron av begränsningar på global nivå, säger Ronald Deibert, som hjälpte till att leda spionageforskningen som chef för Citizen Lab, en forskningsutpost vid University of Toronto. Att ha ett fördrag skulle hjälpa till att hålla regeringarna ansvariga. Du kan säga: 'Här är fördraget, och Kina, du spelar inte efter reglerna - men du skrev under det.' ( Se Militarizing Cyberspace, Notebooks, s 12. ) Samtidigt är det säkert att anta det värsta om förekomsten av cyberspionage. Vi måste se på det här som ett litet fönster in i ett mycket större problem, säger han. Vi doppade liksom fingret i en pool här.

Sedan stängdes mycket av Estlands internet av av en serie cyberattacker. Svårigheten att tillskriva dessa attacker visar på ett behov av ny teknik och utökade internationella överenskommelser.

Vem gjorde det?

På morgonen den 27 april 2007 började den estniska regeringen, över protester från Ryssland, flytta en bronsstaty av en sovjetisk soldat som ursprungligen hade installerats i huvudstaden Tallinn för att fira andra världskrigets döda. De 300 000 etniska ryssarna som bodde i Estland var rasande. Inte långt efter började internetattacker. Botnät riktade sig till estniska tidningar, telekom, banker och statliga sajter. Nationens nätverk var belägrad i veckor. Ryssland verkade vara den uppenbara boven: dess regering hade varnat för att det skulle vara katastrofalt att ta bort statyn.

Om du tittade på estnisk nätverkstrafik under attackerna, skulle du ha sett botarméer avancera från USA, Egypten, Peru och andra länder. Men närmare granskning avslöjade att många av botarna tog emot beställningar från datorer i Ryssland (och instruktioner om hur man översvämmer estniska webbplatser med värdelösa pingar som sprids i Rysslandsbaserade chattrum). Ändå var det omöjligt att avgöra om den ryska regeringen själv styrde den fientliga verksamheten. Ryssland förnekade ansvaret men vägrade tillåta någon rättsmedicinsk analys av sina nätverk.

Kort sagt, det fanns inget enkelt sätt att tillskriva attacken. I en värld som har utsikterna till cyberkrig, situationer utsikterna till cyberkrig, är sådana situationer bland de största problemen som nationer står inför, men absolut inte de enda. Om ett nätverksbrott som syftar till spionage inte lätt kan särskiljas från ett som är ett förspel till attack, är det svårt att veta när en motattack är motiverad. Det finns inte heller något sätt att utföra inspektioner av cybervapen, mäta deras potentiella avkastning eller intyga att de har förstörts. När senaten pressade general Alexander, den nya chefen för US Cyber ​​Command, för att förklara hur USA skulle hantera dessa frågor, var hans svar hemligstämplade. Hela fenomenet cyberkrig är höljt i sådan regeringssekretess att det får det kalla kriget att se ut som en tid av öppenhet och transparens, skriver Richard Clarke, den före detta tsaren mot terrorism, i sin nya bok, Cyber ​​War: The Next Threat to National Security. och vad man ska göra åt det.

Men konsekvenserna av tillskrivningsproblemet är tydliga nog. En attack mot en Nato-nation tvingar andra Nato-medlemmar att gå med i kampen, påpekar Michael Schmitt, dekanus och professor i internationell rätt vid George C. Marshall European Center for Security Studies i Tyskland. Att göra fel skulle vara en katastrof. Det här är inte en situation där du kan tror den andra sidan attackerade, säger han. Du måste känna till . Som vi lärde oss nyligen måste du få bevisen rätt när du går i krig. Och i fallet med ett cyberhot kan en regering lätt missbedöma sin källa, eftersom internetadresser kan döljas eller förfalskas. Jag är livrädd att du tillskriver en stat felaktigt, säger Schmitt.

På lång sikt kan föreslagna tekniska lösningar lösa detta problem. Forskargrupper vid Georgia Tech, University of California, San Diego, University of Washington och andra institutioner arbetar på sätt att fastställa härkomsten av data. I ett tillvägagångssätt som utvecklats av forskare vid San Diego och University of Washington, skulle identiteten för den ursprungliga datorn som utfärdade ett datapaket förbli kopplad till dessa data, i krypterad form. Den digitala nyckeln till denna identitet skulle innehas av en betrodd tredje part – kanske endast tillgänglig genom domstolsbeslut. Alla instrument för nationell makt, allt från diplomatisk till militär makt till ekonomiskt inflytande, är ganska värdelösa om man inte kan tillskriva vem som utförde en attack, säger Stefan Savage, en datavetare vid University of California, San Diego, som utvecklar teknologin. Men medan tekniken potentiellt kan berätta identiteten

teknik kan potentiellt berätta identiteten för en maskin som utförde en attack (eller begick ett brott), detta är inte alltid användbart om den ursprungliga källan var någon offentlig dator. Att kunna tillskriva aktivitet till en viss maskin är mycket annorlunda än att kunna säga 'Vad var dess sanna källa?' säger Berkeleys Vern Paxson. Även om det gick hela vägen till terminalens slutsystem – det vill säga platsen för en attacks verkliga ursprung – kanske du har något kafé i Shanghai. Paxson varnar för att tillvägagångssätt för att spåra identiteter i cyberrymden i allmänhet har uppenbara integritetsimplikationer. Tekniken för att ta itu med den här typen av problem – förmågan att kunna övervaka vem som gör vad och spåra det – skulle vara mycket kraftfull, säger han. Men det skulle också vara polis-statsteknik.

Med lösningar som fortfarande är långt borta, kommer att avvärja ett onödigt utbrott eller eskalering av cyberkrig att behöva förlita sig på mer konventionella underrättelsetekniker. Övervakning av datornätverk kan ibland ge de ledtrådar som behövs för att identifiera och avslöja en potentiell angripare, säger Bret Michael, datavetare vid Naval Postgraduate School i Monterey, CA. Det kan också grundläggande mänskliga intelligensnätverk. Om underrättelsetjänster kan lokalisera källan till ett hot, kan de lysa upp en förbrytare innan han attackerar eller strax efter, säger han. Ibland räcker det att bara bli identifierad för att förhindra att en attack äger rum.

Cybermöte

En skarp aprilmorgon i år anlände mer än 140 diplomater, beslutsfattare och datavetare till bergsstaden Garmisch-Partenkirchen, Tyskland. Deras värd var det ryska inrikesministeriet.

Ämnet för konferensen som förde dem dit: hur man säkrar informationssfären, som ryssarna uttryckte det. Men detta betydde olika saker för människor från olika länder. Painter, Vita husets medhjälpare, betonade att bekämpa cyberbrottslighet. Rysktalande – med tanke på självmordsbombningarna som nyligen hade drabbat Moskvas tunnelbana – talade om att omintetgöra terroristutbildning och organisera online. En indisk forskare pratade om Mumbai-terroristernas nätverksanvändning och beskrev hur indiska lagar reformerades som svar. Representanter för Internet Corporation for Assigned Names and Numbers (ICANN), den myndighet som ansvarar för domännamn, talade om de senaste säkerhetskorrigeringarna. En liten kinesisk delegation deltog men tittade tyst på.

Sedan, den andra dagen, tog Michael Barrett, chefsinformationssäkerhetschef på PayPal, podiet för att påminna deltagarna om vad de hade gemensamt: en trasig uppsättning teknologier. Liksom andra mål, sa han, är PayPal – som ger internetanvändare ett säkert sätt att skicka kontanter i 190 länder och regioner – under belägring. Det som blir tydligt för oss, och faktiskt alla som utövar informationssäkerhet, är att de flesta kurvorna – och vi kan alla gräva fram dessa kurvor, mängden virus på Internet, antalet intrång och bla bla bla – de alla ser deprimerande lika ut. De tenderar alla att se logaritmiska ut i skala. De går alla upp liksom den där , sa han med ett skarpt svep mot himlen.

Med hänvisning till tidigare samtal om att förbättra samarbetet och lägga till säkerhetskorrigeringar, tillade han: Det är inte så att de sakerna är dåliga. Men vid det här laget påminner det mig lite om definitionen av galenskap, det vill säga att göra samma sak om och om igen och förvänta sig ett annat resultat. Det är vår hypotes att för att säkra Internet måste vi tänka på säkerhet på ekosystemnivå, och det betyder att vi måste tänka om grunderna för Internet. Precis när Barrett började värmas upp avbröt de ryska arrangörerna honom. De låg efter schemat och det var dags för lunch, men beslutet var symboliskt för ett större problem. I grund och botten har vi inte tekniken för att ta itu med hoten som levereras av nätverksinfrastrukturen vi har satt upp, säger John Mallery, MIT-forskaren. Flera forskningsprojekt har skapat testbäddar för nya internetarkitekturer eller prototyper av säkrare operativsystem och hårdvaruarkitekturer, till exempel chips som lagrar viss programvara i isolerade områden. Men rapporten från Department of Homeland Security fann fortfarande ett akut behov av snabbare forskning och utveckling för att säkra cyberrymden.

Den kollektiva diskussionen i Garmisch var användbar för att främja ansträngningar på kort sikt. Att ändra beteendet hos enskilda datoranvändare och företag kommer att vara avgörande; det kommer också att skärpa banden mellan brottsbekämpande myndigheter, installera de senaste tekniska uppdateringarna och utöka diplomatin. Men att byta till ny teknik kommer i slutändan att bli nödvändigt. Och det kommer sannolikt inte att hända förrän vi upplever ett större sammanbrott eller attack. Vad vi har sett är att kapprustning ofta utvecklas på ett evolutionärt sätt. Men då och då, de hoppa , säger Paxson. Om det finns någon cyberattack som förstör en stad under en vecka – eller om ett stort företag går på knä – kommer det att förändras. Jag har inget sätt att veta hur jag ska förutsäga det. Det är som att säga här i Bay Area: 'Kommer det att bli en stor jordbävning under de kommande tre åren?' Jag vet verkligen inte.

Hans kommentarer påminde mig om Kasperskys rädsla för flygkrasch; Tillsammans kan vi helt enkelt inte förutsäga hur och när saker och ting kan förändras. Men som Baker uttryckte det, lärdomen från 9/11, lärdomen från orkanen Katrina, är att det förr eller senare kommer att hända.

David Talbot är Teknikgranskning chefskorrespondent.

Dölj