האם נוכל להילחם בתוכנות זדוניות הממומנות על ידי הממשלה?

גורו האבטחה מיקו היפונן פרש מכנס RSA מוקדם יותר השנה במחאה על העובדה כי פגם באלגוריתם ההצפנה של RSA איפשר ל- NSA לפרוץ לקבצים מוצפנים. או שהם עשו זאת במכוון, או שזו הייתה תאונה. רע, או לא כשיר? זה רע בכל מקרה. בכנס Black Hat 2014 בלאס וגאס, הרחיב היפונן את מה שאנחנו יכולים לצפות כשממשלות יתחילו לעסוק בכתיבת תוכנות זדוניות.

היפונן הוביל בשיעור היסטוריה קטן. "זו תפיסה שגויה נפוצה, " הוא אמר, "שאם חברה תפרוץ מספיק קשה הם יפשטו את הרגל. אבל זה לא כך. רוב הארגונים הגדולים מתאוששים במהירות. חשבו על הפרת PSN של סוני." הוא המשיך והצביע על חריג אחד בולט. בשנת 2011 פרצה חברת Diginotar ההולנדית על ידי תוקף חיצוני שהשתמש במערכת ייצור האישורים של החברה כדי לייצר תעודות מזויפות עבור גוגל, מוזילה, מיקרוסופט, טוויטר ועוד.

"הפיגוע הזה שימש את ממשלת איראן כדי לפקח ולמצוא מתנגדים במדינתם", אמר היפונן. "ניתן לבצע התקפה כזו אם אתה שולט בכל הרשת של המדינה שלך. דיג'ינווטאר לא התקפל בגלל שהם נפרצו; הם התקפלו בגלל שהם לא אמרו לאף אחד. כשזה יצא, הם איבדו אמון, וכתעודה אמון הספקים זה מה שהם מכרו."

שינוי לאחרונה

"תחשוב על האויבים של תעשיית האבטחה בעשרים השנים האחרונות", אמר היפונן. "זה היה רק ​​ילדים, חובבים שפתחו בהתקפות כי הם יכלו. ואז לפני 15 שנה כנופיות פושעות מקצועיות נכנסו לעסק. הפעילות הזדונית של הממשלה הייתה איתנו רק למעלה מעשר שנים."

"לא מזמן הרעיון שממשלות מערביות דמוקרטיות היו מעורבות בכך באופן פעיל היה נשמע מגוחך", המשיך היפונן. "הרעיון של מערכות דמוקרטיות במערכת המערבית הדמוקרטית כדי לרגל אחרי ממשלה דמוקרטית אחרת? אבל כאן אנו נמצאים."

היפונן השווה את ההצטברות הנוכחית של יצירת חסות זדונית ממשלתית למרוץ הנשק הגרעיני הישן. הוא ציין כי אין שום שאלה של ייחוס כשמדינה אחת מפילה גוש על מדינה אחרת. כוחם של נשק גרעיני נמצא בהרתעה ולא בשימוש בפועל. "זרועות" סייבר שונות לחלוטין.

ממשלתך עשויה להדביק אותך

היפונן הציב חמש מטרות שהממשלה עשויה לשקול לצורך יצירת תוכנות זדוניות: אכיפת חוק, ריגול (במדינות אחרות), פיקוח (על אזרחיהן שלהם), חבלה ולוחמה בפועל. "מדינתי שלי, פינלנד, הפכה את זה לחוקי בינואר האחרון שהמשטרה תדביק יו בתוכנות זדוניות אם אתה חשוד בפשע חמור", ציין היפונן. "אם משתמשים בכלי כזה, עלינו לקיים דיון. איזה פשע הוא מספיק גרוע? הייתי רוצה לראות נתונים סטטיסטיים: בשנה שעברה הדבקנו כל כך הרבה אזרחים, רבים אלה היו אשמים, רבים לא היו כאלה." הוא המשיך והציע שאם אכיפת החוק מדביק אותך ואתה חף מפשע, עליהם להחזיק בבעלותם. "הייתי רוצה שהם יגידו שהם מצטערים", הוסיף. "זה יהיה הוגן."

המצגת המלאה עברה לפרטי פרטים על מספר התקפות ספציפיות הממומנות על ידי תוכנות זדוניות. תוכלו לקרוא אותו כאן. היפונן נסגר עם נקודה מפוכחת. על פי אמנת ז'נבה, ההגדרה של יעד צבאי לגיטימי כוללת "אותם חפצים אשר מטבעם, מיקומם, מטרתם או שימושם תורמים תרומה אפקטיבית לפעולה צבאית אשר הרסם מוחלט או חלקי, לכידתם או נטרולם, בנסיבות הקבועות בה. הזמן מציע יתרון צבאי מובהק. " "זה אנחנו, " אמר היפונן. "במלחמה, חברות אנטי-וירוס הן יעד לגיטימי."