Video: Föreläsning i Västerås 2019 - Sverige håller på att vakna! (September 2024)
Säkerhetsguruen Mikko Hypponen drog ut från RSA-konferensen tidigare i år för att protestera mot att en brist i RSA-krypteringsalgoritmen låt NSA bryta in i krypterade filer. Antingen gjorde de det medvetet, eller så var det en olycka. Ondskad eller oduglig? Det är dåligt heller. På Black Hat 2014-konferensen i Las Vegas utvidgade Hypponen vad vi kan förvänta oss när regeringar kommer in i skadestyrningsbranschen.
Hypponen ledde med en liten historielektion. "Det är en vanlig missuppfattning, " sade han, "att om ett företag hackas tillräckligt illa, kommer de att gå i konkurs. Men det är inte så. De flesta stora organisationer återhämtar sig snabbt. Tänk på Sony PSN-brottet." Han fortsatte med att påpeka ett anmärkningsvärt undantag. 2011 bröt det nederländska företaget Diginotar av en extern angripare som använde företagets certifikatgenereringssystem för att generera falska certifikat för Google, Mozilla, Microsoft, Twitter och mer.
"Den här attacken användes av den iranska regeringen för att övervaka och hitta dissidenter i sitt eget land, " sade Hypponen. "En sådan attack kan genomföras om du kontrollerar hela ditt lands nätverk. Diginotar veckade inte för att de var hackade; de föll ihop för att de inte berättade för någon. När det kom ut tappade de förtroende och som certifikat leverantörernas förtroende är vad de sålde."
En nylig förändring
"Tänk på säkerhetsindustrins fiender under de senaste 20 åren, " sade Hypponen. "Det var bara barn, hobbyister som startade attacker eftersom de kunde. Sedan för 15 år sedan kom professionella kriminella gäng in i affären. Regeringens skadliga programverksamhet har bara varit med oss i över tio år."
"För inte så länge sedan skulle tanken att demokratiska västerländska regeringar skulle vara aktivt involverade i detta ha låt löjligt", fortsatte Hypponen. "Idén om en demokratisk västerregerings bakdörrsystem för att spionera på en annan demokratisk regering? Men det är där vi är."
Hypponen jämförde den nuvarande uppbyggnaden av regeringen sponsrade skapande av skadlig programvara med den gamla kärnvapenracen. Han påpekade att det inte finns någon fråga om tillskrivning när ett land tappar en nuke på ett annat. Kärnvapenkraften är avskräckande och inte i själva verket. Cyber "armar" är helt annorlunda.
Din regering kan smitta dig
Hypponen lade fram fem syften som en regering kan överväga för skapandet av skadlig programvara: brottsbekämpning, spionage (i andra länder), övervakning (av sina egna medborgare), sabotage och verklig krigföring. "Mitt eget land, Finland, gjorde det lagligt i januari för polisen att smitta dig med skadlig programvara om du misstänks för ett allvarligt brott, " konstaterade Hypponen. "Om verktyg som detta används måste vi ha en diskussion. Vilket brott är tillräckligt dåligt? Jag skulle vilja se statistik: förra året smittade vi så många medborgare, så många var skyldiga, så många var inte." Han fortsatte att föreslå att om brottsbekämpning infekterar dig och du är oskyldig, skulle de äga upp. "Jag skulle vilja att de skulle säga att de är ledsna, " tillade han. "Det skulle vara rättvist."
Den fullständiga presentationen gick i detalj om ett antal specifika regeringen-sponsrade skadliga attacker. Du kan läsa det här. Hypponen stängde med en nykter punkt. Enligt Genèvekonventionen inkluderar definitionen av ett legitimt militärt mål "de föremål som till sin natur, plats, syfte eller användning ger ett effektivt bidrag till militära åtgärder och vars totala eller delvis förstörelse, fångst eller neutralisering, under de omständigheter som härskar vid tiden erbjuder en bestämd militär fördel. " "Det är vi, " sade Hypponen. "I krig är antivirusföretag ett legitimt mål."
