Bestræbelser på at kontrollere cybervåben ignorerer de agenter, der bruger dem

Rapporter om ondsindede og målrettede cyberangreb bliver mere og mere almindelige over hele verden. I begyndelsen af ​​februar, for eksempel, Australiens sikkerhedsagenturer afslørede, at der efterforskede et forsøg på hacking af landets parlament. og havde ikke udelukket, at et andet land stod bag.

Efterhånden som mere komplekse og potentielt skadelige angreb på kritiske nationale infrastruktursystemer opdages, opfordringer til internationale regler til at styre denne nye kampfront bliver stadig højere.

Indsatsen i retning af cybervåbenkontrol har overvejende centreret sig omkring en model, hvor "våbenene" relaterer sig til våbenkodet - specifikke hackingværktøjer eller softwaresårbarhederne, der muliggør dem. Der er blevet gjort forsøg på at begrænse udbredelsen og spredningen af ​​det, der kaldes "zero-day exploits" - fejlene i et programs kode, der tillader ondsindede angribere at forstyrre de systemer, der kører dem.

En nylig afsløring af Reuters af operationerne af en hemmelig fløj af De Forenede Arabiske Emiraters (UAE) National Electronic Security Authority (NESA) afslørede en anden komponent af offensive cyberangreb – ekspertise. Dette spørgsmål vakte yderligere international opmærksomhed, da FBI i midten af ​​februar annoncerede anklager mod Monica Witt, en tidligere US Air Force-analytiker, anklaget for spionage og afhoppet til Iran.

Cyberlejesoldater

Reuters efterforskning detaljerede, hvordan nogle tidligere ansatte i US National Security Agency (NSA), operatører med ekspertise i digitale penetrationsteknikker, online efterretningsindsamling og offensive cyberoperationer, blev indgået kontrakt via et Maryland-baseret firma til at arbejde for UAE.

Undersøgelsen nævner specifikt et af værktøjerne – Karma – som disse entreprenører brugte på vegne af UAE mod specifikke mål. Dette hackingværktøj tillod dets operatører at få uopfordret og fjernadgang til et måls Apple-telefon gennem en uspecificeret fejl, som nu menes at være blevet rettet af Apple. Reuters rapporterede, at målene for disse angreb spændte fra menneskerettighedsaktivister, til amerikanske journalister.

Artiklen rejste spørgsmål om, hvorvidt disse entreprenører kunne have givet deres NESA-medarbejdere avancerede cyber-kapaciteter udviklet af deres tidligere arbejdsgiver, NSA. Men underteksten i Reuters-undersøgelsen er, at ekspertisen hos disse tidligere efterretningsofficerer er lige så attraktiv for deres nye arbejdsgivere som ethvert værktøj, de måtte bringe med sig.

I en separat artikel, specifikt at undersøge karma, Reuters hævder, at det blev købt af Emirati-regeringen fra en leverandør uden for landet. Træde i kræft, De Forenede Arabiske Emirater havde hyret et team af specialistingeniører uden arbejde, som ikke kunne tage de værktøjer med sig, de havde brugt i USA, så det købte dem det værktøj, de skulle bruge for at få arbejdet gjort. Dette tyder på, at der er to komponenter, der kræves for at udruste enhver stat eller gruppe med avanceret cyber-kapacitet:værktøjerne og ekspertisen.

Redskaber og ekspertise

Globale bestræbelser er i gang for at styre de værktøjer, der bruges i cyberangreb, såsom Global Commission on the Stability of Cyberspace, som introducerede en række internationale normer om brugen af ​​cyberspace for at fremme stabiliteten af ​​internettet og god praksis for alle involverede. Andre bestræbelser har været på det lovgivningsmæssige plan, såsom specifikke tilføjelser til Wassenaar-arrangementet, et eksportkontrolarrangement, der søger at begrænse udbredelsen af ​​civile teknologier, der kan tages i brug militariseret. Men cyberoperatørernes ekspertise har indtil videre været begrænset opmærksomhed.

I scenariet beskrevet af Reuters, NESA og dets Project Raven kunne ikke have fungeret uden hverken værktøjerne eller ekspertisen. Selve værktøjet – Karma – og den ekspertise og erfaring, der kræves for at bruge det og træne andre til at gøre det, begge kræver betydelige investeringer.

Farerne ved statslige investeringer i indsamlingen af ​​softwarefejl og skabelsen af ​​kraftfulde værktøjer, som derefter udnytter disse hidtil ukendte svagheder, blev smerteligt demonstreret gennem lækagen af ​​den sårbarhed, der er lagret af NSA, EternalBlue. Dette var rygraden i WannaCry-angrebet, som skabte internationale overskrifter i 2018 gennem dets indvirkning på det britiske NHS og andre internationale forretnings- og offentlige tjenester.

Men bekymringerne bør vokse over den kapacitet, som stater investerer i færdigheder hos de mennesker, der opdager og derefter våbengør fejl i softwaren, som driver vores stadig mere sammenkoblede og internetafhængige liv. Regeringer over hele verden forbereder sig på, hvad de ser som det næste domæne for krigsførelse ved at forsøge at rekruttere eksisterende talenter til regeringsprojekter eller ved at træne den næste generation af cybersikkerhedseksperter, som de håber vil give dem en fordel.

Der er en risiko for, at i en global indsats, der fokuserer på staters brug af cyberværktøjer og udnyttelse af sårbarheder i programmeringskode, der er ved at udvikle sig en lovgivningsmæssig og regeringsmæssig kløft. Dette kunne se stater investere i at træne cyberspioner, sabotører eller fremtidens soldater kun for at finde de kritiske færdigheder og den kapacitet, de leverer, bliver snappet op af den højestbydende.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.