Hvornår lærer vi næsten alt, hvad der potentielt kan hackes?

Denne uges WikiLeaks-frigivelse af, hvad der tilsyneladende er en trove af oplysninger fra Central Intelligence Agency relateret til dets computerhacking burde ikke overraske nogen: På trods af sine klager over at være målrettet mod cyberangrebere fra andre lande foretager USA en hel del af sin egen hacking. Flere føderale agenturer er involveret, herunder CIA og National Security Agencyog selv venlige nationer. Disse seneste afsløringer minder os også om cybersikkerhed, at enhver elektronisk enhed, der er forbundet til et netværk, kan hackes. The Conversation

Da cybersikkerhedsforskere foretager en foreløbig gennemgang af de data, der er frigivet i hvad WikiLeaks kalder "Vault 7", finder vi, at dokumenterne for det meste bekræfter eksisterende viden om, hvor almindelig hacking er, og hvor mange potentielle mål der er i verden.

Denne runde af utætheder, med dokumenter fra 2013 til 2016, styrker også det måske mest foruroligende stykke information, vi allerede vidste: Enkeltpersoner og regeringen selv skal intensivere cyberdefense-indsatsen for at beskytte følsomme oplysninger.

Næsten alt er hackbart

I årevis har sikkerhedseksperter og forskere advaret om, at hvis noget er forbundet til internettet, er det udsat for angreb. Og spioner rundt om i verden rutinemæssigt indsamle intelligens elektronisk til diplomatiske, økonomiske og nationale sikkerhedsmæssige formål.

Som et resultat, vi og andre i cybersikkerhedssamfundet blev ikke overrasket over 2013 afsløringer fra tidligere NSA-entreprenør Edward Snowden. Vi vidste, at de spioneringsprogrammer, han afslørede, var mulige, hvis ikke sandsynlige. I modsætning hertil offentligheden og mange politikere var forbløffede og bekymret over Snowden-dokumenterne, ligesom mange borgere er overraskede over denne uges WikiLeaks-afsløring.

indre selv abonnere grafik

Et element i den nye WikiLeaks “Vault 7” -udgivelse giver mere indsigt i omfanget af regeringens spionage. I et projekt kaldet “Græd Engel, ”CIA-hackere og deres britiske kolleger arbejdede for at vende Samsung F8000 smarte fjernsynsapparater til fjernovervågningsværktøjer. Hackede tv'er kunne optage, hvad deres ejere sagde i nærheden, selv når de så ud til at være slået fra.

Det faktum, at CIA specifikt målrettede mod smarte fjernsyn, bør tjene som endnu et vækkende opkald til offentligheden og teknologiproducenterne om problemer med cybersikkerhed, der er forbundet med moderne enheder. Specifikt “smart home"Og Internet of Things-enheder repræsenterer en massiv sårbarhed. De er åbne for angreb ikke kun af regeringsorganisationer, der søger efterretning om national sikkerhedsinformation, men terrorister, kriminelle eller andre modstandere.

Det er ikke nødvendigvis en god idé at have mikrofoner eller kameraer, der altid er tændt, og netværksaktiverede i alle rum i huset. På trods af at mange af disse enheder sælges med usikre standardindstillinger, markedet er vokser meget hurtigt. Flere og flere mennesker køber Google Startside or Amazon Echo enheder, Wi-Fi-aktiverede babymonitorer og endog internetforbundet hjemme-sikkerhedsudstyr.

Disse har allerede skabt problemer for familier, hvis enheder overhørte en tv-nyhedsudsender og bestilte dukkehuse eller hvis børn blev sporet af en bamse. Og store dele af internettet blev afbrudt, da mange "smarte" enheder var kapret og brugt til at angribe andre netværkssystemer.

Telefoner var et centralt mål

CIA undersøgte også måder at tage kontrol over smartphone-operativsystemer, der giver agenturet mulighed for at overvåge alt, hvad en telefons bruger gjorde, sagde eller skrev på enheden. Dette ville give en vej rundt post-Snowden krypterede kommunikationsapps som WhatsApp og Signal. Imidlertid har nogle af CIAs angrebsmetoder det allerede blevet blokeret af teknologileverandørers sikkerhedsopdateringer.

CIAs tilsyneladende evne til at hacke smartphones kaster tvivl om behovet for embedsmænds gentagne opkald til svække krypteringsfunktioner på mobiltelefoner. Det svækker også regeringens krav at det skal styrke overvågningen ved ikke fortæller teknologivirksomheder, når de får kendskab til sikkerhedssvagheder i hverdagsprodukter. Ligesom døren til dit hus fungerer teknologiske sårbarheder lige så godt med at give adgang til både "gode fyre" og "dårlige fyre."

I sidste ende skal vi som samfund fortsætte med at diskutere afvejningerne mellem moderne teknologiers bekvemmeligheder og sikkerhed / privatliv. Der er bestemte fordele og bekvemmeligheder ved gennemgribende og bærbar computing, smarte biler og fjernsyn, internetaktiverede køleskabe og termostater og lignende. Men der er meget reelle sikkerheds- og privatlivsproblemer forbundet med installation og brug af dem i vores personlige miljøer og private rum. Yderligere problemer kan komme fra, hvordan vores regeringer adresserer disse problemer, samtidig med at de respekterer folkelig mening og anerkender mulighederne i moderne teknologi.

Som borgere skal vi beslutte, hvilket risikoniveau vi - som nation, samfund og som enkeltpersoner - er villige til at møde, når vi bruger internetforbundne produkter.

Vi er hyppige angribere - men dårlige forsvarere

WikiLeaks-udgivelsen bekræfter også en realitet, som USA måske foretrækker at holde stille: Mens regeringen modsætter sig andres offensive cyberangreb mod USA, lancerer vi dem også. Dette er ikke nyt, men det skader Amerikas ry som en fair og overordnet spiller på den internationale scene. Det reducerer også amerikanske embedsmænds troværdighed, når de modsætter sig andre lands elektroniske aktiviteter.

Lækager som dette afslører Amerikas metoder for verden og giver masser af retning for modstandere, der ønsker at replikere, hvad regeringsagenter gør - eller endda potentielt starte angreb, der ser ud til at komme fra amerikanske agenturer for at skjule deres egen involvering eller afbøde tilskrivning.

Men måske er den mest foruroligende besked, som WikiLeaks-afsløringen repræsenterer, i selve lækagen: Det er endnu et højt profileret, stort volumenbrud fra oplysninger fra et stort amerikansk regeringsagentur - og i det mindste den tredje vigtige fra det hemmeligholdte efterretningssamfund.

Måske var den største amerikanske regerings datatabshændelse 2014 Brud på kontoret for personalestyring der påvirkede mere end 20 millioner nuværende og tidligere føderale arbejdere og deres familier (inklusive denne artikels forfattere). Men USA har aldrig rigtig sikret sine digitale data mod cyberangrebere. I 1990'erne var der Moonlight Maze; i 2000'erne var der Titan regn. Og det er bare for begyndere.

Vores regering har brug for at fokusere mere på de verdslige opgaver, der er forbundet med cyberforsvar. At holde andre ude af nøglesystemer er afgørende for amerikansk national sikkerhed og for den korrekte funktion af vores regering, militære og civile systemer.

At nå dette er ingen nem opgave. I kølvandet på denne seneste WikiLeaks-udgivelse er det sikkert, at CIA og andre agenturer yderligere vil styrke deres beskyttelse mod insider-trussel og andet forsvar. Men en del af problemet er mængden af ​​data, som landet forsøger at holde hemmeligt i første omgang.

Vi anbefaler den føderale regering at gennemgå sin klassificeringspolitik for helt ærligt at afgøre, om for meget information unødigt erklæres hemmelig. Efter sigende, så mange som 4.2 millioner mennesker - føderale medarbejdere og entreprenører - har sikkerhedsgodkendelser. Hvis så mange mennesker har brug for eller får adgang til at håndtere klassificeret materiale, er der da bare for meget af det til at begynde med? Under alle omstændigheder er de oplysninger, vores regering erklærer hemmelige, tilgængelige for en meget stor gruppe mennesker.

Hvis USA vil få succes med at sikre sine vigtige offentlige oplysninger, skal det gøre et bedre job med at styre mængden af ​​genereret information og kontrollere adgangen til det, både autoriseret og ellers. Indrømmet, det er heller ikke en nem opgave. Imidlertid er fraværende grundlæggende ændringer, der retter ordsprog klassifikationskult, vil der sandsynligvis være mange flere offentliggørelser af WikiLeaks-typen i fremtiden.

Om forfatteren

Richard Forno, lektor, cybersikkerhed og internetforsker, University of Maryland, Baltimore County og Anupam Joshi, familieprofessor og formand for Oros, Institut for Datalogi og Elektroteknik, University of Maryland, Baltimore County

Denne artikel blev oprindeligt offentliggjort den The Conversation. Læs oprindelige artikel.

Relaterede bøger

at InnerSelf Market og Amazon