Senatoren schlagen “Hackback”-Studie vor, aber die meisten Experten haben sich entschieden

  • Senator Steve Daines, R-Mont., spricht am 17. Juni 2021 in Washington. Daines ist Co-Sponsor einer Gesetzesvorlage für das DHS, um die Verwendung von Hacking als Reaktion auf einen Vorfall zu untersuchen. (Foto von Joshua Roberts/Getty Images)

    Ein überparteilicher Gesetzentwurf, der letzte Woche vorgestellt wurde, würde das Heimatschutzministerium dazu veranlassen, das zu erforschen, was die meisten in der Cybersicherheit als “Hacking Back” bezeichnen: die Verwendung von offensivem Hacking als Teil der Netzwerkverteidigung oder der Reaktion auf einen Vorfall.

    Der Gesetzesentwurf von Sens. Steve Daines, R-Mont., und Sheldon Whitehouse, D-R.I., kommt zu einer Zeit, in der viele Unternehmen aufgrund des ständigen Ansturms von Ransomware und anderen Bedrohungen mit ihrem Latein am Ende sind. Während sich die Gesetzgeber fragen, ob eine Hack-Back-Strategie ein wirksames Abschreckungsmittel sein könnte, befürchten Sicherheitsexperten, dass eine solche reaktionäre Gesetzgebung noch mehr Schaden anrichten könnte.

    Hack back ist keine neue Idee. Im Jahr 2016 zum Beispiel hat der Repräsentant Tom Graves, R-Ga., den Active Cyber Defense Certainty (ACDC) Act eingeführt, der es Unternehmen erlaubt hätte, das Feuer auf Hacker zu erwidern, um den Angreifer zu lokalisieren oder gestohlene Dateien wiederherzustellen. Der Gesetzentwurf hatte neun Co-Sponsoren, sowohl Demokraten als auch Republikaner.

    Whitehouse sagte per E-Mail, dass das erneute Interesse an Hacking zurück scheint das Ergebnis eines turbulenten Jahres von hochkarätigen Hacking-Vorfällen zu sein, die von breiten russischen und chinesischen Geheimdienst-Eingriffen bis zu einem dramatischen Anstieg der Ransomware reichen.

    “Der Colonial Pipeline Ransomware-Angriff zeigt, warum wir einen geregelten Prozess für Unternehmen untersuchen sollten, um zu reagieren, wenn sie Ziele sind”, sagte er. “Dieser Gesetzentwurf wird uns helfen, festzustellen, ob dieser Prozess abschrecken und auf zukünftige Angriffe reagieren könnte, und welche Richtlinien amerikanische Unternehmen befolgen sollten.”

    Der Daines/Whitehouse-Gesetzentwurf fordert das DHS auf, eine Studie über die Durchführbarkeit zu erstellen, die es privaten Unternehmen ermöglicht, “verhältnismäßige” Maßnahmen gegen Hacker unter Aufsicht einer geeigneten Bundesbehörde zu ergreifen. DHS würde 180 Tage haben in einem Bericht zu drehen.

    Der Gesetzentwurf schlägt keinen vollständigen Rahmen für Hacking Back vor. Im Allgemeinen wird “Hacking Back” als ein Mittel befürwortet, um Aufklärung darüber zu generieren, wer in ein Netzwerk eingedrungen ist, anstatt einen Gegenangriff zu starten.

    Die meisten Leute in der Sicherheitsbranche schwanken zwischen zögerlich und beleidigt.

    “Ich denke, dies ist ein vernünftiges Gesetz in dem Sinne, dass es sich darauf konzentriert, das DHS aufzufordern, eine Überprüfung der Kosten und des Nutzens durchzuführen, um dem privaten Sektor eine aggressivere, offensivere Haltung und Fähigkeiten zu ermöglichen. Das macht Sinn. Ich denke, wir werden abwarten, was die Studie zu sagen hat, und dann sehen, was die politischen Entscheidungsträger daraufhin tun”, sagte Tom Gann, Chief Public Policy Officer bei McAfee. “Das heißt, wenn der Bericht zurückkäme und ein großes grünes blinkendes Licht hätte, das sagt: ‘Du sollst zurückhacken. Go for it.’ Ich würde darüber besorgt sein.”

    “Dieser Gesetzesentwurf bietet zwar rotes Fleisch für ‘Cyber-Falken’, ist aber eine einmalig schlechte Idee und ein direktes Ergebnis der Wahl von Gesetzgebern, die keinen Hintergrund in Wissenschaft oder Technologie haben”, sagte Mike Hamilton, ehemaliger Chief Information Security Officer von Seattle und derzeitiger CISO von Critical Insight.

    Kollateralschaden beim Zurückhacken

    Hacker geben sich alle Mühe, nicht erwischt zu werden. Selbst die einfachsten Eindringlinge werden über gekaperte Vermittlungsserver oder das Tor-Netzwerk geleitet. Anspruchsvollere Bemühungen beinhalten eine aufwändigere Verschleierung, einschließlich Versuchen, eine falsche Zuordnung zu erzeugen. Die Olympic Destroyer-Malware zeigte scheinbar absichtliche Merkmale nordkoreanischer Hacking-Operationen, um subtilere Merkmale russischer Operationen zu verschleiern.

    “Es ist sehr einfach für Organisationen, Fehler in der physischen Welt zu machen”, sagte Gann. “Das ist einer der Gründe, warum es Einzelpersonen nicht erlaubt ist, einfach auf Räuber loszugehen und sie selbst zu verhaften, denn die ganze Kunst der Ermittlungen – die Methodik der Verhaftungen, der ganze Prozess der Verurteilung – sind alles Befugnisse, die nur dem Staat erlaubt sind.”

    Vieles von dem, was in Hackback passiert, wird davon abhängen, welche Aktionen erlaubt sind. Offensivtechniken könnten von eher harmlosen, wie dem Anhängen eines Beacons an eine Datei, um zu identifizieren, wer sie geöffnet hat, bis hin zu übertriebenen Aktionen reichen, die wahrscheinlich von jedem Gesetz ausgeschlossen sind, wie das Abstürzen des Stromnetzes eines Landes, das Cyberkriminelle beherbergt. Aber jede Option beinhaltet das Ausführen von Computercode auf dem Computer eines anderen, was bedeutet, dass durch einen Programmierfehler oder eine Absicht jede Option zu einer Beschädigung eines Systems führen kann. Nicht umsonst hat das FBI kürzlich erst einen Durchsuchungsbefehl eingeholt, bevor es ein großes Botnetz auf den Computern unwissentlicher Opfer deaktivierte.

    Wenn es eine falsche Zuordnung gibt oder der Server, der zurückgehackt wird, gekapert wurde, könnte das für eine unschuldige dritte Partei erheblichen Schaden bedeuten. Das Zurückhacken eines Kriminellen könnte bedeuten, dass man zuerst den Krankenhausserver durchwühlt, von dem aus er seine Angriffe inszeniert hat.

    Je aggressiver Hacking-Opfer sein dürfen, desto höher ist das Risiko für Kollateralschäden.

    “Ich könnte mir durchaus vorstellen, dass Hackback (oder zumindest die Androhung von Hackback) eine abschreckende Wirkung hat und zusätzliche Ressourcen und Expertise in den Kampf bringt. Ich könnte mir auch vorstellen, dass dies schnell außer Kontrolle gerät und zu Kollateralschäden und weiterer Cyber-Eskalation führt, wenn es nicht gut geregelt und koordiniert ist”, sagte Chris Kubic, derzeitiger CISO von Fidelis Cybersecurity und ehemaliger CISO der NSA.

    Die Daines/Whitehouse-Studie versucht, mögliche Kollateralschäden einzudämmen, indem sie eine föderale Aufsicht verlangt. Es wird keine Menge an Aufsicht, wo Hack-Back nicht auf den privaten Sektor Handhabung Befugnisse, die es fast nie in einem anderen Ort angeboten werden würde.

    Schatten-Außenpolitik

    Viele Hacker sind keine Amerikaner. Viele der beim Hacken verwendeten Zwischenserver befinden sich nicht in Amerika. Und viele kriminelle Hacking-Operationen, vor allem der von der Regierung Nordkoreas unterstützte Diebstahlring, haben Verbindungen zu ausländischen Regierungen

    “Wenn man dem privaten Sektor erlaubt, eine offensive Operation durchzuführen, um die Cyberfähigkeiten einer anderen Organisation oder einer anderen Regierung zu deaktivieren oder diesen anderen Akteuren anderen digitalen Schaden zuzufügen, gerät man wirklich in eine Grauzone. Es ist eine Form der Kriegsführung. Und zivilisierte Länder mit Verfassungen behalten die Durchführung von Kriegsoperationen grundsätzlich dem öffentlichen Sektor vor”, so Gann.

    Eine US-Firma, die versehentlich russische kritische Infrastruktur ausschaltet, schafft nicht nur einen Konflikt zwischen dem privaten Sektor und Russland, sagte Gann. Es schafft einen Konflikt zwischen den USA und Russland, entweder weil die US-Politik den Unfall zugelassen hat oder weil Russland annimmt, dass die USA Schaden beabsichtigen.

    Die gleichen Faktoren würden auch bei Verbündeten im Spiel sein. Deutschland wird nicht begeistert sein, wenn US-Unternehmen seine Banken aus irgendeinem Grund hacken. Kanada wird sein Hotelgewerbe verteidigen. Dem privaten Sektor würde eine beträchtliche Leine gewährt werden, um die internationalen Beziehungen zu beeinflussen.

    Eine Industrie des Schadens

    Hackback ist mit Kosten für das Unternehmen verbunden. Eine davon wird die Rechnung eines Auftragnehmers sein oder das Gehalt eines angestellten Hackers. Die andere könnte von den Auswirkungen der Umwandlung des privaten Sektors in Cyber-Kämpfer kommen.

    “Nationalstaaten wissen, dass sie ein bestimmtes Verhalten mit einem bestimmten anderen Verhalten untermauern können. Der private Sektor hat nichts von alledem. Der private Sektor wird potentiell eine Aktion durchführen, die zu einer staatlichen Reaktion führen könnte. Und es gibt keine Art von Verantwortung dafür, wie das dann als Eskalationspfad gehandhabt werden würde”, sagte Jen Ellis, Vizepräsidentin für Community und Public Affairs bei Rapid7.

    Wenn eine Regierung eine Gegenoffensive gegen ein Unternehmen startet, wird die Regierung fast immer gewinnen, sei es durch digitale Scharmützel oder wirtschaftliche Sanktionen.

    Je nach Komplexität des Unternehmens kann ein eskalierender Kampf mit einer kriminellen Gruppe auch für ein unterlegenes Unternehmen schlecht enden.

    Einige dieser Befürchtungen könnten dadurch gemildert werden, dass nur Gruppen, die vollständig darauf vorbereitet sind, alle potenziellen Fallstricke zu umgehen, am Hackback teilnehmen dürfen.

    “Wenn die Regierung damit vorankommt, würde sie die Hack-Back-Autorität auf eine ausgewählte Gruppe von Industriepartnern beschränken wollen, die über die Erkenntnisse und das Wissen verfügen, um den Angreifer zuzuordnen, die Fähigkeiten haben, den Hack-Back durchzuführen und sich gegen einen Gegenangriff zu verteidigen, und eine nachgewiesene Erfolgsbilanz bei der Koordinierung ihrer Aktivitäten mit der Regierung haben”, so Kubic.

    Das Problem, so Ellis, ist, dass die Behörden selbst unter den besten Umständen niemals eine vollständige, operative Echtzeit-Überwachung haben würden. Und je besser die Hack-Back-Industrie reguliert ist, desto exklusiver würde der Dienst werden.

    “Es gibt eine Armutsgrenze für die Sicherheitshabenden und die Nichthabenden. Die Organisationen, die über dieser Grenze liegen, sind gut ausgestattet. Wenn Hackback legal und in irgendeiner Weise effektiv wäre, würde es Angreifer wahrscheinlich dazu bringen, sich mehr auf Organisationen zu konzentrieren, die unterhalb der Armutsgrenze liegen”, sagte sie.

    Da es eine Vielzahl von Dingen gibt, die hack back sein könnte, gibt es auch eine Vielzahl von Wahrscheinlichkeiten, dass hack back erfolgreich sein könnte bei dem, was es vorhat. Ein zentrales Versprechen, das eine Hack-Back-Industrie geben würde, ist jedoch nicht etwas, wofür Unternehmen eine Hack-Back-Industrie brauchen: Es ist häufig möglich, Hacker zu ermitteln und zuzuordnen, ohne selbst zu hacken.

    “Der Mangel an Strafverfolgung liegt heute nicht daran, dass wir nicht wissen, wer sie sind. Der Mangel an Strafverfolgung ist, weil sie in sicheren Häfen existieren”, sagte Ellis.

    Letztendlich werden sich Vorschläge wie “Hack back” so lange verbreiten, wie Unternehmen das Gefühl haben, dass Hacker einen unüberwindbaren Vorteil haben.

    “Große Unternehmen haben das Gefühl, dass sie in einer Position sind, in der die Chancen gegen sie gestapelt sind, und sie wollen in der Lage sein, etwas zu tun, um ihr Schicksal in ihre eigenen Hände zu nehmen. Sie wollen in der Lage sein, die Waage ein wenig auszugleichen. Man kann diese Position nachvollziehen, aber in Wirklichkeit ist “Hack Back” von Anfang bis Ende eine schreckliche Idee”, sagt Ellis.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com