Beberapa Ahli Menanyakan Upaya untuk Mengidentifikasi Cyberattackers

Upaya oleh pemerintah AS untuk mengidentifikasi dengan lebih baik cyberattackers kemungkinan akan menyebabkan pelanggaran privasi dan anonimitas pengguna internet, dan sarana teknologi untuk menghubungkan sumber serangan mungkin tidak akurat, kata ahli privasi dan keamanan siber cyber, Kamis.

Saksi di sebuah Audiensi subkomite DPR AS tidak setuju tentang apakah pemerintah harus mengeksplorasi cara-cara baru untuk menghubungkan sumber-sumber serangan cyber. Beberapa ahli cybersecurity telah menyerukan upaya atribusi baru, termasuk sistem identifikasi tepercaya, tetapi Robert Knake, seorang rekan hubungan internasional untuk Dewan Hubungan Luar Negeri, mengatakan pemerintah yang menindas akan menggunakan teknologi identifikasi baru untuk melacak musuh politik mereka.

Proposal untuk label Paket IP (Internet Protocol) dengan pengenal unik "akan jauh lebih bermanfaat bagi rezim otoriter untuk memantau dan mengontrol penggunaan Internet oleh warga mereka daripada akan memerangi kejahatan cyberwarfare, kejahatan dan gangguan," kata Knake kepada komite Komite Sains dan Teknologi. tentang teknologi dan inovasi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Untuk serangan besar-besaran, atribusi penyerang mungkin tidak sulit, karena hanya beberapa negara yang memiliki kemampuan itu, sementara tingkat rendah serangan tidak meningkat ke tingkat darurat nasional, katanya. "Dalam banyak kasus, kami tidak kekurangan atribusi, kami kekurangan opsi tanggapan," tambahnya. "Kami tidak tahu apa yang harus kami lakukan ketika kami menemukan bahwa orang China telah meretas ke Google."

Ketua Subkomite David Wu, seorang Demokrat Oregon, bertanya kepada saksi apakah cara baru untuk mengidentifikasi sumber serangan cyber akan menghalangi beberapa serangan. Dalam berbagai jenis konflik yang dihadapi AS, mengetahui identitas penyerang potensial telah menjaga kedua belah pihak dari agresi, katanya.

Knake mempertanyakan apakah hal yang sama akan berlaku untuk cyberattacks.

Teori Perang Dingin dari saling meyakinkan kehancuran dalam serangan nuklir antara AS dan Uni Soviet lama "tidak persuasif" dalam konteks cybersecurity karena AS jauh lebih bergantung pada Internet daripada banyak penyerang potensial, katanya. AS harus menanggapi dengan serangan fisik untuk melakukan jumlah kerusakan yang sama seperti yang dilakukan negara penyerang itu, tambahnya.

Knake menyarankan bahwa pemerintah AS harus lebih fokus untuk mencegah kerusakan dan melindungi sistemnya daripada mengkaitkan sumber serangan. Namun Ed Giorgio, presiden vendor cybersecurity Ponte Technologies, menyerukan protokol baru yang akan mengidentifikasi pengguna di jaringan sensitif. Pada bagian Internet yang kurang sensitif, orang harus memiliki token, yang dikeluarkan oleh pihak ketiga tepercaya, yang menetapkan identitas atau token mereka yang memberi mereka anonimitas, katanya.

Atribusi serangan, sementara tidak efektif hari ini, adalah "penting bagian "dari kemampuan tanggap darurat pemerintah AS, Giorgio berkata.

" Komentar saya tidak terfokus pada mempromosikan apa keseimbangan ideal antara privasi dan keamanan seharusnya, tetapi lebih merupakan tantangan bagi mereka yang merangkul pandangan utopis yang keduanya mungkin secara bersamaan dalam genggaman kami, "tambahnya.

Tetapi proposal untuk membuat ID Internet mungkin bahkan tidak sah di AS, kata Marc Rotenberg, presiden Pusat Informasi Privasi Elektronik (EPIC). AS memiliki tradisi panjang yang memungkinkan warga untuk berbicara secara anonim atau samaran, dan pengadilan telah menjunjung hak itu, katanya.

Usulan tersebut akan meningkatkan "hak asasi manusia" yang signifikan dan kekhawatiran kebebasan internet, dan mereka mungkin tidak berfungsi, kata Rotenberg..

"Tidak peduli seberapa bagus teknologi atribusi, atribusi mungkin masih gagal mengidentifikasi penyerang yang paling canggih," katanya. "Karena penyerang canggih sering mengaburkan jejak mereka dengan merutekan aktivitas melalui banyak negara, kemampuan atribusi yang lengkap akan memerlukan penerapan kebijakan yang terkoordinasi pada skala global yang hampir mustahil."

Grant Gross mencakup kebijakan teknologi dan telekomunikasi di pemerintah AS untuk Layanan Berita IDG. Ikuti Grant di Twitter di GrantusG. Alamat e-mail Grant adalah [email protected].