Noen eksperter Spørsmålstiltak for å identifisere cyberattackers

Innsats fra den amerikanske regjeringen om å bedre identifisere cyberangrepere vil trolig føre til brudd på internettbrukeres personvern og anonymitet, og teknologiske midler for å tildele kilden til angrepene kan være unøyaktige, personvern og cybersikkerhetseksperter sa torsdag.

Vitner ved en Representantskapets underkommisjon høring var uenig om regjeringen burde undersøke nye måter å tildele kildene til cyberattacks. Flere eksperter fra cybersikkerhet har kalt til nye tilskrivningsarbeid, inkludert betrodde identifikasjonssystemer, men Robert Knake, en internasjonal sjef for Rådet for utenriksrelasjoner, sa at undertrykkende regjeringer ville bruke ny identifikasjonsteknologi til å spore sine politiske fiender.

Forslag til etikett IP (Internet Protocol) -pakker med unike identifikatorer "ville være langt mer nyttige for autoritære regimer for å overvåke og kontrollere Internett-bruk av sine borgere enn det ville være i bekjempelse av cyberwarfare, kriminalitet og generende atferd", sa Knake til House Science and Technology Committees underkomité

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

For massive angrep er det ikke vanskelig å angripe angrepene, fordi bare noen få nasjoner har denne egenskapen, mens lavnivå angrepene stiger ikke til nivået av nasjonale nødsituasjoner, sa han. "I mange tilfeller mangler vi ikke tillatelse, vi mangler responsalternativer," la han til. "Vi vet ikke hva vi skal gjøre når vi oppdager at kineserne har hacket inn i Google."

Underkommisjonens leder David Wu, en Oregon-demokrat, spurte om nye måter å identifisere kilden til cyberattacks ville avskrekke noen angrep. I andre typer konflikter har USA møtt, og visste at identiteten til potensielle angripere har holdt begge sider mot aggresjon, sa han. Knev spurte om det samme ville være troverdig for cyberangrep.

Den kalde krigen teori om gjensidig sikkerhet ødeleggelse i nukleare angrep mellom USA og det gamle Sovjetunionen er "unpersuasive" i en cybersecurity-kontekst fordi USA er langt mer avhengig av Internett enn mange potensielle angripere, sa han. USA ville måtte reagere med fysiske angrep for å gjøre samme skade som den angripende nasjonen gjorde med det, la han til.

Knake foreslo at den amerikanske regjeringen burde fokusere mer på å hindre skade og beskytte sine systemer enn på å tilordne kilde til angrep. Men Ed Giorgio, president for cybersecurity-leverandøren Ponte Technologies, krevde nye protokoller som ville identifisere brukere på sensitive nettverk. På mindre følsomme deler av Internett burde folk ha tokens, utstedt av en betrodd tredjepart, som etablerer sin identitet eller tokens som gir dem anonymitet, sa han.

Angrep, men ikke effektiv i dag, er en "viktig del "av den amerikanske regjeringens beredskapsfunksjoner, sier Giorgio.

" Mine kommentarer er ikke fokusert på å fremme hva den ideelle balansen mellom personvern og sikkerhet burde være, men en utfordring for de som omtaler den utopiske oppfatningen at begge kan være samtidig Men vi kan ikke engang være lovlige i USA, sier Marc Rotenberg, president for det elektroniske personvernsinformasjonssenteret (EPIC). USA har en lang tradisjon for å tillate beboere å tale anonymt eller pseudonymt, og domstolene har opprettholdt det rette, sa han.

Slike forslag vil øke "signifikante" menneskerettighets- og internettfrihetsproblemer, og de kan ikke fungere, sa Rotenberg.

"Uansett hvor god tilskrivningsteknologi er, vil tilskrivning trolig fortsatt mislykkes i å identifisere de mest sofistikerte angriperne," sa han. "Fordi sofistikerte angripere ofte skjuler sin sti ved å dirigere aktiviteter gjennom flere land, vil fullstendig attributtskapasitet kreve implementering av samordnede retningslinjer på en nesten umulig global skala."

Grant Gross dekker teknologi og telekommunikasjon i den amerikanske regjeringen for

IDG News Service

. Følg Grant på Twitter på GrantusG. Grants e-postadresse er [email protected].