เอฟบีไอกำลังบุกเข้าไปในคอมพิวเตอร์ขององค์กรเพื่อลบโค้ดที่เป็นอันตราย – การป้องกันทางไซเบอร์ที่ชาญฉลาดหรือการเข้าถึงของรัฐบาล?

เอฟบีไอกำลังบุกเข้าไปในคอมพิวเตอร์ขององค์กรเพื่อลบโค้ดที่เป็นอันตราย – การป้องกันทางไซเบอร์ที่ชาญฉลาดหรือการเข้าถึงของรัฐบาล?

เอฟบีไอมีอำนาจในขณะนี้ในการเข้าถึงคอมพิวเตอร์ส่วนตัวโดยที่เจ้าของไม่ทราบหรือยินยอม และลบซอฟต์แวร์ เป็นส่วนหนึ่งของความพยายามของรัฐบาลในการควบคุมการโจมตีอย่างต่อเนื่องบนเครือข่ายองค์กรที่ใช้ซอฟต์แวร์ Microsoft Exchange และการบุกรุกที่ไม่เคยเกิดขึ้นมาก่อนทำให้เกิดคำถามทางกฎหมายว่ารัฐบาลสามารถไปได้ไกลแค่ไหน

เมื่อวันที่ 9 เมษายน ศาลแขวงสหรัฐในเขตทางใต้ของรัฐเท็กซัสได้อนุมัติหมายค้นที่อนุญาตให้กระทรวงยุติธรรมสหรัฐฯดำเนินการได้

ซอฟต์แวร์ที่ FBI กำลังลบนั้นเป็นโค้ดอันตรายที่ติดตั้งโดยแฮกเกอร์เพื่อควบคุมคอมพิวเตอร์ของเหยื่อ แฮกเกอร์ใช้รหัสนี้เพื่อเข้าถึงข้อความอีเมลส่วนตัวจำนวนมากและเพื่อเริ่มการโจมตีของแรนซัมแวร์ อำนาจหน้าที่ของกระทรวงยุติธรรมพึ่งพาและวิธีที่เอฟบีไอดำเนินการปฏิบัติการได้กำหนดแบบอย่างที่สำคัญ พวกเขายังตั้งคำถามเกี่ยวกับอำนาจของศาลในการควบคุมความปลอดภัยทางไซเบอร์โดยไม่ได้รับความยินยอมจากเจ้าของคอมพิวเตอร์เป้าหมาย

ในฐานะนักวิชาการด้านความปลอดภัยทางไซเบอร์ฉันได้ศึกษาการรักษาความปลอดภัยทางไซเบอร์ประเภทนี้ ซึ่งได้รับการขนานนามว่า เป็นการ ป้องกันเชิงรุกและวิธีที่ภาครัฐและเอกชนพึ่งพาอาศัยกันในการรักษาความปลอดภัยทางไซเบอร์เป็นเวลาหลายปี ความร่วมมือระหว่างภาครัฐและเอกชนเป็นสิ่งสำคัญสำหรับการจัดการภัยคุกคามทางไซเบอร์ในวงกว้างที่สหรัฐฯ เผชิญอยู่ แต่กลับสร้างความท้าทาย ซึ่งรวมถึงการกำหนดว่ารัฐบาลสามารถดำเนินการในนามของความมั่นคงของชาติได้ไกลแค่ไหน สิ่งสำคัญสำหรับสภาคองเกรสและศาลในการดูแลการกระทำที่สมดุลนี้

แฮ็คเซิร์ฟเวอร์แลกเปลี่ยน

ตั้งแต่เดือนมกราคมปี 2021 เป็นอย่างน้อย กลุ่มแฮ็คได้ใช้ช่องโหว่ซีโร่เดย์ ซึ่งหมายถึงช่องโหว่ที่ไม่รู้จักก่อนหน้านี้ใน Microsoft Exchange เพื่อเข้าถึงบัญชีอีเมล แฮกเกอร์ใช้การเข้าถึงนี้เพื่อแทรกเว็บเชลล์ซอฟต์แวร์ที่ช่วยให้พวกเขาสามารถควบคุมระบบและเครือข่ายที่ถูกบุกรุกจากระยะไกล ผู้ใช้อีเมลและองค์กรหลายหมื่นรายได้รับผลกระทบ ผลลัพธ์หนึ่งคือชุดของการโจมตี ransomwareซึ่งเข้ารหัสไฟล์ของเหยื่อและถือกุญแจเพื่อถอดรหัสเพื่อเรียกค่าไถ่

เมื่อวันที่ 2 มีนาคม พ.ศ. 2564 Microsoft ประกาศว่ารหัสกลุ่มแฮ็กเกอร์ชื่อHafniumได้ใช้ช่องโหว่ซีโร่เดย์หลายครั้งเพื่อติดตั้งเว็บเชลล์ด้วยชื่อไฟล์และเส้นทางที่ไม่ซ้ำกัน ทำให้เป็นเรื่องยากสำหรับผู้ดูแลระบบในการลบโค้ดที่เป็นอันตราย แม้ว่าจะมีเครื่องมือและแพตช์ที่ Microsoft และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่เพื่อช่วยเหลือผู้ที่ตกเป็นเหยื่อ

เอฟบีไอกำลังเข้าถึงเซิร์ฟเวอร์อีเมลเหล่านี้หลายร้อยแห่งในเครือข่ายองค์กร หมายค้นช่วยให้ FBI เข้าถึงเว็บเชลล์ ป้อนรหัสผ่านที่ค้นพบก่อนหน้านี้สำหรับเว็บเชลล์ ทำสำเนาหลักฐาน แล้วลบเว็บเชลล์ อย่างไรก็ตาม FBI ไม่ได้รับอนุญาตให้ลบมัลแวร์อื่น ๆ ที่แฮ็กเกอร์อาจติดตั้งระหว่างการละเมิดหรือเข้าถึงเนื้อหาของเซิร์ฟเวอร์

สิ่งที่ทำให้กรณีนี้แตกต่างออกไปคือทั้งขอบเขตของการกระทำของ FBI ในการลบเว็บเชลล์และการบุกรุกที่ไม่เคยเกิดขึ้นมาก่อนในคอมพิวเตอร์ส่วนตัวโดยไม่ได้รับความยินยอมจากเจ้าของ เอฟบีไอดำเนินการโดยไม่ได้รับความยินยอมเนื่องจากมีระบบที่ไม่มีการป้องกันจำนวนมากทั่วทั้งเครือข่ายของสหรัฐอเมริกาและความเร่งด่วนของการคุกคาม

การดำเนินการดังกล่าวแสดงให้เห็นถึงความมุ่งมั่นของกระทรวงยุติธรรมในการใช้ “เครื่องมือทางกฎหมายทั้งหมดของเรา” ผู้ช่วยอัยการสูงสุด John Demers กล่าวในแถลงการณ์

จำนวนบริษัทที่ถูกบุกรุกทั้งหมดยังคงไม่ชัดเจน เนื่องจากตัวเลขดังกล่าวถูกแก้ไขในเอกสารของศาล แต่อาจมีเซิร์ฟเวอร์ Exchange มากถึง 68,000 เซิร์ฟเวอร์ ซึ่งอาจส่งผลกระทบต่อผู้ใช้อีเมลหลายล้านคน การโจมตีด้วยมัลแวร์ใหม่บนเซิร์ฟเวอร์ Microsoft Exchange ยังคงปรากฏอยู่ และ FBI ยังคงดำเนินการตามคำสั่งศาลเพื่อลบโค้ดที่เป็นอันตราย

การป้องกันแบบแอคทีฟ

การเปลี่ยนแปลงไปสู่กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ของสหรัฐฯ ที่กระตือรือร้นมากขึ้นเริ่มต้นขึ้นภายใต้การบริหารของโอบามาด้วยการจัดตั้ง US Cyber ​​Commandในปี 2010 การเน้นย้ำในขณะนั้นยังคงเป็นการป้องปรามโดยการปฏิเสธ ซึ่งทำให้คอมพิวเตอร์แฮ็คได้ยากขึ้น ซึ่งรวมถึงการใช้การป้องกันแบบเลเยอร์ หรือที่เรียกว่าการป้องกันในเชิงลึกเพื่อทำให้การเจาะเครือข่ายทำได้ยากขึ้น มีราคาแพง และใช้เวลานาน

ทางเลือกคือไล่ตามแฮกเกอร์ ซึ่งเป็นกลยุทธ์ที่ขนานนามว่าปกป้องไปข้างหน้า ตั้งแต่ปี 2018 รัฐบาลสหรัฐฯ ได้เพิ่มการป้องกันไปข้างหน้า ดังที่เห็นในการกระทำของสหรัฐฯ ต่อกลุ่มรัสเซียในรอบการเลือกตั้งปี 2018 และ 2020 ซึ่งเจ้าหน้าที่หน่วยบัญชาการไซเบอร์ของสหรัฐฯ ระบุและขัดขวางแคมเปญโฆษณาชวนเชื่อออนไลน์ของรัสเซีย

ฝ่ายบริหารของไบเดนยังคงมีแนวโน้มเช่นนี้ ควบคู่ไปกับมาตรการคว่ำบาตรครั้งใหม่ต่อรัสเซียเพื่อตอบสนองต่อ แคมเปญจาร กรรมSolarWinds การโจมตีดังกล่าว ซึ่งรัฐบาลสหรัฐฯ ระบุว่าเป็นแฮ็กเกอร์ที่เชื่อมต่อกับหน่วยข่าวกรองของรัสเซีย ใช้ช่องโหว่ในซอฟต์แวร์เชิงพาณิชย์เพื่อเจาะเข้าไปในหน่วยงานรัฐบาลสหรัฐฯ การดำเนินการใหม่ของ FBI นี้ผลักดันขอบเขตของการป้องกันเชิงรุกเช่นเดียวกัน ในกรณีนี้เพื่อล้างผลที่ตามมาจากการละเมิดในบ้าน แม้ว่าจะไม่มีการรับรู้หรือยินยอมจากองค์กรที่ได้รับผลกระทบก็ตาม

กฎหมายและศาล

พระราชบัญญัติการฉ้อโกงและการใช้คอมพิวเตอร์ในทางที่ผิดโดยทั่วไปทำให้การเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาตเป็นสิ่งผิดกฎหมาย กฎหมายฉบับนี้ใช้ไม่ได้กับรัฐบาล

เอฟบีไอมีอำนาจในการลบรหัสที่เป็นอันตรายออกจากคอมพิวเตอร์ส่วนตัวโดยไม่ได้รับอนุญาต ต้องขอบคุณการเปลี่ยนแปลงในปี 2559 เป็นกฎข้อ 41 ของกฎขั้นตอนทางอาญาของรัฐบาลกลาง การแก้ไขนี้ได้รับการออกแบบมาส่วนหนึ่งเพื่อให้รัฐบาลสหรัฐฯ สามารถต่อสู้กับบ็อตเน็ตและช่วยเหลือการสืบสวนอาชญากรรมทางอินเทอร์เน็ตอื่นๆ ได้ง่ายขึ้นในสถานการณ์ที่ไม่ทราบตำแหน่งของผู้กระทำความผิด อนุญาตให้เอฟบีไอเข้าถึงคอมพิวเตอร์นอกเขตอำนาจของหมายค้น

การดำเนินการนี้เน้นย้ำถึงแบบอย่างและอำนาจของศาลที่กลายเป็นหน่วยงานกำกับดูแลความปลอดภัยทางไซเบอร์โดยพฤตินัย ซึ่งสามารถให้อำนาจกระทรวงยุติธรรมในการล้างการปรับใช้ขนาดใหญ่ของโค้ดที่เป็นอันตรายซึ่งพบเห็นในการแฮ็ก Exchange ตัวอย่างเช่น ในปี 2560 FBI ได้ใช้กฎข้อ 41 ที่ขยายใหญ่ขึ้นเพื่อ กำจัดบ็ อตเน็ตทั่วโลกที่รวบรวมข้อมูลของเหยื่อและใช้คอมพิวเตอร์เพื่อส่งอีเมลขยะ

ปัญหาทางกฎหมายที่สำคัญยังคงไม่ได้รับการแก้ไขด้วยการดำเนินการปัจจุบันของ FBI หนึ่งคือคำถามของความรับผิด จะเกิดอะไรขึ้น ตัวอย่างเช่น หากคอมพิวเตอร์ส่วนตัวได้รับความเสียหายในกระบวนการของ FBI ในการลบโค้ดที่เป็นอันตราย อีกประเด็นหนึ่งคือการสร้างสมดุลระหว่างสิทธิในทรัพย์สินส่วนตัวกับความต้องการด้านความมั่นคงของชาติในกรณีเช่นนี้ อย่างไรก็ตาม สิ่งที่ชัดเจนคือภายใต้อำนาจนี้ FBI สามารถแฮ็คเข้าสู่คอมพิวเตอร์ได้ตามต้องการ และไม่จำเป็นต้องมีหมายค้นเฉพาะเจาะจง

ความมั่นคงของชาติและภาคเอกชน

Rob Joyce ผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ NSA กล่าวว่าความปลอดภัยทางไซเบอร์คือความมั่นคงของชาติ ข้อความนี้อาจดูเหมือนไม่ขัดแย้ง แต่มันแสดงถึงการเปลี่ยนแปลงของทะเลในความรับผิดชอบของรัฐบาลในการรักษาความปลอดภัยในโลกไซเบอร์ ซึ่งส่วนใหญ่เหลือให้ภาคเอกชน

โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ส่วนใหญ่ ซึ่งรวมถึงเครือข่ายคอมพิวเตอร์ อยู่ในมือของเอกชน ทว่าบริษัทต่างๆ ไม่ได้ลงทุนที่จำเป็นเพื่อปกป้องลูกค้าของตนเสมอไป สิ่งนี้ทำให้เกิดคำถามว่ามีความล้มเหลวของตลาด ในการ รักษาความปลอดภัยในโลกไซเบอร์หรือไม่ โดยที่แรงจูงใจทางเศรษฐกิจไม่เพียงพอที่จะส่งผลให้เกิดการป้องกันทางไซเบอร์อย่างเพียงพอ ด้วยการกระทำของ FBI ฝ่ายบริหารของ Biden อาจยอมรับโดยปริยายถึงความล้มเหลวของตลาด