En kommentar om denial of service angreppet riktat mot Twitter togs ej med i den tidigare omfattande sammanställningen:
TWITTER-ANGREPPET: STATISTIK, MOTIV OCH METOD
Detta trots att den hade passat in. Jag väljer istället att kommentera den separat och använda den som exempel på ett i säkerhets- och underrättelsebranschen allmänt förekommande tankefel.
Ett orättvist exempel
Innan jag diskuterar tankefelet vill jag understryka att använda detta uttalande som exempel är orättvist. Jag kan inte med ett enstaka uttalande dra någon trovärdig slutsats om personen eller företaget han representerar. Anledningen till att använder det som exempel är uteslutande därför att jag behövde ett färskt och publikt publicerat exempel.
Obegripliga angrepp?
I Wire gör Patrick ("Pat") Peterson (Cisco) en kommentar om Twitter-angreppet publicerad 6 augusti "7:51 pm" (ej svensk tid). Peterson gör två antagande:
- Denial of service angreppen vi såg för ett antal veckor sedan riktade mot bl.a. amerikanska myndigheter och sydkoreanska banker ej går att förklara.
- Angreppet mot Twitter är icke-rationellt och går ej att förklara.
Tankefelet Peterson gör är att han utgår från att om han m.fl. inte kan se orsaken till angreppet inte bara kan ingen annan heller hitta den utan dessutom finns ingen rationell orsak. Inte långt efter hans kommentar fanns en trovärdig arbetshypotes om angreppet mot Twitter publicerad i flera tidningar. Därmed inte sagt att jag är övertygad om vad som på ytan tycks var orsaken verkligen är orsaken. Det finns misstänker jag mer dolt.
Stora resurser gör dig inte ofelbar
Peterson och Cisco har tillgång till massor av statistik och initierade uppgifter. De har mycket hög kompetens (* fotnot). Deras årliga säkerhetsrapport är ett utmärkt exempel på det:
I Cisco 2009 Midyear Security Report
(se även Säkerhetsproblem för sociala media som hanteras ofullständigt.)
Problemet jag argumentar finns är att stora resurser och omfattande information kan ge en känsla av att man kan se allt som går att se. Samarbetar man sedan för smalt och år efter år diskuterar samma säkerhetsproblem med samma personer är det oerhört lätt att detta problem uppstår och får stor påverkan. Detta är vanligt i mycket stora organisationer, företag och länder.
Risker med falsk ofelbarhet
Tankefelet gör att du trots stora resurser och god kompetens drar fel slutsatser. Resultatet kan bli att du gång på gång höjer upp säkerhetsnivån till slutligen extrema nivåer mot risker du förstår medan du är vidöppen mot nya typer av risker.
Ny teknik, nya politiska situationer, ny forskning och andra förändringar missas och ingår inte i de faktorer man bedömer händelser ifrån. Man klarar inte att se förändringar innan de redan orsakat problem. Händelser börjar verka icke-rationella och obegripliga. Det kan leda till att man inte klarar att hantera säkerheten.
Tänk istället för att reagera irrationellt
När säkerhetsproblem uppstår man inte förstår kan det göra att världen verkar hotfullare än den är. Det kan leda till irrationella överreaktioner som i sig innebär större säkerhetsproblem än det ursprungliga hotet. Uttalandet verkar också få Wire att reagera på detta sätt:
"It means if you make the assumption that the bad guys online are just a new breed of bank robbers, that can get you into trouble if there are a few sociopaths mixed in."
Ingen ser allt - Bli bätte
När det gäller den första vågen av DoS-angrepp är vad som stör mig med Petersons uttalande att han utgår från att rationella orsaker saknas bara därför att han m.fl. ännu inte förstått vad orsakerna är. Precis som jag tidigare skrivit tycker jag allt i struktur och genomförande pekar på att en rationell orsak faktiskt finns:
Och jag skulle bli förvånad om orsaken inte visar sig vara något liknande vad vi ser i:
news.xinhuanet.com/english/2009-08/07/content_11843475.htm
(Varning: Xinhua är en del av Kinas enorma propaganda-organisation.)
Tittar man på hur privata säkerhetsintressen försökt hitta orsaken har det handlat mycket om teknisk analys och uppföljning av insamlad statistik och information.
Jag vet inte vad orsaken var till den första vågen av DoS-angrepp och har inte försökt ta reda på det. Men jag tror nog att jag vid behov skulle kunna ta reda på det. Kör man fast med en metod behöver man istället pröva med en annan. Det gäller att att tänka nytt och lateralt genom att söka nya infallsvinklar. En situation är inte obegriplig därför att okända variabler och/eller inarbetad lösningsmetodik saknas.
Oavsett teknisk kompetens skulle jag om jag var potentiell kund innan jag handlar något från dom noggrant kontrollera att de inte gör olämpliga affärer med diktaturer. Detta gäller givetvis inte bara Cisco utan alla leverantörer kritiska för företagets säkerhetsnivå.
Är du säkerhetschef på ett västerländskt företag kan du inte lita på aktörer involverade i sådana samarbeten. Problemet illustreras väl av följande nyheter:
From China to the UK: net censorship worldwide
Spy gave shuttle secrets to China
China spying 'biggest US threat'
Germany accuses China of industrial espionage
Vidare vill du inte medverka till omoral. Särskilt inte inom IT där mängder av bra alternativ alltid finns.
Kommentera