De lösa invändningar tidigt sedan affären blev publik från politiska entiteter är tveksamma. Att FBI reagerade i sak (där jag inte kan eller ens från nyhetsrapporteringen försökt bedöma några detaljer) är föredömligt och tycker jag en igen visar att de både är kompetenta och proaktiva.
Det större - mycket stora - potentiella säkerhetshållet (där vi knappast ännu kan bedöma vad ev. mer existerande i form av ej dokumenterade "informationskanaler") förstår vi från detta "omvända" angrepp:
- Antag, att vi har diktatur X.
- Diktatur X är en potentiell angripare i meningen att de välkänt söker extrahera information från såväl DoD och andra amerikanska myndigheter och företag.
- Person Q är intresserad av att manipulera hur diktatur X bedömer omvärlden.
- Q tänker sig att han eller hon ex. vill etablera en informationskanal in i diktatur X de bedömer som trovärdig som han bl.a. tänker sig introducera förgiftad information via.
- Q vet att diktatur X är notoriskt fascinerade av "enklare" (kan nog vara nog så komplicerad men vi avser just inte protokoll-angrepp via krypteringsanalys PKI eller liknande) webbhacking.
- Q roar sig med att skapa några stycken konton på webben ungefär av den typ av Petraeus åtminstone avseende en instansiering av olämplig kontakt använt (d.v.s. dennes kvinnoaffär). Vi kallar denna mängd N1.
- Q låter lösenorden för N1 vara sådana att de är enkla varianter av samma namn tre siffror och av och till något mer.
- Q skapar några stycken mer skarpa konton mer uppenbart använt seriöst med för en viss tidsperiod mer komplicerade lösenord.
- Q låter ett av dessa konton ha en i gränssnittet för webbmails-tjänsten definierad funktion för "upplåsning" via annat konto existera terminerande i ett webbmails konto i en mängd liggande mellan N1 och de seriösare men efter visst hårt arbete nåbart via N1.
- Q adderar av och till låt oss säga något motsvarande nulägesanalyser eller liknande av och till som hamnade på det mest seriösa webbkontot lite av misstag.
Vad har nu detta exempel att göra med riskerna associerat med Petraeus beteende? Petraeus gjorde ingen honeypot att förgifta någons information med. Han läckte information dels känslig i meningen att han försökt dölja den och det via en kanal bevisat mer eller mindre öppen, och ej särskilt sofistikerat ens som metod (ur ett säkerhetsperspektiv direkt blåst definierad av den minsta säkerhetsnivån av: varje använd klient-dator, själva verksamheten använd, tjänstens egen säkerhet, normal inneboende säkerhetsnivå rörande SSL, webbserver och CIA-chefens lösenord - "sexygirl111").
Accepterar vi att det omvända angreppet är möjligt har vi från det en väldigt god indikation om vilken komplexitet man för en person med viss motivation att angripa men många gånger lägre så än för Petraeus kan läggas för god trovärdighet utan man just behöver oroa sig för att saker inte kommer läcka så det heter duga.
Att så pass direkt utan att just mycket alls kan vara känt för politiska entiteter att uttrycka en negativ hållning mot FBI känns mycket oseriöst. Jag betvivlar inte att sådant är drivet huvudsakligt av en rädsla att motsvarande skandaler och tveksamheter i den egna personliga sfären eller politiska vänner är motivationen där snarare än en vettigt balanserad bild av USA:s behov av kontraspionage och vilken normal vardagssäkerhetsnivå och beteende man måste kunna kräva av CIA:s chef (och för den delen samtliga övriga medarbetare på ej vanlig soldat nivå både i DHS och DOD).
FBI:s prestationer senaste åren relaterat kontra-spionage i USA såväl som uppfattar jag även en del associerade länder (ev. Taiwan) tycks för mig kompetent. I sitt yrke i dessa frågor upplevs de för mig mycket mer kompetenta än mycket annat besläktat oavsett om ungefär samma sak i andra länder eller olika typer av andra agencies både i DOD och DHS.
Här finns vidare ett indirekt värde av att tydliggöra för diverse andra medarbetare på känsliga positioner som kan agerat lika ansvarslöst.
Kommentera