A melhor resposta a alguns ataques cibernéticos pode ser ignorá-los

Em breve, os formuladores de políticas poderão usar a teoria dos jogos para decidir como responder publicamente aos ataques cibernéticos contra os quais esses e outros guerreiros cibernéticos se defendem.

Sargento da equipe Tracy Smith / Wikimedia Commons

A melhor resposta a alguns ataques cibernéticos pode ser ignorá-los

Por Eric SmalleyMar. 6, 2017, 03:00

Os ataques cibernéticos danificaram uma instalação iraniana de enriquecimento de urânio, interromperam as operações de uma empresa multinacional de petróleo e roubaram os arquivos pessoais de milhões de funcionários federais dos EUA. Mas a melhor maneira de lidar com esses autores da Internet pode ser deixá-los escapar, segundo uma nova pesquisa. Em alguns casos, descobriram os cientistas, atribuir culpas publicamente deixa a vítima ainda pior.

A descoberta contra-intuitiva decorre de um estudo desencadeado pelo governo dos EUA alegando que a Coréia do Norte foi responsável por hackear a Sony Pictures em 2014. O ataque expôs informações confidenciais em um esforço para chantagear a empresa para interromper o filme The Interview, que zombou da Coréia do Norte. A relutância do governo dos EUA em fornecer evidências para sua acusação deixou muitos especialistas em cibersegurança céticos. Isso colocou o governo na difícil posição de escolher entre expor fontes de inteligência e ter sua credibilidade e motivos questionados.

Para descobrir por que apontar o dedo em ataques cibernéticos nem sempre é o movimento certo, o cientista político Robert Axelrod, da Universidade de Michigan em Ann Arbor, e o pesquisador de pós-doutorado Benjamin Edwards, da IBM Research em Yorktown Heights, Nova York, se voltaram para a teoria dos jogos. a modelagem matemática da competição e cooperação entre pessoas, organizações ou governos. Eles e outros pesquisadores usaram a teoria dos jogos para estudar como executar e defender contra ataques cibernéticos, mas a nova pesquisa adota uma abordagem mais ampla, considerando também os pontos fortes e fracos políticos e os pontos fortes e fracos do agressor e da vítima. eles sabem um do outro. `` Estamos tentando incorporar essa incerteza e esse clima político no jogo '', diz Edwards.

A equipe desenvolveu um modelo que foi informado não apenas pelo ataque da Sony em 2014, mas também pelo roubo de informações de autorização de segurança para 21, 5 milhões de funcionários atuais e antigos do governo do Gabinete de Gerenciamento de Pessoas dos EUA, supostamente realizado por cidadãos chineses. em 2014 e 2015, e o roubo de arquivos eletrônicos do Comitê Nacional Democrata durante as eleições presidenciais de 2016 que a Agência Central de Inteligência atribuiu ao governo russo.

Os cientistas desenvolveram um jogo, apelidado de jogo da culpa, envolvendo dois jogadores. O jogador A escolhe se quer atacar o jogador B, e o jogador B escolhe se deve culpar o jogador A pelo ataque. Cada jogador pode ser de dois tipos. A pode se importar se B culpa ou não, e B pode saber se A se importa em ser culpado ou não. O modelo calcula quanto cada lado ganha e perde com um ataque e com a decisão de culpar ou não. Por exemplo, optar por não culpar um ataque conhecido pode custar à vítima sob a forma de um protesto público.

Nos casos em que a posição política nacional e internacional do agressor não levaria muito a ser responsabilizada, faz sentido que a vítima se abstenha de fazer uma acusação pública, mesmo diante de críticas por inação, a equipe reporta nos Anais da Academia Nacional de Ciências. Por exemplo, o Irã não culpou publicamente os Estados Unidos e Israel, os supostos autores do ataque de vírus de computador Stuxnet a uma instalação nuclear iraniana em 2009 e 2010, porque o governo iraniano provavelmente reconheceu que os dois países seriam capazes de afastar o Irã `` Recriminações. Dado que o Irã tem capacidade limitada de retaliar e impedir futuros ataques, culpar os Estados Unidos e Israel faria o Irã parecer fraco.

"Se eles gritam publicamente, mas não conseguem apoiá-lo, incorrem em perda de status", diz Howard Shrobe, pesquisador de segurança cibernética do Instituto de Tecnologia de Massachusetts, em Cambridge, que não participou do estudo. "Em alguns casos, nem mesmo reconhecer o ataque é a melhor estratégia".

Outro risco de culpar é expor os recursos de inteligência da vítima com pouco ganho, diz Herbert Lin, pesquisador de segurança cibernética da Universidade de Stanford, em Palo Alto, Califórnia. A abordagem da teoria dos jogos do novo estudo faz um trabalho admirável de esclarecer a natureza das compensações envolvidas na ponderação de cometer um ataque cibernético e se e como responder a um, diz ele.

"Esse tipo de análise é muito importante para os planejadores de políticas, porque pode nos ajudar a evitar colocar recursos onde eles não importam muito", diz Shrobe. "Francamente, é algo que eu esperava que fosse feito já há algum tempo."