Oikeusministeriö antoi iskun maailmanlaajuiseen kyberrikollisuuteen 6. huhtikuuta tuhoamalla "Sandworm" - Venäjän General Staff Main Intelligence Directorate (GRU) -yksikön, joka vastasi vuoden 2017 NotPetya-hyökkäyksestä, hallitseman massiivisen bottiverkon. muiden joukossa. Tämä operaatio heijastaa osaston strategiaa, jossa se asettaa etusijalle niin kutsutut "häiriökyvyt" pitkäaikaisten pidätysten ja luovutusten sijaan. Microsoft sai samalla viikolla oikeuden määräyksen takavarikoida seitsemän verkkotunnusta, joita toinen GRU-yksikkö, joka tunnetaan parhaiten nimellä "Fancy Bear", käyttää Ukrainan instituutioiden kohdistamiseen. Nämä kaksi operaatiota havainnollistavat tärkeää totuutta: Oikeusministeriön parhaat työkalut kyberrikollisuuden torjuntaan voivat olla myös kaikilla yksityisillä yrityksillä, jotka haluavat investoida tarvittavat resurssit. Ja monet yritykset ovat halunneet tehdä niin.
Vuodesta 2010 lähtien Microsoft yksin on voittanut oikeuden määräyksiä kaapata komento- ja ohjauspalvelimia (C2) ja haitata haitallista liikennettä 24 tapauksessa ja takavarikoinut yhteensä yli 16 000 haitallista verkkotunnusta. Mekaanisesti nämä tapaukset toimivat samalla tavalla kuin oikeusministeriön botnet-poistot: Molemmat tahot keräävät todisteita siitä, että tiettyjä verkkotunnuksia käytetään robottiverkkojen hallintaan, ja käyttävät näitä todisteita saadakseen oikeuden määräyksiä, joissa vaaditaan yhdysvaltalaisia verkkotunnusrekisterejä ohjaamaan kyseiset verkkotunnukset uudelleen robottiverkkojen hallitsemiin palvelimiin. määräystä hakenut taho muiden mahdollisten tuomioistuimen valtuuttamien oikeussuojakeinojen joukossa. Bottiverkkojen poistaminen ei ole ainoa oikeusministeriön taktiikka, jota yksityiset yritykset voivat jäljitellä: Nimeämällä John Doe -hakkerit siviilioikeudenkäynneissä vastaajiksi Microsoft on onnistunut saamaan haasteen vaatiakseen kolmannen osapuolen Internet-palveluntarjoajia (ISP) tuottamaan tiedot. sen on autettava tunnistamaan hakkerit. Äskettäin muut suuret teknologiayritykset, kuten Google ja Meta, ovat alkaneet käyttää Microsoftin strategiaa haastaa oikeuteen suuria botnet-verkkoja ylläpitävät tai massiivisiin tietojenkalastelujärjestelmiin osallistuvat kyberrikolliset.
Uskomme, että tämä on erittäin myönteinen suuntaus, joka voi korjata oikeusministeriön kyberhäiriöstrategian suurimman heikkouden: resurssirajoitukset. Botnet-poistot ovat huijauspeliä. Täydentämällä osaston ponnisteluja yksityinen teollisuus voi auttaa ottamaan merkittävän pureman kyberrikollisuudesta. Ja yritysten näkökulmasta siviilikanteiden avulla ne voivat näyttää asiakkailleen konkreettisia tuloksia ja saada kriittistä tietoa uhkatoimijoista odottamatta oikeusministeriön toimia. On varmaa, että siviilioikeudelliset kanteet eivät ole hopealuodi, mutta koska kyberrikollisuuden torjumiseksi ei ole kattavampaa institutionaalista kehystä, siviilibottiverkkojen poistamiset ovat voimakas voimankertoja nykyisten hallituksen ponnisteluille.
Nimetön hakkerin haastaminen oikeuteen
Toimenpiteet
Bottiverkot rikkovat määritelmän mukaan Computer Fraud and Abuse Act (CFAA), 18 U.S.C. § 1030, sikäli kuin ne on luotu saamalla jatkuva luvaton pääsy uhrien tietokoneisiin. Vaikka CFAA tunnetaan parhaiten oikeusministeriön ensisijaisena työkaluna hakkereiden syytteeseenpanossa, laki sisältää myös siviilioikeudellisen kanneperusteen, joka antaa luvattoman pääsyn vahingoittamille mahdollisuuden nostaa kanne.
Kyberrikollisuus voi myös aiheuttaa väitteitä tavaramerkkiloukkauksesta Lanham Actin, 15 U.S.C. §§ 1114, 1125(a), 1125(c), koska hakkerit käyttävät usein yrityksen tavaramerkkejä huijatakseen uhreja paljastamaan valtuustietonsa tai lataamaan haittaohjelmia. Tästä syystä tavaramerkkivaateet ovat olleet näkyvästi esillä käytännöllisesti katsoen kaikissa Microsoftin, Googlen ja Metan vuoden 2010 jälkeen nostamissa tapauksissa. Esimerkiksi Meta teki äskettäin Lanham Act -valituksen 100:aa John Doe -syyttäjää vastaan, koska he loivat yli 39 000 väärennettyä versiota Facebook-, Instagram- ja WhatsApp-kirjautumistunnuksista. sivuja huijatakseen käyttäjiä luopumaan tunnistetiedoistaan. Samoin Microsoft nosti Lanham Act -kanteen Nickeliä, Kiinan kansallisvaltion kehittynyttä pysyvää uhkaa (APT) vastaan, joka lisäsi haitallista koodia Microsoftin Internet Explorer -tavaramerkin kuvaan.
Tosin harvemmin yritykset, mukaan lukien Google, ovat käyttäneet Racketeer Influenced and Corrupt Organizations Actia (RICO) haastaakseen kyberrikolliset oikeuteen perustuen tietokonetunkeutumisen, sähköverkkopetosten, identiteettivarkauksien ja pääsylaitteiden huijauksiin. Yritykset myös täydentävät yllä lueteltuja liittovaltion vaatimuksia osavaltion yleisen lain vaatimuksilla, kuten tunkeutumista, perusteetonta etua, muuntamista, sopimussuhteisiin puuttumista rikosoikeudellisesti, huolimattomuutta ja sopimusrikkomuksia.
Seisomassa
Vaikka ei ole yllättävää, että rikolliset hakkerit rikkovat useita Yhdysvaltain lakeja, ei ehkä ole yhtä selvää, miksi suurilla teknologiayrityksillä on valtuudet valvoa näiden lakien täytäntöönpanoa, varsinkin jos hakkeroinnin perimmäinen kohde ei ole yritys itse, vaan sen asiakkaat . Mutta tuomioistuimet ovat toistuvasti hyväksyneet, että teknologiayritykset ovat oikeutettuja haastamaan hakkereita oikeuteen, koska ne ovat antaneet kymmeniä oikeuden määräyksiä, jotka antavat Microsoftille, Googlelle ja Metalle luvan takavarikoida botnet-infrastruktuurin ja saada muita helpotuksia.
Teknologiayritykset turvautuvat vakiintuessaan useimmiten CFAA:han (18 U.S.C. § 1030(g)), joka sallii siviilioikeudellisen kanteen "[jolle] henkilölle, jolle aiheutuu vahinkoa tai menetystä lain rikkomisen vuoksi". . CAFA (18 U.S.C. § 1030(e)(11)) määrittelee "menetyksen" laajasti siten, että se sisältää "kaikki kohtuulliset kustannukset mille tahansa uhrille, mukaan lukien kustannukset, jotka aiheutuvat rikokseen vastaamisesta, vahingon arvioinnista ja tietojen, ohjelman palauttamisesta, järjestelmä tai tiedot sen tilassa ennen rikkomusta ja mahdolliset tulonmenetykset, aiheutuneet kustannukset tai muut välilliset vahingot, jotka ovat aiheutuneet palvelun keskeytymisestä." Alla on yhteenveto teorioista, joita teknologiayritykset ovat käyttäneet väittääkseen "vahingoista" ja "tappioista" CFAA:n puitteissa. Yritykset, jotka nostavat RICO-vaatimuksia, voivat luottaa samanlaisiin teorioihin, koska RICO sallii samalla tavalla "[jollekin henkilölle], joka on loukkaantunut hänen liiketoiminnassaan tai omaisuudessaan" RICO-rikkomuksesta (18 U.S.C. § 1964(c)).
Menettelyvaiheet
Useimmissa tapauksissa yritykset haastavat hakkerit oikeuteen nimellä "John Does", koska heidän henkilöllisyytensä on tuntematon. Yritys voi haastaa oikeuteen missä tahansa liittovaltion alueella, jossa se on tunnistanut tietoverkkorikollisuuden uhreja. Vaikka yritykset ovat nostaneet nämä kanteet useille lainkäyttöalueille, Virginian itäinen piirikunta on suosituin, koska siellä asuu Verisign, joka rekisteröi kaikki .com-, .net- ja .org-verkkotunnukset, ja koska sen tuomarit ovat olleet erityisen vastaanottavaisia näille asioille. puvut.
Estäkseen hakkereita ryhtymästä toimiin botnet-infrastruktuurinsa säilyttämiseksi, yritykset yleensä jättävät tapauksensa sinetöintiin ja hakevat ex parte väliaikaista kieltomääräystä, joka edellyttää verkkotunnusrekisterien ohjaavan haitalliset verkkotunnukset suojatuille palvelimille. Tällä hetkellä kantajat vaativat myös määräystä osoittaakseen syyn, miksi alustavaa kieltomääräystä ei pitäisi antaa. Kun tuomari on myöntänyt ex parte väliaikaisen lähestymiskiellon (TRO), tapaus sinetöidään ja vastaajille toimitetaan kopio valituksesta ja haasteesta. Fedin uuden säännöksen mukaan. R. Civ. S. 4, joka sallii prosessin tiedoksiannon millä tahansa tavalla "kohtuullisesti laskettuna ilmoittaakseen", tuomioistuimet ovat sallineet palvelun käyttämällä hakkereita rekisteröidessään riidanalaisia verkkotunnuksia, sekä julkaisemalla ne Internetissä. Kun hakkerit väistämättä eivät vastaa, tuomioistuimet myöntävät alustavia kieltomääräyksiä ja lopulta yksipuolisia tuomioita, joissa vaaditaan verkkotunnusten rekisteröijien ohjaamaan C2-verkkotunnukset kantajayrityksen hallitsemille palvelimille muun mahdollisen helpotuksen ohella. Lisäksi yritykset voivat etsiä kolmannen osapuolen löytöjä, joita tarvitaan John Doen syytettyjen tunnistamiseksi.
Hakkereiden haastamisen edut
Bottiverkkojen ja muiden haitallisten verkkotunnusten häiriöt
Suurten botnet-verkkojen rakentaminen vaatii merkittäviä aika- ja rahainvestointeja. Erään arvion mukaan 10 miljoonasta tietokoneesta koostuvan bottiverkon luominen maksaa noin 16 miljoonaa dollaria. Tämä investointi voi maksaa itsensä takaisin: 10 000 bottia haitallisen roskapostin levittämiseen käyttävä robotti voi tuottaa arviolta 300 000 dollaria kuukaudessa. Katkaisemalla uhribotit C2-palvelimista, botnet-poistot vaativat rikollisia palaamaan alkutilaan ja voivat muuttaa suuren botnet-verkon rakentamisen arvoehdotusta. Kuten Microsoftin digitaalisten rikosten yksikkö on todennut: ”Tavoittelemme heidän lompakkoaan. Kyberrikolliset käyttävät bottiverkkoja ansaitakseen rahaa. Häiritsemme bottiverkkoja heikentämällä kyberrikollisten kykyä hyötyä haitallisista hyökkäyksistään."
Kun hakkerit yrittävät rakentaa uudelleen siviilikanteiden rikkomia botnettejä, monet tuomioistuimet ovat olleet valmiita antamaan lisämääräyksiä uusien C2-verkkotunnusten haltuunottoa varten, mukaan lukien ne, jotka on luotu verkkotunnuksia luovien algoritmien avulla. Microsoftin vuoden 2019 tapauksessa Iranin valtion tukemaa APT "Phosphorus" vastaan Yhdysvaltain piirioikeus District of Columbialle antoi neljä täydentävää alustavaa kieltomääräystä "koskeakseen vastaajien jatkuvia pyrkimyksiä rakentaa uudelleen Phosphorusin komento- ja valvontainfrastruktuuri ja jatkaa laitonta toimintaansa avoin uhma” tuomioistuimen aiemmille kieltomääräyksille. Hyväksyttyään Microsoftin yksipuolista tuomiota ja pysyvää kieltopäätöstä koskevan esityksen tuomioistuin nimitti erityisen päällikön, jolla oli valtuudet takavarikoida kaikki äskettäin luodut verkkotunnukset, jotka Microsoft saattoi osoittaa liittyvän samaan bottiverkkoon. Virginian itäisen piirin tuomarit ovat myös kokeilleet erikoismestarien käyttöä tällä tavalla. Turvautuminen erityisiin tietoverkkorikollisuuden asiantuntijoihin voi ratkaista huolenaiheet siitä, että tuomioistuimilla ei ole teknistä asiantuntemusta tutkiakseen mielekkäästi ex parte poistomääräyspyyntöjä.
Yritykset ovat myös menestyksekkäästi käyttäneet siviilioikeudellisia kanteita pakottaakseen haitallisia palvelimia isännöivien ulkomaisten Internet-palveluntarjoajien yhteistyöhön. Vuonna 2012 Microsoft haastoi oikeuteen Peng Yongin, kiinalaisen yrityksen omistajan, joka hallinnoi verkkotunnusta, joka isännöi Nitol-botnet-verkkoon yhdistettyjä haitallisia aliverkkotunnuksia. Kun Microsoft varmisti Virginian itäosassa sijaitsevan TRO:n, jonka ansiosta se pystyi ottamaan verkkotunnuksen haltuunsa ja estämään 70 000 haitallisen aliverkkotunnuksen toiminnan, Peng Yong suostui sovintoon, joka antoi hänen yrityksensä käynnistää verkkotunnuksen uudelleen, kun se ryhtyi toimiin haitallisten verkkotunnusten tunnistamiseksi ja estämiseksi. aliverkkotunnuksia. Toisessa tapauksessa Microsoft työskenteli Kyrus Inc:n ja Kaspersky Labsin kanssa syytteen nostamiseksi DotFree Groupia, Tšekin tasavallassa sijaitsevaa yhtiötä vastaan, sen linkkien perusteella Kelihos-botnet-verkkoon. DotFree suostui alustavassa suostumusmääräyksessä "poistamaan haitalliset aliverkkotunnukset ja [toteuttamaan] prosessin aliverkkotunnuksen rekisteröijien henkilöllisyyden tarkistamiseksi". Kolme kuukautta myöhemmin Microsoft ilmoitti nimenneensä siviilioikeuteen uuden vastaajan, Andrei Sabelnikovin, jonka se uskoi olevan Kelihos-botnetin ylläpitäjä, "[DotFreen] yhteistyön ja uusien todisteiden ansiosta".
Pelote vaikuttavuuden avulla
Kuten Sabelnikov-tapaus osoittaa, siviilikanteet voivat auttaa yrityksiä tunnistamaan kyberrikolliset. Esimerkiksi Microsoft on pyytänyt ja saanut kuusi kuukautta kolmannen osapuolen löytöä John Doen syytettyjen todellisen henkilöllisyyden tutkimiseksi. Tuomioistuimet ovat antaneet Microsoftille luvan haastaa kolmannen osapuolen Internet-palveluntarjoajia, sähköpostipalveluntarjoajia, verkkotunnusten rekisteröijiä, hosting-yrityksiä ja maksupalveluntarjoajia hakkereiden mahdollisten tietojen tunnistamiseksi. Tällaisella haastevallalla Microsoftin tutkijat voivat toistaa yhden pääprosesseista, joita oikeusministeriö käyttää hakkereiden tunnistamiseen.
Hakkerit eivät vihaa mitään enemmän kuin todellisen identiteettinsä paljastamista. Itse asiassa hakkerit paljastavat usein toistensa todellisen identiteetin, joka tunnetaan nimellä doxing, rangaistuksena havaituista väärinkäytöksistä. Hakkerit vihaavat altistumista, koska se voi vaikeuttaa heidän toimintaansa ja heikentää heidän kykyään matkustaa tai säilyttää työpaikkansa. Ahdistuksen aiheuttama ahdistus saa hakkerit usein lopettamaan toimintansa tai ainakin hylkäämään infrastruktuurinsa, viestintäkanavansa ja salaliittolaisensa ja aloittamaan alusta. Julkisen tekijän jäähdytysvaikutus voi olla erityisen hyödyllinen suuren tietomurron jälkeen, koska peloissaan oleva hakkeri saattaa epätodennäköisemmin myydä valtavia määriä varastettua dataa verkossa.
Hakkerin onnistuneesti tunnistanut yritys saattaa pystyä panemaan täytäntöön siviilioikeudellisen tuomion millä tahansa ystävällisellä lainkäyttöalueella, jossa hakkeri ylläpitää varoja. Ja yrityksellä, joka voi oppia hakkerin henkilöllisyyden, ei ole vaikeuksia löytää liittovaltion syyttäjää, joka olisi valmis hyväksymään valmiin tapauksen. Kun näin tapahtuu, useimmat syyttäjät haluaisivat julkisesti kehua yritystä sen avusta antaessaan syytteitä tai pidätyksiä koskevia lehdistötiedotteita.
Tietotietokokoelma
Valta haastaa kolmannen osapuolen Internet-palveluntarjoajat, vaikka se ei johdakaan hakkerin todelliseen henkilöllisyyteen, voi johtaa hakkeriin tai hakkerointiryhmään liittyviin IP-osoitteisiin, verkkotunnuksiin ja muihin tunnisteisiin. Tämä älykkyys voi olla arvokasta verkon puolustajille, jotka voivat estää haitalliset IP-osoitteet ja verkkotunnukset ja mukautua hakkereiden taktiikoihin, tekniikoihin ja menettelyihin.
Jotkin siviilioikeudelliset kanteet ovat johtaneet jopa C2-palvelimien takavarikointiin. Rushtock-botnetin operaattoreita vastaan nostetussa tapauksessa Microsoft sai oikeuden määräyksen, jonka mukaan se voi "työskennellä U.S. Marshals Servicen kanssa fyysisen todisteiden keräämiseksi paikan päällä ja joissakin tapauksissa ottaa palvelimet, joita asia koskee, isännöintipalveluntarjoajilta analysoitavaksi". Tämä antoi tutkijoille mahdollisuuden "tarkistaa[] takavarikoista kerätyt todisteet saadakseen tietoa ... bottiverkon toiminnasta". Kopion hankkiminen hakkerin palvelimesta, erityisesti bottiverkkoon sidottuista C2-palvelimesta, voi tarjota kriittistä tietoa verkon puolustajille ja kyberturvallisuuden ammattilaisille, kuten tartunnan saaneiden tietokoneiden määrä ja menetelmät, joita botnet käyttää haittaohjelmiensa levittämiseen. Tämä älykkyys on erityisen hyödyllinen suurille teknologiayrityksille, joiden on suojeltava leviäviä ekosysteemejä jatkuvasti kehittyviltä uhilta.
Suhteiden parantaminen asiakkaisiin, lainvalvontaviranomaisiin ja yleisöön
Siviilibottiverkkojen poistamiset antavat merkittävän PR-syötön yrityksille, jotka voivat mainostaa näitä tapauksia todisteena sitoutumisestaan kyberturvallisuuteen. Esimerkiksi Meta nosti äskettäin kaksi kannetta (joulukuussa 2021 ja helmikuussa 2022) John Doen vastaajia vastaan, jotka osallistuivat massiivisiin tietojenkalastelujärjestelmiin. Muissa viimeaikaisissa tapauksissa yhtiö on haastanut oikeuteen tahoja, jotka ovat käyttäneet tietojen kaavinta työkaluja ja haittaohjelmien kehityspaketteja kerätäkseen käyttäjätietoja Metan käyttöehtojen vastaisesti. Nämä tapaukset ovat todennäköisesti osa laajempaa strategiaa osoittaakseen Metan sitoutumisen kuluttajien yksityisyyteen. Itse asiassa Meta on juhlinut näitä oikeustoimia "yhdeksi lisäaskeleemme pyrkimyksissämme suojella ihmisten turvallisuutta ja yksityisyyttä, lähettää selkeän viestin niille, jotka yrittävät väärinkäyttää alustamme, ja lisätä teknologiaa väärinkäyttävien vastuuta."
Kyberturvallisuuteen eteenpäin suuntautuvan kokemuksen rakentaminen voi tuottaa tulosta varsinkin väistämättömän tietoturvahäiriön sattuessa. Kun yritys hakkeroidaan tai kun rikolliset käyttävät yrityksen alustaa, tuotteita tai infrastruktuuria kolmansien osapuolten uhriksi, sääntelijät, kantajien asianajajat ja jopa kongressikomiteat joutuvat väistämättä tilille. Kun se päivä koittaa, pitkä ja vakiintunut kokemus kyberturvallisuuden johtajana ja innovaattorina on kriittinen. Hakkereita vastaan taisteleminen myöntävien siviilioikeudenkäyntien kautta on loistava tapa saavuttaa ennätys ja tehdä Internetistä turvallisempi paikka kaikille.