Perang dunia maya dulunya merupakan bagian dari film fiksi ilmiah dan latihan militer. Namun dengan munculnya worm Stuxnet, peretasan Sony Pictures—yang diduga dilakukan dengan dukungan pemerintah Korea Utara—dan serangan minggu ini terhadap situs web pemerintah Jerman, serangan cyber skala besar yang diduga terkait dengan negara semakin meningkat. semakin lazim.

Hanya sedikit orang yang berhasil membuka tabir perang dunia maya seperti Edward Snowden, mantan kontraktor NSA yang membocorkan sejumlah besar dokumen kepada pers.

James Bamford: Terima kasih banyak sudah datang. Saya sangat menghargai ini. Dan ini sangat menarik—pada hari kami bertemu dengan Anda, artikel ini diterbitkan The New York Times, tampaknya meremehkan potensi kerusakan, yang tampaknya telah mereka besarkan dalam perkiraan awal. Apa pendapat Anda tentang artikel hari ini?

Edward Snowden: Jadi ini sangat menarik. Direktur NSA yang baru mengatakan bahwa dugaan kerusakan akibat kebocoran tersebut terlalu berlebihan. Sebenarnya, biarkan aku melakukannya lagi.

Jadi ini sangat menarik. Pimpinan NSA yang menggantikan Keith Alexander, mantan direktur NSA, menyebut dugaan kerugian akibat pengungkapan tahun lalu tidak terlalu signifikan dibandingkan apa yang diungkapkan secara publik pada tahun lalu. Kita dituntun untuk percaya bahwa langit akan runtuh, lautan akan mendidih, atmosfer akan terbakar, dunia akan berakhir seperti yang kita ketahui. Tapi apa yang dia katakan adalah bahwa hal itu tidak membawanya pada kesimpulan bahwa langit akan runtuh.

Dan hal ini sangat berbeda dengan klaim mantan direktur NSA, Keith Alexander. Dan ini merupakan pola yang telah kita lihat di mana satu-satunya pejabat AS yang mengklaim bahwa pengungkapan ini menyebabkan kerugian dibandingkan memberikan manfaat bagi masyarakat adalah para pejabat yang secara pribadi merasa malu karenanya. Misalnya ketua komite pengawas di Kongres, mantan direktur NSA sendiri.

Namun di sisi lain, kita juga mempunyai pejabat di panel peninjau independen Gedung Putih yang mengatakan bahwa program-program ini tidak pernah terbukti dapat menghentikan satu pun serangan teroris yang akan terjadi di Amerika Serikat, dan program-program tersebut tidak ada gunanya. Jadi bagaimana mungkin program-program ini begitu berharga sehingga membicarakannya dan mengungkapkannya kepada publik akan mengakhiri dunia jika program-program tersebut tidak menghentikan serangan apa pun?

Namun apa yang kami lihat dan apa yang diwakilkan oleh artikel ini adalah bahwa klaim kerugian yang kami terima tahun lalu tidaklah akurat dan bahkan dapat diklaim menyesatkan, dan menurut saya hal tersebut menimbulkan kekhawatiran. Namun bagus untuk melihat bahwa direktur NSA sendiri, dengan akses penuh terhadap informasi rahasia, mulai sedikit mendekati kebenaran, semakin mendekati sudut pandang Presiden mengenai hal tersebut, yaitu diskusi ini. yang kami alami selama setahun terakhir tidak merugikan kami. Itu membuat kita lebih kuat. Jadi terima kasih telah menunjukkan itu.

Bamford: Terima kasih. Hal lain yang dibahas dalam artikel tersebut, yang sedang kita bicarakan hari ini, adalah artikel tersebut mengutip direktur baru NSA, yang juga merupakan komandan Komando Siber, yang pada dasarnya mengatakan bahwa ada kemungkinan di masa depan bahwa serangan siber ini akan terjadi. senjata akan menjadi semacam senjata militer biasa, dan akan diperlakukan seperti peluru kendali atau rudal jelajah dan sebagainya.

Snowden: Rudal jelajah atau drone.

Bamford: Apa pendapat Anda tentang hal itu, setelah menghabiskan waktu di seluruh bidang pekerjaan ini sendiri?

Snowden: Saya pikir masyarakat masih belum menyadari seberapa sering serangan siber ini, sebagaimana diberitakan di media, digunakan oleh pemerintah di seluruh dunia, tidak hanya di Amerika Serikat. Namun penting untuk digarisbawahi bahwa kami sebenarnya memulai tren ini dengan banyak cara ketika kami meluncurkan kampanye Stuxnet melawan program nuklir Iran. Hal ini sebenarnya memicu respons, semacam tindakan pembalasan dari Iran, di mana mereka menyadari bahwa mereka tidak siap. Mereka tertinggal jauh dalam kurva teknologi dibandingkan dengan Amerika Serikat dan sebagian besar negara lainnya. Dan hal ini terjadi di seluruh dunia saat ini, ketika mereka menyadari bahwa mereka telah ketahuan. Mereka rentan. Mereka tidak mempunyai kapasitas untuk membalas kampanye siber apa pun yang ditujukan terhadap mereka.

Iran menargetkan perusahaan komersial terbuka milik sekutu AS. Saudi Aramco, perusahaan minyak di sana—mereka mengirimkan apa yang disebut virus wiper, yang sebenarnya adalah sejenis Fisher Price, sebuah kampanye cyber jenis peretasan yang pertama kali dilakukan. Itu tidak canggih. Itu tidak elegan. Anda cukup mengirimkan worm, yang pada dasarnya adalah perangkat lunak berbahaya yang mereplikasi dirinya sendiri, ke jaringan target. Ia kemudian mereplikasi dirinya sendiri secara otomatis di seluruh jaringan internal, dan kemudian menghapus semua mesin. Jadi orang-orang berangkat kerja keesokan harinya dan tidak ada yang menyala. Dan itu membuat mereka gulung tikar untuk jangka waktu tertentu.

Namun dengan kemampuan TI perusahaan, bukanlah hal yang sepele, namun bukan tidak mungkin mengembalikan perusahaan ke kondisi semula dalam waktu yang cukup singkat. Anda dapat membayangkan semua stasiun kerja. Anda dapat memulihkan cadangan Anda dari rekaman. Anda dapat melakukan apa yang disebut pemulihan bare metal, di mana Anda mendapatkan perangkat keras baru yang cocok dengan perangkat keras lama Anda, jika perangkat keras itu sendiri rusak, dan pada dasarnya mengecatnya, memulihkan data seperti target aslinya, dan Anda kembali di tempat yang jelas. Anda terus maju.

Saat ini, ada sesuatu yang belum dipahami sepenuhnya oleh masyarakat mengenai serangan siber, yaitu sebagian besar serangan tersebut bersifat mengganggu, namun belum tentu bersifat destruktif. Salah satu pembeda utama antara tingkat kecanggihan kita dan aktor-aktor di tingkat nasional adalah mereka semakin berupaya untuk melancarkan serangan siber yang merusak, dibandingkan dengan serangan-serangan siber yang mengganggu yang biasanya Anda lihat secara online, melalui pengunjuk rasa, melalui aktivis, penolakan terhadap serangan layanan, dan sebagainya. Dan ini adalah poros yang akan sangat sulit untuk kita navigasikan.

Bamford: Izinkan saya bertanya kepada Anda tentang hal itu, karena itulah fokus program di sini. Hal ini menjadi fokus karena hanya sedikit orang yang pernah membahas hal ini sebelumnya, dan hal ini menjadi fokus karena Amerika Serikat melancarkan serangan siber destruktif pertama mereka, yaitu serangan Stuxnet, seperti yang Anda sebutkan, di Iran. Bisakah Anda ceritakan kepada saya apa yang menjadi tonggak sejarah bagi Amerika Serikat dalam meluncurkan serangan siber destruktif mereka yang pertama?

Snowden: Sulit untuk mengatakan ini adalah yang pertama, karena atribusi selalu sulit dilakukan dengan kampanye semacam ini. Namun wajar jika dikatakan bahwa ini adalah serangan siber tercanggih yang pernah terjadi pada saat itu. Dan fakta bahwa hal ini diluncurkan sebagai bagian dari kampanye resmi AS menandai perubahan radikal dari analisis tradisional kami mengenai tingkat risiko yang ingin kami asumsikan sebagai pembalasan.

Ketika Anda menggunakan kemampuan berbasis internet apa pun, kemampuan elektronik apa pun, untuk menimbulkan kerugian pada entitas swasta atau negara asing atau aktor asing, hal ini berpotensi menimbulkan tindakan perang. Dan penting untuk kita ingat ketika kita membahas bagaimana kita ingin menggunakan program-program ini, kemampuan-kemampuan ini, di mana kita ingin menentukan batas, dan siapa yang harus menyetujui program-program ini, keputusan-keputusan ini, dan pada tingkat apa, untuk terlibat dalam operasi yang dapat membawa kita sebagai bangsa ke dalam perang.

Kenyataannya adalah jika kita berdiam diri dan membiarkan beberapa pejabat di balik pintu tertutup untuk melancarkan serangan ofensif tanpa pengawasan apa pun terhadap negara-negara asing, terhadap orang-orang yang tidak kita sukai, terhadap kelompok politik, kaum radikal, dan ekstremis yang ide-idenya mungkin tidak kita setujui, dan bisa bersifat menjijikkan atau bahkan penuh kekerasan—jika kita membiarkan hal ini terjadi tanpa dukungan publik, kita tidak akan mempunyai kursi di pemerintahan untuk memutuskan apakah pantas bagi para pejabat ini untuk menyeret kita ke dalam aktivitas perang atau tidak. yang tidak kami inginkan, namun kami tidak menyadarinya saat itu.

Bamford: Dan apa yang tampaknya juga Anda bicarakan adalah efek pukulan balik. Dengan kata lain, jika kita melancarkan serangan menggunakan perang dunia maya, sebuah serangan destruktif, kita berisiko menjadi negara paling maju dan terhubung secara elektronik di dunia, yang merupakan masalah besar bagi AS. Apakah itu pemikiranmu?

Snowden: Saya setuju bahwa jika menyangkut perang siber, kita akan mengalami kerugian yang lebih besar dibandingkan negara mana pun di dunia. Sektor teknis adalah tulang punggung perekonomian Amerika, dan jika kita mulai terlibat dalam perilaku semacam ini, dalam serangan semacam ini, kita menetapkan standar, kita menciptakan norma perilaku internasional baru yang menyatakan bahwa inilah yang dimaksud dengan perilaku tersebut. negara-negara melakukannya. Hal inilah yang dilakukan oleh negara-negara maju. Inilah yang dilakukan oleh negara-negara demokratis. Jadi, negara-negara lain yang tidak terlalu menghormati peraturan seperti kami akan melangkah lebih jauh.

Dan kenyataannya adalah ketika terjadi konflik dunia maya antara, katakanlah, Amerika dan Tiongkok atau bahkan negara Timur Tengah, negara Afrika, negara Amerika Latin, negara Eropa, kita akan mengalami kerugian yang lebih besar. Jika kita menyerang universitas Tiongkok dan mencuri rahasia program penelitian mereka, seberapa besar kemungkinan hal tersebut akan lebih bernilai bagi Amerika dibandingkan ketika Tiongkok membalas dan mencuri rahasia dari universitas AS, dari kontraktor pertahanan AS, dari badan militer AS?

Kita menghabiskan lebih banyak uang untuk penelitian dan pengembangan dibandingkan negara-negara lain, jadi kita tidak boleh menjadikan internet sebagai wilayah yang lebih bermusuhan dan agresif. Kita harus meredakan ketegangan, menjadikannya lingkungan yang lebih terpercaya, menjadikannya lingkungan yang lebih aman, menjadikannya lingkungan yang lebih dapat diandalkan, karena itulah fondasi perekonomian dan masa depan kita. Kita harus bisa mengandalkan internet yang aman dan terkoneksi agar bisa bersaing.

Bamford: Menurut Anda, di manakah arah kehancuran ini? Di Iran, misalnya, mereka menghancurkan mesin sentrifugal. Namun hal apa lagi yang mungkin menjadi sasaran? Pembangkit listrik atau bendungan? Menurut Anda, apa potensi kerusakan terbesar yang mungkin timbul akibat serangan perang siber?

Snowden: Ketika orang mengkonsep serangan siber, mereka cenderung berpikir tentang bagian-bagian infrastruktur penting seperti pembangkit listrik, pasokan air, dan infrastruktur berat serupa, area infrastruktur penting. Dan mereka bisa terkena serangan, selama mereka terhubung ke jaringan, selama mereka mempunyai semacam sistem yang berinteraksi dengannya dan dapat dimanipulasi dari koneksi internet.

Namun yang kita abaikan dan memiliki nilai yang jauh lebih besar bagi kita sebagai bangsa adalah internet itu sendiri. Internet adalah infrastruktur penting bagi Amerika Serikat. Kami menggunakan internet untuk setiap komunikasi yang diandalkan oleh bisnis setiap hari. Jika musuh tidak menargetkan pembangkit listrik kita namun mereka menargetkan router inti, tulang punggung yang menghubungkan koneksi internet kita, maka seluruh wilayah Amerika Serikat dapat terputus. Hal-hal tersebut dapat dialihkan secara offline, dan kondisi perekonomian dan bisnis kita akan menjadi suram selama beberapa menit, jam, hari. Hal ini akan berdampak besar pada kita sebagai masyarakat dan akan menimbulkan reaksi balik terhadap kebijakan.

Namun, solusinya adalah dengan tidak memberi pemerintah wewenang yang lebih rahasia untuk memasang tombol mematikan, monitor, dan perangkat pengintai di internet. Hal ini bertujuan untuk menyusun ulang prioritas kita mengenai cara kita menghadapi ancaman terhadap keamanan infrastruktur penting kita, yaitu infrastruktur elektronik kita. Hal ini berarti melibatkan badan-badan seperti Badan Keamanan Nasional yang secara tradisional bertujuan untuk mengamankan negara dan memastikan bahwa hal tersebut menjadi fokus utama mereka.

Dalam 10 tahun terakhir, kita telah melihat—dalam 10 tahun terakhir, kita telah melihat adanya perubahan dari peran tradisional pengumpulan sinyal intelijen di luar negeri yang terkait dengan respons terhadap ancaman yang—

Bamford: Gunakan waktumu.

Snowden: Benar. Apa yang telah kita lihat selama dekade terakhir adalah kita telah melihat adanya penyimpangan dari pekerjaan tradisional Badan Keamanan Nasional. Mereka telah menjadi semacam badan peretasan nasional, badan pengawasan nasional. Dan mereka telah melupakan fakta bahwa semua yang mereka lakukan seharusnya membuat kita lebih aman sebagai sebuah bangsa dan masyarakat.

Badan Keamanan Nasional memiliki dua bagian, satu menangani pertahanan dan satu lagi menangani pelanggaran. Michael Hayden dan Keith Alexander, mantan direktur NSA, mereka mengubah prioritas tersebut, karena ketika mereka pergi ke Kongres, mereka melihat bahwa mereka bisa mendapatkan lebih banyak uang anggaran jika mereka mengiklankan keberhasilan mereka dalam menyerang, karena tidak ada seorang pun yang benar-benar tertarik untuk melakukan hal yang sulit. pekerjaan pertahanan.

Namun masalahnya adalah ketika Anda tidak memprioritaskan pertahanan, Anda menempatkan kita semua dalam risiko. Tiba-tiba, kebijakan-kebijakan yang sebelumnya sulit dipercaya dan tidak dapat dipahami bahkan pada 20 tahun yang lalu menjadi hal yang lumrah saat ini. Anda melihat keputusan yang dibuat oleh lembaga-lembaga ini yang memberikan wewenang kepada mereka untuk memasang pintu belakang ke dalam infrastruktur penting kami, yang memungkinkan mereka untuk melanggar standar keamanan teknis yang menjaga komunikasi Anda tetap aman ketika Anda mengunjungi situs web perbankan online atau mengirim email ke teman atau masuk ke Facebook .

Dan kenyataannya adalah, ketika Anda membuat sistem tersebut rentan sehingga Anda dapat memata-matai negara lain dan Anda memiliki standar yang sama dengan negara-negara tersebut terhadap sistem mereka, Anda juga membuat negara Anda sendiri lebih rentan terhadap serangan yang sama. Kami membuka diri untuk menyerang. Kita menurunkan perisai kita agar kita bisa mendapatkan keuntungan ketika kita menyerang negara lain di luar negeri, tapi kenyataannya adalah ketika kita membandingkan kemenangan kita dengan kemenangan mereka, nilai dari data, pengetahuan, informasi yang diperoleh dari negara lain. serangan-serangan tersebut jauh lebih besar bagi mereka dibandingkan terhadap kita, karena kita sudah berada di puncak. Jauh lebih mudah untuk menyeret kita ke bawah daripada mengambil pengetahuan tambahan dari mereka dan membangun diri kita sendiri.

Bamford: Apakah Anda berbicara tentang Tiongkok secara khusus?

Snowden: Saya berbicara tentang Tiongkok dan setiap negara yang memiliki program pengumpulan intelijen yang kuat dan didanai dengan baik di bidang intelijen sinyal. Namun intinya adalah kita perlu mengembalikan keamanan ke Badan Keamanan Nasional. Kita tidak bisa memiliki badan pengawasan nasional. Kami harus pergi—lihat, hal terpenting bagi kami adalah tidak mampu menyerang musuh, hal terpenting adalah mampu mempertahankan diri. Dan kita tidak bisa melakukan hal tersebut selama kita melanggar standar keamanan kita demi kepentingan pengawasan.

Bamford: Ini adalah kombinasi yang sangat aneh, ketika separuh anggota NSA, yaitu Direktorat Jaminan Informasi, yang bertugas melindungi negara dari serangan siber, bekerja sama dengan Direktorat Intelijen Sinyal dan Komando Siber, yang fokus pada hal-hal yang berkaitan dengan keamanan siber. menciptakan kelemahan. Bisakah Anda ceritakan sedikit tentang cara kerjanya, penggunaan kerentanan, implan, dan eksploitasi?

Snowden: Secara umum, ada sejumlah istilah berbeda yang digunakan dalam CNO, dunia operasi jaringan komputer.

Secara garis besar, ada sejumlah istilah berbeda yang digunakan untuk mendefinisikan bahasa sehari-hari dalam dunia operasi jaringan komputer. Ada CNA, serangan jaringan komputer, yang bertujuan untuk menolak, menurunkan, atau menghancurkan fungsi suatu sistem. Ada CND, pertahanan jaringan komputer, yang melindungi sistem, yaitu memperhatikan kerentanan, memperhatikan penyusupan, memutusnya, dan memperbaikinya, menambal lubangnya. Dan ada CNE, eksploitasi jaringan komputer, yang membobol sistem dan meninggalkan sesuatu, semacam telinga elektronik yang memungkinkan Anda memantau segala sesuatu yang terjadi sejak saat itu. CNE biasanya digunakan untuk spionase, untuk memata-matai.

Untuk mencapai tujuan ini, kami menggunakan hal-hal seperti eksploitasi, implan, kerentanan, dan sebagainya. Kerentanan adalah kelemahan dalam suatu sistem, dimana sebuah program komputer memiliki cacat dalam kodenya sehingga, ketika program tersebut mengira akan menjalankan tugas rutin yang normal, program tersebut sebenarnya telah ditipu untuk melakukan sesuatu yang diminta oleh penyerang. Misalnya, daripada mengunggah file untuk menampilkan gambar secara online, Anda dapat mengunggah sedikit kode yang kemudian akan dieksekusi oleh situs web.

 

Atau alih-alih masuk ke situs web, Anda dapat memasukkan kode ke dalam kolom nama pengguna atau ke dalam kolom kata sandi, dan itu akan menembus batas memori—yang seharusnya melindungi program—ke dalam ruang instruksi komputer yang dapat dieksekusi. Artinya ketika komputer menjalani langkah-langkah yang seharusnya terjadi, saya mencari login pengguna. Ini adalah nama penggunanya. Ini adalah kata sandinya. Dan kemudian ketika harus pergi, periksa untuk melihat apakah ini benar, jika Anda memasukkan sesuatu yang terlalu panjang di bidang kata sandi, itu sebenarnya akan menimpa instruksi berikutnya untuk komputer. Jadi ia tidak tahu seharusnya memeriksa kata sandi. Sebaliknya, katanya, saya seharusnya membuat akun pengguna baru dengan hak istimewa maksimum dan membuka port bagi musuh untuk mengakses jaringan saya, dan seterusnya dan seterusnya.

Kerentanan umumnya merupakan kelemahan yang dapat dieksploitasi. Eksploitasi itu sendiri adalah potongan kecil kode komputer yang memungkinkan Anda menjalankan program apa pun yang Anda inginkan.

Eksploitasi adalah potongan kode komputer yang Anda masukkan ke dalam kerentanan untuk memungkinkan Anda mengambil alih suatu sistem, untuk mendapatkan akses ke kerentanan tersebut, untuk memberi tahu sistem itu apa yang ingin Anda lakukan. Payload atau implan mengikuti di belakang eksploitasi. Eksploitasi inilah yang memasukkan Anda ke dalam sistem. Payload adalah instruksi yang tertinggal. Sekarang, instruksi tersebut sering kali mengatakan memasang implan.

Implan adalah program sebenarnya yang berjalan—tetap tertinggal setelah eksploitasi terjadi—dan berkata, beri tahu saya semua file di mesin ini. Buatlah daftar semua pengguna. Kirim setiap email baru atau setiap penekanan tombol baru yang direkam dalam program ini setiap hari ke mesin saya sebagai penyerang, atau apa pun yang dapat Anda bayangkan. Ia juga dapat memerintahkan sentrifugal nuklir untuk berputar hingga RPM maksimum dan kemudian berputar ke bawah dengan cukup cepat sehingga tidak ada yang menyadarinya. Ini dapat memberitahu pembangkit listrik untuk offline.

Atau bisa juga dikatakan, beri tahu saya apa yang dilakukan pembangkang ini sehari-hari, karena ia ada di ponsel mereka dan melacak semua pergerakan mereka, siapa yang mereka telepon, dengan siapa mereka bergaul, perangkat nirkabel apa yang ada di dekatnya. Benar-benar sebuah eksploitasi hanya sebatas—atau bukan sebuah eksploitasi. Implan hanya dibatasi oleh imajinasi. Apa pun yang Anda dapat memprogram komputer untuk melakukannya, Anda dapat memprogram implan untuk melakukannya.

Bamford: Jadi Anda punya implannya, lalu Anda punya muatannya, bukan?

Snowden: Muatannya termasuk implan. Eksploitasi inilah yang pada dasarnya membobol kerentanan. Payload adalah apa yang dijalankan oleh eksploitasi, dan pada dasarnya itu adalah semacam kode yang dapat dieksekusi. Dan implan adalah muatan yang tertinggal dalam jangka panjang, semacam program yang pada dasarnya mendengarkan, semacam program mata-mata, atau semacam program yang merusak.

Bamford: Mewawancarai Anda seperti melakukan power steering. Saya tidak perlu mengeluarkan ini.

Snowden: Ya, maaf, jawaban saya agak bertele-tele, dan jawaban politiknya tidak terlalu kuat, tapi saya bukan politisi, jadi saya hanya mencoba yang terbaik dalam hal ini.

Bamford: Ini bukan berita malam, jadi kita punya waktu satu jam.

Snowden: Ya, saya harap kalian memotong ini agar tidak terlalu buruk.

Produser: Kami punya dua kamera, dan kami dapat mengukir kata-kata Anda.

Snowden: (tertawa) Hebat.

Produser: Tapi kami tidak akan melakukannya.

Bamford: Sebaiknya sebutkan implan ini sekarang—implan ini terdengar seperti agen tidur di masa lalu Perang Dingin, di mana Anda memiliki agen yang duduk di sana dan dapat melakukan apa saja. Hal ini dapat melakukan sabotase. Ia bisa melakukan spionase. Ia bisa melakukan apa pun. Dan melihat salah satu slide yang keluar, yang benar-benar menarik adalah kenyataan bahwa slide tersebut adalah peta dunia, dan terdapat titik-titik kuning kecil di atasnya. Titik kuning kecil diindikasikan sebagai CNE, eksploitasi jaringan komputer. Dan Anda berharap melihatnya di Korea Utara, Tiongkok, dan tempat-tempat lain seperti itu. Tapi yang menarik kalau kita lihat, sebenarnya ada cukup banyak di Brazil, misalnya, dan tempat lain yang merupakan negara sahabat. Adakah yang tahu mengapa AS ingin melakukan hal seperti itu?

Snowden: Jadi cara kerja komunitas intelijen Amerika adalah tidak membatasi diri pada perlindungan tanah air. Hal ini tidak terbatas pada melawan ancaman teroris, melawan proliferasi nuklir. Ini juga digunakan untuk spionase ekonomi, untuk memata-matai politik untuk mendapatkan pengetahuan tentang apa yang dilakukan negara lain. Dan selama dekade terakhir, hal semacam itu sudah keterlaluan.

Tidak seorang pun akan berpendapat bahwa Amerika berkepentingan untuk memiliki pengetahuan independen mengenai rencana dan niat negara-negara asing. Namun kita perlu memikirkan batasan apa yang harus diambil dalam operasi semacam ini sehingga kita tidak selalu menyerang sekutu kita, orang-orang yang kita percayai, orang-orang yang perlu kita andalkan, dan membuat mereka bergantung pada kita. Tidak ada manfaatnya bagi Amerika Serikat untuk meretas ponsel Angela Merkel. Presiden Obama mengatakan jika dia ingin mengetahui apa yang dipikirkan wanita tersebut, dia cukup mengangkat telepon dan meneleponnya. Namun dia tampaknya tidak menyadari bahwa NSA melakukan hal tersebut. Hal serupa juga terjadi di Brasil, Prancis, Jerman, dan negara-negara lain, negara-negara sekutu di seluruh dunia.

Dan kita juga perlu ingat bahwa ketika kita berbicara tentang eksploitasi jaringan komputer, serangan jaringan komputer, kita tidak hanya berbicara tentang PC di rumah Anda. Kita tidak hanya berbicara tentang sistem kendali di suatu pabrik di suatu tempat. Kami berbicara tentang ponsel Anda, dan kami juga berbicara tentang router internet itu sendiri. NSA dan lembaga sejenisnya menyerang infrastruktur penting internet untuk mencoba mengambil alih kepemilikannya. Mereka meretas router yang menghubungkan negara-negara ke internet itu sendiri.

Dan ini berbahaya karena beberapa alasan. Hal ini memang memberi kita keuntungan intelijen yang nyata, namun pada saat yang sama, hal ini juga merupakan risiko yang serius. Jika salah satu dari operasi peretasan ini berjalan salah, dan hal ini pernah terjadi di masa lalu, dan ini adalah router inti yang menghubungkan semua penyedia layanan internet di suatu negara ke internet, kami telah menutup akses online seluruh negara tersebut hingga masalah itu dapat diperbaiki. Dan router ini bukanlah Linksys kecil Anda, router D-Link yang ada di rumah. Kita berbicara tentang perangkat seharga $60,000, $600,000, $6 juta, kompleks, yang tidak mudah diperbaiki, dan tidak memiliki pengganti siap pakai yang siap ditukar.

Jadi kita harus sangat berhati-hati, dan kita perlu memastikan bahwa setiap kali kita terlibat dalam kampanye perang dunia maya, kampanye spionase dunia maya di Amerika Serikat, kita memahami bahwa kata dunia maya digunakan sebagai sebuah eufemisme untuk kata tersebut. internet, karena masyarakat Amerika tidak akan senang mendengar bahwa kami melakukan kampanye perang internet, kampanye spionase internet, karena kami menyadari bahwa kami sendiri yang terkena dampaknya. Internet adalah infrastruktur penting bersama bagi semua orang di bumi. Ini tidak seharusnya menjadi wilayah peperangan. Kita tidak seharusnya menempatkan perekonomian kita di garis depan dalam medan pertempuran. Namun hal itulah yang semakin banyak terjadi saat ini.

Jadi kita perlu menerapkan proses, kebijakan, dan prosedur dengan undang-undang nyata yang melarang tindakan melampaui batas yang wajar untuk memastikan bahwa satu-satunya saat kita dan negara-negara lain di seluruh dunia menjalankan otoritas ini adalah ketika benar-benar diperlukan. bukan cara alternatif untuk mencapai hasil yang sesuai, dan hal ini sebanding dengan ancamannya. Kita tidak boleh menempatkan seluruh infrastruktur negara dalam risiko untuk memata-matai satu perusahaan, untuk memata-matai satu orang. Namun kita semakin sering melihat hal itu terjadi saat ini.

Bamford: Anda menyebutkan permasalahannya, bahaya yang ditimbulkan jika Anda mencoba mengeksploitasi sistem saraf pusat suatu negara terkait dengan internet. Misalnya di Suriah, ada suatu masa ketika segala sesuatunya menjadi kacau, dan hal ini disalahkan pada presiden Suriah, Bashar al-Assad. Apakah Anda mempunyai pengetahuan khusus tentang hal itu?

Snowden: Saya sebenarnya tidak ingin membahas hal itu di depan kamera, jadi saya harus menolaknya.

Bamford: Bisakah Anda membicarakannya?

Snowden: Apa yang ingin saya katakan adalah ketika Anda menyerang router di internet, dan Anda melakukannya dari jarak jauh, itu seperti mencoba menembak bulan dengan senapan. Segalanya harus terjadi dengan tepat. Setiap variabel harus dikontrol dan diperhitungkan secara tepat. Dan itu tidak mungkin dilakukan jika Anda memiliki pengetahuan terbatas tentang target yang Anda serang.

Jadi, jika Anda memiliki router raksasa yang ingin Anda retas, dan Anda ingin meretasnya dengan cara yang tidak terdeteksi oleh administrator sistem perangkat tersebut, Anda harus berada di bawah level sistem operasi perangkat tersebut, tentu saja. router itu. Bukan di tempat yang tertulis di sini adalah peraturannya, ini adalah akun penggunanya, ini adalah rute dan informasi teknis yang tepat yang harus dapat diakses oleh setiap orang yang mengelola perangkat ini. Turun ke tingkat firmware, ke tingkat kontrol perangkat keras perangkat yang tidak pernah dilihat oleh siapa pun, karena ini adalah tempat yang gelap.

Masalahnya adalah jika Anda membuat kesalahan saat memanipulasi kontrol perangkat keras suatu perangkat, Anda dapat melakukan apa yang disebut dengan memblokir perangkat keras, dan hal itu akan mengubahnya dari perangkat komunikasi internet seharga $6 juta menjadi pemberat kertas senilai $6 juta yang menghalanginya. komunikasi seluruh negara Anda. Dan itu adalah sesuatu yang bisa saya katakan telah terjadi di masa lalu.

Bamford: Ketika kami berada di Brasil, kami diperlihatkan fasilitas koneksi internet utama ini. Itu adalah pusat internet terbesar di belahan bumi selatan, dan terletak di Brasil. Dan masyarakat Brazil sangat khawatir, karena sekali lagi, mereka melihat slide yang menunjukkan semua malware ini ditanam di Brazil. Apakah ini benar-benar kekhawatiran yang harus mereka miliki, fakta bahwa mereka, yang pertama, memiliki pusat internet raksasa yang berada tepat di Sao Paulo, dan di sisi lain, mereka mendapati NSA membanjiri negara tersebut dengan malware?

Snowden: Pertukaran internet adalah semacam titik inti di mana semua kabel internasional berkumpul, di mana semua penyedia layanan internet berkumpul, dan mereka bertukar jalur satu sama lain, di mana kita berpindah dari rute yang berbeda, jalan raya yang terpisah di internet menjadi satu. lingkaran lalu lintas yang koheren di mana setiap orang dapat naik dan turun di pintu keluar yang mereka inginkan. Ini adalah target prioritas bagi agen spionase mana pun, karena mereka menyediakan akses terhadap komunikasi banyak orang.

Pertukaran internet dan penyedia layanan internet—titik pendaratan serat optik internasional—adalah alat utama yang digunakan pemerintah untuk memungkinkan program pengawasan massal mereka. Jika mereka ingin dapat menyaksikan seluruh populasi suatu negara, bukan satu individu, Anda harus melakukan pertukaran massal tersebut. Dan itulah yang terjadi.

Jadi ini merupakan ancaman nyata, dan satu-satunya cara yang dapat dipertanggungjawabkan adalah dengan memastikan bahwa ada semacam pengendalian dan audit independen, semacam investigasi forensik rutin terhadap perangkat ini, untuk memastikan bahwa perangkat tersebut tidak hanya aman ketika digunakan. telah dipasang, namun belum dipantau atau dirusak atau diubah dengan cara apa pun sejak audit terakhir dilakukan. Dan hal ini memerlukan tindakan seperti membuat bukti matematis yang disebut hash atas validitas tanda tangan perangkat keras dan tanda tangan perangkat lunak yang sebenarnya pada perangkat ini dan perangkat kerasnya.

Bamford: Bidang lainnya—Anda menyebutkan panel kepresidenan yang memeriksa semua bidang yang menjadi perhatian saat ini, dan pada dasarnya Anda telah mengemukakan bidang-bidang tersebut. Dan panel kepresidenan mengeluarkan 46 rekomendasi berbeda. Salah satu rekomendasi tersebut berkaitan dengan pembatasan penggunaan atau pengurangan atau bahkan menghilangkan gagasan untuk mengejar eksploitasi zero-day. Bisakah Anda ceritakan sedikit tentang ketakutan Anda terhadap AS yang menciptakan pasar eksploitasi zero-day?

Snowden: Jadi eksploitasi zero-day adalah metode peretasan suatu sistem. Ini semacam kerentanan yang memiliki eksploitasi tertulis untuknya, semacam kunci dan gembok yang menyatu dengan paket perangkat lunak tertentu. Ini bisa menjadi server web internet. Bisa jadi Microsoft Office. Bisa jadi Adobe Reader atau bisa juga Facebook. Namun eksploitasi zero-day ini—disebut zero-day karena pengembang perangkat lunak sama sekali tidak menyadarinya. Mereka belum mempunyai kesempatan untuk bereaksi, merespons, dan mencoba menambal dan menutup kerentanan tersebut.

Bahaya yang kita hadapi dalam kebijakan penimbunan zero-day adalah kita menciptakan sistem insentif di negara kita dan negara-negara lain di seluruh dunia yang meniru perilaku kita atau yang melihatnya sebagai otorisasi diam-diam bagi mereka untuk melakukan hal tersebut. Operasi yang sama adalah kita menciptakan sekelompok peneliti keamanan internet yang meneliti kerentanan, namun alih-alih mengungkapkannya kepada produsen perangkat untuk memperbaikinya dan membuat kita lebih aman, mereka malah menjualnya ke agen rahasia.

Mereka menjualnya di pasar gelap kepada kelompok kriminal agar dapat mengeksploitasinya untuk menyerang sasaran. Dan hal ini membuat kita semakin tidak aman, tidak hanya pada tingkat individu, namun juga pada tingkat sosial, dan ekonomi secara luas. Dan lebih dari itu, hal ini menciptakan pasar gelap baru untuk senjata komputer, yang pada dasarnya adalah senjata digital.

Dan ada sedikit masalah kebebasan berpendapat dalam mengatur hal ini, karena orang harus bebas menyelidiki keamanan komputer. Orang-orang harus bebas mencari kerentanan ini dan membuat kode bukti konsep untuk menunjukkan bahwa kerentanan tersebut memang benar agar kita dapat mengamankan sistem kita. Namun merupakan hal yang tepat untuk mengatur penggunaan dan penjualan eksploitasi zero-day untuk tujuan jahat, sama seperti Anda mengatur senjata militer lainnya.

Dan hari ini, kami tidak melakukan hal itu. Dan itulah sebabnya kita melihat pasar gelap berkembang dengan perusahaan-perusahaan seperti Endgame, dengan perusahaan-perusahaan seperti Vupen, di mana semua yang mereka lakukan—seluruh model bisnis mereka adalah menemukan kerentanan dalam paket perangkat lunak infrastruktur paling penting yang kita miliki di internet di seluruh dunia, dan bukannya memperbaikinya. kerentanan, mereka membukanya dan membiarkan pelanggan masuk melaluinya, dan mereka mencoba menyembunyikan pengetahuan tentang eksploitasi zero-day ini selama mungkin untuk meningkatkan nilai komersial dan pendapatan mereka.

Bamford: Kini, dari 46 rekomendasi tersebut, termasuk rekomendasi mengenai eksploitasi zero-day yang diajukan oleh panel, Presiden Obama hanya menyetujui paling banyak lima atau enam dari 46 rekomendasi tersebut, dan dia tampaknya tidak membahas sama sekali mengenai hal tersebut. rekomendasi eksploitasi zero-day. Bagaimana menurut Anda, fakta bahwa hal itu diabaikan oleh Presiden?

Snowden: Saya tidak bisa mengomentari kebijakan presiden. Itu adalah ranjau darat bagi saya. Saya sarankan Anda bertanya kepada Chris Soghoian di ACLU, American Civil Liberties Union, dan dia bisa memberi Anda penawaran apa pun yang Anda inginkan tentang hal itu. Anda tidak memerlukan saya untuk membahas hal itu, tetapi Anda benar sekali bahwa di mana ada asap, di situ ada api, sejauh menyangkut hal itu.

Bamford: Nah, sebagai seseorang yang pernah bekerja di NSA, sudah lama berada di sana, selama Anda berada di sana, mereka menciptakan organisasi baru yang disebut Cyber ​​Command. Apa pendapat Anda tentang pembentukan organisasi baru yang mirip dengan NSA ini, di bawah direktur NSA? Sekali lagi, sebagai cadangan, direktur NSA sejak awal hanya memiliki tiga bintang, dan sekarang dia adalah seorang jenderal bintang empat, atau laksamana bintang empat, dan dia memiliki badan intelijen terbesar di dunia, NSA, di bawahnya, dan sekarang dia punya Cyber ​​Command. Apa pendapat Anda tentang hal itu, setelah melihatnya dari dalam?

Snowden: Ada perdebatan sengit tahun lalu mengenai perlu atau tidaknya Badan Keamanan Nasional dan Komando Siber dipecah menjadi dua badan independen, dan itulah yang disarankan oleh dewan peninjau independen Presiden sebagai metode yang tepat, karena jika Anda memiliki badan yang seharusnya bersikap defensif jika menikah dengan lembaga yang tujuan hidupnya adalah untuk menghancurkan dan membakarnya, Anda mempunyai konflik kepentingan yang benar-benar akan mengurangi pengaruh lembaga defensif, sementara cabang ofensif mendapatkan lebih banyak pengaruh, mereka mendapatkan lebih banyak dana anggaran, mereka mendapatkan lebih banyak billet dan penugasan personel.

Jadi ada bahaya nyata jika hal itu terjadi. Dan Cyber ​​Command sendiri selalu ada—Cyber ​​Command sendiri selalu dicap dengan cara yang menyesatkan sejak awal berdirinya. Direktur NSA, ketika ia memperkenalkannya, ketika ia mencoba untuk mendapatkan persetujuannya, ia berkata bahwa ia ingin menjelaskan bahwa ini bukanlah sebuah tim defensif. Itu adalah tim pembela negara. Dia mengatakan hal itu bersifat defensif dan tidak defensif pada saat yang bersamaan.

Sekarang, alasan dia mengatakan hal tersebut adalah karena mereka adalah sebuah lembaga penyerang, namun tampil di depan publik dan meminta mereka untuk menyetujui sebuah lembaga yang berfokus pada peperangan agresif yang tidak kita perlukan adalah sebuah penjualan yang sulit. Jauh lebih baik jika kita mengatakan, hei, ini untuk melindungi kita, ini untuk menjaga kita tetap aman, meskipun yang dilakukannya setiap hari hanyalah membakar dan menghancurkan barang-barang di negara asing yang tidak sedang kita perangi.

Jadi ada keseimbangan hati-hati yang perlu dicapai dalam hal ini dan belum terselesaikan, namun selama Badan Keamanan Nasional dan Komando Siber berada di bawah satu atap, kita akan melihat sisi ofensif dari bisnis mereka lebih diprioritaskan daripada sisi ofensif dari bisnis mereka. sisi defensif bisnis, yang jauh lebih penting bagi kita sebagai negara dan masyarakat.

Bamford: Dan seperti yang Anda sebutkan sebelumnya, jika kita bisa melihat kembali hal ini, berapa banyak uang yang akan disalurkan untuk serangan siber dibandingkan untuk sisi pertahanan siber. Bukan hanya lebih banyak uang, tapi lebih banyak personel, lebih banyak perhatian, lebih banyak fokus.

Snowden: Saya sebenarnya tidak mengerti pertanyaan itu.

Bamford: Saya hanya ingin tahu apakah Anda bisa menjelaskannya lebih lanjut. Sekali lagi, kita punya Komando Siber, Divisi Jaminan Informasi, dan sebagainya, dan terdapat jauh lebih banyak dana dan personel serta penekanan pada sisi perang siber dibandingkan sisi defensif.

Snowden: Saya pikir poin kunci dalam menganalisis keseimbangan dan posisi kita dalam hal serangan versus pertahanan di Badan Keamanan Nasional dan Komando Siber adalah, semakin banyak, apa yang kita baca di surat kabar dan apa yang kita lihat diperdebatkan di Kongres. , fakta bahwa Senat kini mencoba mengajukan rancangan undang-undang yang disebut CISPA, Cyber ​​Intelligence Sharing—saya bahkan tidak tahu apa namanya—biarkan saya menariknya kembali.

Kita melihat semakin banyak hal yang terjadi seperti Senat yang mengajukan rancangan undang-undang yang disebut CISPA, yang diperuntukkan bagi pertukaran intelijen dunia maya antara perusahaan swasta dan lembaga pemerintah, di mana mereka mencoba untuk mengesahkan tidak hanya kekebalan total, pemberian kekebalan total, untuk perusahaan swasta jika mereka membagikan informasi tentang semua pelanggannya, tentang semua warga negara Amerika, dan lainnya yang menggunakan layanan mereka, kepada badan intelijen, dengan tujuan agar informasi tersebut digunakan untuk melindungi mereka.

Kongres juga mencoba untuk mengimunisasi perusahaan dengan cara yang memungkinkan mereka mengundang kelompok seperti Badan Keamanan Nasional atau FBI untuk secara sukarela memasang perangkat pengawasan di jaringan internal mereka, dengan tujuan untuk mendeteksi serangan dunia maya saat terjadi dan terjadi. mampu menanggapi mereka. Tapi kami menyerahkan banyak wewenang di sana. Kami mengimunisasi perusahaan dari uji tuntas dan melindungi hak privasi pelanggan mereka.

Sebenarnya, ini adalah poin yang terlalu sulit untuk disampaikan dalam wawancara. Izinkan saya membatalkannya.

Apa yang semakin sering kita lihat adalah semacam kerusakan pada Badan Keamanan Nasional. Badan Keamanan Nasional semakin berkurang dan semakin banyak menjadi badan pengawasan nasional. Ia mendapatkan kekuatan ofensif yang lebih besar setiap tahunnya. Telah diperoleh Komando Cyber ​​baru yang berada di bawah direktur NSA yang dengan ukuran apa pun harus menjadi organisasi yang sepenuhnya terpisah karena memiliki misi yang sepenuhnya terpisah. Yang dilakukannya hanyalah menyerang.

Dan hal ini menempatkan kita, baik sebagai bangsa maupun perekonomian, dalam kondisi kerentanan permanen dan risiko permanen, karena ketika kita kehilangan Badan Keamanan Nasional dan malah mendapatkan lembaga yang menyerang, kita malah mendapatkan lembaga penyerang, semua sumber daya manusia kita. Mata kita melihat ke luar, tapi tidak melihat ke dalam, tempat kita paling dirugikan. Dan inilah cara kami melewatkan serangan berkali-kali. Hal ini mengakibatkan kegagalan intelijen seperti pengeboman Boston Marathon atau pelaku bom pakaian dalam, Abdul Farouk Mutallab (sic).

Dalam beberapa tahun terakhir, sebagian besar serangan teroris yang terjadi di Amerika Serikat digagalkan karena hal-hal seperti pembom Time Square, yang ditangkap oleh penjual hotdog, bukan program pengawasan massal, bukan kampanye spionase dunia maya.

Jadi ketika kita melakukan kanibalisasi dolar dari bisnis pertahanan NSA, mengamankan komunikasi kita, melindungi sistem kita, menambal kerentanan zero-day, dan sebaliknya kita memberikan dolar itu kepada mereka untuk digunakan menciptakan kerentanan baru dalam sistem kita sehingga mereka bisa melakukan hal tersebut. dapat mengawasi kami dan orang lain di luar negeri yang menggunakan sistem yang sama. Ketika kita memberikan dolar tersebut untuk menumbangkan metode enkripsi kita sehingga kita tidak memiliki privasi online lagi dan kita menggunakan semua uang itu untuk menyerang negara-negara asing, kita meningkatkan konflik, tidak hanya dalam hal diplomasi, namun juga dalam hal ancaman terhadap infrastruktur penting kita.

Ketika lampu pembangkit listrik padam suatu saat nanti, kita akan tahu bahwa itu adalah konsekuensi dari tidak memprioritaskan pertahanan demi keuntungan dalam hal menyerang.

Bamford: Satu masalah lain yang menurut saya adalah orang-orang berpikir bahwa, seperti yang Anda sebutkan—hanya untuk memperjelas hal ini—orang-orang di luar sana yang tidak terlalu mengikuti hal ini akan berpikir bahwa gagasan Komando Siber adalah untuk melindungi negara dari serangan siber. serangan. Apakah itu kesalahpahaman, fakta bahwa orang-orang ini berpikir bahwa gagasan Cyber ​​Command adalah untuk melindungi mereka dari serangan cyber?

Snowden: Nah, jika Anda bertanya kepada siapa pun di Cyber ​​Command atau melihat lowongan pekerjaan mana pun untuk posisi mereka, Anda akan melihat bahwa satu hal yang tidak mereka prioritaskan adalah pertahanan jaringan komputer. Ini semua tentang serangan jaringan komputer dan eksploitasi jaringan komputer di Cyber ​​Command. Dan Anda harus bertanya-tanya, jika mereka adalah orang-orang yang seharusnya mempertahankan infrastruktur penting kita di dalam negeri, mengapa mereka menghabiskan begitu banyak waktu untuk memikirkan cara menyerang jaringan, cara merusak sistem, dan cara mematikannya? Saya tidak berpikir itu mewakili tim defensif.

Bamford: Sekarang, jika kita melihat ke masa depan, sepertinya ada kemungkinan bahwa banyak dari hal ini dapat dilakukan secara otomatis, sehingga ketika Komando Cyber ​​atau NSA melihat adanya potensi serangan cyber, mungkin ada beberapa perangkat otomatis yang akan melakukan hal tersebut. intinya membalas tembakan. Dan mengingat kenyataan bahwa sangat sulit untuk—atau membiarkan saya mundur. Mengingat fakta bahwa sangat mudah bagi suatu negara untuk menyamar dari mana serangan itu berasal, apakah Anda melihat masalah ketika Anda mengotomatiskan sistem yang secara otomatis membalas, dan mereka mungkin membalas ke negara yang salah, dan akhirnya bisa dimulai? perang?

Snowden: Benar. Jadi saya tidak ingin menanggapi bagian pertama pertanyaan Anda, tetapi bagian kedua yang bisa saya gunakan, yaitu berkaitan dengan atribusi dan respons otomatis. Artinya—pada dasarnya berbahaya untuk mengotomatiskan segala jenis respons agresif terhadap peristiwa yang terdeteksi karena kesalahan positif.

Katakanlah kita memiliki sistem pertahanan yang terkait dengan kemampuan serangan siber yang digunakan sebagai respons. Misalnya, sebuah sistem dibuat untuk mendeteksi serangan siber yang datang dari Iran, serangan penolakan layanan yang dilakukan terhadap bank. Mereka mendeteksi apa yang tampaknya merupakan sebuah serangan yang masuk, dan alih-alih mengambil tindakan defensif, alih-alih hanya memblokirnya di firewall dan membuang lalu lintas tersebut sehingga masuk ke tempat sampah dan tak seorang pun melihatnya—tidak ada salahnya—mereka malah pergi selangkah lebih maju dan mengatakan kami ingin menghentikan sumber serangan itu.

Jadi kami akan meluncurkan serangan siber otomatis pada alamat IP sumber aliran lalu lintas tersebut dan mencoba membuat sistem tersebut online. Kami akan melancarkan serangan penolakan layanan sebagai tanggapan terhadap hal tersebut, untuk menghancurkan, menurunkan, atau mengurangi kemampuan mereka untuk bertindak berdasarkan hal tersebut.

Namun jika hal ini terjadi secara otomatis, apa yang terjadi jika algoritme melakukan kesalahan? Apa jadinya jika bukan serangan Iran, yang terjadi hanyalah pesan diagnostik dari rumah sakit? Apa yang terjadi jika serangan tersebut sebenarnya dilakukan oleh peretas independen, namun Anda telah merobohkan kantor pemerintah tempat peretas tersebut beroperasi? Itu tidak jelas.

Apa yang terjadi jika serangan tersebut mengenai kantor yang telah diretas oleh peretas dari negara ketiga untuk melancarkan serangan tersebut? Bagaimana jika peretas Tiongkok melancarkan serangan dari komputer Iran yang menargetkan Amerika Serikat? Ketika kita melakukan pembalasan terhadap negara asing dengan cara yang agresif, kita, Amerika Serikat, telah menyatakan dalam kebijakan kita sendiri bahwa tindakan tersebut merupakan tindakan perang yang membenarkan respons kinetik militer tradisional.

Kami membuka pintu bagi orang-orang yang meluncurkan rudal dan menjatuhkan bom dengan mengeluarkan manusia dari rantai pengambilan keputusan untuk memutuskan bagaimana kita harus merespons ancaman-ancaman ini. Dan hal ini semakin banyak terjadi pada cara-cara tradisional seiring dengan semakin banyaknya metode peperangan yang terotomatisasi dan terrobotisasi, misalnya melalui peperangan drone. Dan ini adalah garis yang tidak boleh dilintasi oleh kita sebagai masyarakat, tidak hanya di Amerika Serikat tetapi juga di seluruh dunia. Kita tidak boleh membiarkan komputer mengambil keputusan yang bersifat pemerintahan dalam kaitannya dengan penerapan kekuatan militer, bahkan jika hal itu terjadi di internet.

Bamford: Dan Richard Clarke mengatakan bahwa lebih penting bagi kita untuk mempertahankan diri terhadap serangan dari Tiongkok daripada menyerang Tiongkok menggunakan alat siber. Apakah kamu setuju dengan itu?

Snowden: Saya sangat setuju dengan itu. Konsepnya adalah tidak ada gunanya menyerang sistem Tiongkok. Kami mungkin membuat beberapa komputer offline. Kami mungkin membuat pabrik offline. Kita mungkin mencuri rahasia dari program penelitian universitas, dan bahkan sesuatu yang berteknologi tinggi. Namun berapa banyak dana yang dibelanjakan Amerika Serikat untuk penelitian dan pengembangan dibandingkan dengan yang dikeluarkan Tiongkok? Mempertahankan diri kita dari serangan berbasis internet, serangan yang berasal dari internet, jauh lebih penting daripada kemampuan kita untuk melancarkan serangan terhadap target serupa di negara-negara asing, karena jika menyangkut internet, jika menyangkut ekonomi teknis, kita harus lebih banyak kerugian dibandingkan negara lain di dunia.

Bamford: Saya rasa Anda pernah mengatakan hal ini sebelumnya, namun di masa lalu, AS sebenarnya menggunakan perang siber untuk menyerang hal-hal seperti rumah sakit dan hal-hal serupa di Tiongkok?

Snowden: Jadi itu bukan kemampuan perang siber. Itu adalah CNE, eksploitasi jaringan komputer.

Bamford: Ya, jika Anda bisa menjelaskannya sedikit.

Snowden: Saya tidak akan membahasnya di depan kamera. Namun apa yang ditunjukkan oleh cerita-cerita tersebut dan apa yang dapat Anda sampaikan adalah bahwa universitas-universitas di Tiongkok—sebenarnya bukan hanya universitas di Tiongkok—mengetahui hal tersebut—adalah bahwa Badan Keamanan Nasional telah mengeksploitasi pertukaran internet, penyedia layanan internet, termasuk di Belgia—kasus Belgacom— melalui sekutu mereka di GCHQ dan Inggris. Mereka menyerang universitas, rumah sakit, pusat pertukaran internet, penyedia layanan internet—infrastruktur penting yang kita semua andalkan di seluruh dunia.

Dan penting untuk diingat ketika Anda mulai melakukan hal-hal seperti menyerang rumah sakit, ketika Anda mulai melakukan hal-hal seperti menyerang universitas, ketika Anda mulai menyerang hal-hal seperti internet exchange point, ketika terjadi kesalahan, orang bisa mati. Jika infrastruktur rumah sakit terpengaruh, peralatan penyelamat akan mati. Ketika titik pertukaran internet offline dan panggilan suara melalui IP dengan metode komunikasi yang umum—jaringan telepon seluler saat ini tidak dapat diakses melalui titik komunikasi internet—orang tidak dapat menelepon 911. Gedung-gedung terbakar. Semua karena kami ingin memata-matai seseorang.

Jadi kita harus sangat berhati-hati dalam menentukan batasan dan apa yang benar-benar diperlukan serta proporsional dengan ancaman yang kita hadapi pada waktu tertentu. Saya rasa tidak ada ancaman apa pun di luar sana saat ini yang dapat ditunjukkan oleh siapa pun, yang dapat membenarkan penempatan seluruh populasi di bawah pengawasan massal. Saya rasa tidak ada ancaman apa pun yang kita hadapi dari beberapa teroris di Yaman yang mengatakan kita perlu meretas sebuah rumah sakit di Hong Kong atau Berlin atau Rio de Janeiro.

Bamford: Aku tahu kita punya batas waktu di sini, tapi adakah pertanyaan yang belum aku miliki—

Produser: Mari kita istirahat dua menit di sini.

Bamford: Salah satu hal yang paling menarik tentang serangan Stuxnet adalah bahwa Presiden—baik Presiden Bush maupun Presiden Obama—diberitahu jangan khawatir, serangan ini tidak akan terdeteksi oleh siapa pun. Tidak akan ada alamat pengirim untuk ini. Dan yang kedua, ia tidak akan lepas dari area yang menjadi fokus mereka, yaitu sentrifugal. Keduanya terbukti salah, dan virusnya berhasil lolos, terdeteksi, lalu dilacak kembali ke Amerika Serikat. Jadi apakah ini salah satu bahaya besar, fakta yang diberitahukan kepada Presiden adalah hal-hal ini, Presiden tidak memiliki kemampuan untuk menyelidiki setiap masalah teknis, dan kemudian hal-hal ini dapat berdampak buruk pada kita?

Snowden: Masalahnya adalah internet adalah sistem paling kompleks yang pernah ditemukan manusia. Dan dengan setiap operasi yang didukung internet yang telah kita lihat sejauh ini, semua operasi ofensif ini, kita melihat dampaknya. Kami melihat konsekuensi yang tidak diinginkan. Kita melihat perilaku yang muncul, ketika kita memasukkan virus kecil yang jahat ke dalam kehidupan pribadi kita, semua sistem pribadi kita di internet, virus tersebut cenderung melarikan diri dan menyerang kita di Jurassic Park. Dan sampai saat ini, kami belum menemukan cara untuk mencegahnya. Dan mengingat kompleksitas sistem ini, kemungkinan besar kita tidak akan pernah mengalaminya.

Yang perlu kita lakukan adalah menciptakan standar perilaku internasional yang baru—bukan hanya undang-undang nasional, karena ini adalah masalah global. Kita tidak bisa memperbaikinya begitu saja di Amerika Serikat, karena ada negara-negara lain yang tidak mematuhi hukum Amerika. Kita harus menciptakan standar internasional yang menyatakan bahwa hal-hal seperti ini hanya boleh terjadi ketika benar-benar diperlukan, dan bahwa respons operasi tersebut dirancang agar terkendali dan proporsional dengan ancaman yang dihadapi. Dan itu adalah sesuatu yang saat ini tidak kita miliki, dan itulah sebabnya kita melihat masalah-masalah ini.

Bamford: Masalah lainnya adalah, pada masa Perang Dingin—dan sebagian besar orang sudah familiar dengan hal tersebut—ketika jumlah negara yang benar-benar dapat mengembangkan senjata nuklir sangatlah terbatas. Pada dasarnya ada segelintir negara yang memiliki keahlian, meluangkan waktu, menemukan plutonium, dan membuat senjata nuklir. Saat ini, dunia benar-benar berbeda, dan Anda dapat memiliki negara kecil seperti Fiji yang mampu melakukan perang siber. Jadi, hal ini tidak terbatas seperti dulu, hanya pada segelintir negara saja. Apakah Anda melihat bahwa hal ini merupakan masalah besar dalam gagasan untuk terlibat dalam perang siber, karena begitu banyak negara yang memiliki kemampuan untuk melakukan perang siber, dan Amerika Serikat adalah negara yang paling rentan secara teknologi?

Snowden: Ya kamu benar. Masalahnya adalah kita lebih bergantung pada sistem teknis ini. Kita lebih bergantung pada infrastruktur penting internet dibandingkan negara lain mana pun. Dan ketika hambatan untuk memasuki ranah serangan siber sudah sangat kecil—perang siber, sebagaimana mereka sering membicarakan ancamannya—kita memulai pertarungan yang tidak dapat kita menangkan.

Setiap kali kita berjalan ke medan pertempuran dan medan pertempuran adalah internet, tidak masalah jika kita menembak lawan kita ratusan kali dan memukul setiap saat. Selama mereka menyerang kita satu kali, kita sudah kalah, karena kita lebih bergantung pada sistem tersebut. Oleh karena itu, kita perlu lebih fokus untuk menciptakan internet yang lebih aman, lebih andal, lebih tangguh, dan lebih tepercaya, bukan internet yang lebih lemah, bukan internet yang bergantung pada model sistemis yang mengeksploitasi setiap kerentanan, setiap ancaman yang ada di luar sana. . Setiap kali seseorang di internet melirik kami, kami melancarkan serangan ke arah mereka. Hal ini tidak akan berhasil bagi kami dalam jangka panjang, dan kami harus mengatasi masalah ini jika ingin berhasil.

Bamford: Hal lain yang menurut saya belum terpikirkan oleh publik saat ini adalah betapa terorganisirnya seluruh Komando Cyber ​​ini, dan betapa agresifnya mereka. Orang-orang tidak menyadari bahwa saat ini ada Tentara Siber, Angkatan Udara Siber, dan Angkatan Laut Siber. Dan faktanya bahwa model dari beberapa organisasi seperti Cyber ​​Navy adalah kita akan mendominasi dunia maya dengan cara yang sama seperti kita mendominasi lautan atau dengan cara yang sama seperti kita mendominasi daratan dan dengan cara yang sama kita mendominasi ruang angkasa. Jadi ini adalah keseluruhan gagasan untuk menciptakan kekuatan militer yang sangat besar hanya untuk perang dunia maya, dan kemudian menggunakan seluruh gagasan bahwa kita akan mendominasi dunia maya, sama seperti angkatan laut berabad-abad yang lalu mendominasi lautan.

Snowden: Benar. Alasan mereka mengatakan ingin mendominasi dunia maya adalah karena secara politis tidak benar jika mengatakan Anda ingin mendominasi internet. Sekali lagi, ini semacam upaya branding untuk mendapatkan dukungan yang mereka butuhkan, karena kita sebagai masyarakat tidak ingin membiarkan internet menjadi medan pertempuran. Kita perlu melakukan segala yang kita bisa sebagai masyarakat untuk menjaga zona netral, menjaga zona ekonomi yang mencerminkan nilai-nilai kita, baik secara politik, sosial, dan ekonomi. Internet harus menjadi kekuatan kebebasan. Internet seharusnya tidak menjadi alat perang. Dan bagi kami, Amerika Serikat, yang memperjuangkan kebebasan, mendanai dan mendorong subversi alat untuk kebaikan menjadi alat yang digunakan untuk tujuan yang merusak, menurut saya, bertentangan dengan prinsip-prinsip kita sebagai masyarakat.

Bamford: Anda punya pertanyaan, Scott?

Produser: Itu sebenarnya hanya sebuah pertanyaan tentang kerentanan (tidak terdengar) yang melampaui sistem operasi yang kita ketahui, (tidak terdengar) dan mempertahankan kerentanan tersebut, sehingga paradoks tersebut meluas ke infrastruktur penting serta—

Snowden: Izinkan saya melakukan gaya bebas sebentar, lalu Anda dapat merekam bagian pertanyaan kapan pun Anda mau. Yang harus kita ingat adalah segala sesuatu tentang internet saling berhubungan. Semua sistem kita tidak hanya umum bagi kita karena hubungan jaringan di antara mereka, namun karena paket perangkat lunaknya, karena perangkat keras yang menyusunnya. Router yang sama yang digunakan di Amerika Serikat juga diterapkan di Tiongkok. Paket perangkat lunak yang mengendalikan pintu air bendungan di Amerika Serikat juga sama dengan di Rusia. Perangkat lunak rumah sakit yang sama juga ada di Suriah dan Amerika Serikat.

Jadi, jika kita mendorong pengembangan eksploitasi, kerentanan, dan ketidakamanan pada infrastruktur penting ini, dan kita tidak memperbaikinya ketika kita menemukannya—ketika kita menemukan kelemahan kritis, kita malah menyimpannya sehingga kita dapat menggunakannya. lain kali kami ingin melancarkan serangan terhadap negara asing. Kita membiarkan diri kita berada dalam risiko, dan hal ini akan mengarah pada titik di mana saat pembangkit listrik mati, saat bendungan jebol, saat lampu di rumah sakit padam, maka hal tersebut akan terjadi di Amerika. , bukan di luar negeri.

Bamford: Sehubungan dengan hal tersebut, salah satu hal yang kami fokuskan dalam program ini adalah potensi perang siber. Dan kami menunjukkan sebuah bendungan, misalnya, di Rusia, di mana terdapat pembangkit listrik besar di bawahnya. Ini adalah fasilitas yang tiga kali lebih besar dari Bendungan Hoover, dan meledak. Salah satu turbin, yang beratnya sama dengan dua Boeing 747, meledak 50 kaki di udara dan kemudian jatuh dan menewaskan 75 orang. Dan itu semua karena apa yang awalnya dianggap sebagai serangan siber, namun ternyata merupakan bagian siber yang keliru yang dikirimkan untuk mewujudkan hal ini. Itu tidak disengaja.

Tapi intinya, inilah yang bisa terjadi jika seseorang sengaja melakukan hal ini, dan menurut saya, banyak orang di AS tidak berpikir bahwa jenis peperangan seperti ini bisa seluas itu. Dan jika Anda bisa memberi saya beberapa gagasan tentang betapa dahsyatnya hal ini, tidak hanya dengan memutus jaringan listrik, tetapi juga merobohkan seluruh bendungan atau seluruh pembangkit listrik.

Snowden: Jadi sebenarnya saya tidak ingin terlibat dalam urusan menyebutkan daftar hal-hal yang paling mengerikan, karena saya tidak ingin membesar-besarkan ancaman tersebut. Saya telah mengatakan semua hal tentang bahaya dan apa yang bisa salah, dan Anda benar bahwa ada risiko yang serius. Namun pada saat yang sama, penting untuk dipahami bahwa ini bukanlah ancaman nyata. Tidak ada seorang pun yang akan menekan tombol pada keyboard mereka dan menjatuhkan pemerintah. Tidak ada seorang pun yang akan menekan tombol pada keyboard mereka dan menghapus suatu bangsa dari muka bumi.

Kita telah menghadapi ancaman dari kelompok kriminal, teroris, mata-mata sepanjang sejarah kita, dan kita membatasi respons kita. Kita tidak melakukan perang total setiap kali terjadi konflik di seluruh dunia, karena pengendalian diri itulah yang mendefinisikan kita. Pengendalian diri itulah yang memberi kita landasan moral untuk memimpin dunia. Dan jika kita pergi, ada ancaman dunia maya di luar sana, ini adalah dunia yang berbahaya, dan kita harus aman, kita harus aman apa pun risikonya, kita telah kehilangan kedudukan itu.

Kita harus mampu menolak tanggapan yang tidak proporsional dan tidak dapat dibenarkan di ranah siber seperti yang kita lakukan di ranah fisik. Kami menolak teknik seperti penyiksaan terlepas dari apakah teknik tersebut efektif atau tidak karena bersifat biadab dan berbahaya dalam skala luas. Sama halnya dengan perang siber. Kita tidak boleh menyerang rumah sakit. Kita tidak boleh mematikan pembangkit listrik kecuali hal itu benar-benar diperlukan untuk menjamin kelangsungan hidup kita sebagai masyarakat bebas.

Bamford: Tidak masalah bagi saya. Jika ada sesuatu yang menurut Anda belum kami bahas atau ingin Anda masukkan ke dalamnya?

Snowden: Saya sedang memikirkan dua hal. Salah satunya adalah—saya sering membahas politik di sini, dan banyak yang bertele-tele, jadi saya mungkin akan mencoba satu hal lagi mengenai hal itu. Yang lainnya saya bicarakan tentang VFX untuk cloud, bagaimana serangan cyber terjadi.

Produser: Jadi saya hanya ingin membuat garis besar tentang ke mana Anda ingin pergi untuk memastikan kita mendapatkannya.

Bamford: Ya, pertanyaan seperti apa yang ingin saya tanyakan.

Snowden: Anda bahkan tidak perlu mengajukan pertanyaan. Itu hanya akan—

Produser: (tidak terdengar).

Snowden: Ya. Itu hanya akan menjadi seperti sebuah segmen. Menurut saya, orang-orang bertanya bagaimana serangan siber bisa terjadi. Orang-orang bertanya seperti apa eksploitasi di internet, dan bagaimana Anda mengetahui dari mana asalnya. Kebanyakan orang saat ini mengetahui apa itu alamat IP, dan mereka tahu bahwa Anda tidak boleh mengirim email dari komputer yang terkait dengan Anda jika Anda tidak ingin email tersebut dilacak kembali kepada Anda. Anda tidak ingin meretas pembangkit listrik dari rumah Anda jika Anda tidak ingin mereka mengikuti jejaknya kembali dan melihat alamat IP Anda.

Namun ada juga yang disebut proxy, server proxy di internet, dan ini sangat umum digunakan oleh para hacker. Mereka menciptakan apa yang disebut rantai proxy di mana mereka mendapatkan akses ke sejumlah sistem berbeda di seluruh dunia, terkadang dengan meretas sistem tersebut, dan menggunakannya sebagai semacam kotak relai. Jadi, ada pencetus serangan yang berada jauh di sini, di sisi lain planet ini, di dunia internet yang besar, hanya sebuah konstelasi jaringan raksasa yang tersebar di mana-mana. Dan kemudian Anda mendapatkan korban yang dituju di sini.

Namun alih-alih pergi langsung dari mereka ke korban dalam satu jalur lurus di mana korban ini melihat pencetusnya, penyerang, adalah orang yang mengirimkan eksploitasi kepada mereka, yang menyerang sistem mereka, Anda akan melihat mereka melakukan sesuatu yang mereka lakukan secara zigzag. internet. Mereka berpindah dari satu proxy ke proxy lainnya, dari satu negara ke negara lain di seluruh dunia, dan mereka menggunakan proxy terakhir tersebut, langkah terakhir dalam rantai tersebut, untuk melancarkan serangan.

Jadi meskipun serangan tersebut sebenarnya berasal dari Missouri, penyelidik yang menangani serangan tersebut akan mengira bahwa serangan tersebut berasal dari Republik Afrika Tengah atau Sudan, Yaman, atau Jerman. Dan satu-satunya cara untuk melacaknya adalah dengan meretas kembali masing-masing sistem tersebut melalui rantai atau menggunakan teknik pengawasan massal untuk memata-matai setiap tautan tersebut sehingga Anda dapat mengikuti terowongan sepanjang perjalanan pulang.

Semakin aku memikirkannya, semakin kupikir itu akan menjadi terlalu rumit untuk—

Produser: Tidak, aku hanya memperhatikan tanganmu. Itu hanya sekedar mengisi kekosongan.

Bamford: Tidak, aku juga begitu. Itu akan baik-baik saja.

Produser: Dan ini adalah poin bagus tentang bagaimana Anda dapat mengotomatiskan respons dan bagaimana Anda—

Bamford: Ya, kita bisa masuk dan menggambar zig-zag itu.

Snowden: Benar. Maksud saya, ya, cara saya melihatnya seperti bintang, seperti konstelasi titik. Dan ada jalur berwarna berbeda di antara keduanya. Lalu Anda tinggal menyorot pencetusnya dan korbannya. Dan mereka tidak harus berada di tepian. Mereka bahkan mungkin berada di tengah awan di suatu tempat. Dan kemudian ada semacam garis hijau lurus di antara mereka, dan berubah menjadi merah ketika diretas, tapi kemudian Anda melihat lembaga polisi kecil mengikutinya kembali. Lalu Anda memberi tanda X di atasnya dan menggantinya dengan garis zigzag yang berwarna hijau, lalu berubah menjadi merah saat menyerang, untuk menyebutnya sebagai jalur.

Bamford: Dari Missouri hingga Republik Afrika Tengah.

Snowden: Ya.

Produser: Apakah ada visualisasi lain yang menurut Anda mungkin Anda melihatnya sebagai gambar, bukan (beberapa percakapan; tidak terdengar).

Snowden: Saya pikir salah satu hal yang baik untuk dilakukan—dan Anda dapat melakukannya dengan biaya yang cukup murah, bahkan hampir lucu, seperti kartun, dan hampir seperti animasi Flash, seperti potongan kertas—adalah membantu orang memvisualisasikan masalah dengan AS memprioritaskan serangan daripada pertahanan jika Anda melihatnya—dan saya akan memberikan suaranya di sini.

Ketika Anda melihat masalah Amerika Serikat yang memprioritaskan serangan dibandingkan pertahanan, bayangkan Anda memiliki dua brankas bank, brankas bank Amerika Serikat dan Bank of China. Namun brankas bank AS sudah penuh. Itu terus sampai ke langit. Dan brankas bank Tiongkok atau brankas bank Rusia di brankas bank Afrika atau siapa pun musuh saat ini, milik mereka hanya setengah penuh, seperempat, atau sepersepuluh penuh.

Namun AS ingin masuk ke brankas bank mereka. Jadi yang mereka lakukan adalah membangun pintu belakang di setiap brankas bank di dunia. Namun masalahnya adalah brankas mereka, brankas bank AS, memiliki pintu belakang yang sama. Jadi, ketika kita menyelinap ke Tiongkok dan mengambil barang-barang dari lemari besi mereka, mereka juga menyelinap ke Amerika Serikat dan mengambil barang-barang dari lemari besi kita. Dan masalahnya adalah, karena brankas kita penuh, kita akan kehilangan lebih banyak lagi. Jadi secara relatif, keuntungan yang kita peroleh dengan membobol brankas orang lain jauh lebih sedikit dibandingkan dengan meminta orang lain membobol brankas kita. Oleh karena itu, jauh lebih penting bagi kita untuk mampu mempertahankan diri dari serangan asing dibandingkan mampu melancarkan serangan yang berhasil terhadap musuh asing.

Anda tahu, hanya sesuatu yang simbolis dan cepat yang dapat langsung divisualisasikan oleh orang-orang.

Produser: Hal lain yang ingin saya sampaikan kepada Anda, karena kita harus menemukan seseorang untuk melakukannya, adalah bagaimana Anda membuat senjata siber? Apa itu malware? Apa itu?

Snowden: Saat orang membicarakan malware, yang mereka maksud sebenarnya adalah—saat orang membicarakan malware, apa yang mereka—

Ketika orang berbicara tentang senjata siber, senjata digital, yang mereka maksud sebenarnya adalah program jahat yang digunakan untuk tujuan militer. Senjata cyber bisa berupa sesuatu yang sederhana seperti virus lama dari tahun 1995 yang kebetulan masih efektif jika Anda menggunakannya untuk tujuan tersebut.

Senjata digital yang dikembangkan secara khusus, senjata cyber saat ini biasanya menyatukan sejumlah eksploitasi zero-day yang ditargetkan terhadap situs tertentu, target spesifik yang ingin mereka capai. Namun tingkat kecanggihan ini bergantung pada anggaran dan kualitas aktor yang memicu serangan. Jika negara tersebut tidak terlalu miskin atau kurang canggih, maka serangannya tidak terlalu canggih.

Namun alat yang paling sederhana untuk melakukan serangan cyber adalah dengan mengidentifikasi kerentanan dalam sistem yang ingin Anda akses atau ingin Anda tumbangkan atau Anda ingin tolak, hancurkan, atau turunkan, lalu mengeksploitasinya, yang berarti mengirimkan kode, kirimkan kode ke sistem itu, entah itu secara lokal di dunia fisik atau di jaringan yang sama atau dari jarak jauh melalui internet, melalui jaringan global, dan bawa kode itu ke kerentanan itu, ke celah di dinding mereka, masukkan kode itu ke dalam di sana, lalu jalankan.

Muatannya kemudian dapat berupa tindakan, instruksi yang ingin Anda jalankan pada sistem tersebut, yang biasanya, untuk tujuan spionase, akan meninggalkan implan untuk mendengarkan apa yang mereka lakukan, namun bisa juga dengan mudah menjadi tindakan. sesuatu seperti virus wiper yang menghapus semuanya dari mesin dan mematikannya. Sungguh, itu tergantung pada instruksi apa pun yang Anda pikirkan yang ingin Anda jalankan pada sistem jarak jauh itu.

Bamford: Sejalan dengan itu, ada satu area yang benar-benar dapat divisualisasikan menurut saya jauh lebih baik, dan itulah kerentanannya. Seperti yang telah saya katakan beberapa kali, tetapi mungkin bagus jika Anda memikirkannya dengan melihat brankas bank, dan kemudian ada celah kecil, dan itu memungkinkan seseorang untuk masuk ke brankas bank. Jadi yang dilakukan AS adalah mengkatalogkan semua celah kecil tersebut dan bukannya memberi tahu bank bagaimana cara memperbaiki celah tersebut. Masalahnya adalah orang lain dapat menemukan celah yang sama.

Snowden: Orang lain bisa melihat retakan yang sama, ya.

Bamford: Dan mengambil uang dari bank, dalam hal ini AS telah merugikan nasabah bank tersebut, yaitu masyarakat, dengan tidak memberi tahu bank tersebut mengenai keretakan tersebut sejak awal.

Snowden: Ya, itu sempurna. Dan cara lain untuk melakukannya bukan hanya retakan di dinding, tapi bisa juga dengan cara lain. Anda dapat menunjukkan seorang pria sedang mengintip dari balik dinding, Anda dapat melihat seorang pria membuat terowongan di bawahnya, Anda dapat melihat seorang pria sedang melewati dinding. pintu depan. Semua itu, dalam istilah dunia maya, adalah kerentanan, karena Anda tidak harus mencari satu jenis lubang tertentu. Itu adalah keseluruhan paradigma. Anda melihat keseluruhan situasi keamanan mereka, dan Anda mencari peluang apa pun yang dapat menumbangkan tujuan sistem tersebut. Dan Anda pergi saja dari sana. Ada banyak eksploitasi di dunia ini, namun hal ini melampaui pemahaman khalayak umum.

Produser: Kita bisa memasukkan semuanya (banyak percakapan; tidak terdengar).

Bamford: Ada yang lain

Snowden: Satu hal, ya. Ada beberapa hal yang ingin saya pikirkan. Salah satunya adalah man-in-the-middle, sejenis serangan yang harus Anda ilustrasikan. Ini adalah peretasan rutin, tetapi khususnya terkait dengan CNE, eksploitasi jaringan komputer. Namun menurut saya, menggabungkannya ke dalam perang siber akan membantu orang-orang memahami apa yang dimaksud dengan perang siber.

Serangan man-in-the-middle adalah serangan yang dilakukan seseorang seperti NSA, seseorang yang memiliki akses terhadap media transmisi yang Anda gunakan untuk berkomunikasi, yang justru merusak komunikasi Anda. Mereka mencegatnya, membacanya, dan menyebarkannya, atau mereka mencegatnya, memodifikasinya, dan menyebarkannya.

Anda dapat membayangkan hal ini ketika Anda memasukkan surat ke dalam kotak surat Anda untuk diambil dan dikirimkan oleh operator pos, namun Anda tidak tahu bahwa operator pos benar-benar mengirimkannya ke orang yang Anda inginkan sampai mereka mengonfirmasi bahwa hal itu terjadi. Bisa saja pihak kurir menggantinya dengan surat lain. Mereka bisa saja membukanya. Jika itu adalah hadiah, mereka bisa saja mengeluarkan hadiah itu, hal-hal seperti itu.

Seiring berjalannya waktu, kita telah menciptakan standar perilaku global yang melarang tukang pos melakukan hal tersebut. Mereka takut dengan hukumannya. Mereka takut ketahuan. Dan kita sebagai masyarakat mengakui bahwa nilai dari memiliki alat komunikasi yang terpercaya, surat yang terpercaya, jauh melebihi manfaat apa pun yang bisa kita peroleh dengan bebas mengutak-atik surat. Kita memerlukan standar yang sama untuk diterapkan pada internet. Kita harus bisa percaya bahwa ketika kita mengirim email melalui Verizon, Verizon tidak membaginya dengan NSA, bahwa Verizon tidak membaginya dengan FBI atau intelijen Jerman atau intelijen Perancis atau intelijen Rusia atau intelijen Tiongkok.

Internet harus dilindungi dari pemantauan yang mengganggu semacam ini, jika tidak, media yang kita semua andalkan sebagai landasan perekonomian dan kehidupan normal kita—semua orang saat ini menyentuh internet—kita akan kehilangan hal tersebut, dan hal ini akan berdampak luas. akibat yang tidak dapat kita prediksi.

Produser: Hebat. Saya pikir kita harus terus berjalan dan melakukan seperti aplikasi interaktif Edward Snowden.

Snowden: Pengacara saya akan membunuh saya.

Produser: Tidak, kamu sungguh—(tidak terdengar) biasa memberi kelas.

Snowden: Ya, saya pernah mengajar. Itu terjadi pada tingkat yang jauh lebih spesifik, itulah sebabnya saya harus terus menelepon kembali dan memikirkannya.

Produser: Anda adalah pembicara yang sangat jelas tentang hal itu.

Snowden: Izinkan saya sekali lagi melakukan urusan penyerangan, pertahanan, dan keamanan. Saya pikir kalian sudah punya cukup uang untuk menambalnya, tapi izinkan saya mencoba gaya bebasnya.

Komunitas pakar teknis yang benar-benar mengelola internet, yang membangun dan memelihara internet, menjadi semakin khawatir terhadap aktivitas lembaga-lembaga seperti NSA atau Cyber ​​Command, karena apa yang kami lihat adalah bahwa pertahanan tidak lagi menjadi prioritas dibandingkan serangan. . Ada beberapa program yang telah kita baca di media selama setahun terakhir, seperti NSA yang membayar RSA $10 juta untuk menggunakan standar enkripsi yang tidak aman secara default di produk mereka. Hal ini membuat kita lebih rentan tidak hanya terhadap pengintaian dari lembaga-lembaga dalam negeri kita, tetapi juga lembaga-lembaga asing.

Kami melihat program lain bernama Bullrun yang menumbangkan—yang mana menumbangkan—program ini terus menumbangkan standar enkripsi serupa yang digunakan untuk sebagian besar e-commerce di seluruh dunia. Anda tidak dapat pergi ke bank Anda dan mempercayai komunikasi tersebut jika standar-standar tersebut melemah, jika standar-standar tersebut rentan. Hal ini menghasilkan sebuah paradigma di mana lembaga-lembaga ini mempunyai kekuasaan yang luar biasa atas internet dengan mengorbankan seluruh negara mereka menjadi sangat rentan terhadap serangan eksploitatif yang sama, terhadap mekanisme serangan siber yang sama.

Artinya, meskipun kita mempunyai keuntungan dalam hal menguping pihak militer di Suriah atau negosiasi perdagangan mengenai harga udang di Indonesia—yang merupakan sebuah anekdot nyata—atau bahkan memantau konferensi perubahan iklim, hal ini berarti bahwa hal tersebut akan memberikan hasil yang baik bagi kita. . Ini berarti kita akhirnya tinggal di Amerika dimana kita tidak lagi memiliki Badan Keamanan Nasional. Kami memiliki badan pengawasan nasional. Dan sampai kita mereformasi undang-undang kita dan sampai kita memperbaiki kelebihan kebijakan lama yang kita warisi pasca-9/11, kita tidak akan bisa mengembalikan keamanan ke NSA.

Bamford: Itu hebat. Sejalan dengan itu, dari apa yang Anda ketahui tentang proyek Bullrun dan sebagainya, menurut Anda seberapa aman hal-hal seperti AES, DES, hal-hal tersebut, standar enkripsi tingkat lanjut?

Snowden: Sebenarnya saya tidak ingin menanggapi yang ada di kamera, dan jawabannya sebenarnya saya tidak tahu. Tapi ya, jadi tinggalkan yang itu.

Bamford: Maksudku, itu adalah ide untuk melemahkannya.

Snowden: Benar. Idenya adalah untuk melemahkannya, tapi standar yang mana? Seperti itu AES? Apakah yang lainnya? DES sebenarnya lebih kuat dari yang kita duga pada saat itu karena NSA secara diam-diam telah memanipulasi standar tersebut untuk membuatnya lebih kuat pada masa itu, dan hal ini memang aneh, namun hal ini menunjukkan perbedaan pemikiran antara tahun 80an dan 90an. Itu adalah S-box. Begitulah sebutannya. S-box adalah modifikasi yang dilakukan. Dan hari ini, kemana mereka pergi, oh, ini terlalu kuat, mari kita lemahkan. NSA sebenarnya prihatin pada masa perang kripto dengan peningkatan keamanan Amerika. Saat ini, kami melihat bahwa prioritas mereka adalah melemahkan keamanan kami, supaya mereka mempunyai peluang lebih besar untuk mengawasi kami.

Bamford: Benar, menurutku itu sempurna. Jadi kenapa kita tidak melakukan—

Produser: Apakah kamu mau minum kopi? Sesuatu untuk diminum?

Bamford: Ya, kami bisa mendapatkan sesuatu dari layanan kamar, jika Anda mau.

Snowden: Saya sebenarnya hanya minum air. Itu adalah salah satu hal terlucu sejak awal. Mike Hayden, mantan direktur NSA CIA,—dia menyampaikan semacam pidato yang menghasut—

Bamford: Oh, saya tahu apa yang akan Anda katakan, ya.

Snowden: —Seperti sebuah gereja di D.C., dan Barton Gellman ada di sana. Dia adalah salah satu reporter. Lucu sekali karena dia berbicara tentang keadaan saya—semua orang di Rusia menderita. Rusia adalah tempat yang mengerikan. Dan aku akan berakhir sengsara, aku akan menjadi pemabuk, dan aku tidak akan pernah melakukan apa pun. saya tidak minum. Saya belum pernah mabuk seumur hidup saya. Dan mereka berbicara tentang Rusia seolah-olah Rusia adalah tempat terburuk di dunia. Rusia hebat.

Bamford: Sepertinya Stalin masih berkuasa.

Snowden: Ya aku tahu. Ini gila.

Bamford: Tapi menurutku, Anda tahu apa yang dia maksud. Anda tahu apa yang dia ingat—dan saya ingin tahu apakah Anda benar-benar pernah mendengarnya atau tidak—

Snowden: Philby dan Burgess dan—

Bamford: Martin dan Mitchell.

Snowden: Saya sebenarnya tidak begitu ingat kasus Martin dan Mitchell. Saya mengetahui garis besarnya.

Bamford: Tapi tahukah Anda apa yang mereka lakukan?

Snowden: Tidak.

---