Cyberprecisionsvapen

Wired hade härom dagen en mycket intressant artikel om viruset Stuxnet. I artikeln beskrivs hur Stuxnet användes för angripa enbart Irans urananrikningsprogram och hur ett antal ingenjörer på Symantec sedan plockade isär och analyserade viruset och upptäckte hur avancerat och specialiserat det var.

Till skillnad från andra virus var Stuxnet enbart inriktat på att angripa en viss typ av datorer med en viss kringutrustning i ett speciellt antal. De enda kontakterna med internet var för att avlägga rapporter och ta emot uppdateringar - inte för att användas för spridning. Infektionen skedde istället genom att infekterade USB-minnen användes i datornätverk, varvid den skadliga koden laddades in i Windows. Massor av datorer världen över smittades av Stuxnet, men det var endast i den avsedda datormiljön som viruset verkade och där genom att överbelasta de urananrikningscentrifuger som användes av det iranska kärnvapenprogrammet.

Metoden att använda USB-minnen som bärare är synnerligen effektiv mot känsliga nätverk, eftersom dessa ofta inte är anslutna till internet och möjliggör intrång utifrån. Genom spridning av lämpliga USB-minnen på en viss geografisk plats kan man också i högre grad styra angreppet. På Folk & Försvars rikskonferens i Sälen för ett halvår sedan, beskrevs hur FOI gjort ett test mot SJ med infekterade USB-minnen där målet var att penetrera SJ:s "hemliga" (hemlig som i säkerhetsklassning) datorsystem. Ett antal infekterade USB-minnen tappades på gatan i närheten av SJ:s huvudkontor. Den skadliga koden bestod i att ett mail skickades till MSB för att rapportera vilken dator det kom ifrån. Ett antal av USB-minnena kom sedan att infektera målet när blåögd SJ-personal som hittat USB-minnena stoppade in dem i det hemliga datornätverket.

Lärdomen är återigen att ett upphittat USB-minne aldrig får anslutas till en dator eller ett nätverk med känslig information. Det bör alltid "kontrolleras" i en separat dator, annars kan det gå som för SJ eller det iranska kärnvapenprogrammet.

Därutöver kan man nämna att det heller inte är så märkligt att många av de militära datorsystemen bygger på Linux. För användaren kan det tyckas krångligt med Linux istället för det bekanta Windows, men fördelen är dels att Linux är betydligt mindre angripet av virus, men framförallt att Linux har helt öppen källkod vilket möjliggör för användaren/tillverkaren att kontrollera koden efter ovälkomna bakdörrar och läckor innan operativsystemet tas i användning på den avsedda utrustningen.

Stuxnet, liksom cyberangreppen på Estland och Georgien, ger en försmak av hur nästa generation av krigföring kommer att genomföras. Ej endast på marken, till sjöss och i luften, utan nu lämnar man även den traditionella telekrigsarenan för att återigen flytta in kriget i det civila samhället och dess datorsystem för betalningar, elproduktion, kommunikationer etc. I bästa fall används precisionsvapen liknande Stuxnet. I värsta fall är det ett totalangrepp som helt stänger ner ett land och kanske mer än så. Låt hoppas att den svenska beredskapen är god. Cyberkrigföringen lär vara här för att stanna.

Läs även FOI:s kommentarer om Stuxnet

11 kommentarer:

Magnus Redin sa...
15 juli 2011 kl. 15:44  

Jag håller med Schneier om att felet inte är människors riskfyllda beteende utan att datorerna inte är robusta nog för att hantera risken.

Sedan finns det system som utöver robustare programvara som Linux behöver vara helt låsta och då behövs det ett fysiskt lock i vägen för den normala vanan att stoppa USB pinnar i USB uttag. En vana som är att jämföra med att läsa flygblad från främlingar och reklam instoppad i brevinkastet.

Anonym sa...
15 juli 2011 kl. 16:14  

Var det inte tänkt för en del år sedan att signalisterna i Enköping skuller byggas ut till ett slags IT-förband? Fast att den idén aldrig förverkligades.

Bra tänkt i så fall och dåligt att det inte realiserades.
/Morfar

Anonym sa...
15 juli 2011 kl. 16:36  

"Låt hoppas att den svenska beredskapen är god."

Asgarv....för övrigt finner det något bängligt och "dyrt" att preppa och droppa USB-minnen när folk dels har superkassa passord och dels är villig att sälja dem för en Snickers eller två.

I följande BBC-artikel påstås att 70% av tillfrågade var beredd att sälja sitt passord för choklad.

http://news.bbc.co.uk/2/hi/technology/3639679.stm

Som sagt det som oroar mest är att personer använder samma passord på tex facebook med mera och samma på sitt säkerhetsklassade jobb. Och är passordet dessutom qwerty123 eller något annat idiotiskt så har skiten redan träffat fläkten.

Alltså, Snickers är billigare än USB-minnen :-) Men en vanlig dictionary-attack lär fungera bra det också.

Anonym sa...
15 juli 2011 kl. 17:51  

I en till FM närstående myndighet måste man stoppa in eventuella usb från t.ex. leverantörer i den hemliga datorn för att sekretessgranska innan man kan tillåta den på det icke hemliga nätverket.
Nu finns det ju naturligtvis inget nätverk för den hemliga datorn så eventuell spridning av skadlig kod sker ju bara med usb:erna. Avsaknaden av nätverk medför ju också att virusdatabas på den hemliga stand-alone datorn inte direkt är purfärsk hela tiden så skadlig kod är nästan garanterad att infektera.

Anonym sa...
15 juli 2011 kl. 19:47  

Äsch, vi har ju TEID-kort...

Wiseman sa...
15 juli 2011 kl. 20:05  

brezjnev: Din metod kräver fysiskt tillträde till objektet om det handlar om ett från yttre världen separerat nätverk. Inlogg osv loggas också och i många fall vill man heller inte att angreppet ska upptäckas mer än kanske resultatet.

Anonym sa...
15 juli 2011 kl. 20:45  

Mjae, inget TEID-kort på hemliga hårddisken och den är ju inte krypterad heller eftersom det inte finns (eller åtminstone inte är levererat till myndigheten) krypton som klarar H/S enl 15kap2§ så då är det ju lika bra att låta bli eftersom menet ändå blir detsamma...

Anonym sa...
15 juli 2011 kl. 21:24  

Wiseman: sannolikt krävs fysiskt tillträde men inte nödvändigtvis. Man kan tänka sig flera scenarier t.ex. där bärbara datorer regelmässigt flyttas in och ut på objektet av olika personer som nät- och service-tekniker, VIP-personer och annat löst folk. Och hur var det nu med trådlöst nätverk på sekundära datorer, som t.ex. VIP:ar har påslaget för användning i hemmet, på resa eller på sin primära arbetsplats.

Eller varför inte harmlösa printrar med lite extras ombord...

Anonym sa...
16 juli 2011 kl. 17:02  

@brezjnev
Fast ingen har ju verifierat att lösenorden var äkta.
Jag skulle gladeligen hitta på ett lösenord (som ingenstans liknar ett av mina riktiga, givetvis!) för en chokladkaka.

F.ö. har du rätt i det du skriver, (men preppade USB-minnen ska man ha respekt för ändå).

blippe sa...
19 juli 2011 kl. 23:13  

Som Magnus Redin säger: det är inte användaren som är blåögd om administratörerna använder trasiga system. Det är kreatören och den som sätter kraven till inköparen.

Även om man använder trasiga operativsystem går de att laga, till exempel med (*reklam*)"sanctuary device control"(/*reklam*) eller likande mjukvara.

blippe sa...
19 juli 2011 kl. 23:14  

Som Magnus Redin säger: det är inte användaren som är blåögd om administratörerna använder trasiga system. Det är kreatören och den som sätter kraven till inköparen.

Även om man använder trasiga operativsystem går de att laga, till exempel med (*reklam*)"sanctuary device control"(/*reklam*) eller likande mjukvara.

Räknare



Creeper
Vilka myndigheter besöker Wiseman's Wisdoms?


MediaCreeper
Vilka media besöker Wiseman's Wisdoms?

Top Politik bloggar Politik Blogglista.se Politik Twingly BlogRank BloggRegistret.se

Twitter


Senaste kommentarerna

Bloggar jag följer

Knuff

Politometern

Bloggintresserade