Om / About Wiseman's Wisdoms
fredag 15 juli 2011
Cyberprecisionsvapen
Till skillnad från andra virus var Stuxnet enbart inriktat på att angripa en viss typ av datorer med en viss kringutrustning i ett speciellt antal. De enda kontakterna med internet var för att avlägga rapporter och ta emot uppdateringar - inte för att användas för spridning. Infektionen skedde istället genom att infekterade USB-minnen användes i datornätverk, varvid den skadliga koden laddades in i Windows. Massor av datorer världen över smittades av Stuxnet, men det var endast i den avsedda datormiljön som viruset verkade och där genom att överbelasta de urananrikningscentrifuger som användes av det iranska kärnvapenprogrammet.
Metoden att använda USB-minnen som bärare är synnerligen effektiv mot känsliga nätverk, eftersom dessa ofta inte är anslutna till internet och möjliggör intrång utifrån. Genom spridning av lämpliga USB-minnen på en viss geografisk plats kan man också i högre grad styra angreppet. På Folk & Försvars rikskonferens i Sälen för ett halvår sedan, beskrevs hur FOI gjort ett test mot SJ med infekterade USB-minnen där målet var att penetrera SJ:s "hemliga" (hemlig som i säkerhetsklassning) datorsystem. Ett antal infekterade USB-minnen tappades på gatan i närheten av SJ:s huvudkontor. Den skadliga koden bestod i att ett mail skickades till MSB för att rapportera vilken dator det kom ifrån. Ett antal av USB-minnena kom sedan att infektera målet när blåögd SJ-personal som hittat USB-minnena stoppade in dem i det hemliga datornätverket.
Lärdomen är återigen att ett upphittat USB-minne aldrig får anslutas till en dator eller ett nätverk med känslig information. Det bör alltid "kontrolleras" i en separat dator, annars kan det gå som för SJ eller det iranska kärnvapenprogrammet.
Därutöver kan man nämna att det heller inte är så märkligt att många av de militära datorsystemen bygger på Linux. För användaren kan det tyckas krångligt med Linux istället för det bekanta Windows, men fördelen är dels att Linux är betydligt mindre angripet av virus, men framförallt att Linux har helt öppen källkod vilket möjliggör för användaren/tillverkaren att kontrollera koden efter ovälkomna bakdörrar och läckor innan operativsystemet tas i användning på den avsedda utrustningen.
Stuxnet, liksom cyberangreppen på Estland och Georgien, ger en försmak av hur nästa generation av krigföring kommer att genomföras. Ej endast på marken, till sjöss och i luften, utan nu lämnar man även den traditionella telekrigsarenan för att återigen flytta in kriget i det civila samhället och dess datorsystem för betalningar, elproduktion, kommunikationer etc. I bästa fall används precisionsvapen liknande Stuxnet. I värsta fall är det ett totalangrepp som helt stänger ner ett land och kanske mer än så. Låt hoppas att den svenska beredskapen är god. Cyberkrigföringen lär vara här för att stanna.
Läs även FOI:s kommentarer om Stuxnet
11 kommentarer:
FRÅN OCH MED 2015-02-28 INFÖRS EN HÅRDARE KOMMENTARSGRANSKNING.
Inga kommentarer som ligger för långt från ämnet kommer att godkännas. Ser man som sitt livs uppgift att sprida konspirationsteorier om förintelsen, 9/11 eller återge hela innehållet från Russia Today och vaken.se, så gör man bättre i att starta en egen blogg.
Helt anonyma kommentarer är avstängda. Det går dock utmärkt att kommentera anonymt, men det kräver att man först registerar ett konto hos exempelvis Google, Wordpress eller OpenID. Hos Verisigns OpenID-tjänst krävs det t ex endast att man har ett mailkonto för att man ska kunna skaffa sig ett OpenID.
Håll en god ton i kommentarerna
Det går inte att se de mailadresser fylls i så vill man ha ett privat svar måste man bifoga bifoga mailadress i själva kommentaren och be om att kommentaren inte läggs ut.
Blogger genererar ibland felkoder då kommentarer sänds in. Kommentarerna kommer ändå fram, men vill man vara på den säkra sidan kan man försöka igen. Ctrl-c kan vara klokt innan man trycker på publicera-knappen.
Jag håller med Schneier om att felet inte är människors riskfyllda beteende utan att datorerna inte är robusta nog för att hantera risken.
SvaraRaderaSedan finns det system som utöver robustare programvara som Linux behöver vara helt låsta och då behövs det ett fysiskt lock i vägen för den normala vanan att stoppa USB pinnar i USB uttag. En vana som är att jämföra med att läsa flygblad från främlingar och reklam instoppad i brevinkastet.
Var det inte tänkt för en del år sedan att signalisterna i Enköping skuller byggas ut till ett slags IT-förband? Fast att den idén aldrig förverkligades.
SvaraRaderaBra tänkt i så fall och dåligt att det inte realiserades.
/Morfar
"Låt hoppas att den svenska beredskapen är god."
SvaraRaderaAsgarv....för övrigt finner det något bängligt och "dyrt" att preppa och droppa USB-minnen när folk dels har superkassa passord och dels är villig att sälja dem för en Snickers eller två.
I följande BBC-artikel påstås att 70% av tillfrågade var beredd att sälja sitt passord för choklad.
http://news.bbc.co.uk/2/hi/technology/3639679.stm
Som sagt det som oroar mest är att personer använder samma passord på tex facebook med mera och samma på sitt säkerhetsklassade jobb. Och är passordet dessutom qwerty123 eller något annat idiotiskt så har skiten redan träffat fläkten.
Alltså, Snickers är billigare än USB-minnen :-) Men en vanlig dictionary-attack lär fungera bra det också.
I en till FM närstående myndighet måste man stoppa in eventuella usb från t.ex. leverantörer i den hemliga datorn för att sekretessgranska innan man kan tillåta den på det icke hemliga nätverket.
SvaraRaderaNu finns det ju naturligtvis inget nätverk för den hemliga datorn så eventuell spridning av skadlig kod sker ju bara med usb:erna. Avsaknaden av nätverk medför ju också att virusdatabas på den hemliga stand-alone datorn inte direkt är purfärsk hela tiden så skadlig kod är nästan garanterad att infektera.
Äsch, vi har ju TEID-kort...
SvaraRaderabrezjnev: Din metod kräver fysiskt tillträde till objektet om det handlar om ett från yttre världen separerat nätverk. Inlogg osv loggas också och i många fall vill man heller inte att angreppet ska upptäckas mer än kanske resultatet.
SvaraRaderaMjae, inget TEID-kort på hemliga hårddisken och den är ju inte krypterad heller eftersom det inte finns (eller åtminstone inte är levererat till myndigheten) krypton som klarar H/S enl 15kap2§ så då är det ju lika bra att låta bli eftersom menet ändå blir detsamma...
SvaraRaderaWiseman: sannolikt krävs fysiskt tillträde men inte nödvändigtvis. Man kan tänka sig flera scenarier t.ex. där bärbara datorer regelmässigt flyttas in och ut på objektet av olika personer som nät- och service-tekniker, VIP-personer och annat löst folk. Och hur var det nu med trådlöst nätverk på sekundära datorer, som t.ex. VIP:ar har påslaget för användning i hemmet, på resa eller på sin primära arbetsplats.
SvaraRaderaEller varför inte harmlösa printrar med lite extras ombord...
@brezjnev
SvaraRaderaFast ingen har ju verifierat att lösenorden var äkta.
Jag skulle gladeligen hitta på ett lösenord (som ingenstans liknar ett av mina riktiga, givetvis!) för en chokladkaka.
F.ö. har du rätt i det du skriver, (men preppade USB-minnen ska man ha respekt för ändå).
Som Magnus Redin säger: det är inte användaren som är blåögd om administratörerna använder trasiga system. Det är kreatören och den som sätter kraven till inköparen.
SvaraRaderaÄven om man använder trasiga operativsystem går de att laga, till exempel med (*reklam*)"sanctuary device control"(/*reklam*) eller likande mjukvara.
Som Magnus Redin säger: det är inte användaren som är blåögd om administratörerna använder trasiga system. Det är kreatören och den som sätter kraven till inköparen.
SvaraRaderaÄven om man använder trasiga operativsystem går de att laga, till exempel med (*reklam*)"sanctuary device control"(/*reklam*) eller likande mjukvara.