tisdag 26 april 2011

Iran utsatt för en andra cyberattack

Reuters rapporterar om att officiella källor i Iran har meddelat att de förutom Stuxnet, nu också hittat ett andra virus med namn "Stars". Inga uppgifter ges om vad Stars gör, utan istället anges bara att Stars nu håller på att undersökas i laboratoriet. Enligt uppgifterna så skall inga större skador ha skett innan Irans "unga experter" hittade viruset. Det ser dock ut som om det är ännu en spear phishing attack som har varit sättet att leverera koden på.

Ett av de mer intressanta citaten är hur Irans regering uppmanas agera på angreppen:
"Perhaps the Foreign Ministry had overlooked the options to legally pursue the case, and it seems our diplomatic apparatus should pay more attention to follow up the cyber wars staged against Iran," Jalali said.
Enligt artikeln så har officiella källor i Iran redan pekat ut Israel och USA som ansvariga bakom Stuxnet, trots svårigheterna förknippade med att avgöra var en cyberattack har sitt ursprung.

Hur Iran verkligen svarat på angreppen vet vi dock inte. Det officiella är bara en del av det hela. Vad som händer bakom kulisserna vet vi inte. Värt att komma ihåg är hur som helst att Iran har en mängd framstående personer inom datalogin och vi vet också säkert att amerikanska myndigheter och bolag regelbundet drabbas av angrepp. Om Iran ligger bakom något av dessa vet vi inte.

Det står dock allt mer klart att cyberkrig börjat bli en alltmer påtaglig verklighet för flertalet nationer. Vilka effekter kommer det i sin tur att få? En striktare intern styrning? Kanske flyttas gränsen där organisationer inte längre vågar ha sina system anslutna till Internet? Kanske är Internetanslutning så värdefullt att fokus snarare hamnar på intelligentare försvar? Upp till spekulation...

torsdag 21 april 2011

Spear phishing fortsätter drabba stater

Wired har en intressant artikel uppe om hur ett statligt topplab i USA för andra gången drabbades av en spear phishing-attack. En 0-day Internet Explorer-attack användes tillsammans med ett mailutskick till 500+ personer. Knappt man kan kalla det spear phishing, men attacken var tydligt riktad mot exakt det här labbet. Som för övrigt specialiserade sig på bland annat.... cybersäkerhet!

Några saker gör den här gången extra intressant:
  1. Datamängden som stals tros vara väsentligt mycket mindre. Skadan bedöms därför vara mindre.
  2. Trots att man forskade om cybersäkerhet kunde inte attacken förhindras.
  3. Trots att man råkat ut för det tidigare kunde man inte förhindra att det hände igen.
Det visar mycket tydligt på att det går inte att lita på mjukvaran även om den är fullt patchad. Visst, det är viktigt att lägga krut på patchningen men lägg inte allt krut där. Vi ser gott om 0-day attacker. Är man i en högriskverksamhet med motiverade angripare måste man även lägga mycket krut på att upptäcka det lyckade angreppet och minimera skadeverkningarna.

torsdag 14 april 2011

Cyberkrig: När ges ordern att trycka på knappen?

Redan 1983 tog filmen Wargames upp ett scenario där ett kärnvapenkrig var på väg att bryta ut. Enligt datorsystemet så hade Sovjetunionen skickat iväg kärnvapen mot USA, men tack och lov tryckte aldrig amerikanerna på knappen för att skicka vedergällningsmissiler åt andra hållet. Vilket man i filmen var väldigt lättade över när det visade sig vara en tonåring som spelade ett spel, helt ovetandes om vilka konsekvenserna hade kunnat bli.

För ett par veckor sedan skrev jag om svårigheterna att identifiera en angripare vid en cyberattack. Förra veckan var jag i Paris, och stötte där på militärer som patrullerade runt några av Paris sevärdheter. Vår guide - som visade sig lika skeptisk som jag till deras nytta - förklarade att bakgrunden till det var att Frankrike var på väg att införa ett "burkaförbud" och man upplevde därför en förhöjd hotbild. Nedan är en bild tagen på militärer utanför Notre Dame.

Men vad gör militärerna där egentligen? Beväpnade med automatkarbiner, vad kan de egentligen göra för nytta för att avstyra ett självmordsattentat? Mina tankar går så här: varje år kommer miljontals turister till Paris. Förutom stolthet ger det också Frankrike flera miljarder euro per år. Men vad skulle hända med det antalet om en turist blev skjuten? Vad skulle det innebär politiskt och ekonomiskt? Förmodligen skulle det vara KATASTROF, och de politiska konsekvenserna skulle bli mycket stora.

Det borde vara säkert att säga att någon militär inte kommer klämma på avtryckaren såvida han inte är absolut 100% säker på att det är en terrorist han skjuter.

Så i "cyberrymden", där det i princip inte går att vara 100% säker, vem trycker egentligen på knappen då? Well, konsekvenserna av en knapptryckning behöver inte vara lika allvarliga. Svaret behöver varken vara symmetriskt i storlek, eller för den delen innebära att man skickar iväg alla sina kärnvapen. Det kan lika gärna bli ett diplomatiskt svar i form av höga tullavgifter, ett veto i något FN-råd eller vad som helst.

Det kan också vara så att den som utfört attacken VILL avslöja sin identitet i syfte att visa upp sina muskler. En sorts vapenrustning: "You can hack me, but you should remember I'm probably better at that sort of thing than you are" (TBob).

Ett sådant tillfälle där musklerna flexades var 2008 då Kina visade sin kapacitet genom att ösa ut uppsnappade amerikanska meddelanden på en kanal där Kina visste att NSA skulle se det. Uppenbarligen hade Kina lyckats VÄLDIGT väl med att ta hand om ett NSA-plan som efter en kollision hade tvingats nödlandat i Kina 2001. Något som amerikanerna inte bedömde vara möjligt 2003, men som Kina fem år senare visade upp.

---

Den andra sidan av myntet är förstås att det blir mycket lättare att trycka på knappen för offensiva angrepp. Om risken för konsekvenser är låga, varför inte ta chansen? Något knepigare i demokratiska länder där offensiva operationer behöver vara sanktionerade på ett annat sätt, men på det hela taget något man bör vara väl medveten om när det handlar om cyberoperationer. Att det är svårt att identifera angriparen ökar sannolikheten för angrepp. Den enda motkraften kan vara att det krävs en viss kompetensnivå att utföra dem. Hur mycket beror helt på hur väl skyddat målet är.

Läsarfrågan: Hur många mål som är värda något för en stat kan idag nås av en scriptkiddie? Hur många är redan ägda?

tisdag 12 april 2011

Största kreditkortsstölden: Godkänd av Secret Service?

Albert Gonzales, dömd till 20 års fängelse för bland annat kreditkortsstölder hos TJX och Heartland Payment Systems och Seven Eleven, har lämnat in en överklagan på grunden att hans gärningar skulle varit godkända av Secret Service.

Att Secret Service skulle godkänt något sådant verkar orimligt. Även om Gonzales vid tidpunkten faktiskt jobbade undercover för Secret Service och kanske behövde hantera stulna kortnummer för att ha kvar sin kredibilitet bland dem han infiltrerat, skulle sättet de gjorde det på osannolikt vara det här. Gonzales själv tjänade stora pengar på det, både amerikanska privatpersoner och företag blev drabbade och allt jag sett tidigare om USAs myndigheter som godkänner hemliga operationer är att de är väldigt försiktiga med att godkänna sådana operationer på hemmaplan.

Däremot är det värt att ha i minnet att man i USA faktiskt har sökt stöd rätt nyligen för att utföra offensiva cyberoperationer för att "skydda amerikanska intressen". Om de drabbade affärerna hade varit utlandsägda, hade det då ingått i ett sådant mandat? Secret Service jagade trots allt brottslingar som gjorde Dåliga Saker(tm) mot amerikanska medborgare och företag...