Etikettarkiv: cyberkrig

Marknaden för skadlig kod

När jag är ute och pratar säkerhet träffar jag fortfarande på uppfattningen att personer som försöker ta sig in i ett system är finniga tonåringar med på tok för stort teknikintresse för sitt eget och andras bästa.

Tyvärr är det länge sedan dessa personer utgjorde det stora problemet (om dom någonsin gjort det). I dag är det industriella spioner och konkurrenter, kriminella nätverk och faktiskt även myndigheter som utgör hotet. Ett tecken på detta är att det i dag inte är virus som spelar en glad melodi som är problemet med skadlig kod. Nej, i dag för skadlig kod (ex trojaner) så lite väsen som möjligt samtidigt som koden försöker manipulera banktransaktioner, stjäla information och åstadkomma stor ekonomisk skada. De personer som utvecklar den kod som är basen för dessa attacker må kanske ha hudproblem, men dom är inte tonåringar utan proffs ute efter att tjäna pengar. Och de som utvecklar och utnyttjar koden har även mycket större resurser till sitt förfogande.

Forbes har publicerat en mycket intressant artikel som beskriver hur marknaden för skadlig kod ser ut inklusive de olika aktörerna – producenter av skadlig kod, konsumenter av skadlig kod och de mellanhänder/grossister som förmedlar koden. Handelsvaran kallas zero-days. Zero-days är information om och exempelkod som visar på publikt okända svagheter i ett system, svagheter som går att utnyttja för att attackera ett system. Om någon vill attackera iPhone-enheter finns det leverantörer som Franska VUPEN Security som kan leverera zero days.

Hur mycket kostar en zero-day? Enligt Forbes beror det både på storlek på attackmarknaden samt hur svårt det är att hitta en svaghet som går att utnyttja. I sin artikel presenterar Forbes följande lista med riktipriser:

Forbes lista med riktipriser för zero-days.

Att attackera Windows-system kostar mer än att attackera Mac. Att kunna attackera iOS-enheter, ex iPhone är uppenbarligen väldigt eftertraktat.

En sak att notera med artikeln är att det inte i första hand är kriminella organisationer som skapar och driver på marknaden. Nej det är vi, medborgare i olika länder representerade av våra länders myndigheter som strategiskt börjat köpa upp zero-days och börjat bygga cyberkrigs-kapabilitet. I ett cyberkrig ses zero-days som basen för offensiva vapen, och kunskapen om hur zero-days fungerar är också strategiskt viktig för att kunna börja skapa defensiva mekanismer. Det är denna stävan efter att bygga upp cyberkrigskapabilitet som gör att länder med stora ekonomiska resurser som driver upp priserna och därmed skapar marknaden.

En uppenbar måltavla för denna kapabilitetssträvan är infrastruktur, SCADA-system och industrisystem. Listan som Forbes publicerar har inte med några sådana typer av system. Men Stuxnet använde flera olika zero-days som bas.

Ett bekymmer med den här marknadens tillväxt är hur rapporteringen av svagheter förändras. Inom säkerhetsvärlden har det länge förts en debatt om hur någon som hittar en svaghet ska delge omvärlden information om svagheten. Det finns några olika strategier. Full Disclosure, dvs fullständig öppenhet innebär att den som hittat svagheten själv går ut och öppet berättar om svagheten. Sedan får världen inklusive leverantören av systemet i vilket svagheten finns hantera situationen på bästa sätt. Full disclosure sätter press på leverantören, och innan leverantören kunnat laga svagheten kan svagheten hinna utnyttjas. Detta har gjort att en del presenterat Responsible Disclosure. Detta innebär att leverantören samt leverantörer av säkerhetsprogram får reda på svagheten en viss tid innan den publiceras publikt.

Responsible Disclosure har dock visat sig kunna innebära att leverantören drar benen efter sig och ändå inte lagar svagheten innan den publicerats. En annan kritik är att någon annan kan hinna upptäcka och utnyttja svagheten under tiden av tystnad. Användarna av systemet riskerar därmed att använda ett system med en konstaterad svaghet längre tid än nödvändigt utan att veta om svagheten. Användarna vidtar därmed inte motåtgärder som skulle kunna minska effekten av svagheten.

Slutligen kan den som hittat en svaghet bara prata med leverantören. Leverantören skickar ut lagning av svagheten utan att berätta vad lagningen löser och användaren får aldrig reda på något. Denna strategi kallas Closed Disclosure. Men som Forbes visar finns det nu en variant av Closed Disclosure – att hålla sin upptäckt publikt hemlig, men sedan sälja informationen – och då inte nödvändigtvis till leverantören av systemet.

Det finns företag som är beredda att betala för att få buggar hittade i sina produkter. Ett sådant företag är Google som erbjuder upp till 1337 USD för buggar i sin webbläsare Chromium. Men som synes är den summan mycket, mycket lägre än vad man kan få på annat håll.

Jag är inte överraskad, men tycker att det är oroande att det nu finns en etablerad marknad för skadlig kod. Att komma med generella råd för hur man ska skydda sig är inte lätt. Men ett viktigt första steg är att inse hoten inte kommer från grannens tonåring.

Två artiklar om Stuxnet

Elektroniktidningen har publicerat två artiklar om datormasken Stuxnet. Den första artikeln är en bra intervju med David Lindahl på FOI.

David Lindahl
David Lindahl

I intervjun pratar David om säkerheten hos industriella kontrollsystem (kallar ICS eller SCADA) och pbland annat att:

Styr- och driftsäkerhet är mycket bra. Men säker­het mot antagonister är inte ens dålig – den saknas i scadasystemen. Tidigare har scadasystem suttit avskilda. Men nu kopplas nät allt oftare ihop, med eller utan brandväggar, och då blir det problem.

Den andra artikeln innehåller några kommentarer från mig om Stuxnet. Det jag ser som ett stort problem med Stuxnet är att den ses som ett exempel på en digital version av smarta bomber och framtidens cyberkrig. Bomber som kan slå ut specifika mål. Men det är rätt stor skillnad mellan Stuxnet och en riktig bom (smart eller ej) och jag är rädd att dom som släppte lös Stuxnet antingen inte insåg det, eller mycket väl insåg det men tyckte att den potentiella kortsiktiga vinsten var viktigare.

Rent krasst, Stuxnet är inte en burk med högexplosiva ämnen som antänds. Stuxnet är ett program som lagras på media och exekveras av processorer. Bomben kan byggas i hemlighet, skickas på sitt mål och när den exploderar omvandlas den till energi. Stuxnet pillar på fysiska processer och kan ev försöka radera sig själv och gömma sig i digitala miljöer. Men den finns där och när Stuxnet inte körs är den en fil precis som andra filer. En fil den som skapade den, den som är måltavlan och alla andra kan titta på. Att släppa lös Stuxnet innebär att släppa lös kunnandet som krävdes för att bygga Stuxnet. Inte alls speciellt smart.

Den typ av ramverk för elak kod för ICS, SCADA-system jag nämner finns i dag. Ett sådant är Agora SCADA+ Pack. Riktigt intressant att avända för den som utvecklar, installerar och driftar denna typ av system. Och tyvärr även för den som vill attackera systemen.

För det finns en sak Stuxnet och denna typ av ramverk (och Metasploit) har gemensamt med en riktig bomb. När väl vapnet/bomben är utvecklad behövs inte samma kompetens för att använda vapnet. Och Agora, Metasploit, till skillnad från fysiska vapen är mycket, mycket enklare att skapa kopior.