Verizons svar på frågan vem cyberspionage är ett problem för är att vissa organisationer kommer att drabbas oavsett vad de gör, men att de flesta kommer att drabbas på grund av vad de gör. Verizon menar också att det är mer meningsfullt att fråga sig ”Vem kan vilja komma åt våra hemligheter?” än att fråga sig ”Är vi värda att cyberspionera mot?”
Verizon nämner ytterligare ett skäl till att företagsledningen ofta drabbas av cyberspionage: de är rätt pigga på att klicka på bifogade filer med ändelser som .ppt och .pdf.
47 000 incidenter
Vårens rapport från Verizon bygger dels på deras eget arbete med att utreda dataintrång, dels på uppgifter från 18 andra organisationer och rättsmyndigheter i Nordamerika, Latinamerika, Europa och Asien (dock ingen från Kina). Rapporten baseras på 621 bekräftade och analyserade dataintrång, men också på över 47 000 rapporterade säkerhetsincidenter som inte passat in i Verizons standardiserade mall för analys, Veris.
Tjugo procent av de 621 analyserade dataintrången klassas som cyberspionage. En förändring mot tidigare år är att cyberspionen seglat upp som den näst vanligaste aktören bakom ett dataintrång – nummer ett är fortfarande organiserad brottslighet.
Vad gäller cyberspionernas metoder pekar Verizons rapport på att skadlig kod, rent hackande och bedrägeri alla är ungefär lika vanliga. Attackerna riktas främst mot persondatorers mjukvara men även, fil-, e-post- och katalogservrar samt enskilda människor är vanliga måltavlor.
De vanliga metoderna
Den skadliga kod som används för spionage är i stort sett samma som för andra typer av digitalt ofog: keyloggers, ram-scrapers, screen-scrapers, bakdörrar, sniffer-program och root-kits, ofta installerade genom trojaner. Men notera att detta gäller de fall som tas upp i rapporten – den tar inte upp spionage mot data i rörelse eller spionage som utförts av andra stater än Kina, vilket är intressant i ljuset av Snowdens avslöjanden.
Rapporten visar att det inte är något skydd att vara liten. I 22 av de 120 dataintrång som klassats som cyberspionage drabbades organisationer med en till hundra anställda. Fyrtio procent av de drabbade bedrev tillverkning.
Spionerade genom tv:n
Rapporter från Verizon och andra listar de vanligaste attackvägarna, men Peter Bayer på Dingard berättar om en lite annorlunda ingång:
- I början av sommaren 2012 hade jag ett fall med direkt spionage. När vi utredde incidenten spårade vi det till en platt-tv som fanns i konferensrummet. Det var en enhet som it-avdelningen inte kände till.
Den kommunicerade på en massa konstiga sätt, en del av det krypterat. Det berodde på att det fanns en sårbarhet i tv:ns firmware. Den var anslutet till företagets vanliga interna nät på samma sätt som nätverksskrivarna är, och hade tillgång till mappar på servern.
- Vi kunde fastställa att tv:n kommunicerade med adresser som inte var okej att kommunicera med. Efter att vi uppdaterat firmware på tv:n slutade den att bete sig på det sättet. Kunden valde att inte gå vidare med en analys av vilken data tv:n kommunicerat ut.
Innehållsförteckning
Under arbetet med den här artikeln växte det fram en bild av att USA gärna vill peka ut Kina som den största aktören bakom cyberspionage. I Verizons rapport klassas tjugo procent av de 621 analyserade dataintrången som cyberspionage. Kina pekas ut som förövare i 96 procent av fallen. I övriga fyra procent av fallen är förövaren okänd. De personer vi intervjuade för artikeln bekräftade i stort den bilden.
Bilden som växte fram var att den stora mängden cyberspioneri bedrevs av Kina i form av industrispionage. Deras verktyg är lätt modifierade versioner av vanligt förekommande trojaner och liknande verktyg. USA, Storbritannien och Israel antas av många bedriva mer småskaliga men tekniskt mycket mer avancerade cyberspionage med specialskrivna verktyg, till exempel Stuxnet. Deras spionage är främst politiskt och militärt.
Vi bad den kinesiska ambassaden om en kommentar om anklagelserna och fick i maj ett artigt svar skrivet av Kinas utrikesministerium: ”Kina fäster stor vikt på cybersäkerhet och utsätts själv för många allvarliga attacker [...] Cyberrymden behöver inte krig utan regler och samarbete.”
Sedan kom Snowden.
Det är värt att notera att Verizon är ett av de bolag som givit NSA tillgång till sina servrar.
Det är också värt att notera att cyberspionaget i Verizons rapport uteslutande gäller data i vila eller under bearbetning, aldrig i rörelse. Enligt NSA-läckan Snowden är det just genom hackande av internet-routrar som USA bedrivit sitt cyberspionage mot Kina.
