... och allt kan köpas för pengar


Det finns en gigantisk marknad som handlar med allt
från nyupptäckta sårbarheter i program- och hårdvara till färdiga it-vapen. Försäljningen fungerar på samma sätt som husförsäljning, enligt David Jacoby på Kaspersky Lab.

– Det finns extremt många människor som jobbar heltid med att försöka hitta sårbarheter. När ett hål har upptäckts skrivs en snutt kod som visar att sårbarheten fungerar, och sedan kontaktas en mäklare, säger han.
Antingen går mäklaren direkt till någon som hen vet vill ha sårbarheten, eller så sätter mäklaren upp en auktion där folk får buda. Vad priset landar på varierar beroende på hur många installationer som finns av programmet, hur lätt sårbarheten är att utnyttja och vilken typ av angrepp den kan användas till.

– Men det handlar nästan alltid om supermycket pengar, 100 000–200 000 dollar. Och i de flesta länder är det inte olagligt att leta upp och sälja sårbarheter – det är bara olagligt att utnyttja sårbarheterna.
Trots det sker köp- och säljprocessen i det fördolda, och enbart inbjudna personer får tillträde.

David Jacoby har kontakt med ett par mäklare, och har på så sätt fått insyn i det inre maskineriet. Men vilka köparna är har han inte en aning om.

– Det är där själva mystiken kommer in. Vilken privatperson skulle vilja lägga minst 650 000 kronor på att köpa en sårbarhet? Inte så många.
Det är därför troligt att köparna är stora företag, myndig­heter, nationer eller andra aktörer på en hög nivå, anser
David Jacoby.

Även färdiga it-vapen finns till salu. Det kan handla om allt från system för att sprida skadlig kod till så kallade botnät, det vill säga nätverk av infekterade datorer. En del av de här vapnen säljs dessutom helt öppet på nätet, enligt Johan Jarl på F-Secure.

– Det finns till och med reklamvideor på Youtube för botnät och trojaner, säger han.

Bron från nätet till fysiska världen

Mängder av fysiska process­er kontrolleras av så kallade styrsystem, som används för styrning, reglering, övervakning och ibland automation av allt från vattenreningsverk och industrier till sjukhusutrustning och olika funktioner i vanliga fastigheter.

– Nästan alla styrsystem har en it-koppling i dag. Men det är inte så att det står massa maskiner kopplade rakt ut på internet, även om det finns exempel på det också, utan det krävs ganska mycket jobb bakom en attack mot systemen, säger David Jacoby på Kaspersky Lab.

Dessutom är systemen inte standardiserade, vilket innebär att en angripare måste anpassa it-vapnet för det specifika målet.

Trots att det inte är helt enkelt för angripare att ta kontroll över ett styrsystem är det en god idé att se till att alla fysiska processer inte kan styras på håll, enligt Jakob Schlyter. Till exempel är det okej att den jourhavande operatören kan övervaka vattenreningsverket från sin telefon hemma i soffan, men om vattnet behöver stängas av bör det krävas att operatören åker in till anläggningen.

– Men det innebär inte att man är skyddad bara för att systemet inte har någon kanal ut. Exempelvis spreds Stuxnet via usb-stickor, säger Jakob Schlyter.

Han anser att det bästa skyddet är att bygga in säkerhetsmekanismer som hindrar att utrustning manipuleras till att göra uppenbart felaktiga saker.

– Man bör se till att operatören – och därmed en angripare – inte kan göra dumma saker. I ett reningsverk bör det exempelvis finnas en kontrollmekanism som gör så att operatören aldrig kan klorera vattnet till en nivå som är skadlig.

Den här typen av säkerhetsmekanismer är dock alltför ovanliga. Styrsystemen är ofta gamla, och de som levererar och sköter om den är dessutom ofta konservativa och ovilliga att anpassa säkerheten efter en ny verklighet med kopplingar till webbgränssnitt och andra it-system, enligt Jakob Schlyter.

Kommer säkerhetsincidenter med styr­system bli vanligare framöver?

– Ja, de riktade attackerna kommer att öka i takt med att it-kopplingarna blir allt mer sofistikerade. Men jag tror att det pågår mycket mer redan nu än vad vi ser i media. Det finns ju all anledning att mörka, säger Jakob Schlyter.

Fakta

Om svenska Försvarsmaktens önskemål att kunna genomföra it-attacker: tinytw.se/sveforsvar

Robert Malmgren på Romab har på uppdrag av Myndigheten för samhällsskydd och beredskap skrivit en rapport om trojanen Stuxnet i synnerhet och riskerna med industriella styrsystem i allmänhet.
”Stuxnet – It som vapen eller påtryckningsmedel” finns att läsa gratis på tinytw.se/stuxrapp

Den så kallade Tallinn-manualen är en akademisk, icke-bindande studie av hur cyberkrig och -konflikter förhåller sig till internation­ell lag. Patrik Fältström på Netnod anser att Tallinn-manualen är ett bra första steg mot att på sikt kunna skapa cyberkrigslagar, på samma sätt som det finns vanliga krigslagar. Studien finns att läsa gratis på tinytw.se/ccdcoe249

Författaren Lars Wilderäng har skrivit två skönlitterära böcker som till stora delar kretsar kring it-vapen och deras förödande effekter, ”Midvintermörker” och ”Midsommargryning”. Enligt Jakob Schlyter på Kirei ligger hans fantasier läskigt nära verkligheten. Mer om för­fattaren och böckerna hittar du på tinytw.se/wilder