Rapporteringen kring olika nätbaserade intrång och attacker har blivit sämre. Allt oftare hänvisas bara till ”cyberattacker”, utan att vi får reda på några som helst detaljer om vad det egentligen är fråga om. Det här är inte bra, eftersom dataintrång, spioneri, nätsabotage och nätattacker har många olika aspekter (både tekniska, ekonomiska och samhälleliga) som helt suddas ut under det ”behändiga” samlingsordet cyberattack.
Slarvet beror på två relaterade orsaker:
- Teknikrapporteringen i vanlig media är generellt sett på usel nivå. Oftast är det bara rena slumpen om det råkar finnas en teknikkunnig journalist på en redaktion (som dessutom är insatt i nätintegritetsfrågor). Allmänreportrar satta att bevaka dataintrång eller nätattacker vet oftast inte ett dyft om sakerna, och ser sig tvungna att enbart citera vad de får tilldelat sig.
- Vissa personer, företag, organisationer och myndigheter har förstås ett egenintresse i att måla upp en situation där kusliga och diffusa ”cyberattacker” hotar oss med jämna mellanrum. Det lönar sig att inte vara alltför detaljerad, ifall man till exempel vill sälja nätsäkerhetstjänster, få en större budget, eller kanske knuffa landet lite närmare Nato, nu när militäralliansen har ”cyberattacker” som ett av sina huvudtemaområden.
Det finns emellertid ingen orsak att vara diffus och oklar när man behandlar de här frågorna. Nedan går jag igenom några fundamentala fakta som kan löna sig att hålla i minnet, och referera till nästa gång man hör om en ”cyberattack”.
I dag är det inte längre sakligt att i ur och skur hänvisa till hackers så fort ett intrång eller ett sabotage skett. Främst kanske för att en hacker också kan betyda en skicklig programmerare ”på den goda sidan”, men också för att ordet fortfarande manar fram en lite felaktig bild av ensamvargar i sina källare. De här intrången är i dag allt mindre amatörmässiga, och görs ofta av semiprofessionella eller professionella ligor. Intrången kan vara mycket allvarliga (speciellt ekonomiskt) och är kriminella i alla länder, så det är bättre att hänvisa till kriminella, brottslingar etc, än till hackers.
De riktigt sofistikerade intrången görs av stater med stora resurser bakom sig. Snowden-avslöjandena visade det som många redan misstänkte: amerikanska NSA har till sitt förfogande dels en hel arsenal av hittills oupptäckta svagheter och hål i kommersiella operativsystem, och dessutom hela avdelningar som sysslar med att kompromettera systemhårdvara: processorerna och minnen i routers, och i olika datatillbehörs kontroll-chips. Utan att det direkt går att peka ut NSA, är till exempel Stuxnet-viruset som slog ut det iranska kärnprogrammet ett bra exempel på denna sorts avancerade verksamhet, där viruset planterades via USB-stickor i maskiner som inte var kopplade till nätet. Samma gäller det senaste spioneriprogrammet som uppdagades, Regin. Och det finns ingen orsak att tro att inte andra större länder (åtminstone Ryssland, Frankrike, Storbritannien, Tyskland, Indien, Kina) har, om inte direkt motsvarande resurser, så åtminstone betydliga resurser till sitt förfogande för likadan aktivitet. Mycket av denna sorts aktivitet, och själva verktygen, är fortfarande höljda i dunkel.
De här staterna har också möjlighet att utföra offensiva handlingar (egentligen krigshandlingar) på nätet, för att försöka slå ut bland annat samhälleliga, militära, och finansiella system på motståndarsidan.
Hör man någon tala om en nätbaserad cyberattack mot samhällelig infrastruktur som el- eller vattenförsörjning (eller ens riskerna för en sådan attack), är det första en reporter borde fråga: varför i all sin dar är ett sådant kritiskt kontrollsystem överhuvud kopplat till internet? Stuxnet visade visserligen att en målmedveten aktör kan överbygga även detta, men i alltför många fall har man redan fått höra om nätuppkopplade datorer utrustade med gamla oskyddade operativsystem (som Windows XP), som kontrollerar kärnkraftverk eller livsviktig utrustning på sjukhus. Det finns ingen orsak att godkänna detta, eller att låta de dåliga bortförklaringarna och ursäkterna gå förbi oemotsagda.
Om det sker ett intrång i ett företags eller en myndighets databaser och informationen läggs ut på nätet räcker det verkligen inte längre med att rapportera att ”hackers gjort en cyberattack”. Systemen har namn och tillverkare, de som byggt och använt systemen har ansvar och namn! Fråga efter dem! Var det en Oracle-databas? Var det MySQL? Var kunddatan krypterad på ett adekvat sätt – och om inte, varför? Vem installerade systemet? Hur var nätsäkerheten ordnad? Vem hade ansvar för nätsäkerheten?
(I det ovannämnda ligger även ett fråga jag tagit upp tidigare i andra sammanhang: ett trubbigt verktyg som en militärallians har nästan inget alls att tillföra på det här området. It-problem är it-problem, och skall skötas som sådana.)
Främst är det i alla lägen skäl att vara noga med terminologin.
Till exempel ett dataintrång görs för att komma åt information, helst genom att lämna så lite spår som möjligt (eller inga alls) bakom sig. Ett dataintrång kan pågå flera år, och riktas mot personer eller myndigheter (ofta i annat land) för att få information som ger ett gynnsamt förhandlingsläge, eller för utpressning.
En nätbaserad attack är något helt annat. Då försöker man öppet slå ut datasystem till exempel med en så kallad Denial of Service-attack. Program för detta kan enkelt laddas ner (även av amatörmässiga script-kiddies), och de samlar privatanvändares virusinfekterade datorer till ett så kallat bot-net, där alla på en gång sedan bombarderar en webbsida med åtkomstförfrågningar, vilket många vanliga webbservrar inte klarar av, och därmed går i baklås. En attack mot en webbsida borde dock aldrig påverka ett företags eller en organisations egna interna nätverk – händer det är inte it-avdelningen sin uppgift mogen.
Spyware är inte en egentlig attack, men förstör, försinkar och försämrar vanliga användares nätupplevelse. Oftast sker installationen via en nedladdning av nyttigt material: i samma veva klickar man lätt på OK även för installation av olika ”förbättringsprogram” som installerar sig i webbläsarna eller annanstans och som utlovar en bättre webbupplevelse, virusskydd eller allmän prestandaförhöjning på datorn. I själva verket tar de här insticksprogrammen över webbläsaren, och leder alla sökresultat till vissa utvalda sajter, spionerar på och bokför användarens webbnavigering och i allmänhet förändrar datorns beteende.
Nagware är en variant där man först tror sig få en nyttig produkt gratis, men som efter en viss tid börjar gnälla efter pengar, med en länk till en sida där man lätt kan fylla i sitt kreditkortsnummer – oftast med olika förtäckta hot om vad som kan ske ifall man inte betalar. Bra att minnas: inte ens på Windows behöver man idag köpa ett antivirusprogram, det kommer inbyggt (Windows Defender i Win 8, och Security Essentials i Win 7). Det finns också gratisprogram.
Virusattacker försöker automatiskt sprida skadlig programvara via säkerhetshål i operativsystem eller programvara. Målet kan vara skapande av bot-nets eller installerande av utpressnings-programvara (som t.ex krypterar alla filer och ger en nyckel endast mot en saftig betalning).
Trojanska hästar är skadlig programvara maskerad till ”nyttig” programvara (för att t.ex. ladda ner filmer gratis på nätet), oftast med samma mål som virusattackerna.
Med Phishing försöker man lura e-postanvändare och webbsurfare att klicka på lockande länkar eller bilagor, eller att logga in på nätbank för att ”verifiera” sitt konto. Samtidigt som skurkarna kommer åt ditt bankkonto kan ett virus eller annan malware installeras.
Social engineering är attacker där man gör det ”gammaldags”, och exempelvis helt enkelt ringer upp någon på ett kontor och påstår sig vara från ”it-avdelningen”, för att därefter fråga efter information som till exempel lösenord. Eller samtalar med folk på barer och restauranger och försöker utröna något om ett företags säkerhetssystem. Sällan uppmärksammat, men mycket använt och mycket effektivt.
För den intresserade men framför allt för den som är satt att bevaka de här frågorna är det skäl att regelbundet följa med någon podcast (t.ex. Security Now) eller webbsida (t.ex. Krebs on Security eller Schneier on Security) i ämnet. För en icke-initierad låter det mesta till en början svårförståeligt (och går dessutom på engelska), men det klarnar med tiden, så var inte rädd.
Humor: A glitch in The Matrix, som tydligen tagit över spårvagnarnas infosystem I Helsingfors. |