Den som betalar bäst vinner cyberkriget
Storbankernas kunduppgifter, privatpersoners kreditkortsnummer, kändisarnas mobilnakenbilder – det finns inga system som inte dagens hackare kan knäcka. Och de sitter inte längre hemma på studentrummet utan utgör en helt ny säkerhetsindustri som hellre säljer sina expertkunskaper till högstbjudande än till de drabbade bolagen.
(Veckans Affärer 25 september 2014)
EN FREDAGSKVÄLL förra hösten satt Fredrik Nordberg Almroth vid sin dator och försökte hacka Google. 23-åringen letade efter ett kryphål in i IT-jättens system.
“Google lät användare lägga upp egna verktygsfält och jag upptäckte en lucka som gjorde att man kunde modifiera deras filer till att göra andra saker än vad som var tänkt”, säger han i dag.
Efter fyra timmar var han inne i Googles servrar.
“Jag kom åt nätverksinställningar, användarnamnen till deras olika tjänster och Googles interna servrar. Hade jag fortsatt hade jag förmodligen kommit åt källkoden för deras sökmotor.”
Intrång på så här hög nivå sker inte ofta. Att en ensam hackare tar sig in i IT-giganternas hjärtan som omgärdas av säkerhet framtagen av världens främsta utvecklare är ovanligt.
“Vi gör det i forskningssyfte och det är helt legalt”, säger Fredrik Nordberg Almroth.
Tillsammans med fyra andra driver han Detectify, ett relativt nystartat IT-säkerhetsföretag i Stockholm med devisen “go hack yourself, or someone else will”. Google betalade honom 10”‰000 dollar för att han påtalade säkerhetsluckan som de då kunde täppa igen. Fredrik Nordberg Almroth hade goda avsikter, men inte alla hackare har det. En rad aktuella fall har riktat uppmärksamheten mot digitala säkerhetsbrister hos företag och myndigheter runtom i världen. Apple blev häromveckan utsatt för intrång i sin molntjänst Icloud där kändisars bilder stals och läcktes.
Och nyligen blev fyra amerikanska storbanker hackade. JP Morgan Chase, en av bankerna, kommenterade att hackerförsök sker dagligen. Det nuvarande cyberkriget spåras tillbaka till särskilt två händelser av stor magnitud.
En förmiddag i augusti 2012 loggade en användare in i datorsystemen hos oljebolaget Saudi Amarco och klickade i gång en fil med ett virus. Det brände hårddiskarna i cirka 30”‰000 datorer – tre fjärdedelar av hela systemet. Alla dokument, kalkylblad, skisser och program suddades ut. Kvar fanns bara en animering av en brinnande amerikansk flagga. Den dittills största cyberattacken riktat mot ett enskilt företag var ett faktum.
Senare spekulerades i att Iran stod bakom attacken och att den var en hämndaktion mot Saudiarabien, en av USA:s allierade och ägare till Saudi Amarco som är världens största oljebolag.
Vedergällningen kopplades samman med att USA två år tidigare hade tagit kontroll över datorerna som styrde urananrikningen på ett kärnkraftverk i Nantaz i Iran med internetmasken Stuxnet. Attackerna visar att ett cyberkrig pågår på högsta statliga nivå mellan de digitala stormakterna USA, Iran, Kina, Ryssland och Israel. Samtliga har intensifierat sina attacker och stått för den främsta kapprustningen. Orsakerna är politiska – att inhämta information eller att skapa störningar i det utrikespolitiska spelet.
Bruce Schneier, veteran inom IT-säkerhet som skrivit flera böcker om kryptologi och grundat säkerhetsföretaget BT Counterpane, menar att man inte ska skilja mellan cyberattacker och spionage.
Många IT-branschbedömare anser att det skett en professionalisering i sektorn.
Hackare har flyttat upp från sina mörka källare och är i dag kommersiella aktörer med kontor i skyskrapor – ofta med statliga underrättelsetjänster och aktörer som anlitar dem.
Hackerverksamheten är numera så pass transparent att prislistor finns på olika internetforum. Att slå ut en webbsajt (så kallad denial-of-service-attack) kostar till exempel motsvarande 1”‰000 kronor för en vecka, enligt en rapport från 2012.
Men även om marknaden är alltmer transparent är det inte helt klart vilka som står bakom attackerna. Det kan vara stater, hackernätverk eller kriminella grupperingar – inte sällan i en kombination.
Stora informationsläckage har på senare tid synliggjort kriget för en bredare allmänhet. Enligt en sammanställning gjord av Bloomberg har över 700 miljoner användaruppgifter stulits bara de senaste två åren. Mörkertalet är samtidigt enormt.
Säkerhetsföretaget Hold Security, som kartlägger stulen data på olika forum för cyberkriminella, har räknat ihop att enbart den ryska hackergruppen Cybervor har stulit 1,2 miljarder unika användardata som mejladresser och lösenord. Genom att de stjäl kreditkort och riktar sina attacker mot banker och finansiella aktörer visar de att den ekonomiska infrastrukturen är enormt utsatt, menar Greg Medcraft, ordförande för Iosco, en internationell organisation för värdepapperstillsyn.
Han har varnat för att nästa stora oförutsägbara händelse – en så kallad svart svan – kommer att bli cyberattacker mot finansiella aktörer.
Nästa stora finanskris kan alltså initieras av hackare.
I Sverige genomfördes nyligen en unik internationell undersökning där fjorton företag, organisationer och myndigheter med sammanlagt runt 70”‰000 anställda övervakades under en månad för att undersöka vilka attacker som riktas mot systemen.
Resultatet som togs fram av revisionsjätten KPMG och IT-säkerhetsföretaget Fireeye fick internationellt genomslag. 93 procent av studiens deltagare utsattes för attacker.
Hälften av angreppen hade gått oförmärkta förbi om det inte hade varit för studien.
“Angreppen blir alltmer specifika. Skadlig kod är specialskriven och antivirusprogram märker inte av det”, säger Jonas Lejon, grundare av IT-säkerhetsfirman Triop, som också driver branschbloggen Krypterat.se.
Han menar att den svåraste delen av ett intrång är att få ut data, eftersom dataöverföringar vanligtvis är blockerade.
“När man väl kommit in i system handlar det om hur man får ut data utan att det märks. Det handlar om snabbhet i att komma in, rikta sig mot specifika mål och sedan i sista steget att sopa igen spåren”, säger Jonas Lejon.
Trots att dataläckage har hög prioritet misslyckades hela 79 procent av deltagarna i studien att förhindra uttag av data.
KMPG-studien visade att cyberrisker är högst verkliga för företag, organisationer och myndigheter – även i Sverige.
“Vi utsätts för attacker dagligen”, säger Erik Bennerhult, IT-chef på kreditmarknadsbolaget Avida Finans, och fortsätter:
“Men det är kanske inte det man helst pratar om. Man vill hellre betraktas som självklart trygg än få uppmärksamhet för sin säkerhet. Trovärdighet är avgörande i branschen och mardrömsscenariot för en aktör som mister sina kunders förtroende är en bank run. ”
Han menar att polisanmälningar av attacker inte får önskad effekt utan att fokus ligger på ett kontinuerligt säkerhetsarbete, inte minst att externa testare får i uppgift att försöka hacka sig in.
Siavosh Zarrasvand är en svensk IT-säkerhetsexpert som företag anlitar för hackertester av sina system. Han konstaterar att alla kan använda de många olika hackerverktyg som finns och som listas på exempelvis webbplatsen Sectools.
“Enklare verktyg kan laddas ner på nätet för att försöka göra intrång. Men en riktig hacker hittar ickeortodoxa metoder för att ta sig in”, säger han. Alla datasystem har olika öppningar, svaga länkar och uppenbara missar – och det är det hackare letar efter, menar Siavosh Zarrasvand. Inte ens kryptering är en garant för att skydda sig mot hackare.
För ett tag sedan fick han ett uppdrag av en kund som tillverkar vapen. Uppdraget var att undersöka deras datorer efter att de fattat misstankar om spionage ett par år efter att ett kinesiskt bolag lade ett misslyckat bud på företaget.
“Jag fann att vid något tillfälle hade en usb-sticka stoppats in i en dator. Kanske under due diligence eller kanske under en presentation”, säger Siavosh Zarrasvand.
På usbstickan fanns skadlig kod som tog sig in i datorn och kom åt hela datorsystemet som skickade vidare data.
“Kunden förlorade nog 20-30 miljoner dollar på intrånget”, menar han och ställer det i relation till sitt eget arbete: “Det tog en dag för mig att göra jobbet. ”
IT-säkerhet kännetecknas av att vara något av en katt-och-råtta-lek. Luckor finns alltid och de med tveksamma avsikter ligger hela tiden i bräschen.
Efteråt kommer sådana som Siavosh Zarrasvand som med omvända metoder försöker stoppa skadliga program. Därför ger han inte mycket för de antivirusprogram som många konsumenter använder.
“Antivirusprogrammen är rätt dumma. De jämför vad de finner mot en databas av kända virus. De kan inte förhindra ännu okända virus”, säger han.
Kampen att försöka täppa igen hål och spåra virus sker hela tiden med samma teknik som kriminella hackare använder sig av för att hitta kryphål.
Jonas Lejon på Triop håller med om att det är en gråzon.
“Visst skulle kunskaperna kunna användas till andra syften”, säger han.
I finansbranschen har flera påpekat att kampen är ojämn – stater satsar enorma belopp på att vässa sina förmågor att göra intrång i datorsystem finansierade av privata aktörer. Den amerikanska storbanken JP Morgan Chase satsar motsvarande 1,8 miljarder kronor på IT-säkerhet.
Det kan ställas mot hundra gånger större försvarsbudgetar hos de tidigare nämnda digitala stormakterna som i sin tur kan anlita världens bästa hackare.
Jonas Lejon, som själv har en bakgrund inom svenska försvaret bland annat på Försvarets radioanstalt FRA, ställer frågan om var gränserna för staternas inblandning i cyberkriget ska gå. Han nämner att till exempel FBI utnyttjat svagheter i webbläsare för att komma åt barnporrnätverk.
Det franska företaget Vupen Security brukar framhållas som ett tydligt exempel på den gråskala som råder i branschen.
I IT-säkerhetsbranschen förekommer ofta tävlingar där hackare får visa sina färdigheter genom att hacka programvara från Microsoft, Google eller andra storföretag. De som lyckas kan få en ersättning på 100”‰000 dollar för ett enda, stort kryphål som IT-företagen då kan täppa igen.
Vad som gör Vupen Security (och ett par andra firmor) unika är att de ofta inte accepterar ersättningarna från företagen.
Siavosh Zarrasvand förklarar hur resonemangen gick i hackerkretsar när Vupen hackade webbläsaren Firefox men vägrade att ta emot ersättning mot att avslöja kryphålet.
“Firefox ville inte betala vad hacket var värt. Varför ska de acceptera 100”‰000 dollar när kryphålet är värt miljontals dollar?”
“Firefox är ett multinationellt företag som får 300 miljoner dollar om året från Google för att vara webbläsarens sökmotor – de har råd att betala. Vupen kan i stället få en mycket högre betalning för varje uppdrag de utför åt NSA där de använder sitt hack.”
Säkerhetsföretag som inte delar med sig av sina upptäckta kryphål har blivit enormt eftertraktade.
Nyligen blev det känt att just den amerikanska övervakningsmyndigheten NSA är en av Vupen Securitys kunder.
Underrättelsetjänster är väldigt intresserade av att komma över kryphål som kan finnas i webbläsare, Excel eller Word som ännu inte är kända och därmed inte tilltäppta.
Precis som Google, vilket Fredrik Nordberg Almroth på Detectify visade genom sitt hack.
Detectifys vd Rickard Carlsson säger att deras egentliga produkt är en tjänst för att analysera säkerhetsrisker i webbplatser.
Riskerna kan minskas genom att täppa igen hålen som programmerare lämnat om de slarvat, kodat i äldre programvara eller bara saknat kunskaper.
Men vad hade hänt om Detectify hade resonerat som Vupen Security och ansett att 100”‰000 dollar är för lite och i stället erbjudit hacket till högstbjudande?
Fredrik Nordberg Almroth håller med om att värdet för Google var större än vad de betalade Men, tillägger han, det handlar om etik.
“Jo, det finns Vupen och andra företag med annan inriktning som hittar luckor i webbläsare till exempel och säljer dessa till myndigheter eller så. Men vi skulle aldrig sälja en sårbarhet till en regering – det känns inte okej.”
EMANUEL SIDEA
FAKTA/ ANVÄNDARDATA PÅ VIFT
Flera stora hackerattacker har skett på senare tid. De senaste arton månaderna har över 700 miljoner konton med användarnamn, e-postadress och lösenord stulits från aktörer som Adobe, Evernote och Ebay.
I våras blev det internationell uppmärksamhet kring den så kalllade Heartbleedbuggen, att den programvara genom vilken två tredjedelar av säker internettrafik passerar hade sårbarheter som kunde utsättas för attacker.
FAKTA/ NIO STORA INTRÅNG SENASTE ÅRET
11 september 2014
Tidigare intrång hos Googles eposttjänst Gmail blev känt. Omfattar nästan 5 miljoner användaruppgifter.
8 september 2014
Varuhuskedjan Home Depot förlorade uppgifter om kunder som handlat från april till augusti 2014 – uppskattningsvis 60 miljoner kreditkortsuppgifter.
22-24 augusti 2014
Sony Playstations nätverk med 53 miljoner användare hackades och stängdes ner. Inga användaruppgifter uppgavs ha stulits.
18 augusti 2014
Amerikanska vårdoperatören Community Health Systems förlorade data tillhörande 4,5 miljoner patienter. Augusti 20 JP Morgan Chase och fyra andra ickenamngivna banker blev bestulna på gigabyte med kunduppgifter.
21 maj 2014
Auktionsjätten Ebay förlorade 145 miljoner användaruppgifter.
28 april 2014
Internetföretaget AOL:s mejltjänst hackades, vilket påverkade 2,4 miljoner användare.
3 november 2013
Varuhuskedjan Target förlorade 110 miljoner användaruppgifter, varav 70 miljoner kreditkort.
18 september 2013
Mjukvaruföretaget Adobe förlorade 152 miljoner användaruppgifter.
FAKTA/ PRISLISTA FÖR RYSKA HACKARE
Tjänster som erbjuds på olika forum för cyberkriminella:
â— Överbelasta en telefonväxel i en vecka: 100 dollar.
â— Överbelasta en sajt under en vecka: 150 dollar.
â— Trojan som i hemlighet översänder knapptryckningar från smittad dator: 3 dollar.
â— Program för att på distans styra dator: 25 dollar.
â— Hacka ett rysk mejlkonto: 16-97 dollar.
Källa: Priser från 2012 i Trend Micro-rapporten “Russian Underground 101”