ArtikkelDataormer og virus er fremtidens krigsvåpen

Våpenkappløp i cyberspace

Virus og dataormer som Stuxnet er de nye våpenene i krig, Norge bruker 2,5 milliarder på digitalt forsvar.

En digital krig

Den høyst uvanlige dataormen Stuxnet overrasket en hel verden da den spredte seg som ild i tørt gress i siste halvdel av 2010. Enda mer overraskende var det at ormen ikke så ut til å gjøre noen form for skade i systemene den infiserte. Hva i all verden var på ferde?

Cyberkrigføring på dagsordenen

Tenk deg en verden der konvensjonell krigføring er erstattet med krigføring på internett. Maskingevær og tanks erstattet med tastatur og routere. Ikke-fungerende datasystemer istedenfor døde mennesker.

Høres det ikke herlig ut? Vel, kanskje på overflaten. I dag er imidlertid de aller fleste samfunnsinstitusjoner i de fleste land helt avhengige av internettilkobling. Cyberkrigføring åpner dermed for en langt bredere og dypere form for krigføring.

Strømnettet, telekommunikasjon, banker og finansinstitusjoner - listen over infrastruktur dagens samfunn er mer eller mindre avhengig av, og som benytter internett, kan fortsettes i en evighet. Et omfattende cyberangrep kan dermed potensielt forvolde enorm skade.

Nå tilbake til Stuxnet. Det var i juli 2010 at sikkerhetsfirmaet VirusBlokAda fra Hviterussland oppdaget den sofistikerte ormen. Stuxnet benyttet seg av hele tre ulike lag av angrep, hvor det første var å utnytte en rekke sikkerhetshull i Windows.

Hele fire såkalte "zero-day"-hull ble benyttet, altså sikkerhetshull som tidligere har vært ukjent. Å benytte så mange nye sikkerhetshull for ett enkelt virus er svært uvanlig, noe som sendte signaler om at noe ekstraordinært var på ferde.

Rettet mot spesifikke industrielle komponenter

Da ormen hadde infisert en Windows-maskin var det klart for neste lag av angrepet - den så etter Siemens-programvaren WinCC. Denne programvaren brukes til å kontrollere såkalte PLCer (Programmable Logic Controller), spesialiserte maskiner som kjører komplekse nettverk av industrielle komponenter.

Fant Stuxnet denne programvaren endret den blant annet en nøkkelfil som stod for kommunikasjon mellom WinCC og PLCen. Dette ga ormen mer eller mindre full kontroll over systemet, og den kunne nå gå videre til lag tre av angrepet: å installere seg uoppdaget på selve PLCen.

Interessant nok var ikke Stuxnet fornøyd med å kunne infisere en hvilken som helst PLC. I koden hadde den avanserte kriterier som måtte bli møtt for at den skulle angripe. Den angrep kun Siemens Simatic S7-300, og blant annet kun om motorene som var tilkoblet spant i en frekvens på mellom 807 Hz og 1210 Hz.

Vi sitter da igjen med vissheten om en svært avansert orm som ikke ser ut til å bry seg med å gjøre skade, annet enn på et svært begrenset utvalg av en spesiell type maskiner. Dermed må man spørre seg: hva i all verden var Stuxnet og dens åpenbart meget kompetente bakmenn ute etter?

Et globalt perspektiv

La oss legge Stuxnet til side for en stund, og heller ta en titt på utviklingen i verden sett under ett. For tiden foregår det nemlig en millitær opprustning verden over nærmest i kalde krig-takter. Dog er det en ny form for krigføring som trer frem.

Det store fokuset ligger i dag nemlig på cyberkrigføring, der både militære installasjoner, industrielle hemmeligheter og sivil infrastruktur står som brikker i et spill. Lite overraskende er det at USA, landet med verdens høyeste forsvarsbudsjett, er helt i tet i utviklingen.

Etter en drøss av kinesiske hackerangrep på 2000-tallet og et angrep som installerte en bakdør i USAs strømnett, ble cyberkrigføring for alvor satt på dagsordenen. President Barack Obama sa tidlig at cyberforsvar var topp prioritet, og i slutten av 2009 ble National Cybersecurity and Communications Integration Center (NCCIC) opprettet.

De ulike amerikanske forsvarsgrenene har i lang tid hatt cyberkrigføringskapabilitet, men med NCCIC er de fleste samlet under én kommando. I størst grad omfatter denne formen for krigføring spionasje mellom etteretningsorganisasjoner, men den omfatter også organisasjoner som Wikileaks.

Blant annet har Pentagon opprettet en gruppe på 120 personer som skal drive brannslukking i forbindelse med de lekkede hemmeligstemplede dokumentene. Videre har CIA gitt sitt tilsvar til organisasjonen med gruppen Wikileaks Task Force, med det velklingende akronymet WTF.

I statene er det også fremmet et lovforslag kjent som "Kill Switch Bill", som i praksis vil gi presidenten mulighet til å ta ned hele eller deler av internett. Dette er tenkt som et forsvar mot eventuelle omfattende angrep.

Lovforslaget er imidlertid svært kontroversielt, og motstanderne peker blant annet på at dette er samme praksis som Kina fører. Det er også urovekkende fordi mesteparten av internetts infrastruktur befinner seg i nettopp USA. En eventuell "kill switch" vil dermed påvirke hele verdens kommunikasjonsmuligheter.

Kina langt fremme

Også Kina er langt fremme på dette området. I dokumenter lekket av Wikileaks kan man lese at landet har fått tilgang til kildekode for ulike Microsoft-produkter, inkludert flere utgaver av Windows. Det er hevdet at både offisielle og private aktører i Kina benytter dette i crackerangrep.

Tidligere har Kina blitt sterkt kritisert for en lang rekke angrep på internett. Blant målene for angrepene finner man en rekke selskaper, samt Google-systemer inkludert flere Gmail-kontoer tilhørende blant andre menneskerettighetsaktivister.

I Europa finner man også eksempler på cyberkrigføring. Da Estland ble lammet av et omfattende angrep i 2007 ble Russland raskt mistenkt. Angrepet skjedde nemlig på samme tid som Estland ville flytte et sovjetisk minnesmerke.

Israel viser tenner

1100 cybersoldater i Norge

Også her hjemme i Norge står dataforsvar høyt på dagsordenen. For tiden er det fremste våpenet til nesten 1 av 10 norske soldater et tastatur og en bred datakompetanse, fremfor MP5 og AG-3 eller MP7 og HK416.

(Foto: Forsvaret.no)

I Forsvarets Informasjonsinfrastruktur (INI), den nyopprettede enheten for Norges cyberforsvar, er det nemlig så mange som 1200 ansatte. I år har avdelingen et budsjett på svimlende 2,5 milliarder kroner, hvorav 1 milliard skal gå til nytt utstyr.

Det er ikke uten grunn at så store summer settes av på området. Norske bedrifter utsettes for ulike dataangrep hver eneste dag, og i mars ble også Forsvaret offer for et målrettet angrep. Dette ble riktignok avverget, men illustrerer behovet for et fungerende cyberforsvar. Fokuset til INI ligger på forsvar, men de har kapasitet til å også utføre angrep.

- For å være gode på å forsvare seg, må man vite hvordan systemer kan angripes. Vi kan trenge inn i taktiske militære datanett. Det kan tenkes at vi utnytter dette offensivt hvis vi er i krig, sier Roar Sundseth, sjef for INI, til Aftenposten.

Stuxnet - starten på et nytt våpenkappløp?

La oss nå ta en grundigere titt på Stuxnet, den avanserte ormen som angrep en spesiell type industrielle komponenter som opererte på en bestemt måte, mens andre systemer ble mer eller mindre ignorert. Allerede kort tid etter oppdagelsen av Stuxnet ble det kjent at ormen i hovedsak sirkulerte i Iran.

Etter en stund spredte den seg også videre til resten av verden, men alt pekte i retning av at dens opprinnelse var et sted i Iran. I august 2010 - én måned etter oppdagelsen av ormen - stod iranske maskiner for rundt 60% av infeksjonene verden over, skal vi tro sikkerhetsselskapet Symantec.

Mye tydet dermed på at virusets mål var å finne i en utvalgt industri i landet. Hva kunne være så interessant å finne i Iran? Man trenger ikke tenke seg om mange ganger før man sitter igjen med tanken om Irans atomprogram.

Landet har nemlig flere kjernefysiske anlegg de selv hevder er i hensikt av strømproduksjon, men som det internasjonale samfunn frykter er for produksjon av atombomber. Israel og USA har stått i spiss for denne kritikken.

I slutten av november innrømmet Iran at deres kjernefysiske anlegg hadde blitt skadet av Stuxnet. Det har allikevel vært stor usikkerhet rundt spørsmålet om dette virkelig var målet, i en uoversiktelig situasjon der industrier verden over meldte om problemer relatert til Stuxnet.

For selv om de millioner av maskiner infisert av Stuxnet generelt ikke ble påført noen skade, ble det lagt mye ressurser i å få fjernet ormen. Dette er naturlig når man ikke visste hva Stuxnet var for noe, for alt man visste kunne den fungere som en trojansk hest som senere ble aktivert.

Israelsk-amerikansk konspirasjon?

Ingen har påtatt seg ansvaret for Stuxnet, men det er mange interessante detaljer man kan ta nærmere i øyensyn. Ifølge The New York Times har flere kilder bekreftet at Stuxnet var et samarbeidsprosjekt mellom USA og Israel.

Ifølge den amerikanske avisen ble det israelske kjernefysiske anlegget Dimona i Negev-ørkenen benyttet som en testbase for Stuxnet. Denne ikke lenger så hemmelige basen skal i to år ha spilt en avgjørende rolle i utviklingen av ormen.

Dimona (Bilde: Google Maps)

Interessant nok har både USAs utenriksminister Hillary Clinton og sjefen for Israels intelligensbyrå Mossad, Meir Dagan, for noen måneder siden gått ut og sagt at Irans forsøk på å få kjernefysiske våpen har blitt flere år forsinket.

Dette har blitt kreditert internasjonale sanksjoner og tekniske feil. Det er imidlertid mye som peker i retning av at Stuxnet, tidenes mest sofistikerte cybervåpen, er hovedårsaken til forsinkelsene.

Et mulig hint mot bakmennene er oppdagelsen av strengen "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb", som viser til at prosjektet kan ha gått under kodenavnet Myrtus. Myrtus er det latinske navnet for en plantefamilie som på hebraisk heter hadas.

Hadas er en form for Hadassah, fødenavnet til den gammeltestamentiske Esther. I det gamle testamentet spilte Esther en sentral rolle i å forsvare jødene mot perserne, ved å angripe før perserne selv fikk gjort det.

Som kjent er Israel jødenes land, mens Iran ligger der Persia en gang lå. Likheten med historien til Esther og historien til Stuxnet er slående. Allikevel har det blitt påpekt at Myrtus kan stå for My RTU's, som en forkortelse for My Remote Terminal Units.

Enda mer interessant er det å merke seg at for å markere at en Windows-maskin er infisert, lager Stuxnet en registernøkkel med verdien 19790509. Dette ser ut til å være en dato, nærmere bestemt 9. mai 1979.

Denne datoen ble en jødisk iraner ved navn Habib Elghanian henrettet i Iran, etter påstander om at han skal ha spionert for Israel. Han var den første jøde til å bli henrettet av det dengang nylig islamiserte Iran, og historien skapte stort oppstyr i den jødiske befolkningen i landet.

Fremtidens krigssone

Vi skrur tiden tilbake

La oss skru tiden tilbake til tidlig 2008. Tyske Siemens samarbeidet med amerikanske Idaho National Laboratory om å identifisere sikkerhetshull i selskapets PLCer (Programmable Logic Controllers), systemer for å drive nettverk av industrielle komponenter.

Siemens hevder selv at dette var rutinemessig arbeid for å sikre sine komponenter mot cyberangrep. Men hva er egentlig Idaho National Laboratory? Det er det amerikanske energidepartementets ledende institusjon på forskning og utvikling i kjernefysiske spørsmål.

Dette ga amerikanerne god mulighet til å erverve seg kunnskap om sikkerhetshull i produktene til Siemens. PLCen Siemens Simatic S7-300 var blant komponentene som ble diskutert, og akkurat denne maskintypen blir av iranerne flittig brukt til å styre kjernefysiske sentrifuger.

Med kunnskap om mulige sikkerhetshull skal det i følge The New York Times bare måneder senere ha blitt satt opp en testbase på Israels atomanlegg på Dimona. Der skal det blant annet ha blitt bygget en tro kopi av Irans anlegg med kjernefysiske sentrifuger.

Ved å ta en titt på måten Stuxnet er bygget på kommer det frem at det må være et team av flere utviklere med ekspertise på ulike områder. Sertifikater stjålet fra firmaer i Taiwan ble benyttet for å la Stuxnet lure seg inn som en tjeneste i Windows.

Ormen er usedvanlig stor i størrelse, og består av et høyt antall moduler. En modul som er konstruert med MS Visual Studio 2005 har datostempelet 1. januar 2009. En annen modul, med datostempelet 3. februar 2010, bærer derimot vannmerket til MS Visual Studio 2008.

Flere versjoner av Stuxnet

I slutten av 2009 rapporterte internasjonale inspektører at 984 kjernefysiske sentrifuger hadde sluttet å fungere ved det iranske anlegget i Natanz. Disse sentrifugene hadde vært i aktivitet året tidligere.

Ahmadinejad inspiserer sentrifugene på Natanz, april 2008

Stuxnet fungerer ved å trenge seg inn i datasystemet til kjernekraftverket, og blir liggende der og vente i lengre perioder, før den setter farten til motorene som styres av PLCen opp. Rotorene i sentrifugene vil dermed slingre og ødelegge seg selv.

Interessant nok har eksperter funnet at en modul i Stuxnet ser ut til å ha kode for å sende en kommando til akkurat 984 maskiner, det samme antallet som sluttet å virke en gang tidlig i 2009. Dermed virker det sannsynlig at en versjon av ormen var aktiv lenge før den formelt ble oppdaget i juli 2010.

Samtidig sender en annen del av ormen signaler til de tilkoblede systemene at alt kjører som det skal, slik at sikkerhetssystemer ikke slår inn. Videre inneholder ormen et drøss flere moduler med ukjent funksjon, kanskje med muligheter for fremtidige versjoner.

Hendelsen på Natanz er bare ett av mange mål for Stuxnet. Minst fem industrielle organisasjoner i Iran skal ha vært de første offerene for ormen, skal vi tro en rapport fra Symantec. Teorien er at disse organisasjonene ble angrepet av utro tjenere som plugget i USB-pinner med ormen.

Selv om det virker ganske åpenbart at Stuxnet er et våpen USA og Israel har samarbeidet om å lage for å stikke kjepper i hjulene på Irans atomprogram, har landene aldri innrømmet noen deltakelse. Det kommer ikke som noen stor overraskelse.

Fremtidens krigssone er i cyberspace

Uansett kan Stuxnet med sikkerhet sies å være det mest avanserte cybervåpenet verden noensinne har sett. Den er nok bare en smakebit på hva vi har i vente. I fremtiden vil vi nok se tilbake på denne ormen som startskuddet for et nytt våpenkappløp.

Nettopp på grunn av denne utviklingen ser vi en stor opprustning i cyberforsvar verden over, som vi har sett på tidligere i denne artikkelen. I juni ble NATO-landene enig om at alle strukturer i organisasjonen skal underlegges et felles cyberforsvar.

Ettersom cyberangrep gjerne er vanskelige å spore, er det en nærmest ansiktsløs krig vi har i vente. Private grupperinger har like stor mulighet til å kunne delta som nasjonalstater, noe som gjør at vi kan stå ovenfor en krigssone der langt flere deltakere er aktive.

(Kilder: The New York Times, Aftenposten, BBC, Wikipedia, The Wall Street Journal)

Les også
Ny trussel er usynlig for antivirus
Les også
Når internett sentraliseres
Les også
– Facebook er en skremmende spionmaskin
Les også
Dette er datalagringsdirektivet
Les også
Datainteresserte ute etter lulz og en bedre verden
Les også
Alt om Wikileaks
annonse