– Internett må bli en militærfri sone

– Internett må bli en militærfri sone

Viruset som angrep Irans atomreaktorer er bare toppen av isfjellet, skriver Eugene Kaspersky.

Hva er forskjellen på en atomrakett og ondsinnet programvare?

Dette er ikke et lurespørsmål: Ondsinnet programvare kan ta kontroll over en rakett, men en rakett kan ikke brukes til å ødelegge ondsinnet programvare. Med de riktige verktøyene kan en rakett sendes på ville veier av programvare, men uansett hvor mange raketter du sender avgårde kan du ikke gjøre noe med programvaren når den først er aktivert.

I motsetning til tradisjonelle våpen, kan ondsinnet programvare formere seg i det uendelige. Og mens en rakett ofte kan bli kontrollert på et vis, har programvaren en tendens til å angripe ukritisk: Ingen vet hvem den vil ramme eller hvilke kroker den vil krype inn i. Så snart programvaren aktiveres i en av Internetts uoversiktlige irrganger, i et håp om raske penger, kan alt egentlig skje. Det er umulig å beregne hvilken effekt programmet vil ha, hva som tilfeldigvis blir rammet i samme slengen og hvordan programmet til og med kan komme som en boomerang tilbake til skaperne. Mennesker tenderer til å gjøre små feil i alt de gjør – og det å skrive kode, ondsinnet eller ikke, er intet unntak. Det finnes mange eksempler på denne typen skade som inntreffer tilfeldig.

Nå ser vi heldigvis en felles innsats for å bekjempe kriminalitet på nett.

Sikkerhetsindustrien strammer stadig skruene ovenfor de kriminelle, og de store spillerne som Microsoft har begynt å involvere seg. Andre ikke-kommersielle og mellomstatlige organisasjoner har også blitt med i kampen. Regjeringer har begynt å forstå at Internett kan være en ekspressvei mot avgrunnen, og begynner å innse behovet for å gjøre noe med det. Så vi ser en viss fremgang.

Jeg er imidlertid mer bekymret for en annen side av internettsikkerhet. Triksene til en nettbanditt vil virke bagatellmessige i forhold til en full-skala krig på nettet. Ja, du leste riktig – en kyberkrig på nettet! Det er her ting begynner å bli mye mer komplisert og skummelt.

La oss først se på fakta:

For det første – flere lands militære styrker er travelt opptatt med å skape dedikerte kyberenheter og kybervåpen. (Eksempler på dette er USAIndiaStorbritanniaTysklandFrankrikeEUNATO, KinaSør-Korea og Nord-Korea.)

Videre er det almennt kjent at det har vært tilfeller av industrispionasje og sabotasjeaksjoner, for eksempel Stuxnet.  (blant de mest høy-profilerte angrepene utført av stater er Stuxnet og Duqu).

For det tredje blir nøye planlagte angrep avslørt i nyhetsbildet i et alarmerende tempo (vi har alle en idé om hvem som står bak). Et nytt begrep har også blitt skapt for det: Advanced Persistent Threat (APT) .

Det er ingen tvil om at alt dette er bare toppen av isfjellet. Hver gang vi avdekker ny, Stuxnet-lignende, ondsinnet programvare, viser det seg at:

  • Programvaren avslørte seg selv på grunn av en feil eller ved et uhell.
  • Programvaren har lenge vært passiv i ulike nettverk, og vi kan bare gjette hva den har gjort der.
  • Vi må fortsatt gjette på hvordan mange av de tekniske funksjonene i programvaren fungerer – og motivasjonen bak det hele

Ser du hvor jeg vil med dette?

Det er helt klart at vi sitter på en tikkende bombe. Vi sager av den grenen som hele Internett sitter på, og som hele verdens infrastruktur sitter rett ved siden av. Millitære krefter er i full sving med å gjøre hele Internett om til et digert minefelt. Et enkelt tastetrykk kan potensielt utløse et så stort kaos at ingen vil bli stående upåvirket. Et feilaktig trykk kan stoppe alt, ikke bare datamaskinene. Kjedereaksjonen vil kunne ramme ting i den virkelige verden også, og ikke bare den virtuelle – for eksempel atomkraftverk. En konflikt på nettet kan raskt eskalere til en militær konflikt. Det var ingen overdrivelse da USA likestilte hackerangrep med en invasjon av landet, de forstår simpelthen hvilke konsekvenser et slikt angrep kan få. Jo mer vi ser på det, jo skumlere blir det.

Og det blir verre. Ondsinnet programvare, militarisert eller ikke, har alltid kodefeil. Et flue landet på programmererens tastatur, det var fredag kveld eller ting ble ikke testet godt nok – alt kan skje. En standard feil i standard programvare har vanligvis en begrenset effekt – om det går riktig galt at datasystemet vil dette ned, at en kraftturbin vil stoppe opp eller, i verste fall, at noe vil falle ned ett eller annet sted. En styrt rakett vil for eksempel kunne eksplodere på feil tid eller sted.

Men hva med den nye bølgen med militær ondsinnet programvare? En feil kan få katastrofale konsekvenser. Hva om koden ikke bare treffer selve målet, men også lignende mål verden over? Hvordan kan koden skille mellom ekte og uønskede mål? Hvis koden skal treffe et spesifikt [atom]kraftverk, men ender opp med å treffe alle [atom]kraftverk i hele verden, hva skjer da? Internett har ingen grenser, og de fleste kraftverk er bygget opp etter noen få, like standarder. Selv om det bare er satt ett enkelt mål, kan antall potensielle ofre være mye større – og de kan være hvor som helst i verden.

Jeg forsøker på ingen måter å være en dommedagsprofet her, mest av alt håper jeg at jeg tar feil.

Den militære ondsinnede programvaren er støttet opp av fagfolk fra øverste plan, sjenerøs finansiering og tilgang til kraftige tekniske og materielle ressurser. Uten det, hvordan tror du noen kunne tilpasse Stuxnet mot det iranske atomprogrammet? I tillegg har vi den gyldne nøkkelen som digitale sertifikater er, de er foreløpig garantisten for gjensidig tillit på nettet (men også her ringer det varselbjeller). Jeg kan bare gjette på hvilke ulike nettvåpen som står klare til bruk, men fremtiden ser virkelig ikke lovende ut. Våpenutviklingen står utenfor det sivile samfunnets kontroll – det er nesten fullt anarki, der alle gjør som de vil. Som Stuxnet har vist, er analogien med en rakett ganske treffende – ondsinnet programvare kan gjøre like mye skade som tradisjonelle, militære våpen.

Men, én forskjell er det:

Eventuelle våpen, spesielt masseødeleggelsesvåpen, sammen med kjernefysisk teknologi generelt, er i mer eller mindre grad kontrollert og regulert, i hvert fall i teorien. FN har sitt Atomic Energy Agency, det finnes et internasjonalt system av ikke-spredningsavtaler og FNs sikkerhetsråd reagerer sterkt på ethvert forsøk på å bli med i den kjernefysiske klubben (som Iran har oppdaget). Selvfølgelig, politikk, løgner og dobbeltmoral spiller alle inn her – men det har ikke noe å si for idéen jeg beskriver her.

Og den idéen er som følger:

Tatt i betraktning det faktum at verdens stabilitet og fred i stor grad er avhengig av Internett, så trenger vi å få opprettet en internasjonal organisasjon som kontrollerer nettvåpen. En slags International Atomic Energy Agency, men dedikert til nettet. I en idéell verden ville man kopiert de samme sikkerhetsstrukturene vi allerede har for atomvåpen, og brukt dem på nettet. I tillegg er det helt sentralt at man anser bruk av kybervåpen som en handling av internasjonal aggresjon og likestiller det med kybererrorisme.

Idéelt sett ville den riktige fremgangsmåten være å erklære Internett for en militærfri sone – et slags kyber-Antarktis. Men jeg er ikke sikker på om en slik nedrustning lenger er mulig. Investeringene er allerede gjort, nettvåpen er produsert og paranoiaen har nok kommet for å bli. Men nå må verdens stater i det minste bli enige om regler for og kontroll av kybervåpen.

Jeg innser at det vil være langt fra enkelt å virkeliggjøre denne idéen. Samfunnet ser fortsatt på datamaskiner og Internett som en virtuell virkelighet, leker som ikke har noe å gjøre med det virkelige liv. Det er rett og slett riv, ruskende galt! Internett er en i høyeste grad en del av hverdagen. Og jeg har skissert over hva denne ignoransen kan føre til. Dette temaet har allerede vært diskutert i ulike profesjonelle sirkler i mange år. Jeg er bare den første som velger å gå ut i offentligheten med det.

Denne saken har også blitt publisert på Eugene Kasperskys blogg. Oversettelse til norsk av Rolf B. Wegner.

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen