Här lär sig industrin hackarnas metoder

2019-02-26 06:00  

"Privata aktörer är intressanta för angripare, men har inte samma nivå på spaningen.” Hos FOI i Linköping får företag och myndigheter träna skydd mot cyberattacker.

Ett regelbundet klickande hörs när de små trafikljusen växlar mellan rött, gult och grönt. De sitter på ett stativ med styrdatorer, som är uppkopplade mot virtuella system inne i Crate, en unik digital träningsanläggning hos FOI i Linköping.

– Nu går jag in på ett fiktivt trafikljusföretag med egen IP-adress och lägger in den i ett eget subnät, säger FOI-forskaren Mats Persson, medan han knappar vidare på sin laptop.

Den är utrustad med Kali Linux, ett operativsystem för säkerhets- och systemtester, med cirka 300 olika hackerverktyg. Alla program som används här finns gratis på nätet, och kan alltså användas av vilken hackare som helst ute i verkligheten.

Mats Persson jobbar sig längre och längre ner mot styrdatorn där han ska kunna skicka kommandon till trafikljusen på stativet. Systemet letar igenom hundratals IP-nummer i adressrymden och letar reda på virtuella datorer i systemet. En efter en dyker datorsymbolerna upp på väggens stora plattskärm.

– Nu identifierar systemet de olika tjänster som finns bakom de öppna portarna och gör en attackanalys, kollar vilken metod som funkar till vilken sårbarhet, förklarar Mats Persson och strax lyser orden Happy Hunting upp på skärmen.

Läs mer: ”Ville jag störa ut Sverige skulle jag välja att attackera elnätet”

Snart har han tagit över en av de virtuella datorerna där han sätter upp en hoppunkt för att ta sig vidare in i den fiktiva trafikkonsultens intranät. Han skannar portarna efter standardiserade automationsprotokoll, som brukar användas i styrsystem av den här typen.

– I verkligheten är sådana protokoll ofta väldigt dåliga och saknar kryptering. Många av dem är från 70-talet när de körde på seriekabel och var avskärmade från omvärlden, inflikar Jonas Almroth, forskningsingenjör på Crate.

Privata företag mest intresserade

När Mats Persson hittar en lämplig port kan han välja mellan attack-koder för Turn green, Turn red, och så vidare. Han väljer koden för Disaster, och genast lyser de små trafikljusens alla färger samtidigt. Hade det handlat om verkliga trafikljus, skulle Mats Persson kunnat ställa till med mycket skada i rusningstrafiken.

Men detta är en ganska enkel demonstration av vad deltagarna kan få göra på Crate, där it-tekniker från både företag och myndigheter kan öva cyberförsvar. Här erbjuds alltifrån enskilda föreläsningar och enklare laborationer, till generella och verksamhetsspecifika kurser och kunskaps- och förmågehöjande övningar.

Huvudkunder är Försvarsmakten och Myndigheten för samhällsskydd och beredskap (MSB), som också har bidragit till uppbyggnaden av Crate.

– Men privata företag står för säkert hälften av deltagarna på vissa kurser, även på sådana kurser som tagits fram för Försvaret. Optimalt får vi hit ett bolags hela it-avdelning, säger Jonas Almroth.

FOI började bygga upp Crate i kölvattnet av cyberattackerna mot Estland 2007, som följde på att landet flyttat ett omstritt sovjetiskt krigsmonument. Idag består anläggningen av omkring 500 servrar kopplade till ett simulerat internet med upp till 10 000 virtuella datorer i ett nätverk.

– Vi virtualiserar även nätverkssegmenten inne i Crate, och kan skapa över 16 miljoner segment. För att efterlikna internet måste vi bygga stora nät och vi försöker göra dem så lika verkligheten som möjligt. Vårt administrativa nätverk kan till exempel styra automatiska användare som surfar runt precis som verkliga användare skulle göra på det riktiga internet, säger Jonas Almroth.

Allt detta hanteras av fem personer på heltidsbasis.

– Någon har kallat det systemadministration på steroider. Det behövs stora mängder automation, säger forskningsledaren Teodor Sommestad med ett skratt.

Men hur stort är egentligen cyberhotet mot företag, myndigheter och enskilda? Och varifrån kommer det?

– Den allra största gruppen är enskilda aktörer, kriminella som vill utföra bedrägerier eller utpressning. De är oftast mindre kvalificerade och går på så många mål som möjligt, på enklast möjliga sätt. Oftast genom massutskick av e-post där man ber folk klicka på länkar och sådant, säger David Lindahl.

Läs mer: Utländska tekniker utan säkerhetsprövning fick tillgång till elnätets styrsystem

Högre upp på den kriminella stegen återfinns den organiserade brottsligheten.

– Till exempel avslöjade italienska polisen ett upplägg där maffian klämt sig in mellan Bank of Sicily och andra europeiska banker. De silade all kommunikation emellan dem och väntade på en större penningtransaktion som de kunde routa om. Och det upptäcktes enbart därför att en person som gripits i ett helt annat ärende, tjallade om det för att få lägre straff, säger David Lindahl.

Riktigt bra angrepp upptäcks inte

Det förekommer även att organiserat kriminella tar över stora nätverk av datorer för att hyra ut dem till aktörer som vill utföra riktade attacker.

Militärt, politiskt och affärsmässigt spionage är ett annat motiv bakom många cyberintrång, både från stater och privata företag.

– Det är en sektor som är väldigt stor. Däremot har terrorister, enligt min uppfattning, inte särskilt stor användning för cybermetoder. Deras mål är att sprida skräck för att påverka samhället i en viss riktning. Då är en hemmagjord bomb på gatan betydligt ändamålsenligare än att hacka ett system och få tågen att stå still i några timmar, säger David Lindahl.

Slutligen har många stater satt upp regelrätta cyberkrigsförband.

– Cyber är väldigt användbart i kombination med andra militära eller politiska operationer. Sabotage mot infrastruktur och företag har använts för att få civilbefolkningen att sätta press på sin politiska ledning, säger David Lindahl.

FOI:s forskningsingenjörer betonar att de mest kvalificerade attackerna för det mesta riktas mot militära mål – såvitt man vet.

– Det är där de oftast hittas, men militära aktörer har hög intern spaning. Det finns en rad privata aktörer som rimligtvis är intressanta för angripare, men som inte har samma nivå på spaningen. Det är oroväckande, säger David Lindahl.

Mörkertalet är svårt att beräkna, även för FOI.

– De riktigt bra angreppen upptäcks inte, säger Teodor Sommestad.

Crate har amerikansk förebild

Crate är en av Europas första träningsanläggningar i Europa med inriktning på it-säkerhet. Det började byggas upp 2007, med bland andra amerikanska Idaho National Laboratory som förebild.

Både företag och myndigheter kan skicka personal att träna cyberförsvar hos Crate. FOI:s kunskapsförmedlande aktiviteter genomförs på tre målgruppsanpassade nivåer:

Medvetandehöjande aktiviteter är kortare insatser (1-3 timmar) som illustrerar och gestaltar nuvarande situation, risker och tänkbara lösningar. De genomförs i regel i samband med mässor och branschträffar.

Kunskapshöjande aktiviteter är längre kurser (2-3 dagar) som blandar teoretiska pass med praktiska övningar i syfte att höja kunskapsnivån.

Förmågehöjande aktiviteter är övningar (1-3 dagar) där deltagarna får fokusera på att hantera olika typer av incidenter på teknisk nivå. Genom detta får de kunskap som de sedan kan omsätta i förebyggande åtgärder i sin egen miljö.

Tommy Harnesk

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt