Sårbarheterna som ska göra världen säkrare

2018-03-12 06:00  

I en tid när alltmer av vår kommunikation sker digitalt och krypterat måste polis och säkerhetstjänst hitta nya verktyg. Det har öppnat en ny hemlighetsfull marknadsplats där säkerheten får ett pris.

Den 12 maj förra året startade ett av de värsta virusangreppen i historien. Masken Wannacry, som krypterar datorer och begär en lösensumma för att låsa upp dem, slog på kort tid till mot över 230 000 datorer i världens alla hörn.

Men historien börjar ett år tidigare med en anonym hackergrupp som kallar sig The Shadow Brokers.

Sommaren innan Wannacry dök de upp från ingenstans och slog sig för bröstet. The Shadow Brokers påstod sig ha hackat en server som tillhörde den amerikanska säkerhetstjänsten NSA och stulit mängder av cybervapen.

Många var skeptiska, men gruppen presenterade sina bevis – och började sälja statliga cybervapen till högstbjudande. Få nappade, och pö om pö började Shadow Brokers släppa verktygen gratis.

I april förra året, en månad innan Wannacry slog till, läckte gruppen en bugg med smeknamnet Eternal Blue. Den kan användas för att sprida skadlig kod på äldre Windows-versioner, och är det något det finns gott om i världen är det ouppdaterade Windows-datorer.

Lånade Eternal Blue för att sprida sig över världen

Resten är så att säga historia. Wannacry och den efterföljande attackvågen Petya lånade Eternal Blue för att sprida sig över världen, och orsakade skador i miljardklassen.

– Där ser vi att det verkligen får konsekvenser när stater försöker hemlighålla den här typen av sårbarheter i stället för att se till att de blir lagade, säger Pontus Johnson som är professor i nätverks- och systemteknik vid KTH.

Läs mer: Cyberterrorismen är inte långt borta

Eternal Blue var aldrig tänkt att användas så. NSA och de flesta av världens övriga underrättelse- och säkerhetstjänster samlar på sig den här typen av buggar för att kunna jobba mer effektivt. De vill kunna läsa krypterad kommunikation eller hacka misstänkta brottslingars eller terroristers datorer och mobiltelefoner.

Världens säkerhetstjänster har stora resurser att jobba med och kan i vissa fall hitta sårbarheter som Eternal Blue för egen maskin. Men det finns ett stort osäkerhetsmoment i arbetet.

– Även om du sätter 100 man att jobba med så finns det inga garantier för att de kommer att hitta en zero-day, säger André Catry som jobbar på säkerhetsföretaget Nixu.

Zero-days är benämningen på de allra mest värdefulla buggarna. De som tillverkarna, som Microsoft, Google eller Apple, inte känner till själva och därmed inte kunnat åtgärda.

Jakten på nya sätt att bryta sig in i mobiler och datorer har gett upphov till en snabbväxande och hemlighetsfull marknad för buggar. Den kanske mest kända aktören är ett amerikanskt företag som heter Zerodium.

Zerodium agerar en slags mäklartjänst åt sårbarheter. Företaget har gjort sig ett namn genom att skylta med sina höga inköpspriser. Stora teknikföretag har i regel så kallade bug bounty-program. Den som hittar en sårbarhet eller bugg i ett system kan diskret meddela tillverkaren, och får som tack för hjälpen en belöning som varierar beroende på hur allvarlig buggen är.

Men Zerodium har konsekvent valt att bjuda över teknikföretagen. Där Apple delar ut upp till 200 000 dollar för en sårbarhet i Iphone kan Zerodium erbjuda 1,5 miljon dollar.

– Om du nu hittar en sådan sårbarhet blir det ett ställningstagande. Är din moral värd 1,5 miljoner dollar? undrar Pontus Johnson på KTH.

Svårt att köpa bort problemet

Han menar samtidigt att det är svårt för teknikföretagen att köpa bort problemet. Företag som Zerodium skulle förmodligen ändå hitta kunder.

– I slutänden finns ett antal nationer som vill ha den här förmågan, och den ska jämföras med deras försvarsbudget, det handlar om jättemycket pengar. Priserna skulle kunna gå upp väldigt högt innan marknaden försvinner, säger Pontus Johnson.

Läs mer: Här är de 5 största utmaningarna för ditt smarta hem

Det är svårt att säga hur mycket marknaden omsätter i dag, det finns bara enstaka exempel att gå på. Från visselblåsaren Edward Snowdens läckor vet vi exempelvis att underrättelsetjänsten NSA lade 25 miljoner dollar om året på att köpa in hundratals sårbarheter redan 2013.

Svenska FRA vill inte svara på om de köper in sårbarheter eller verktyg för att knäcka kryptering. Men myndigheten säger sig ha en god intern förmåga att knäcka kryptering.

– Det är en väldigt viktig förmåga för oss. Både för att komma åt krypterad trafik av olika slag och att upptäcka och förhindra it-attacker, säger FRA:s talesperson Fredrik Wallin.

Företag som Zerodium blir en slags mellanhand. De köper in buggar från frilansande säkerhetsexperter, och säljer dem vidare till nationella säkerhetstjänster, företag som vill utveckla cybervapen eller aktörer som vill skydda sig mot att själva drabbas av hackerattacker som utförs med hjälp av säkerhetshålen.

Det är av förklarliga skäl en hemlighetsfull bransch, men det går att få en viss insyn i den. 2015 skedde ett dataintrång hos det italienska företaget Hacking Team. De har specialiserat sig på att köpa sårbarheter och använda dem för att utveckla hackerverktyg åt statliga myndigheter.

Hacking Teams storsäljare var en trojan

I läckan framkom att Hacking Teams storsäljare var en trojan, ett slags datorvirus, som används för att i smyg fjärrstyra eller avlyssna datorer. Kunderna betalade från 200 000 dollar per år för att få tillgång till tjänsten och hjälp att använda verktygen.

Hackarens mål var förmodligen att dra ned byxorna på bolaget. Det hade länge ryktats att de sålde sina produkter till en rad diktaturer. Läckan visade tydligt att det var sant. På kundlistan stod stater som Bahrain, dåvarande Sudan och Mubarak-regimens Egypten.

Flera granskningar har visat att även om Hacking Teams verktyg användes för att bekämpa brott, användes de också av regimer för att förtrycka de egna medborgarna.

André Catry på Nixu jämför sårbarhetsmarknaden med försäljningen av annan teknik. Den kan användas för att göra gott – eller för att skada. Han jämför med avslöjandet om att Telia Sonera och Ericsson sålt tjänster som använts av den vitryska regimen för att spionera på sina medborgare.

– Även i sådana länder finns ett legitimt polisiärt intresse av att utreda brott, och telefonavlyssning är ett sådant. Samtidigt kan underrättelsetjänsten använda det för att jaga oppositionella. Det är svårt att hindra en regim från att använda tekniken på ett omoraliskt sätt. Det är likadant med hackerverktygen, säger André Catry.

Ett annat moraliskt dilemma i handeln med zero-days är att myndigheterna som köper in eller utvecklar dem kan orsaka säkerhetsproblem för sina medborgare. Som i fallet med Eternal Blue. Hade NSA i god tid rapporterat buggen till Microsoft hade attacken kanske aldrig ägt rum – eller förödelsen inte ha blivit lika stor.

Men kanske kan ändamålen ibland helga medlen.

– Kanske är behovet av att hitta IS-terrorister större. Om man kan avvärja ett IS-angrepp, vad är det jämfört med att man patchar ett hål i Windows? Gå ut på gatan och fråga folk i gemen, se vad du får för svar, säger André Catry.

Torghandel med säkerhetsluckor

Polis och säkerhetstjänst vill komma åt krypterad kommunikation, men det är inte alltid de kan göra det själva.

Det har gett upphov till en marknad för hackerverktyg och säkerhetshål som kan säljas för mångmiljonbelopp.

Företag som knäcker koden

MSAB

Svenskt bolag som säljer verktyg som polisen kan använda för att utläsa krypterad data från beslagtagna mobiler, datorer, drönare, bilar och annan teknik. Läs mer om MSAB på nästa sida.

Cellebrite

Israeliskt bolag som precis som MSAB säljer lösningar för att kringgå krypteringen i exempelvis mobiltelefoner. Har fått kritik för att ha sålt verktyg till regimer som Bahrain.

Hacking Team

Italienskt företag som köper sårbarheter och säljer hackerverktyg. Utsattes 2015 för ett omfattande dataintrång där det framfick att de hade en rad diktaturer på kundlistan.

Zerodium

En amerikansk sårbarhetsmäklare som köper så kallade zero-days från frilansande hackare och säljer vidare till myndigheter.

Azimuth Security

Australiensiskt bolag som via partnerföretag säljer sårbarheter till underrättelsetjänsterna i det så kallade Five Eyes-samarbetet mellan Australien, Nya Zeeland, Kanada, Storbritannien och USA.

NSO Group

Israeliskt bolag som tillverkar cybervapen och hackerverktyg. Väckte stor uppmärksamhet 2016 då det avslöjades att de sålt verktyg för att hacka och avlyssna Iphone-mobiler till en lång rad stater.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Aktuellt inom

Debatt