Baggrund
Læsetid: 6 min.

Netsikkerhed til salg

Ny bog beskriver fremvæksten af vores tids ’internet-militære kompleks’, hvor firmaer og efterretningstjenester konkurrerer om de nyeste sikkerhedshuller i software og hardware, der opkøbes til tårnhøje priser og udnyttes til både forsvar og angreb
Ny bog beskriver fremvæksten af vores tids ’internet-militære kompleks’, hvor firmaer og efterretningstjenester konkurrerer om de nyeste sikkerhedshuller i software og hardware, der opkøbes til tårnhøje priser og udnyttes til både forsvar og angreb

Sofie Holm Larsen/iBureauet

Moderne Tider
6. december 2014

Hackere og tidligere højtplacerede folk i verdens efterretningstjenester tjener millioner på at sælge informationer om usikre systemer i den private cybervåbenindustri. Frygten for cybertrusler når hele tiden nye højder, og både virksomheder og nationalstater opruster for at sikre deres systemer. I sin nye bog @war – The Rise of Cyber Warfare afdækker den amerikanske journalist og forfatter Shane Harris opbygningen af det, han betegner som et »internet-militært kompleks« – en moderne cyberversion af det militærindustrielle kompleks. Her er både efterretningstjenester, militæret, forsvarsindustrien og private selskaber som banker og internetfirmaer aktører i et hidsigt globalt våbenkapløb, hvor der investeres milliarder i at udvikle og udnytte sårbarheder i tekniske systemer.

Sikkerhedshuller i hardware og software er traditionelt blevet fundet af hackere og solgt til selskaberne bag produkterne, så de kunne lukke hullet, men nationalstaterne bevæger sig ifølge Shane Harris i stigende grad ind på markedet for sikkerhedshuller og overbyder virksomhederne. De såkaldte zero-days er en værdifuld vare på dette marked. En zero-day er et for offentligheden ukendt sikkerhedshul i software eller hardware, og navnet kommer af, at de programmører, der er ansvarlige for sikkerheden, har haft nul dage til at rette op på sikkerheden. Ifølge Harris kan exploits (programmer, red.), der kan udnytte et sikkerhedshul, sælges for 250.000-500.000 kroner og opefter, hvis de er tilstrækkeligt udviklede til, at man kan bruge dem til cyberangreb og sågar spionage. Andre og mere sjældne sikkerhedshuller er dyrere, og en ukendt usikkerhed, der kan bruges til f.eks. at angribe en macs styresystem, kan sælges for omkring 2,5 millioner kroner, mens endnu mere avancerede huller i forskellig hardware kan gå for helt op til det dobbelte. Mens nogle af de amerikanske firmaer, der tjener penge på at finde sikkerhedshuller, er patriotiske og mest sælger til amerikanske kunder, så er andre som franske Vupen mindre kræsne omkring, hvem de sælger til. Firmaerne vil typisk benægte at sælge til diktaturer, men kan sagtens sælge til både andre selskaber og flere stater på en gang, hvilket er med til at øge konkurrencen og medfører yderligere oprustning.

Der er også firmaer som Endgame, der sælger informationer om, hvor i verden der befinder sig computere med kendte sikkerhedshuller. Computerne kan identificeres med avancerede – men lovlige – scanningsværktøjer som kan »kortlægge basalt set enhver maskine forbundet til internettet, og hvilken hardware og software den kører,« som en Endgame-ansat er citeret for i bogen. Et produkt var for eksempel i 2010 en oversigt over usikre computere, der kunne angribes i 18 venezuelanske statslige virksomheder og ministerier, heriblandt Forsvarsministeriet, Udenrigsministeriet, præsidentens kontor, et vandværk og en bank.

Selv om firmaerne sælger muligheden for at angribe og spionere på følsomme informationer i lande over hele verden, kan de ikke beskyldes for ulovligheder, da det ikke er dem, der foretager angrebet:

»Vi sælger ikke våben, vi sælger informationer,« udtrykte en talsmand for firmaet ReVuln det over for Reuters og tydeliggjorde dermed, at en klassisk skelnen er under opløsning på internettet, hvor informationer ofte netop kan bruges som våben. Adspurgt om firmaet ville føle sig ansvarligt, hvis et produkt, det havde udviklet, blev brugt ved et angreb, der f.eks. kostede liv, svarede han: »Det spørgsmål ville være mere relevant at stille de firmaer, som efterlader sikkerhedshuller i deres produkter.«

Avancerede angreb

Markedet for zero-days er særligt drevet af truslen om cyberspionage mod både nationalstaters netværk og private selskaber, snarere end af reelle trusler om deciderede terrorangreb via cyberspace.

Forsvarets Efterretningstjeneste (FE) anså ifølge sin trusselsvurdering fra i år særligt spionage begået af statsstøttede hackergrupper som en væsentlig trussel mod danske interesser. De såkaldte APT-grupper (Advanced Persistent Threat) bruger ifølge FE avancerede teknikker, arbejder langsigtet på at trænge ind i de netværk, de er interesserede i, og kan, når de først er inde, bruge lang tid på diskret at overvåge trafik og stjæle følsomme data som forretningshemmeligheder.

I både Danmarks og USA’s tilfælde er det særligt Kina, der beskyldes for at stå bag angrebene, og Shane Harris fremlægger flere eksempler på, hvor svært det er at opdage indtrængernes brug af såkaldt spearphishing, som er falske e-mails målrettet en specifik person, der ser ud til at komme fra en person eller organisation, som personen stoler på. I 2009 fik fem forhandlere på klimaområdet i det amerikanske udenrigsministerium f.eks. e-mails, der så ud til at komme fra den kendte journalist Bruce Stokes, som dækkede de internationale forhandlinger. Vedhæftet mailen var en fil kaldet »China and Climate Change«, som var det område, forhandlerne arbejdede på, og i emnefeltet var der flere detaljer, der havde at gøre med de enkelte embedsmænds arbejde. Hackerne må altså i længere tid have studeret netop denne gruppe. Det er ikke blevet offentliggjort, om filen nogensinde blev åbnet og sikkerheden kompromitteret, men den indeholdt vira, der kunne være blevet brugt til at overvåge forhandlernes kommunikation og stjæle fortrolige dokumenter.

Ifølge Harris er det særligt den amerikanske efterretningstjeneste NSA, der har brugt den kinesiske og russiske cyberspionage som begrundelse for at sætte sig tungt på hele det amerikanske cyberområde. NSA var i forvejen ansvarlig for forsvaret af USA’s vitale netværksinfrastruktur, men den tidligere direktør Keith Alexander fik i 2010 samlet både forsvar, angreb og spionage i den samme organisation med sig selv i spidsen. Der var oplagte operationelle fordele ved at samle beføjelserne, da NSA nu i højere grad ville kunne udnytte den viden om sårbarheder i computere, man får fra private selskaber som ansvarlig for landets cyberforsvar, til selv at angribe andre lande. Men også den normale skillelinje mellem efterretningsindsamling og reelle angreb blev brudt ned. For mens den umiddelbare målsætning med mange af de anslået titusindvis af indbrud i netværk og computere, som NSA står bag, oftest vil være passiv aflytning og tyveri af følsomme oplysninger, så kan man ikke helt adskille det fra angreb, da samme form for adgang og vidensindsamling kan bruges til aflytning, såvel som til at sabotere og ødelægge.

Privat krig?

Det, at NSA både står for cyberforsvaret og angrebet, sætter dem i en underlig dobbeltrolle, hvor de på den ene side skal sørge for at lukke huller for at sikre egne nationale netværk, og på den anden side er interesserede i at udnytte dem til at bryde ind i andre landes netværk. Potentielt set kan der altså sidde efterretningstjenester med et lager af opkøbte zero-days, der indeholder informationer om sikkerhedsproblemer, som de ikke deler med offentligheden og de ramte selskaber, inden de selv har udnyttet dem – hvad der risikerer at gøre hele internettet mere usikkert for alle os andre.

Centralt for udviklingen er også, at det ikke kun er NSA og andre nationalstaters efterretningstjenester, der medvirker til accellereringen af det store marked for sikkerhedshuller og informationer om usikre computere. Også firmaer som Google og store finansielle virksomheder føler sig nødsaget til at opruste på cyberfronten, blandt andet fordi de ikke stoler på, at myndighederne beskytter dem godt nok. NSA forsøger målrettet at opdyrke gode relationer til selskaberne og få dem til at installere sensorer i deres netværk, der kan gøre tjenesten klogere på cybertruslerne, men ifølge Shane Harris findes der er en udbredt mistro blandt selskaberne over for tjenestens evner. Firmaerne opbygger derfor også selv store efterforskningsenheder, der står for at undersøge de hackere, som angriber deres systemer, inden de eventuelt overgiver materialet til myndighederne. De er endnu ikke begyndt selv at gå direkte til modangreb, men flere i forsvarsindustrien har argumenteret for, at virksomhederne bør få beføjelser til at foretage offensive modtræk. Ifølge Harris kan det betyde, at grænsen mellem efterforskning og reelle private angreb i fremtiden risikerer at blive hårfin:

»Firmaernes kapaciteter til at indsamle efterretninger er lige så gode, hvis ikke bedre end regeringernes. De designer trusselssignaturer og opdager zero-days, og de bruger dem til at fremme deres egne mål,« skriver han i sit afsluttende kapitel.

»Selv med al den spirende og truende magt, som Eisenhower så i det militærindustrielle kompleks, så forudså han ikke, at virksomheder kunne konkurrere med regeringer i udførelsen af fjendtlige handlinger«.

Shane Harris har tidligere bl.a. skrevet ’The Watchers – The Rise of Americas Surveillance State’ (2010). Til dagligt er han journalist på The Daily Beast

Shane Harris
@War – The Rise Of Cyber Warfare.
288 sider. 16 pund.
Houghton Mifflin Harcourt

Følg disse emner på mail

Vores abonnenter kalder os kritisk, seriøs og troværdig.
Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

God boganmeldelse Sebastian Gjerding. Når der tales om trusselsvurderinger og angreb fra hackere, zero day angreb m.v., glemmes ofte, at statens egne myndigheder er de dårligste til at passe på befolkningens tvangslagrede personfølsomme og fortrolige data. I den spritnye rapport fra Rigsrevisonen klandres f.eks. 8 navngivne ministerier og styrelser for lemfældig og dårlig it- og cybersikkerhed. Det er i øvrigt ikke første gang Rigsrevisonen kommer med kritik af statslige myndigheder på dette område. Og det bliver heller ikke sidste gang - desværre. Statslige myndigheder, der er sat til at passe på befolkningens tvangsoplagrede oplysninger, for skattekroner, er simpelthen for inkompetente og ligeglade. Når de afsløres i deres forsømmelighed får det ingen konsekvenser og embedsværket fortsættes som hidtil. Se f.eks. CSC sagen og politiets (Justitsministerietss) svigt. CSC fortsætter med at få statlige kontrakter - også fra politiet og forsvaret. Befolkningen står undrende tilbage og forsømmeligeheden fortsætter.

130 (forholdsvis grimme) kommentarer på en artikel om 2 soldater, der ærligt beskriver deres egne oplevelser fra krig på godt og ondt. Og kun én på en artikel om en af de hastigst voksende moralske, sikkerheds og privatlivs-spørgsmål i nyere tid.
Måske er vi bare enige om at det er noget skidt, så er det ikke mere at sige til det.