teknik

Den mest framgångsrika terrorattacken någonsin

Även om det kan vara svårt att påvisa att enskilda har förlorat livet på grund av virusattacken som går under namnet "WannaCry" förefaller det troligt. Delar av den brittiska sjukvården slutade att fungera - operationer ställdes in och patienter nekades vård. Drygt 100 000 datorer är infekterade med viruset och antalet kommer att stiga kraftigt på måndag - när alla anställda är tillbaka på sina arbetsplatser. 

Om en terrororganisation tagit på sig ansvaret för attacken skulle virusangreppet säkert klassificerats som ett av de värsta terrordåden hittills. Hundratusen utslagna datorer, som kanske var och en kostar 20 000 kronor att rensa och uppgradera, motsvarar en ekonomisk skada på flera miljarder kronor.

Men i det här fallet var det ingen terrororganisation som tog på sig ansvaret. Ingen organisation alls har tagit på sig ansvaret, men spåren pekar mot den amerikanska underrättelseorganisationen National Security Agency (NSA). 

Viruset som sådant var av en gammal typ som ofta sprids med e-post. Denna typ av virus kräver att någon oförsiktig anställd på det företag som drabbas klickar på en länk och råkar installera viruset på datorn. Det som sedan händer är att viruset krypterar alla filer på datorn och kräver en lösensumma för att lämna ut krypteringsnyckeln.

Så långt inget konstigt. Det den amerikanska myndigheten NSA gjort är att utveckla en "bärraket" till viruset som gör att det kan sprida sig självt. Bärraketen heter DoublePulsar och utvecklades av NSA för att göra det möjligt att infektera datornätverk med godtycklig programvara. NSA har använt DoublePulsar, som ingår i programsviten EternalBlue, för underrättelseinhämtning i främmande länder och möjligen för industrispionage - det ligger i sakens natur att vi inte kan veta exakt vad verktyget används till.

Till skillnad från själva viruset är EternalBlue en mycket avancerad programvara som inte skulle ha kunnat skapas utan stöd från de amerikanska skattebetalarna. NSA har en budget på tio miljarder dollar. Det är ungefär tio gånger mer än vad Försäkringskassan har att förfoga över.

Det NSA gjort är att utveckla en unik mekanism som gör att en dator i ett nätverk kan ta kontroll över en annan dator. Detta sker inte på det legitima sättet - att systemoperatören tilldelar en användare privilegier - utan genom att utnyttja ett säkerhetshål i Windows. Fram till för en månad sedan hade alla Windowsdatorer detta säkerhetshål, men det har nu reparerats på datorer som automatiskt installerar Windowsuppdateringar (med undantag för Windows XP som inte uppdateras längre).

NSA har haft kännedom om säkerhetsbristen, som alltså har funnits på samtliga Windowsdatorer, under mer än tjugo år. Men för att inte omöjliggöra sina egna operationer mot olika mål har myndigheten låtit bli att meddela Microsoft om att säkerhetshålet existerar.

För några månader sedan läckte en stor mängd programvara ut från NSA, CIA och sedermera FBI. Programvarorna innehåller alla möjliga verktyg för att ta kontroll över datorer och mobiltelefoner och EternalBlue är bara ett av dessa verktyg. En hackergrupp som kallar sig ShadowBrokers krävde först ett löjligt högt pris för att lämna tillbaka programvaran. När detta inte skedde började man publicera programmen på Internet, så att i princip alla får tillgång till NSA-verktygen.

För att DoublePulsar ska fungera krävs dels att datorn inte är uppdaterad med Microsofts korrigering från förra månaden, dels att portarna 129 eller 445 är öppna. Dessa portar är i regel alltid öppna på interna nätverk och de kan också vara öppna mot det globala Internet om någon har glömt att stänga dem eller saknar brandvägg i sin router.

Båda dessa villkor uppfylls tillräckligt ofta för att viruset ska sprida sig med stor hastighet. Stora företag och myndigheter med många gamla datorer är sårbara. Det är ingen slump att National Health Service (NHS), Deutsche Bahn (DB)  och Timrå Kommun drabbas av DoublePulsar.

Jag tror inte vi sett slutet på användningen av DoublePulsar. Hackarna som tillverkat WannaCry med delar av gamla virus och NSA:s cybervapen har visat att det går att använda arsenalen för att uppnå större verkan än man tidigare kunnat hoppas på. Det finns hundratals NSA-verktyg kvar att testa och merparten har ännu inte släpps ut i det fria. Med varje verktyg följer instruktioner som ska göra det lätt för agenter på fältet att placera virusen på rätt ställe. Detta gör det enkelt för hackare - vanligtvis datorintresserade ungdomar eller statssponsrade cyberbrottslingar - att odla fram nya och betydligt värre varianter än den som slagit ut NHS.

Ansvaret för att det här kan ske vilar på den amerikanska regeringen som dels låtit NSA och övriga myndigheter utveckla verktyg som kan ställa till med skada om de hamnar i fel händer, dels misslyckats med att hålla verktygen i tillräckligt snäv krets. Om NSA hade varit en terrororganisation skulle lössläppandet av hackerverktygen - där DoublePulsar ingår - kunnat klassas som ett av de mer framgångsrika terrordåden de senaste tio åren. Ja, det är inte omöjligt att verktygen på sikt kommer att ställa till med mer skada än samtliga islamistiska terrordåd.

Ironin i detta är stor. Jag ska avstå från sensmoralen, men hoppas ändå att detta skickar en varning till inrikesminister Anders Ygeman, som tidigare uttalat sig om att användning av den här typen av cyberverktyg är ett utmärkt sätt att bekämpa brottslighet och terrorism.

Nej, det är inte ett utmärkt sätt att bekämpa brottslighet och terrorism. Det är ett utmärkt sätt att indirekt utöva terrorism mot samhällsviktiga institutioner, som sjukvården, och att underlätta för cyberbrottslingar som vill idka utpressning mot företag, myndigheter och privatpersoner. En ansvarsfull myndighet underrättar programvarutillverkaren omedelbart när den hittar säkerhetshål. Inga om och inga men.

comments powered by Disqus


submit to reddit

« Viruset som lamslår brittisk sjukvård tillhör NSA - Inga proffs bakom WannaCry »