Virtuella attacker hotar Sverige

Samhällets beroende av internet har skapat nya gränser att försvara. Forskning & Framsteg har följt en unik krigsövning där kulsprutorna ersatts av tangentbord.

Det är lördag eftermiddag. I ett rum utan fönster sitter nio personer på helspänn framför sina datorskärmar – några har till och med två. Efter Energikommissionens beslut att bygga ett nytt kärnkraftverk nära ett naturreservat har det kommit hot från aktivister. Personerna i rummet ansvarar för att Energikommissionens webb- och e-posttrafik ska klara av eventuella angrepp. De har lagt ner åtskilliga timmar på att förbättra IT-skyddet.

Plötsligt slår anropen i taket. Alla kanaler in till webbservrarna fylls till brädden, vilket gör dem oåtkomliga. Det blir liv i rummet. ”Vet vi varifrån angreppen kommer?” ”Ska vi begära mer bandbredd? Vad kostar det?” ”Kolla i loggarna? – fungerar våra filter fortfarande?”

Om skydden fungerar som de ska, kommer allmänheten inte att märka mer än att webbsidan och e-posten möjligtvis går trögt. Men om försvaret sviktar kan webbplatsen sluta fungera eller fyllas med desinformation. I värsta fall kan aktivister komma åt känslig information i kommissionens intranät. De kan i så fall förstöra filer eller spärra kommissionens åtkomst tills beslutet om kraftverket ändras.

Verkliga händelser som mall

Scenen ovan kommer från en svensk övning i IT-attacker under december 2008, där Forskning & Framstegs utsände deltog som observatör. För första gången är sådana övningar inte bara rollspel, utan faktiska angrepp. Estniska och svenska IT-studenter uppdelade i fyra lag har till uppgift att hålla i gång webbplatser och e-post. Samtidigt utnyttjar tre personer från Försvarets radioanstalt, FRA, kapade datorer för att genomföra attacker som blir allt kraftfullare under dagen.

– Vi har använt händelserna i Estland och Georgien som mallar, säger Mikael Wedlin vid Totalförsvarets forskningsinstitut, FOI, som samordnar övningen.

Han syftar på de IT-attacker som riktades mot bland annat banker, medier och myndigheter i Estland 2007, samt 2008 vid Georgiens väpnade konflikt med Ryssland.

– För att göra övningen så realistisk som möjligt har vi byggt upp ett eget internet motsvarande 30000 datorer. Så vitt vi vet är det här förs­ta gången i världen som en övning genomförs på det här sättet, säger Mikael Wedlin.

De som ansvarar för övningen är Försvarshögskolan och Myndigheten för samhällsskydd och beredskap (tidigare Krisberedskapsmyndigheten). Men många fler är intresserade. Förutom från FOI och FRA finns här personer från Säkerhetspolisen, Post- och telestyrelsen, Försvarets materielverk samt estländska militären.

Det är lätt att förstå intresset – ­rapporter om hackade säkerhetssystem kommer allt oftare. I december 2008 angreps USA:s försvarsdepartement med följden att militära planer för krigen i Afghanistan och Irak kan ha läckt ut. Bara några veckor tidigare blev det känt att båda amerikanska presidentkandidaterna fått datorer hackade och information om deras utrikespolitiska analyser stulits.

Kärnkraftverk attackerades

Nästan alla delar av vårt samhälle är i dag beroende av datorer och internet. IT har möjliggjort effektiviseringar som vi numera tar för givna: medicinska provsvar blir tillgängliga så snart de är klara, pengar flyttas elektroniskt av både banker och privatpersoner, och oräkneliga journal- och loggsystem bearbetas miljoner gånger snabbare än vad en människa kan göra. Många kontrollsystem i industrier och trafikledningar är så komplexa att de inte längre kan skötas för hand.

Med beroende kommer sårbarhet. I januari drabbades Region Skåne av en tidigare okänd så kallad mask, ett självkopierande datavirus. Den påföljande kraschen drabbade tio tusen datorer och ett antal serv­rar – och slog dessutom ut delar av den kliniska verksamheten.

– Vi hade medicinsk-teknisk utrustning som blev infekterad och fick kopplas bort från nätet, säger Helena Svedberg, IT-direktör i Region Skåne.

En månad efter attacken pågår saneringen av datorerna fortfarande, och totalkostnaden kan uppskattas till miljonbelopp.

Det finns även rapporter om långa stopp i tågtrafik och hackade datornätverk för elkraftsanläggningar. Av de kända tillbuden är det mest allvarliga förmodligen när masken Slammer i januari 2003 slog ut ett övervakningssystem hos ett kärnkraftverk i Ohio, USA. Styrsystemet skulle ha varit helt isolerat, men visade sig i efterhand vara sammankopplat med ägarnas interna nätverk, som i sin tur var kopplat till internet. Incidenten fick lyckligtvis inga praktiska följder, eftersom reaktorn inte var i gång vid tillfället och reservsystemen dessutom fortsatte att fungera.

Intrång och utpressning

Händelserna visar tydligt att internet har skapat digitala tunnlar genom samhället. Via dessa tunnlar kan vem som helst ta sig in i rege­ringskansliet, vattenkraftverk, polisens datasystem eller ända fram till operationsborden på ett sjukhus. Det gäller bara att veta hur man dyrkar upp lås eller går runt stängda dörrar i den digitala världen.

Att hålla hög IT-säkerhet är viktigt inte bara under krigsliknande förhållanden, utan för att samhälle och demokrati ska fungera även i fredstid.

Den vanligaste formen av IT-attacker är så kallade åtkomstattacker, där offrets webbserver översvämmas av anrop. Effekten kan liknas vid att din telefon blir uppringd av fejksamtal hundratals gånger varje sekund. Den berättigade trafiken drunknar bland alla anrop, och inte sällan kraschar webbservrarna under belastningen.

– De flesta myndigheter råkar till vardags ut för åtkomstattacker, men deras tekniska skydd tar hand om det. Andra incidenter är virus eller trojaner som kommer in i systemen och raderar information eller skapar oreda, säger Linda Ericson vid Enheten för informationssäkerhet på Myndigheten för samhällsskydd och beredskap.

Under 2007 uppgav drygt hälften av de svenska myndigheterna att de hade utsatts för IT-attacker. Många av incidenterna är bieffekter av allmänna utbrott av virus och annan skadlig kod. Men även riktade attacker förekommer – angrepp där någon specifikt har försökt komma åt en viss myndighets nätverk. Enligt en rapport 2008 från dåvarande Krisberedskapsmyndigheten har åtminstone en myndighet utsatts för IT-angrepp i syfte att påverka myndighetsbeslut. Dessutom har minst ett angrepp resulterat i att integritetskänsliga uppgifter läckt ut.

– Det kan handla om att någon vill komma över viss information eller är intresserad av en viss person, och kanske göra något ytterligare när informationen väl har erhållits.

Mellan raderna framgår att ”något ytterligare” skulle kunna vara utpressning.

– Jag kan inte säga vilka myndigheter det rör. När vi samlar in uppgifter om IT-incidenter meddelar vi ofta att källan inte ska avslöjas, säger Linda Ericson.

Anonymitet är ett sätt att uppmuntra rapportering, eftersom myndigheter och företag ogärna erkänner sina säkerhetsbrister.

– Jämför man incidentrapporter och hur många som själva berättar att de råkat ut för något, så stämmer siffrorna inte överens, säger Linda Ericson.

Avlyssning och vilseledning

Övningen vid FOI handlar främst om åtkomstattacker. Välgjorda sådana är svåra att skydda sig mot, eftersom angreppen kommer från många olika datorer och ibland kan vara svåra att skilja från legitim trafik. Men under övningen fungerar försvaret över förväntan – inte minst för att så stora insatser gjorts i förväg. I verkligheten får man tyvärr inte samma förvarningar eller resurser för att förbereda sig. När svenska polisen utsattes för åt­komst­attacker sommaren 2006 resulterade det i att deras webbplats blev oåtkomlig i över ett halvt dygn. Källan var troligtvis enskilda personer som blivit uppretade efter en razzia mot fildelarsajten Pirate Bay. Under IT-attackerna mot Estland varade angreppen i tre hela veckor, och drabbade många olika webbplatser.

En mer sofistikerad form av angrepp är att inte försöka blockera åtkomsten till webbtjänster, utan i stället ta kontroll över eller manipulera dem.

Det kan ske antingen genom att man hackar sig in på webbplatsen och ändrar i innehållet eller genom att man helt enkelt leder om nättrafiken. Det senare är ett problem som aktualiserades i somras, när den så kallade Kaminskybuggen upptäcktes.

– Det var ett nytt och kolossalt mycket snabbare sätt att utnyttja en känd sårbarhet. Man har vetat om svagheterna länge, men ingen hade satt i system att utnyttja dem, säger Anne-Marie Eklund Löwinder, säkerhetsansvarig på Stiftelsen för internetinfrastruktur.

Precis som med åtkomstattacker finns det färdiga program att ladda hem för att olovligen styra om webbtrafik. Med ett sådant program och en vanlig persondator tar det bara en kvart att dirigera om trafik så att besökare hamnar på en plats som angriparen själv väljer.

– Besökaren har inga möjligheter att se om han eller hon har blivit utsatt för attacken eller inte, säger Anne-Marie Eklund Löwinder.

Uppdateringar släpar efter

Det farliga med attacken är att angriparen kan härma den äkta webbplatsen, samtidigt som exempelvis inloggningsuppgifter och e-posttrafik lagras. Angriparen kan dessutom fritt ändra den information som visas på sidan. I ett skräckscenario kan webbplatser och e-post manipuleras samtidigt som ett terroristattentat genomförs. Med kontroll över trafiken till viktiga myndigheter och tidningar går det att sprida en samordnad men förvanskad bild av attentatet i syfte att försvåra räddningsinsatser eller öka attackens psykologiska effekt.

Sedan Kaminskybuggen blev känd har den berörda programvaran uppdaterats. Uppdateringen gör det inte omöjligt att kapa trafiken, men det tar längre tid.

– Tyvärr har väldigt många fortfarande inte installerat uppdateringarna. Sårbarheten finns kvar, och den är alldeles uppenbar, säger Anne-Marie Eklund Löwinder.

Det finns även en lösning som ger heltäckande skydd mot Kaminskybuggen, men den kräver mer arbete än vanliga programuppdateringar.

– Bland svenska myndigheter används den av Post- och telestyrelsen, regeringen.se, vissa kommuner och snart Skatteverket. Men annars är skyddet väldigt blygsamt, säger Anne-­Marie Eklund Löwinder.

Kapade kontrollsystem

När IT-angrepp målas upp i scenarier brukar den allvarligaste formen av attacker gälla digitala kontrollsystem – de program som övervakar och styr processer i vattenrening, trafikledning, elkraftnät och industrier. Anledningen är enkel – en angripare som kan manipulera kontrollsystem har möjlighet att inte bara slå ut digital infrastruktur, utan även orsaka fysiska katastrofer.

Tidigare hölls de digitala kontrollsystemen helt frånkopplade från internet och andra allmänt tillgängliga nät, men av praktiska och ekonomiska skäl kopplas de allt oftare samman.

– Det är användbart i allt från fakturering till data om förbrukning. Det finns många miljarder att spara, så ingen IT-säkerhetschef kommer att få gehör för att hålla näten separerade, säger Åke Holmgren på Myndigheten för samhällsskydd och beredskap.

När näten kopplas samman uppstår risker som många kontrollsystem inte har en chans att klara av. Medan persondatorer byts med några års mellanrum har kontrollsystem i regel en livslängd på 15-30 år.

– Det kan finnas inbyggda svagheter i gamla system. De kanske inte har tillräckligt stor minneskapacitet eller bandbredd för att kunna lägga till modern säkerhet, säger Åke Holmgren.

– Det är svårt att uppgradera systemen också, eftersom de måste vara i gång 24 timmar om dygnet.

Lyckligtvis är IT-attacker mot kontrollsystem svårare att genomföra än vanliga attacker. De förutsätter inte bara kunskap om hur man manipulerar specialskriven programvara, utan även expertkunskaper om vad störningar i kontrollsystemen kan leda till. Flera av de attacker som rapporterats har utförts av missnöjda anställda eller konsulter. Det förekommer dock auktionering av begagnade styrsystem från industrier på internet, där högstbjudande kan skaffa studieobjekt.

Det är mycket svårt att få någon bra bild av hur många kontrollsystem som utsatts för riktade hackerangrepp eftersom det inte rapporteras öppet. I början av 2008 hävdade amerikanska CIA att det har förekommit IT-attacker som slagit ut elförsörjningen i flera städer utanför USA.

– Det spekulerades häftigt om det kunde vara i Sydamerika, men informationen var knapphändig. Det är ganska typiskt. Det har hänt en del ganska allvarliga incidenter, men de är dåligt dokumenterade, säger Åke Holmgren.

Upptäck F&F:s arkiv!

Se alla utgåvor