I disse dage skrives om Flame – den mest ondartede kode til spionagebrug, der hidtil er set. Flame har først og fremmest ramt Iran og områder, som Israel har okkuperet, men ses også i andre lande.
Flame er som en sovende fremmed agent, der på signal udefra, kan “aflytte” alt via den inficerede pc. Alvoren fremgår blandt andet af, at FN-organet International Telecommunication Unit netop har advaret mod Flame.
De skræmmende perspektiver i Flame og andre moderne type angrebskode, vender jeg tilbage til, men først om funktionsmetoden.
Aflytter og kopierer
Flame kan i al hemmelighed tænde for pc’ens mikrofon, så alt, hvad der siger i nærheden af pc’en fanges. Den kan aflytte din Skypesamtale og dine mails. Den kan tage screen shots, kopiere filer og registre tastetrykkene, du bruger, når du skriver dine passwords og andet.
Via pc’ens Bluetooth (trådløs kommunikation over korte afstande) kan Flame også suge informationer såsom navne og telefonnumre ud af nærliggende mobiler og andre enheder, der har åbnet for Bluetooth-funktionalitet.
Hvem, der står bag, ved ingen, men al aflytning sendes tilbage til, hvem det end måtte være.
Hele 20 Mb modulært opbygget kode
Det er antivirus-firmaet Kaspersky Lab, der har navngivet koden og fremlagt den mest udførlige dokumentation af Flame. Kaspersky arbejdede for FNs International Telecommunication Unit.
Der er tale om en helt usædvanlig stor portion kode, nemlig op til 20 Mb. Koden er modulært opbygget, så den bagdør, det første modul åbner for på den inficerede pc, kan holdes på vid gab for modul på modul.
Angriber selv fuldt opdateret Windows 7 pc
Ifølge Kaspersky er Flame ikke blot i stand til at trænge sig ind på pc’er med gammelt Windows-software, men selv på en fuldt opdateret Windows 7 pc, kan det lade sig gøre. Selv om pc’en også er beskyttet af fuldt opdateret antivirus-software.
Det tyder på, at der i Windows 7 foreligger en fejl, der endnu ikke er er opdaget og/eller rettet fra Microsofts side.
Værre end Stux
Flame overgår langt den berømte Stux-kode, hvis formål angiveligt var at ramme de centrifuger, som anvendes i Irans program for uran-berigelse.
Stux blev kendt i 2009, og rygtet går på, at koden var udviklet i et samarbejde mellem Israel og USA.
Flame er hverken programmeret i samme sprog eller ud fra samme design. Men af en blog på New York Times/Herald Tribune antydes, at Israel tilskrives skylden.
Læs mere
Vil du vide mere om Flame, så har amerikanske Wired en grundig beretning, mens Fast Company har en light-version.
Bygger på kviksand
Flame, Stuxnet og mange andre angreb – selv dem på den danske NemID-struktur – åbner for perspektiver, som de færreste måske har lyst til at se i øjnene.
“Nåh, ja, det er jo bare et nyt angreb. Dem, har vi jo hørt om før, og jorden er jo ikke gået under af det”.
O.k. Lad mig ytre mig med risiko for at blive udnævnt til dommedagsprædikant.
Bygger på kviksand
Det nytter ikke at påstå, som så mange ellers gør, at man blot kan skifte til Apples verden, fordi den rammes af relativt få angreb. Antivirusfirmaer har fortalt, at Apple-populariteten har sat gang i en kraftig stigning i eksistensen af ondartet kode netop rettet mod den verden.
Hvor der er mængde, kommer de kriminelle. Hvor der er mængde, sætter de politiske styrer ind; dem vil overvåge deres befolkning. Hvor der er mængde, målrettes cyberverdenens krigsvåben.
Fordelen ved masse
Mængden er, hvad der har givet os alle store fordele, og mængden kom af en vis standardisering. Erhvervslivet er ikke, som i 70′erne og 80′erne, stavnsbundet til ét fabrikat, hvad angår både hardware og software.
Microsoft og Intel fik sat de facto-standarder, der satte næsten alle de gamle spillere med hvert sit lukkede revir skakmat.
Senere fik Apple sat egne standarder, men med rum også for Windows-standarden. Også den Unix-inspirede Linux har givet standarder og masse på flere af de områder, hvor erhvervslivet udnytter computerkraft.
Men mængden gjorde som bekendt også pc’er og programmer til hver mands eje. Til en almindelig forbrugsvare på linje med vaskemaskinen.
Økonomi kontra sikkerhed
Men jagten på billigere produkter, på halvåbne og åbne verdener, sker i stigende grad på sikkerhedens bekostning.
Når bankautomater, flycomputere, hospitalsudstyr og meget mere skifter fra at være baseret på lukket, velgennemtestet kode, til Windows som det er sket, øges sårbarheden. De kriminelle får adgang til en langt større flok af it-eksperter, der vil gøre alt for penge.
NemID som angrebspunkt
Men sårbarhed ligger ikke blot på den front. Når et land som Danmark gør NemID til NØGLEN til netbanken, offentlige systemer (pengebærende, fortrolige) og til store private koncerner, så er det også at indbyde til problemer. Det skrev jeg senest om i blogindlægget med overskriften “Wake Up regering/banker! Hjælp borgerne mod NemID-misbrug”.
Går man videre fra forbrugervinklen til, hvad der kan ske for Danmark, hvis nogen sætter sig for big time at ramme pengevæsenet eller nationen via NemID, så er der til mange vågne nætter.
For sortseende?
Infrastruktur har altid været en kilde til sårbarhed, og der er verden over set angreb og forsøg på angreb på alt fra atomkraftværker til jernbaner og vandværker.
Men med angreb rettet via den digitale infrastruktur på den øvrige, og med angreb på selve den digitale infrastruktur vokser de mulige konsekvenser eksplosivt. Samtidig med, at bagmændene kan sidder sikkert i skjul bag skærmen et helt andet sted.
Nye valg
Så sig mig. Den gamle lukkede verden udgjorde et dyrt helvede. Men er den velsignelse, som den halvåbne og den åbne verden udgør, ikke ved at blive så ædt op, så der skal et andet mind set til fremover?
Vil der ikke være områder, hvor valget ikke længere alene må være, på hvilken af de halvåbne eller åbne platforme, noget skal udvikles? Hvor man skal tilbage til fortiden, altså udvikle helt specialiseret, lukket software, der kun kan kommunikere med omverdenen via alverdens sikrede “sluser”, som forhindre smitte i at passere?
Er det ikke også ved at være på høje tide at skrue ned for ambitionsniveauerne i diverse it-systemer. I ønsket om at klare 100 procent af alt ligger ikke blot risiko for budgetoverskridelser og forsinkelser, men også en kilde til stor sårbarhed grundet høj kompleksitet og lille gennemsigtighed.
Kan man måske forestille sig, at det gamle ordsprog “Less is more” også i en vis grad rammer rigtigt på it-området?
30. maj 2012 kl. 17:10
Du behandler – i mne øjne – for mange ting på én gang – sikkerhed, standarder, offentlige systemer, udvikling osv. Det er næsten umuligt at give mere, end en alt, alt for kort kommentar, hvor man skøjter uelegant hen over emnerne.
I en ældgammel AT&T Unix manual stod de vise ord: “Det er en illusion at tro på sikkerhed, hvis du gør din computer tilgængelig for omverdenen”. Or words to that effect.
Hvis der ikke fra starten og fra bunden af, tages behørigt hensyn til denne sandhed (der slet ikke løses ved blot at installere anti-virus) er alt andet spildte kræfter.
Når politikere bestemmer, og tåber regerer, har vi ingen chance for at rette op på de mange problemer, der reelt findes i dag.
Et af de allervigtigste punkter, du skal ændre, er at mange borgere foretrækker falsk tryghed frem for indsigt.
Det giver ro i sjælen og en øget omsætning. Økonomisk kriminalitet er jo en (statistisk) fordel. Den gør alle rigere på den måde, vi måler tingene i dag (og sikkert også overraskende mange på en mere direkte pekuniær måde).
Venlig hilsen og smil
30. maj 2012 kl. 17:25
@Kurt Friis Hansen Modtaget. Også med et smil. Og du har ret. Jeg blander for meget sammen, men det hænger jo sammen. Suk.
30. maj 2012 kl. 18:16
Smil. Undskyld – du fortjener lidt mere svar.
Ingen, siger at det er enkelt, men der er heller ingen, der siger, at der ikke findes relativt enkle løsninger.
Ofte klares mange af problemerne ved at vende “standardfremgangsmåden” på hovedet. Et grundlæggende designprincip kunne (formuleret meget enkelt) være:
1. Forsøg at opnå en høj sikkerhed.
2. Forvis dig om, at FØLGERNE af brud på sikkerheden er begrænsede.
Hvis det foregående suppleres med:
1. Forsøg at fremstille solid kode.
2. Forvis dig om, at FØLGERNE af fejl, har begrænset effekt på systemet.
Det er – stort set – den modsatte fremgangsmåde, af den, der praktiseres i dag. Utopierne sikkerhed og kodekvalitet kræves overalt og ofte absolut (senest efter tredje eller fjerde betydende opdatering er det ren illusion ;-)
Reelt burde der også skrives lidt om jævne koderevisioner af de kritiske elementer, men allerede inden vi når så langt, er “those who must be obeyed” for længst stået af. Ikke bare økonomisk.
Sikkerheden SKAL garanteres.
Så enten lyver du og håber det bedste, eller også skifter du branche ;-)
Venlig hilsen og smil
31. maj 2012 kl. 12:25
En konkurrent, nemlig Trend Micro, mener, at der er tale om et PR-stunt for Kaspersky. At faren ved Flame overdrives groft, at der ikke er så meget nyt i metoden.
http://www.version2.dk/artikel/antivirus-firma-hysteriet-om-flame-trojaner-er-overdrevet-45696