Axiom för Cybersäkerhet: Ett ryskt perspektiv
Efter det förnedrande intrånget på Ryska järnvägen i januari i år [1][2] , så kom jag över en artikel[3] i den ryska motsvarigheten till Engadget – habr.ru som citerade ett ”axiom” som förklaring till varför just Ryska järnvägen blev hackad. Författaren hade snällt länkat till den ursprungliga artikeln som beskrev ett antal axiom/lagar kring Cybersäkerhet [4]. Det här inlägget är en mycket fri översättning av den ryska motsvarigheten och deras problem, men kan mycket väl vara en beskrivning över hur vi själva ställer oss till vår egna cybersäkerhetssituation.
Det ryska Kalkonaxiomet: Sannolikheten att man har ett pågående dataintrång ökar med tiden som gått sedan det förra stora dataintrånget.
Namnet på lagen kommer från ryskans sätt att prata om kalkoner (tror jag). “Индюк думал, да в суп попал.” (En kalkon funderade, men det slutade med att han hamnade i soppan) – ”Kalkon” används som liknelse i Ryskan , att man gör felaktiga antaganden om något som sedan leder till katastrof. Axiomet bygger på att många organisationer gör stora ansträngningar då man råkat ut för ett dataintrång med att förbättra sin cybersäkerhet. Men fokus på cybersäkerheten avtar med tiden, samtidigt som organisationen lever kvar i villfarelsen att de åtgärder man gjort för att säkra it-miljön och informationen fortfarande håller. Många organisationer glömmer att informationssäkerhetsarbete är en process (och inte ett mål) där cybersäkerhetsrisker ständigt måste hanteras, utvärderas och åtgärdas. Åtgärderna efter ett dataintrång kan i många fall betraktas som en engångsåtgärd med stora kostnader. Med ISO27000 kanske vi kommer dit att få ett kontinuerligt informationssäkerhetsarbete, men vi är inte riktigt där än.
Mitnicks axiom: Även en avstängd dator kan hackas.
Axiomet bygger på att vi inte ska stirra oss blinda på om vi har antivirus, lokala brandväggar och kryptering. En obevakad dator kan komprometteras på många olika sätt, så som DMA-attacker, kopiering av hårddisk, tillägg av avlyssningshårdvaror mm. Som en ytterlighet så har fortfarande en angripare möjlighet att stjäla datorn. Skyddsåtgärderna som finns handlar bara om att fördröja möjligheterna för en angripare att komma åt informationen. Då Mitnick skrev detta så fanns inte hårddiskkryptering på det sätt som det finns nu. Men axiomet är fortfarande relevant särskilt då man reser till världens tre stormakter USA, Kina och Ryssland. I USA har tullen fortfarande möjlighet att hålla din dator som gisslan innan de släpper in dig i landet. Vad avser Ryssland så finns det många anekdoter om medelålders män i mörka kostymer som utger sig vara personal på hotellet samtidigt som de snokar i din dator. (Boken Sandworm beskriver utvecklaren Benjamin Delpys upplevelser när han var inbjuden som talare på en rysk hackerkonferens . Ni som inte vill läsa boken kan alltid hitta samma berättelse på nätet [5]). När det gäller Kina, så finner jag det onödigt med ytterligare kommentarer.
Axiom kring kostnad vs nytta: Om kostnaden för ett intrång av ett objekt A är större än nyttan av ett intrång i objekt A. Kommer objekt A aldrig att hackas.
Det var senast på nittiotalet och på början av tvåtusentalet då man blev hackad på skoj, då t.ex. ”Telia” blev ”Felia” eller då First National Bank of Brookings plötsligt gjorde reklam för George Foremans grill. Idag så kan man betrakta alla dataintrång som ekonomiskt betingade. För att lyckas med ett dataintrång måste angriparen investera mycket tid och även pengar för att lyckas. Den skadliga koden måste utvecklas och förvaltas. För detta krävs hårdvara och mantid. Botnet måste förvaltas. Hyrs ett botnet så kostar dessa per timma. Vill man gå så långt som att köpa zeroday exploits så kan kostnaden i värsta fall uppgå till flera miljoner kronor för en enda exploit. Så bakom varje dataintrång finns en förväntad vinst. Är den förväntade vinsten mindre än kostnaden för intrånget så kommer det inte ske något dataintrång. Detta leder till en tanke avseende proportionalitet av sitt skydd. Ju mer värde desto mer skydd krävs. Men omvänt gäller också, dvs finns det inte så mycket värde att skydda så behövs inte några överansträngningar med skyddet. Det gäller bara att kontinuerligt ha en tillräcklig skyddsnivå, så att angriparen inte med säkerhet kan räkna in en lönsamhet med sitt angrepp.
Axiom om hur man överlever ett hungrigt lejon: Om vi antar att följande är sant:
1. Vi har två lika tillgängligt publicerade Objekt A och Objekt B.
2. Kostnaden för att hacka Objekt A är större än för Objekt B.
3. Nyttan av att hacka Objekt B är större än för Objekt A.
Då kommer Objekt A inte att hackas förrän Objekt B blivit hackad.
När jag började mitt arbete med IT-säkerhet. Så lärde jag mig principen kring axiomet genom en enda frågeställning: Hur överlever man ett hungrigt lejon? Man överlever genom att springa näst långsammast. Oftast är den som springer långsammast också tjockast. I ett cyberförsvarsperspektiv så innebär det att säkerheten dimensioneras gentemot likvärdiga verksamheters säkerhet, med målsättningen att få säkerheten lite bättre (springa näst långsammast). Genom att samtidigt ha kontroll över de som har lägre säkerhetsnivå är det dessutom möjligt att använda de övriga verksamheterna med sämre cybersäkerhet som ”kanariefåglar”. När de blir hackade så är det dags att se över sin egna säkerhet igen. Om vi tar bort cynismen från ovanstående så handlar det om att verksamheten måste ha en regelbunden omvärldsbevakning och bedöma riskerna mot den verksamhet man befinner sig i, samtidigt som best practice inom den aktuella branschen beaktas.
Dijkstras Axiom: Ju mer komplicerad protokollstack, desto sårbarare är systemet.
Esdger Dijkstra (1930-2002) var en Holländsk datavetare som förutom sina vetenskapliga bedrifter förespråkade strukturerad programmering. Han la genom sitt arbete grunden för modern programvaruutveckling, där målet var att får utvecklare att kunna hantera komplexa projekt. Han ville få fram enkelhet i programmeringen. Han menade att utvecklingsprojekt snabbt blir oöverblickbara och att det mer eller mindre är omöjligt att undvika buggar. De program som idag finns består av så många bibliotek och lager att det är omöjligt undvika fel. En utvecklares huvudsakliga utmaning är och kommer alltid att vara att inte bli förvirrad av sitt egna projekt. Ur en angripares perspektiv innebär det att det endast är en fråga om tid och resurser för att hitta ett fel för att ta sig in i ett system. Detta leder till tanken, att om man som land eller företag har viktiga system eller information som måste skyddas, så är det bäst att inte ha denna information direkt eller indirekt nåbar från Internet. Det bästa sättet att asammanfatta detta axiom är ett citat från Esdger själv:
“If debugging is the process of removing software bugs, then programming must be the process of putting them in.”
Daves axiom: Människor är ju också ”hackbara”, och det är människan som måste skyddas i första hand.
I vår strävan att skapa cybersäkerhet så missar vi ofta slutanvändaren och vilken effekt attacker mot slutanvändarna eller människorna har på säkerheten. Phishing är det absolut vanligaste sättet att kompromettera ett nätverk eller dator. Det räcker att en person klickar på länken för att den skadliga koden ska få fotfäste. Rysslands största bank Sperbank, hade 2018 ca 300 000 anställda. De genomförde ett test med phishing attacker mot personalen för att se hur de responderade. Det visade sig att 60% hade gått på phishingförsöket.
Men vi människor kan hackas på andra sätt också. Social media och forum kan få människor att agera koordinerat för att på så sätt skapa oreda i ett samhälle. Ni känner säkert till följande exempel:
- Den oreda med desinformation som Cambridge Analytica skapade i samband med det amerikanska valet 2016. (Och andra val dessförinnan)
- Konspirationsteorierna om valfusk i presidentvalet som slutligen ledde till stormningen av Capitolium i samband med räkningen av elektorsröster i januari 2021.
- Kursrusningen i Gamestop vid månadsskiftet januari/februari 2021, då forumen fick en lågt värderad aktie att rusa över 1700% på kort tid, så att det var nära att rubba finansmarknaden.
En av de intressantaste attackerna i detta sammanhang är den mot Ryska Sperbank i december 2014 [6]. Ryssland hade på grund av invasionen av Krim fått sanktioner mot sig från USA och EU. Detta ledde till en finanskris i Ryssland med en hög inflation till följd. En angripare skickade då över en miljon SMS till Sperbanks kunder, där kunderna informerades om att deras VISA och MasterCard skulle stängas av. Samtidigt så fylldes forum på sociala medier med inlägg om att Sperbank saknade likvida medel. Detta ledde till en bankrun, där folk i panik tog ut sina besparingar. Köerna vid Sperbanks bankomater var långa. Under en vecka tog spararna ut motsvarande 1,3 biljoner rubel (motsvarande 300 ton sedlar). Centralbanken i Ryssland var i December 2014 tvungna att intervenera, dels för att lugna den panik som uppstod och dels för att motverka inflationen i landet. Ryska centralbanken hävdade senare att attacken mot Sperbanks kunder kunde spåras till/attribueras Ukraina.
Axiom om investeringar i cybersäkerhet: Det är inte förrän ”blixten” slår ned, som verksamheten investerar i Cybersäkerhet.
Verksamheter har ofta svårt att förstå nyttan med informationssäkerhetsarbete och it-säkerhetsarbete. Området är både komplext och diffust. Många som jobbar med Informationssäkerhet upplever det som svårt att få ledningen att förstå riskerna. Informationssäkerhetscheferna (eller experterna) uppfattas ofta som överdrivet rädda att något skall hända. Samtidigt så innebär säkerhetsarbetet endast en kostnad och bidrar inte till verksamhetens framgång. Företagsledningen ger helt enkelt informationssäkerhetscheferna en sked och ber dom att börja gräva, fast de egentligen behöver en spade.
Det är inte förrän nu på senare tid då ordet ”cyber” kommit som begrepp, som ledningsgrupper börjat tycka det är intressant med området. (Det är exakt samma presentationer som tidigare , fast med skillnaden att ordet ”IT-säkerhet” bytts ut mot ”cybersäkerhet”.)
Det finns dock en risk att detta axioms giltighet ändå kommer vara för evigt.
Axiom om dubbel publicering: Allt inom cybersäkerhet publiceras två gånger: Första gången blir resultaten hemligstämplade. Andra gången publiceras resultaten till allmänheten.
Ingen annan disciplin är fylld med ”två” publiceringar så som krypto. När Diffie-Hellman publicerade idén med öppen nyckel system (Public Key Cryptography) så sa NSA att de redan hade uppfunnit den. Samma sak hände Biham och Shamir, när de upptäckte Differential Kryptanalys i början av 1990-talet. Även där hävdade NSA att Biham och Shamir hade återuppfunnit en för dem redan känd metod. Det går att misstänka att samma sak gäller för zerodays. Det var inte förrän Equation Group (offensiv enhet inom NSA) blev hackad som de aviserade olika typer zerodays-brister som de blivit av med. Samma sak kan funderas över när NSA i januari 2020 publicerade en ”nyupptäckt” brist i Microsofts kryptobibliotek som omfattade Microsofts operativsystem mer flera år bakåt i tiden, vilket skulle ge en angripare möjlighet att angripa alla kryptoprotokoll som drabbade Windowsoperativ nyttjade.[7] Även Snowdens släpp av stulen NSA dokumentation visade på angreppstekniker som ingen då hade tänkt på. Att hela tiden jobba med ett glapp där den ”hemliga” sektorn vet saker, som inte den ”publika” sektorn känner till skapar en skarp assymmetri i vilka möjligheter som finns att arbeta med Cybersäkerhet, särskilt när ens syfte är att skapa en säker miljö för sin verksamhet. Ett ännu svårare dilemma är när samma typ av asymmetri finns mellan nationer, där vissa länder känner till brister som inte vi känner till. Det är då det börjar bli riktigt jobbigt…
Vad innebär dessa axiom?
Om vi tittar på dessa axiom som en helhet, så kan vi beskriva följande sammanhang:
Ledningen investerar inte säkerhet förrän direkt efter en i incident, men vill sedan gärna glömma kostnaderna, och säkerheten degenererar sedan sakta tills verksamheten råkar ut för nästa cybersäkerhetsincident. Det hela blir en omvänd kapplöpning om vem som har sämst säkerhet och vem som blir ett offer för en säkerhetsincident just nu. I och med att systemen är så komplexa så är det omöjligt att hitta ett tekniskt skydd som hjälper. Och om en verksamhet trots detta skulle lyckas hitta tekniska åtgärder så kan alltid personer i verksamheten bli angripna med olika typer av social engineering. Det hjälper inte heller att känna sig i framkant, eftersom det hela består av en assymetrisk katt och råtta lek där de ”hemliga” organisationerna känner till saker som den publika sektorn inte känner till.
Vid ett resonemang enligt ovan är det inte konstigt att ryssarna kom till slutsatsen att de vill bygga sitt egna nät autonoma nät och få till ett RUNET och att Kineserna har installerat sin jättelika brandvägg mot Internet.
Referenser
[1] ”Thanks for the data, suckers How information insecurity endangers Russian Railways passengers and risks prison for the company’s I.T. workers”, Maria Kolomychenko – https://meduza.io/en/feature/2021/01/21/thanks-for-the-data-suckers
[2] ”Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…”, 13 Januari 2021, Mysterious grey-hat hacker Alexey LMonoceros, https://habr.com/ru/post/536750/
Fritt översatt – ”Det sämsta skyddet är inte längre på Sapsan. Allt visade sig vara mycket värre…”, Sapsan är Rysslands höghastighetståg. Det visade sig tidigare att man kunde ta sig in i Ryska järnvägens nät via tågets publika surf. Men som författaren visar i artikeln så är det mycket värre än så.
[3] ”Скоро будет самая беззащитная страна. Системный взгляд на проблемы информационной безопасности в России”, 14 Januari 2021, https://habr.com/ru/post/537246/
Fritt översatt – ”Snart är Ryssland det mest försvarslösa landet. En strukturerad syn på problemen kring informationssäkerhet i Ryssland.”
[4] ”Фундаментальные законы информационной безопасности”, 1 april 2017, Павел@PavelMSTU , https://habr.com/ru/post/325382/
Fritt översatt – ”Informationssäkerhetens grundläggande lagar”
[5] ”Origin story of the Mimikatz password cracker is a parable about security, disclosure, cyberwar, and crime”, https://boingboing.net/2017/11/09/password123.html
[6] ”Сбербанк за неделю декабря 2014 года лишился 1,3 триллиона рублей”, https://ria.ru/20151022/1306284582.html
Fritt översatt – ”Sberbank förlorade 1,3 biljoner rubel under en vecka i december 2014”. Artikeln är en sammanfattning från en investerarträff hållen av Sperbanks CEO German Graf, i London hösten 2015.
[7] ”A Vulnerability in the Microsoft Cryptographic Library CRYPT32.DLL Could Allow for Remote Code Execution”, https://www.cisecurity.org/advisory/a-vulnerability-in-the-microsoft-cryptographic-library-crypt32dll-could-allow-for-remote-code-execution_2020-005/