ICCWS 2019 – 14:th International Conference on Cyber Warfare and Security, 28 Feb – 1Mars

Konferensen hölls i Stellenbosch nära Kapstaden i Sydafrika 28 Feb – 1 Mars, och jag hade förmånen att vara med då Dennis presenterade sin artikel om hur man hackar det amerikanska presidentvalet (se gärna Dennis blogginlägg). Detta blogginlägg handlar lite om intrycken från de andra föredragen som vi lyssnade på. 

Andan på konferensen handlade om att cyberkrig inte längre är en fråga som är någon sorts akademisk övning eller fantasi. Idag är Cyberkrigsförmåga en absolut nödvändighet för en nations överlevnad, särskilt nu när vi går in i den fjärde industriella revolutionen. Balansen mellan nationer är ännu inte etablerad, så cyberkrig och arbete relaterat till detta befinner sig i nuläget i en aggressiv kapprustning. 

Konferensens deltagare var en blandning av akademiker, militärer och militära industrier. Deltagarna kom från både Ryssland, BRICS-länderna, USA och Europa.

Cyberkrig betraktas som den femte dimension för krigföring och utvecklas snabbt (jag har inte kollat vad den 4:e dimensionen krigföring är!). Cyberkrig betraktas som en metod i hybrid krigföring. Hybridattacker genomförs av både nationer och oberoende aktörer och det är svårt att veta vem som är vem samt att flera parter kan samtidigt försöka nyttja brister eller problem hos målet utan vetskap om varandra. Efter att Estland drabbats av omfattande DDOS-attacker startade NATO arbetet med den så kallade Tallinn Manualen. Men NATO verkar ha haft ett blandat intresse för hybrid krigsföring. NATO lade ner arbetet med hybrid krigföring 2012, men återupptog arbetet igen 2014 efter det att Ryssland intog Krimhalvön. 2015 ses som startskottet avseende den nya kapprustningen och ett nytt kallt krig. Hybrid krigföring handlar inte bara om att kombinera konventionell krigföring med cyberkrigföring, utan även att kriga t.ex genom att stifta eller missbruka olika lagar (lawfare) samt ekonomisk krigföring. Cyberkrig är offensiv och väldigt sällan att betrakta som ”försvar”.

Nedan följer några sammanfattningar om vad som diskuterades på konferensen där skydd, hot och metoder inom Cyberkrig och Cybersäkerhet diskuterades.

Tallinn Manualen:Första versionen (från 2012) baserat på ett initiativ av Nato i Estland. Finns numera i en andra version. Den beskriver hur man juridiskt bör se på cyberkrigföring. Den bygger på principen för krig, dvs för att kunna skydda liv och politiska struktur så är det rätt att ta liv. I ett cyberkrigsperspektiv innebär den mycket grovt förenklat, att för att skydda sina IT-infrastruktur så är det rätt att angripa motståndarens IT-infrastruktur.

Cyberkrig: Ett cyberkrig kan delas in i fyra faser: rekognosering, ta kontroll över målet (etablering), utnyttja sårbarhet och exekvera payload. Finns stora gap i dagens litteratur och öppen forskning för hur cyberkrig ska utföras. Det saknas litteratur särskilt vad avser angriparens rekognoseringsfas och förmåga att ta kontroll över målet (etablering).  Vid ett konventionellt krig så sker en första attack, vilket resulterar i en motattack, som i sin tur resulterar i motattack från den första angriparen osv. För cyberkrig är motattacker ett dilemma eftersom man är begränsad i tid för att genomföra motattacken. Att påbörja ett cyberkrig innebär en möjlighet till förberedelser. Detta har lett till att inriktningen i nuvarande arbete kring Cyberkrig inom USA har handlat om uthållighet inom cyberkrig och offensiva metoder. Övrig forskning och litteratur som saknas, är hur man minimerar oskyldiga offer.

Problembilden blir tydligare då cyberkrig jämförs med konventionell krigföring. En atombomb har lång hållbarhet, medan en zeroday riskerar att upptäckas ganska snabbt eller bli värdelös vid nästa programuppdatering. Detta ger ett incitament att använda en zeroday så snabbt som möjligt. Vidare om en bomb skickas iväg så kan den inte återanvändas, medan en zeroday kan användas av offret och riktas mot angriparens egna befolkning eftersom bristen inte delgetts, vilket leder till oskyldiga offer på den egna sidan. Detta har varit tydligt i fallet med WannaCry, då en stor mängd amerikanska företag och privatpersoner drabbades av brister som NSA tagit fram.

Cybersecurity dilemma: En balans mellan stater avseende cyberkrigsförmåga är ännu inte etablerad. Kort kan dilemmat beskrivas som att stater som försöker öka sin cybersäkerhet minskar cybersäkerheten för övriga länder samt att åtgärder för att minska sannolikheten för en konflikt leder till konflikt. En tillämpning av tesen ovan är att om man som angripare döljer att det var man som gjorde ett cyberangrepp så borde det inte leda till en konflikt, men detta leder till att offret blir mer desperat och överreagerar. Många länder har varit offer för många kampanjer från både Ryssland och Kina. Detta har lett till att ”svagare” länder nu tecknar cybersäkerhetsavtal med starkare nationer, t.ex. Sydafrika har tecknat cybersäkerhets avtal med Kina(2015) och Ryssland(2017). Kina verkar dock ha brutit avtalet redan 2016 och angripit Sydafrika. Däremot är Sydafrika den starkare makten i Afrika, vilket ger ett omvänt förhållande mot andra afrikanska länder.

Information i samhället: Lite intressant statistik. Varje dag skapas 2.5 kvintiljoner bytes data. Åttio till nittio procent av datat är ostrukturerat.  Nittio procent av datat har skapats under de senaste två år åren. Utmaningen är att mycket av datat är irrelevant och/eller felaktig, särskilt vid analys. Däremot ger den stora mängden av data möjligheten att lägga pussel. Ett datadrivet samhälle har skapats, vilket gör att mycket av datat kan beskrivas som tillgångar eftersom en motpart alltid kan lägga pussel och agera på resultatet. Det primära är att ägaren av datat skapar nödvändiga skydd för att minska möjligheter för en motståndare att lägga pusslet. En annan utmaning som följer tidigare tes är hur man får ledare att fatta beslut på lagda pussel eftersom det finns mycket felaktigheter i informationen. Metoder måste tas fram för att kunna lägga ”rätt” pussel. För att kunna skydda datat från felaktigheter måste desinformation identifieras och tas bort. Detta kan göras att mäta person-person kommunikation samt att mäta hur ny information kommer in i en grupp. Mätningarna skulle kunna ge möjlighet att hitta anomalier. Denna typ av mätningar kräver dock att det ”egna” landet har tillgång till datat för att kunna dra dessa slutsatser.

Cybersecurity Sensor Network: Detta är en approach, där man på nationell nivå kan upptäcka och motverka cybersäkerhetsattacker. Detta är mångt och mycket i utvecklingsstadiet med vissa piloter i vissa länder. Det innebär i praktiken att etablera motsvarande en SOC på nationell nivå, där sensorer placeras hos myndigheter . Det problem som många länder brottas med är att bestämma vilken myndighet som skulle ta hand om detta arbete och ha möjlighet att ta beslut; är det polisen, beredskapsmyndighet, militären eller underrättelsetjänsterna?

Cyberkrigare som allmän värnplikt:I Estland, som har allmän värnplikt, så rekryterar man vid mönstringen till värnplikten cyberkrigare. (Finland var först med mönstring av cyberkrigare redan 2015.) Man ser till att man redan i skolan har frivillig cybersäkerhetsutbildning och andra initiativ för att kunna få bra material till mönstringen. Även kvinnor och handikappade är intressanta vid mönstringen och ställer inte samma krav på fysik som vid vanlig militärtjänstgöring. De testar även personer med diagnoser inom autismspektrumet för forensiska analyser (detta är dock omdebatterat). Genom OSINT försöker man identifiera lämpliga kandidater redan innan mönstringen. Man har flera grenar, allt från informationsinsamling till cyberförsvar. I Estland får de som är mönstrar som cyberkrigare högskolepoäng. För de länder som har yrkesarméer av cyberkrigare så är det en utmaning att behålla dessa, eftersom den civila sektorn har stort behov av kompetensen samt betalar bättre. 

Cyberkrigsspel:Spelen omfattar 1000-tals virtuella maskiner, allt för att skapa så mycket realism som möjligt. Dessa övningar kan göras både för företag och nationer.  För att övningarna ska fungera är det viktigt att skapa ett scenario för attacken för att sedan kunna modellera denna med hjälp av verktygen. För att skapa realism etableras ett out-of-band Internet, där den virtuella maskinerna emulerar internet. 

Nedan följer en lista med verktyg som kan användas då ett cyberkrigsspel byggs upp. De flesta av dessa är open source och är tillverkade av Carnegie Mellon University – Software Engineering University. Följande programvaror användes för att bygga ett spel:

• Packer – används för att skapa en basdisk för att sedan klona ut till maskiner.
• Step – Virtualiseringsplattform, skapar möjlighet till snabb uppskalning av de virtuella servrarna.
• TopGen – Topografi generator som används för att simulera internet. Det är en spider för att skapa ett ”isolerat” internet. Också mail-simulator.
• GreyBox – Används för att simulera routing. (på så sätt kan man skapa ett simulerat geografi på Internet.
• vTunnel – Används för att skicka speldata mellan maskiner, så att spelarna inte ser när spelet administreras av spelledarna. 
• Ghosts – Användarsimulerings mjukvara. Skapar NPC:er i spelet.
• Welle-d – Wireless Access Point Simulator. Kan även lägga till GPS info till paketen.

www.github.com/cmu-sei(Topgen, Greybox, vTunnel, Ghosts, Welle-D)

Ekonomisk informationskrigföring genom cyberattacker: De hot som beskrivs är ofta hot mot el eller finans. Däremot beskrivs inte andra områden så bra. De största sårbarheterna utgörs också av försörjningskedjorna till företag. Dessa är både svaga vad avser cybersäkerhetsskydd och kan skapa effekt på samhället i stort. Exemplet är Maersk som råkade ut för NotPetya som förlorade mellan 250-300 USD pga. attacken. Taktiken vid angrepp är att påverka marknad och handel, genom att angripa den stödjande infrastrukturen som t.ex. transport eller ERP-system. Möjliga mål är transport, tåg/vägar, raffinaderier, hamnar samt företags huvudkontor. Hamnar har visat sig vara bland mer sårbara verksamheterna eftersom de utgör de största flaskhalsarna inom logistik. Både nationsstater och privata aktörer kan agera på detta. Syftet kan vara att öka ett ekonomiskt inflytande eller att bibehålla ett status quo.

Cyberbrott:Det finns flera utmaningar. Brottsligheten är gränsöverskridande och är ett internationellt problem, snarare än nationellt problem. Även syndikaten som gör brotten är gränsöverskridande och det finns brister i lagar och internationella samarbeten för att utreda cyberbrott. Traditionell utredningsteknik fungerar inte och kryptering och säkerhetslösningar försvårar ofta utredningarna. För att cyberbrott ska kunna utredas effektivt bör de byggas på förmågor inom IT-forensik, dataintrång (i syfte att komma över bevis) samt OSINT. Erfarenheten har visat att det är enklare att lära en bra utredare att utreda cyberbrott än att lära en bra tekniker utredningsteknik. Kapacitet och kunskap krävs för att utreda och fälla brottslingar för denna typ av brott. Detta gäller såväl för polis och åklagare som domare.

Desinformation:Ryska forskare höll i detta spåret. Tyvärr kunde inte många av ryssarna delta på konferensen av oklara orsaker. Däremot så fanns ett föredrag om hur terroristpropaganda fungerar. Ett av de stora problemen är att länderna inte samarbetar för att motverka terroristpropagandan. Ett exempel som lyftes, var att många av plattformarna som används för terroristpropaganda finns i USA och regleras av amerikansk lag. Ett exempel som lyftes fram var Twitter, där islamska staten rekryterade medlemmar i Uzbekistan via twitter. Uzbekistan upplevde problemet och kunde inte motverka kampanjen eftersom det inte finns intresse, lagstiftning eller samarbeten för att motverka detta fenomen. 

Slutligen kan konferensen sammanfattas, som en av föredragshållarna la fram det – “If we cannot protect our information we do not deserve it!”