tisdag, juli 01, 2008

FRA och hotet från cyberterrorismen

I FRA:s egen information om de hot den egna myndighetens nya befogenheter sägs kunna vara en hjälp mot, betonas cyberterrorism. Med detta menas inte bombrecept på Flashback. Det handlar snarare om internet-attacker mot viktig infrastruktur. Generaldirektören Ingvar Åkesson nämner i SvD exempelvis "abstrakta företeelser som till exempel it-attacker", och i en broschyr som FRA producerade i våras (pdf) skriver man om myndighetens syn på utvecklingen.

- Inom tre år utgör cyberterrorismen ett större samhällshot än spridning av missiler och massförstörelsevapen, hävdar Dan Larsson.

Dan Larsson är nationell incidenthanteringssamordnare på FRA och för honom är cyberterrorism - attacker mot IT-system - något mycket konkret.

När eltillförseln inte fungerar påverkar det tele- och datakommunikationen och vice versa.

Det ömsesidiga beroendet gäller för en rad system som styr vår tillgång till vatten, värme, transporter, sjukvård, räddningstjänst och pengar. I den här kedjan ingår givetvis regerings- och myndighetsverksamhet. Dessutom ingår våra system för att hämta och sprida information, det moderna samhällets verkliga hårdvaluta.
Att myndigheter blåser upp en hotbild och gör reklam för sin egen verksamhet (broschyren verkar framtagen för att sälja in FRA:s förmodat lukrativa kompetens till andra myndigheter) är nu inget ovanligt, och ofta inget man ens bör lyssna på. Ändå finns det något att ta fasta på när det gäller cyberhotet.

Och återigen gäller det oss, våra liberala demokratiska vänner i närområdet - och Ryssland.

Kommer ni ihåg vad som hände förra året? Estland, vars folk milt sagt har några oplockade gäss med Ryssland och dess kommunistiska föregångare, beslöt att vara uppstudsig mot grannen, och helt fräckt flytta ett Sovjetromantiskt soldatmonument från centrala Tallin till en mer undanskymd militärkyrkogård. Något ryssarna tidigare hotat skulle vara "katastrofalt för estländarna".

Mycket riktigt. Wired har en fin artikel om följderna (och på Wikipedia finns fler bra länkar).
The minister of defense checked the Web page again — still nothing. He stared at the error message: For some reason, the site for Estonia's leading newspaper, the Postimees, wasn't responding. Jaak Aaviksoo attempted to pull up the sites of a couple of other papers. They were all down. The former director of the University of Tartu Institute of Experimental Physics and Technology had been the Estonian defense minister for only four weeks. He hadn't even changed the art on the walls.

An aide rushed in with a report. It wasn't just the newspapers. The leading bank was under siege. Government communications were going down. An enemy had invaded and was assaulting dozens of targets.

Outside, everything was quiet. The border guards had reported no incursions, and Estonian airspace had not been violated. The aide explained what was going on: They were under attack by a rogue computer network.

It is known as a botnet, and it had slipped into the country through its least protected border — the Internet. Ministers of defense develop strategies to combat the threat of missile attacks, naval bombardment, air raids, and tank advances. But a digital invasion? Estonia is a member of both NATO and the European Union. Should Aaviksoo invoke NATO Article 5, which states that an assault on one allied country obligates the alliance to attack the aggressor?

In the coming months, commentators around the world would look back at this moment and debate its significance. But for Aaviksoo, the meaning was clear. This was not the first botnet strike ever, nor was it the largest. But never before had an entire country been targeted on almost every digital front all at once, and never before had a government itself fought back. "The attacks were aimed at the essential electronic infrastructure of the Republic of Estonia," Aaviksoo tells me later. "All major commercial banks, telcos, media outlets, and name servers — the phone books of the Internet — felt the impact, and this affected the majority of the Estonian population. This was the first time that a botnet threatened the national security of an entire nation."

Welcome to Web War one.
Säkerheten i vårt direkta närområde blev allvarligt störd av en it-attack mot extremt viktig infrastruktur. Att det här är ett problem att ta på allvar vet Estland nu. Kanske gäller det inte heller "bara" Estland, Lettland, Litauen, Georgien, Ukraina och de andra gamla delarna av Sovjetunionen som fått sin frihet åter.

Vad skulle till exempel hända om Sverige med emfas drev frågan att någon av Ryska federationens republiker eller provinser som tröttnat på Putin-land skulle få bilda en egen stat? Och om Ryssland vidare skulle bedöma en sådan statsbildning som ett hot mot riket, eller ens bara ytterligare en ny problematisk geopolitisk förändring med jobbiga konsekvenser för energidistribution och militär? Skulle Ryssland (eller exempelvis ryska nationalister) vilja förhindra, med ett cyberkrig, att främmande makt som Sverige lade sig i deras "inrikespolitik"?

Jag föreställer mig att det finns god grund för tanken på cyberterrorism som allvarligt hot. I förlängningen inte bara från stater eller uppretade cybermobbar, förstås, eftersom kompetenta hackare torde bli allt fler och billigare att rekrytera. Följdfrågan måste då bli om en utvidgning av FRA:s spaningsmöjligheter i de kanaler där detta hot uppenbarar sig kan vara bra? Och då måste svaret rimligen ha två dimensioner. Om FRA direkt kan skydda oss från en attack torde vara den primära. Vilken nytta FRA:s spaning kan ge om inte blir den sekundära - spaning kan ju ha andra positiva effekter.

Regeringens proposition behandlar ämnet som att man anser att FRA kan skydda, om man bara får spana i kabel. På sidan 59 skriver regeringen:
Det viktigaste skyddet mot de kvalificerade IT-hoten är det förebyggande arbetet, t.ex. tekniska och administrativa säkerhetsarrangemang. Underrättelseverksamheten kan bidra till dessa, men har också kompetens att tidigt möta de kvalificerade IT-hoten. Samma teknik som används för signalspaning i det globala nätet för traditionell underrättelseinhämtning kan också användas för att skydda mot kvalificerade attacker via det globala nätet mot våra IT-system. En förutsättning för detta är att såväl eter- som trådburen trafik får följas, och att signalspaningens unika metoder kan användas. Sverige riskerar annars att utnyttjas av främmande stater och andra aktörer, som vill begagna våra informationssystem. Dessa förhållanden har bl.a. framhållits av FRA-utredningen (SOU 2003:30), som betonar att detta kräver att Försvarets radioanstalt ges legala och tekniska förutsättningar att fullt ut kunna bevaka information i det globala kommunikationsnätet (a.a. s. 85).
Att man med signalspaning i kabel kan upptäcka att en attack är på gång är ju klart. Och att specialister från FRA utbildar andra myndigheter är ju också självklart sen ett tag - och bra. Men så mycket mer specifikt om hur FRA:s spaning kan "skydda mot kvalificerade attacker" anges inte av regeringen.

Wireds romantiserande beskrivning av hur den svenska internetlegendaren Patrik Fältström och hans vänner hjälpte den estniska regeringen under en av attackvågorna antyder hur arbetet skulle kunna gå till rent praktiskt (och Fältström rekommenderar själv artikeln på sin blogg som sanningsenlig så vi får väl kanske tro på det då).
At 10 pm on Tuesday, May 8, Lindqvist, Fältström, and Woodcock arrived at the downtown Tallinn office building that housed CERT headquarters. It was a geek dream team, with the attitude to match. Woodcock, who had spent years traveling through Europe, Africa, and Asia helping to set up Internet infrastructures, sauntered into the operations center wearing bison-skin boots handcrafted for him in Montana. Fältström, a pony-tailed former programmer for the Swedish Navy, now advised his government on Internet security. Lindqvist grabbed an Oreo off the counter, flipped open his PowerBook G4, and plugged in. Aarelaid would lead the charge — his team had to identify the addresses of the attackers and build the filters that would get distributed worldwide — but these guys were the ones with real battle experience.

Woodcock hoisted his laptop into the air. He called Aarelaid and Lindqvist over, took a picture with the built-in camera, and sent it out to the network to prove to the Vetted that Aarelaid was for real. Lindqvist grinned broadly. Aarelaid stared calmly at the camera. It was almost 11 pm in Tallinn — midnight Moscow time.

Everything looked normal on the networks. Traffic coming into Estonia was average for this time of night — about 20,000 packets per second. The first wave of attacks had died down over the previous two days. Maybe the online chatter about an attack that night was a hoax — maybe nothing would happen.

At exactly 11 pm, Estonia was slammed with traffic coming in at more than 4 million packets per second, a 200-fold surge. Globally, nearly 1 million computers suddenly navigated to a multitude of Estonian sites, ranging from the foreign ministry to the major banks. It was a larger-scale version of what had happened to the Postimees, except that the entire country's bandwidth capacity was being squeezed.

Immediately, Aarelaid and his team started chasing the sources upstream. What they found was a botnet comprising mostly hijacked computers in the US. As Aarelaid identified a specific address, Woodcock and Lindqvist sent rapid-fire emails to network operators throughout the world asking for the IP to be blocked at the source. Their goal was to block traffic before it could enter Estonia's major international connections. One by one, they picked off the bots, and by dawn they had deflected the attackers. Internet traffic into the country hovered just above normal. "I was very, very lucky that Kurtis, Patrik, and Bill were here," Aarelaid says.
Men som lekman är det svårt att veta om och hur FRA:s nya befogenheter skulle spela in. Jag gissar att det är meningen att FRA ska detektera en begynnande attack och snabbt kunna stå bi med all den nödvändiga kompetens och de säkrade kommunikationslinjer som behövs för att berörd myndighet ska kunna arrangera en slik försvarsinsats.

Fältström - som är rådgivare åt regeringen - har i en serie bloggposter påpekat att han visserligen inte är emot att FRA lyssnar i kabel, men att lagen inte är ändamålsenligt konstruerad, vilket är ett allvarligt problem. Har ingen lyssnat på honom? Blir lagen, som redan kostat så mycket, då obrukbar för ett av de egentliga syftena, eller kan man göra tillägg om det nu finns allvarliga hot som bara kan nås via kabel?