Malware: från pojkrumshyss till storpolitiskt vapen

Från pojkrumshyss till kriminell storindustri – och nu också ett slagfält. Cyberhoten växer hela tiden i omfattning och attackerna blir allt mer sofistikerade. Nyligen avslöjades hur en avancerad trojan noggrant planterats hos filippinska organisationer och myndigheter via skräddarsydda e-postmeddelanden vid utvalda tidpunkter för att ge åtkomst till hemlig information.

- Vi tror att det är den kinesiska staten som gjort det för att få beslutsunderlag i dispyten mellan Filippinerna och Kina om den sydkinesiska sjön och det är bevis för den nya kapprustningen som sker. Om någon hade sagt till mig för tjugofem år sedan att virus och trojaner inte skulle skrivas av hackare i pojkrum utan av säkerhetstjänster och myndigheter hade jag inte trott på dem. Det här visar hur långt vi har gått och det är inte bara Kina, utan det är många fler länder som håller på med det här, säger Mikko Hyppönen som i rollen som säkerhetsexpert följt utvecklingen sedan början av 1990-talet.

Riktade attacker svåra att skydda sig mot

Teknikerna med övertygande e-post från till synes betrodda avsändare är långt ifrån ny. Redan 2003 upptäcktes ett liknande försök hos en svensk försvarsleverantör och även där tros avsändaren vara den kinesiska staten. När vinsterna att hämta blir allt större försöker sig också kriminella organisationer på samma sak.

- Ett exempel i närtid är SWIFT-attackerna mot flera dussin banker där angriparna verkligen hade gjort sin hemläxa och lagt månader på att analysera säkerheten. Målet var att stjäla nästan en miljard euro och det finns indikationer på att det kan ha varit den nordkoreanska regimen som ligger bakom. En sådan summa skulle innebära tjugofem procent av deras årliga budget. De flesta företag behöver dock inte oroa sig för att myndigheter ska attackera dem, då behöver du vara speciell på något sätt som politiker, diplomat, militär, försvarsleverantör eller liknande, säger Mikko Hyppönen.

Eftersom vanliga skydd sällan fungerar särskilt väl mot resurserna hos en större stat har F-Secure en ny avdelning som enbart sysslar med att utveckla detekteringssystem mot spionage. Varje dag samlar F-Secure in över 350 000 attacker och till 95 procent är det kriminella som ligger bakom. De övriga procenten utgörs av misstänkta myndigheter, hacktivister, extremister och liknande grupperingar.

- Till skillnad från myndigheternas mycket specifika och riktade attacker vill kriminella komma åt så många som möjligt, och de blir allt mer sofistikerade. Visst, säkerheten har generellt sett blivit mycket bättre och jämfört med för tio år sedan är det som natt och dag, men skurkarna har inte stått stilla och de har en fördel som inte vi har: de har tiden på sin sida. De kan lägga ner precis så mycket tid de vill på att ladda ner och studera brandväggar, antivirusprogram och så vidare. Vi har inte den lyxen. Våra system är i bra form för att bekämpa en fiende för tio år sedan

Ny teknik, nya hot, nya verktyg

Digitaliseringen och IoT innebär också nya utmaningar för säkerhetsexperterna. Framför allt handlar det om att nya enheter utan säkerhet inbyggt kopplas upp mot företagssystem, ibland utan it-avdelningarnas vetskap.

- IoT-revolutionen gör det svårt att bygga ett bra skydd. Traditionellt har man haft ett endpoint-säkerhetssystem som man fått flytta ut till mobiltelefoner och plattor, men hur ska man göra det för mikrougnar eller uppkopplade glödlampor, enheter där det är svårt att installera skydd? I sig är de nya enheterna inte intressanta att attackera men de blir vektorer att använda för angriparen. Tänk en medarbetare som tar med sig en uppkopplingsbar tekokare där personen kan läsa sina meddelanden på en display och kopplar upp mot nätverket. It-avdelningen kanske inte ens är medveten om att man just lagt till systemets svagaste länk, säger Mikko Hyppönen.

F-Secure har därför utvecklat en enhet, Sense, som i sin tur skapar ett eget säkert nät för de uppkopplade enheterna. Ett annat viktigt verktyg i en tidskritisk attack är maskininlärande system. Idag används de bland annat av IBM och F-secure själva för att snabbt analysera attackerna.

- Det handlar också mycket om hotbildsbedömning och att utbilda sin personal. Om du sitter på känsligt material och får ett mejl med en bilaga från en betrodd avsändare, ring upp och bekräfta att personen verkligen skickat bilagan. Den typen av åtgärder kan inte underskattas. Det är ett krig därute och just nu går det inte särskilt bra för vår sida.