Efter att kreditkortsdata tillhörande Israeler vid ännu ett tillfälle har stulits och lagts ut av en och samma person kommer en kraftig reaktion från Israels vice utrikesminister. Tonläget är markant aggressivt:

“It is necessary to send a message to everyone who attacks or tries to attack Israel, including in cyberspace, that they are putting themselves in danger and that they will not benefit from any immunity against reprisal actions from Israel. Cyber-attacks amount to terrorism that must be treated as such.”

Det hela följs också av något vi nu hört från relativt många länder, nämligen att Israel har en offensiv cyberstyrka:

“In cyberspace, we have active capacities and we can hit those who try to hit us. Israel has active capabilities for striking at those who are trying to harm it, and no agency or hacker will be immune from retaliatory action”

Det här är det klart taggigaste jag hittills träffat på i cybersammanhang från statligt håll.
Uttalandet visar en genomtänkt strategi där man behandlar flera väldigt svåra frågor kring cyber:

• Att militären har svårt att skydda alla
• Att det är svårt att avgöra vem som ligger bakom en cyberattack
• Att det finns tredje parter
• Att vad som står på spel varierar med spelarna

Det finns flera knepiga frågor kvar som inte behandlas, men det här uttalandet är den i särklass tydligaste behandlingen jag sett. Att man behöver ta det här på allvar understryks om man dessutom vet att Israel har en historia av att mörda personer i andra länder sedan tidigare, där mordet i Dubai 2010 är det kanske mest spektakulära i det att man “åkte fast” och det uppdagades att åtminstone 28 personer var inblandade i det.

Allt tyder nu på att Iran stal den amerikanska drönaren genom att spoofa GPS-positionen. Det hävdas åtminstone i en artikel där man säger sig ha pratat med en icke-namngiven Iransk ingenjör. Genom att störa ut planets kommunikation med kommandocentralen och sedan lura planet att tro att det var på andra koordinator så lyckades man få en näst intill intakt Drone att landa på en plats i Iran när planet i själva verket trodde att det hade flugit hem till sin ordinarie bas.

Samtidigt har det läckt ut en rapport från april 2011 som innehåller citat som verkar bekräfta att amerikanerna känner till hur sårbara drönarna är för just spoofingattacker:

Spoofing or hijacking links can lead to damaging missions, or even to platform loss.

Ja, det verkar onekligen så. Jag måste erkänna att den här teorin ter sig klart mer trovärdig än min foliehatt-teori från igår Men de som gillar att spekulera har fortfarande massor med brickor att spela med. Chanserna för en sån här attack att först bli kläckt och sedan lyckas är grymt mycket större om man på förhand vetat hur planet reagerar i olika situationer och att man känner till dess svagheter. Förutom det direkta virusangreppet mot drönarnätverket har det också börjat spekuleras i en Iransk inblandning i intrågen mot RSA och Lockheed-Martin.

Det är svårt att få allt bekräftat, men jag får själv känslan av att vi nu kan se vissa inriktningar när det kommer till cyberkrig. Det framstår som allt tydligare att den som inte hänger med i det här kommer hamna så rejält på efterkälken att fiendens informationsövertag kommer räcka för att göra den överlägsen. Kanske att det till och med kommer gå att använda ägarens vapen mot ägaren själv.

För cirka en vecka sedan hamnade en amerikansk RQ-170 spaningsdrönare på Iransk mark. Hur det gick till? Iran hävdar att det var genom en cyberattack. Från amerikanska sidan är man skeptisk till det. Pentagon säger att “”If this happened, it is a 95 percent chance that it just malfunctioned,”. Och Iran har all anledning att säga att de har stora cyberfärdigheter med tanke på att de blivit utsatta för angrepp tidigare. Klart är i alla fall att Iran fick vantarna på en intakt drönare.

Nu har ett andra plan gått i backen, och jag kan inte annat än att fundera på om dessa incidenter har något samröre med det virusangrepp som drönarna brottades med tidigare i höst. Enligt det amerikanska flygvapnet så var det virusangreppet designat för att stjäla inloggningsuppgifter, och enligt en inofficiell källa till AP sades det att det var riktat mot spel som pokersajter och Mafia Wars (sic).

Kanske gav flygvapnet en sanning med modifikation. De tidigare läckta uppgifterna vittnade om lite kaotiskt, men flygvapnet hävdade att allt var lugnt. Om de läckta uppgifterna stämde kanske det vore så illa som att det stals “inloggningsuppgfiter” i form av exempelvis kryptonycklar.

Nu åker foliehatten på, men för allt vi vet så kan det här vara en tredje part som lyckats stjäla kryptonycklarna och nu försöker profitera på det. Till exempel genom att först sälja en RQ-170 till Iran, och sedan landa en drönare på en säker plats för att sedan övertyga en andra köpare (eller USA?) om att denna part verkligen HAR kontroll över drönarna.

En annan teori är att det faktiskt är Iran som ligger bakom det hela, att de plockade hem RQ-170:an och när man från amerikansk sida tvivlade på att det var en cyberattack skickade man tillbaka en signal om att så verkligen var fallet. Att man inte stal även det andra planet kan förklaras med att det skulle vara svårt för allmänheten att inte se en andra stöld av ett plan som en krigshandling, till skillnad från det första planet som “råkade” vara över Iranskt territorium när det plockades ner. Tänk bara vilken avskräckande effekt det skulle ha för att Iran skulle utsättas för fler cyberattacker: “Ni kan störa vårt kärnvapenprogram, men vi kan stjäla era drönare. Håll er borta, OK?”.

Vad vi vet med säkerhet är att säkerhetsvärlden står frågande och undrar vad sjutton det är som händer och hur det alls kan hända. Att någon stulit kryptonycklarna skulle förklara allt.

Informationen om Duqu fortsätter rulla in. Tidigare inlägg om hur Duqu installerats får därför ännu ett tillägg nu. Duqu har inte bara installerats med begränsningar om när i kalendertiden, utan även hur länge användaren varit inaktiv. Då worddokumentet öppnats har koden bara lagt sig i minnet, och därefter väntat på att användaren skall vara inaktiv i 10 minuter innan ändringar börjar skrivas till olika permanenta delar av systemet. Alltså ännu ett exempel på hur det designat för att försvåra upptäckt.

Vid det här laget har det också ansamlats tillräckligt mycket indicier för att på goda grunder dra slutsatsen att det var Duqu som Iran hade hittade tidigare i år, det “virus” som de kallade för “Stars”. Både namn och datum matchar väldigt väl vad man hittat för Duqu:

The dates of the incident correlate with the history of discovery in Iran of a virus called Stars. At that time Iranian specialists didn’t share samples of the discovered virus with any of the anti-virus companies, and this, it has to be said, was a serious mistake, which gave rise to all subsequent events in this saga. Most probably, the Iranians found a keylogger module that had been loaded onto a system and which contained a photo of the NGC 6745 galaxy. This could explain the title Stars given to it.

Intressant är ju också konstaterandet att eftersom den här informationen inte delades, så drabbades inte bara andra stater och organisationer fortsättningsvis, utan även Iran. D’oh!? Ibland blir hemlighetsmakeriet för stort då de som har behov av informationen för att skydda sina system inte får den.

Min syn på frågan är att det nästan alltid är den defensiva sidan som tjänar på en stark informationsdelning, Risken är naturligtvis att om man delar allt man hittar, så ligger det viktig information i vad som INTE delas, eftersom en angripare då kan dra slutsatser om vad som inte upptäckts. Så det är inte helt uppenbart…

De senaste dagarna har nyhetsflödet kring Duqu fått en nytändning i och med att även installationsprogrammet hittats. Duqu levererades via ett Word-dokument som var tydligt skräddarsytt för exakt den organisationen som drabbades, och använde sig…

Information nu i dagarna gör gällande att NSA har kallats in för att utreda tidigare års intrång hos Nasdaq. Det är ett utmärkt exempel på att cyberkrig är betydligt mer nyanserat än att slå ut SCADA-maskiner, vilket ju annars är det stora …

Idag kommer uppgifter om att australiens premiärminister Julia Gillard ska ha fått sin dator hackad. Även två av hennes ministrar tros ha blivit offer. Målet sägs vara information – flera tusen mail sägs ha lästs under den senaste månaden. Men…

Det finns en tilltagande hype kring cyberkrig. Det syns både inom media, inom politiken och på konferenser. Men något saknas: definitionen. Trots att det redan genomförs övningar på ämnet, finns det en stor oenighet om vad cyberkrig egentligen i…

Arstechnica har tack vare HBGary-hacket en bra artikel uppe som ger en glimt in i var USA befinner sig rent tekniskt i frågan om cyberkrigsföring. Cyberkrig kanske inte är rätta ordet för stunden, men det framgår tydligt att riktade angrepp är e…

Rubriken syftar inte till någon särskild händelse. Men faktum är att under senare halvan av 2000-talet har det förekommit flertalet incidenter med bakdörrar och trojaner. De som blivit publikt kända har framförallt handlat om USB-minnen eller a…