Aktuelt

Ormen Lange

Verdens første digitale våpen endte opp med å bite seg selv i halen. Kim Zetter har skrevet bok om dataormen Stuxnet og starten på cyber-krigen.

Hør Kim Zetter på Morgenbladsets podcast. Abonnér via Itunes eller lytt her: 

4. mars 2007 gjennomførte forskere ved Idaho National Lab i USA et eksperiment på en 27 tonn tung dieselgenerator.

– Forskerne lurte på om angripere i Russland, Kina eller Nord-Korea kunne klare å fysisk ødelegge kritisk infrastruktur bare ved å  slippe løs digitale koder, sier forfatter Kim Zetter.

Hun er journalist i magasinet Wired og har skrevet boken Countdown to Zero Day, som handler om det første digitale våpnet. Hun var nylig i Oslo for å holde et foredrag på Norsk utenrikspolitisk institutt, Nupi.

Svaret forskerne i Idaho fikk, var nokså entydig: Ved hjelp av 21 linjer datakode klarte de å misbruke generatorens sikkerhetsmekanisme til å koble maskinen på strømnettet når den egentlig skulle være av. Dermed kollapset den et brak og testhallen ble dekket av tykk svart og hvit røyk. Da videoen fra forsøket lakk ute flere år senere, var det første gang offentligheten fikk se effekten av en ny type våpen. Den digitale verden hadde nå mulighet til å tre over i den fysiske verden og gjøre skade. Og det gjorde den også kort tid etterpå. For parallelt med det nevnte Aurora-eksperimentet jobbet de amerikanske og israelske hemmelige tjenestene med å utviklet programmet som kom til å få tilnavnet Stuxnet.

Terminatoren. – På begynnelsen av 1990-tallet begynte det å gå opp for myndighetene i USA, og omtrent samtidig i Kina, at kritisk infrastruktur og den digitale verden begynte å bli sammenvevd, forklarer Zetter.

Strømnettverk, kjemiske fabrikker og vannforsyninger var avhengige av systemer som kunne hackes.

– USAs nasjonale sikkerhetsmyndigheter så potensielle fordeler med dette, sier Zetter.

De begynte å utviklet muligheten til å angripe datanettverk rundt 1997. Passende nok begynte Iran omtrent samtidig å planlegge sitt atomanlegg.

– Så muligheten til å angripe digitalt ble utviklet akkurat da behovet for denne typen angrep ble tydelig. Derfor ble Stuxnet skapt, sier Zetter.

Programmet (som ikke må forveksles med Skynet, det menneskeskapte dataprogrammet som utsletter menneskeheten i Arnold Schwarzeneggers Terminator-filmer) var en digital kode skapt for å angripe datamaskinene Iran brukte til å kontrollere sentrifuger i landets atomprogram.

Planen var langt mer sofistikert enn Aurora-testen. Stuxnet ble sluppet ut på nettet med instruksjoner om hvilke helt konkrete maskiner, med en spesiell Siemens-programvare, de skulle angripe. De iranske sentrifugene skulle omprogrammeres til å spinne så fort at enkelte av dem ble ødelagt, men på en slik måte at iranerne selv ikke skulle forstå at de var under angrep. Den første versjonen av Stuxnet ble sluppet sent i 2007. Og den fungerte. Iranerne brukte mye tid og energi på å bytte ut sentrifugene og på å sparke tekniske eksperter de trodde hadde feilet i jobben sin. Men suksessen var tveegget. For skaperne av Stuxnet ble overmodige, og mistet til slutt kontrollen over programmet de hadde skapt.

Ormen rømmer. Stuxnet var en digital orm. Den var designet til å kunne spre seg fra maskin til maskin uten at databruker trengte å gjøre noe aktivt. Dette i motsetning til et datavirus, hvor en bruker må lures til å trykke på en lenke eller godta en nedlastning. I den første utgaven av programmet var denne bevegelsesfriheten noe begrenset. Men etter hvert ble en ny utgave av Stuxnet sluppet, uten så tydelige begrensninger. Dermed spredde den seg som ild i tørt gress til stadig flere maskiner på det åpne nettet.

– Det var det som gjorde at Stuxnet ble avslørt, sier Zetter.

Selv om det bare var sentrifugemaskinene som ble angrep, var etter hvert millioner av datamaskiner infisert av ormen. I 2010 oppdaget noen ansatte i et antivirusselskap i Hviterussland den underlige programvaren da de undersøkte noen datamaskiner som hadde kræsjet.

På grunn av denne blunderen hadde ikke bare  amerikanerne og israelerne avslørt sitt eget våpen, de hadde vist sine potensielle fiender hvor fremtiden for digital krigføring lå. Noe som kunne slå hardt tilbake på dem selv.

Jeg vil ikke være en som sprer unødvendig redsel. Men infrastrukturen er sårbar

—   Kim Zetter

Arven fra ormen. Nå, nesten ti år etter at Stuxnet ble sluppet løs på nettet, har programmet en komplisert virkningshistorie. Ormen beviste at det var mulig å gjennomføre sofistikerte angrep på en fiendes infrastruktur, bare med datakode. Men det er usikkert hvorvidt programmet egentlig klarte oppdraget det var skapt for å gjennomføre, mener Zetter.

– Det er forskjellige analyser av det. Det tidligere lederen for Mossad - Israels etterretningstjeneste - sa han trodde det satte det iranske programmet tilbake i tre år. Andre mener 18 månder. Men Iran kom seg nokså fort, sier hun.

Da Stuxnet ble oppdaget økte de produksjonen av anriket uran for å kompensere for angrepet. Samtidig, etter Stuxnet kunne iranerne aldri vite om de faktisk var under angrep eller ikke.

– Etter Stuxnet var det alltid en mulighet for at det foregikk nye former for skjult digital sabotasje. Så fra da av måtte iranerne alltid gå rundt og undre på det.

– Så hva tror du arven etter Stuxnet-angrepet er?

– Jeg tror dette var en slags bekreftelse av en idé – på samme måte som Aurora-testen – for myndighetene. Da det ble avslørt, ble det klart at dette var en brukbar metode. Det beviste at dette var noe som kunne bli gjort på en kontrollert måte.

– Så hvor redde bør vi være for vår nasjonale infrastruktur?

– Jeg vil ikke være en som sprer unødvendig redsel. Men infrastrukturen er sårbar, sier Zetter.

Det har skjedd flere angrep siden Stuxnet. I desember 2015 ble strømnettet i deler av Ukraina koblet fra under konflikten med Russland. Dette angrepet førte ikke til varige skader. Strømmen kom tilbake igjen etter fem-seks timer. Men hadde angriperne brukt samme taktikk som under Aurora-testen, og forsøkt ikke bare å slå ut, men ødelegge strømnettet, ville store deler av landet ha blitt lammet i lang tid.

Lite sofistikerte koder. Det ser altså ut som USA og Russland er villige til å bruke denne type taktikk. Men hvem andre bør vi frykte?

– Det er et spørsmål om evne. Stuxnet var ekstremt avansert, det er bare noen land som kan gjøre det. Russland, Kina, kanskje Storbritannia og Frankrike. Andre ønsker det, men det krever en hel masse ressurser, bare for å teste et slikt angrep. Samtidig, Stuxnet var designet for å gjøre veldig subtil skade.

– Ja, de ville ikke at de som ble angrepet skulle forstå hva som skjedde. Men om du bare vil gjøre skade?

– Ja, om du ikke bryr deg om at angrepet blir oppdaget, og du bare vil gjøre stor og alvorlig skade, så trenger ikke angrepet være så nøye planlagt eller så sofistikert, sier Zetter.

Den store vendingen. Stuxnet var et våpen til bruk i digital krigføring. Men teknikkene det brukte, var tatt fra den digitale overvåkningen. Stuxnet spredde seg til mange maskiner, og en mulighet er at disse infiserte maskinene ble sårbare for amerikanske overvåkningmyndigheter. Samtidig med Stuxnet begynte amerikanerne sin storstilte innsamling av metadata om nett- og telefonbruk fra millioner av amerikanere. Da Edward Snowden offentliggjorde dette i 2013, fikk det store ringvirkningener: IT-selskapene, som Facebook, Google og Apple, begynte å følge etter folkeopinionen som var fortørnet over avsløringene. Dermed begynte de å tilby lett tilgjengelig kryptering til sine brukere. Dette endret hvordan det var mulig å samle inn store datasett om hele befolkninger. Derfor begynner nå overvåkere og cyber-krigere å tenke nytt.

– Vi ser allerede nå frustrasjonen til myndigheten når det gjelder hvordan de kan sanke inn data. Flere og flere selskaper, som Whatsapp, krypterer data. Jeg tror det blir vanskeligere for myndighetene. De må begynne å bli mer fokuserte i hvordan de overvåker, sier Zetter.

De har fortsatt muligheter til å hacke seg inn i systemer, men metodene er annerledes, og vanskeligere å sette ut i livet i stor skala.

– De må bli mye mer detaljerte og presies i sin overvåkningen. Og myndighetene vil ikke det. De vil ha mulighet til masseovervåkning.

I tillegg tror Zetter at fortidens overvåkningsmetoder kan være viktige, selv nå i den digitale tidsalderen.

– Det alltids den gode gamle måten å gjøre hemmelige operasjoner på: Å plante en muldvarp i gruppen du vil undersøke.

Mer fra Aktuelt