Sikkerhedsforsker: »En false flag-teknik behøver ikke være perfekt for at være effektiv«
Der kommer til at være flere tilfælde, hvor lande planter beviser i forbindelse med cyberangreb. Såkaldte false flags.
Det spår sikkerhedsforskeren Jake Williams, som Version2 mødte på konferencen Black Hat Europe, der fandt sted i London i sidste uge.
»Jeg forventer, at flere nationalstater begynder at plante beviser, såvel som at de bliver bedre til at slette deres egne,« siger Jake Williams, der til daglig arbejder med forensics hos Rendition Infosec, som han også er medstifter af.
'Forensics' dækker i denne sammenhæng over kunsten at opklare, hvad der er foregået i forbindelse med en cyberhændelse.
Falske flag vil her sige, at en angriber – eksempelvis en nationalstat – forsøger at plante beviser for at få det til at se ud, som om det i virkeligheden er en anden, der står bag et angreb.
»En false flag-teknik behøver ikke være perfekt for at være effektiv,« siger Williams.
Williams' pointe er, at selvom en false flag-operation i sidste ende ikke overbeviser en erfaren efterforsker om, at det er et forkert land, der står bag et cyberangreb, så kan de teknikker, der er forbundet med den slags operationer, gør det særdeles vanskeligt og tidskrævende at finde ud af, hvem der faktisk står bag.
»Lad os sige, det faktisk er Frankrig, og at de prøver af false flag'e Rusland. Jeg tror, det er meget svært at overbevise en erfaren forencis-analytiker, som er vant til at have med anti-forensics at gøre ... at overbevise ham om, at det er Rusland,« siger Williams og fortsætter:
»Men jeg tror, det er fuldstændigt muligt for Frankrig at forhindre mig i at konkludere, at det var Frankrig.«
Ikke alene forventer Jake Williams en stigning i nationalstater, der planter beviser i forbindelse med cyberangreb, han forventer også en stigning i antallet af angreb i den fysiske verden mod hackere. Angreb i den fysiske verden kaldes også kinetiske angreb.
Han nævner i den forbindelse en hændelse fra tidligere på året, hvor et israelsk bombeangreb var rettet mod en bygning, der ifølge Israel husede hackere. Wired har mere om den historie her.
»Tydeligvis er cyberkrig blevet en ting. Det kan vi ikke putte tilbage i æsken. Efterhånden som flere nationalstater bliver involveret i det, så tror jeg, vi kommer til at se en større sammensmeltning af cyber- og kinetisk krig,« siger han.
Artifacts
Når Jake Williams mener, det er lettere sagt end gjort at snyde med false flag-operationer, så – dygtige – efterforskere faktisk ender med at være overbeviste om, at det er en anden aktør end den reelle, der står bag et angreb, hænger det sammen med, at der er mange bits og bytes, en angriber skal holde styr på for at undgå at efterlade spor.
Williams taler om en 'chain of artifacts.' Et simplificeret eksempel på sådan en kæde kan være, at en angriber i forsøget på helt at skjule et angreb sletter logfiler ét sted i systemet, men misser et andet sted.
Ved en false flag-operation kan det omvendte gøre sig gældende. Angriberen får plantet bevis ‘a’, men ikke b, c og d, som under normale omstændigheder ville ligge der, hvis ‘a’ er til stede.
Som et eksempel på, hvordan ‘a’ og ‘b’ kan hænge sammen, nævner Jake Williams, at hans virksomhed for nylig var involveret i efterforskningen af en insider-sag i en anden virksomhed.
Her havde en teknisk kyndig person, altså insideren, forsøgt at skjule ændringer i et NTFS-filsystem. Men vedkommende havde ikke taget højde for den såkaldte USN Journal forbundet med NTFS. Og det afslørede, at der var var blevet pillet ved filsystemet.
»Så det, man har her, er en diskrepans, som kun kan forklares med ...«
Tampering (altså at nogen har pillet ved data, red.)?
»Præcis. Med tampering.«
I snakken med Version2 fremhæver Jake Williams desuden væsentligheden af data i forbindelse med opklaringen. Han peger på, at det – nok ikke helt overraskende – er noget lettere at finde frem til, hvad der faktisk er foregået på et netværk og endpoints, hvor der er logs.
Dermed ikke sagt, at manglen på logs gør det lettere at gennemføre en false flag-operation, hvis formålet er at give en syndebuk skylden. Ved mangel på logs vil en god efterforsker ifølge Williams sige, at der mangler data til at kunne sige noget med rimelig sikkerhed.
»Blame it on China«
At der kan være en del elementer at jonglere med i et false flag-angreb, fremgik også af den præsentation, Jake Williams holdt på Black Hat om emnet.
Desværre var Version2's ressourcer optaget andetsteds, da selve præsentationen fandt sted, men Williams har sendt os sine slides, så vi kan kigge lidt med alligevel.
Præsentationen bærer navnet 'Conducting a Successful False Flag Operation (Blame it on China)'.
Siderne i præsentationen viser flere tips og tricks til, hvordan en angriber kan få en efterforsker til at tro, at det er en anden end angriberen, der står bag.
Et af de konkrete og umiddelbart ganske simple eksempler i Williams' præsentation af false flag-teknikker handler om en banal ændring af sprogindstillinger i en browser. En anden teknik handler om at ændre metadata i dokumenter.
Der er flere andre fif i præsentationen, som – set med disse øjne – er af mere teknisk kringlet karakter.
Trods de konkrete eksempler så er præsentationen dog (selvsagt) ikke tænkt som en false flag-opskrift, men et forsøg på at skabe awareness blandt tilhørerne, så de ikke lader sig narre.
Det bliver understreget på en af de sidste slides med ordene:
»Real world attackers are using these techniques today, be ready for them in your investigations.«
Den opfordring er hermed givet videre.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
