Den forkerte "Cyberkrig"

I forsøget på at se relevante ud, afholder forskellige organisationer øvelser i "Cyberkrig".

Det har jeg det hverken bedre eller værre med, end at Hjemmeværnet smider med kanonslag en gang om året.

De fleste af disse øvelser handler mere eller mindre om dDos angreb og det er da fint osv. osv.

Men overvej lige hvordan et rigtigt "cyberangreb" der havde til formål at destabilisere et samfund ville se ud.

Hvis angriberen er en eller anden stak mennesker der er forargede over danske aviser, kan det naturligvis godt være relevant at sikre at www.energinet.dk ikke bliver lagt ned.

Men hvis det skulle være et rigtigt angreb, så ville det set helt anderledes ud.

Har man læst sine klassikere ud i krigsførelse, ved man at det bedste angreb er et fjenden slet ikke opfatter som et angreb, for dem forsvarer de sig ikke mod.

Et rigtig cyberangreb vil derfor bare ligne rigtig, rigtig, rigtig sort uheld: Først dør UPSen, så er der en filserver der smider 3 diske, en eller anden PC i bygningskontrollen går i blå skærm og blokerer for styring af lys, varme, ventilation, en grundvandspumpe der stopper, en elevator sætter sig fast, adgangskontrollen loader en 5 år gammel database, hvor den så end har den fra osv.

Det siges at en moderne storby er 3-5 måltider fra anarki og på samme vis er de fleste større organisationer kun fem-ti computere fra intet at kunne lave.

Den virkelige "cyberkrig" trussel er Weinbergers observation: Hvis vi byggede huse som vi skriver programmer, kan en spætte udslette hele civilizationen.

I stedet for at spilde tid & penge på "cyberkrig øvelser" der i bedste militærstil forbereder fodfolket til at vinde den forrige krig, ville det være en meget bedre ide at bruge pengene på at lave tingene ordentligt til at begynde med.

phk

Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Kim Hjortholm

Flame og Stuxnet (http://spectrum.ieee.org/telecom/security/the-real-story-of-stuxnet) var de første eksempel på den cyberkrigsførsel der nævnes i artiklen og mon ikke alle væsentlige globale spillere har noteret sig hvor effektivt det virkede.

Sammenholdt med afsløringerne af NSA massive overvågning, avanceret målrettet installation af 50000 unit stor passiv botnet (http://www.nrc.nl/nieuws/2013/11/23/nsa-infected-50000-computer-networks...), tapning af traffik mellem datacentre er det nok et sikker bud at der for alvor vil ske en militarisering af de virus der laves.

Det ligner helt klart det 2100 århundreds udgave af atom kapløb, i den her virusudgave er det blot meget nemmere at afprøve en lille "bombe".

Tilbage i april var der denne artikel http://money.cnn.com/2013/04/08/technology/security/shodan/ der giver eksempler på hvilke slags "uheld" man kan lave i infrastruktur pga åbne netværk. Jeg kontaktede dengang 3 forskellige installationer i DK da de var genkendelige som nogle af de eksempler der blev nævnt i en af de refererede kilder,kun en af de 3 vedkendte sig der havde været hul i deres sikkerhed.

  • 2
  • 0
#3 Torben Mogensen Blogger

Man kan ikke vente med at sikre et system til efter, det er designet og bygget. Sikkerhed skal indbygges fra starten i et grundlæggende design. Ja, der er sikkert "smarte" features, man bliver nødt til at undvære, systemet bliver lidt dyrere, og det tager lidt længere tid, før man er oppe at køre. Men, for at parafrase endnu et kendt mundheld: “The bitter taste of poor security will long outlast the sweet taste from a cheap price.”

  • 7
  • 0
#4 Martin Bøgelund

I stedet for at spilde tid & penge på "cyberkrig øvelser" der i bedste militærstil forbereder fodfolket til at vinde den forrige krig, ville det være en meget bedre ide at bruge pengene på at lave tingene ordentligt til at begynde med.

"Fool me once, shame on you; fool me twice, shame on me"

Behovet for at bevise - både over for sig selv og for omverden - at man er i stand til at modstå de gamle travere, er på godt og ondt en nødvendighed.

  • 3
  • 0
#5 John Foley

Desværre har Danmark - modsætning til de fleste andre lande vi normalt samarbejder og sammenligner os med - ikke en samlet national tilgang til cyberwar, hvad dette begreb så end måtte betyde. Der findes endnu ikke en samlet dansk national cyberstrategi, selvom EU (i sin startegi udgivet i februar 2013) har opfordret alle medlemslande, herunder Danmark, til at trække i arbejdstøjet. Hvorfor ikke? Ja, det må guderne vide. De danske ansvarlige myndigheder for området giver ikke noget svar. Ved en henvendelse til en række myndigheder, som angiveligt skulle forholde sig emnet, får man intet svar. Det er heller ikke muligt at få en formel og gældende beskrivelse eller definition af begrebet cyberwar, cybersikkerhed el. for den sags skyld, hvad der forstås ved samfundsvigtig kritisk IKT-infrastruktur, som var under angreb i den netop afholdte (6.-7. november)nationale krisestyringsøvelse 2013, hvor et storstilet cyberangreb mod hele det danske samfund var hovedtemaet.

  • 0
  • 0
#6 Morten von Seelen

I stedet for at spilde tid & penge på "cyberkrig øvelser" der i bedste militærstil forbereder fodfolket til at vinde den forrige krig, ville det være en meget bedre ide at bruge pengene på at lave tingene ordentligt til at begynde med.

Det lyder selvfølgelig meget smukt og enkelt. Hvis vi bare kunne overføre denne logik til alt andet her i livet, ville vi ingen problemer have.

Realistisk er det ikke en mulighed blot at starte forfra med alle infrastruktur systemerne, og det vil være alt for dyrt at prøve at sikre/omskrive alle systemerne.

Indtil der begynder at gro pengetræer, og vi derved får råd til at lave alt forfra, er det vel en god idé at lave cyber-øvelser, som simulerer nogle af de angreb vi kan udsættes for... selvom det ikke er den optimale løsning på sikkerhedsproblemet, og øvelserne ikke afspejler de nyeste trusselsbilleder.

  • 1
  • 0
#8 John Foley

Enig i dine betragtninger om at det er en god idé at afholde cyberøvelser, men de skal afholdes på et legitimt og ordentligt grundlag. Indtil der er udarbejdet en samlet national strategi, der tager alle relevante aktører med (også relevante private virksomheder), forekommer det mindre hensigtsmæssigt, at forholde sig til "cyberwar", der ikke endnu er hverken defineret eller en fælles accept af. Cyberwarfare er et sikkerhedspolitisk emne, som Statsministeriet, Indenrigsministeriet, Justitsministeriet, Forsvarsministeriet og andre sammen må forholde sig til. Det er der desværre ingen instanser der gør. I stedet for graver man grøfter og opbygger volde, i stedet for at komme med brugbare løsninger til gavn for befolkningen.

  • 0
  • 0
#9 Ove Larsen

Hvis den nationale strategi er - at forsvare os allesammen og vores allesammens infra-struktur - er cyberwar ikke midlet - men cyber-defence. Cyberwar er i bedste fald et taktiskt værktøj - men taktik uden strategi er den længste vej til sejr - så det der er brug for - er en cyber-defence strategi - og så holde os fra cyberwar som offensivt værktøj. Som vi så med krigs-tossernes STUXNET - der slap ud - og fik inficeret blandt andet amerikansk virksomheds systemer - så er en militarisering af internettet (som nogen kalder cyberwar) absolut ikke ønskeligt.

  • 1
  • 0
#10 John Foley

Strategien bør omfatte og benævnes Danmarks It-og cybersikkerheds-strategi, og enig i at her bør udtrykket "Cyberwar" ikke medtages. Vigtigst er dog, at vi får en samlet national strategi, der ikke kun involverer militære styrker, men også andre, der har aktier i Danmarks sikkerheds- og forsvarspolitk (se min forrige kommentar). Men en defensiv del alene, som du foreslår, tror jeg bliver vanskelig at overbevise politikerne om. De har jo allerede besluttet, at Danmark også skal kunne besidde en offensiv kapacitet. Læs f.eks. det nye forsvarsforlig, der afsætter betydelige midler (læs: mange penge)til også at have offensive cyberkapaciteter. Så det løb er kørt. Desværre vil du måske nok sige, men sådan er virkeligheden.

  • 0
  • 0
#11 Claus Futtrup

"bedre ide at bruge pengene på at lave tingene ordentligt til at begynde med."

Jo tak, det lyder fint. For veluddannede dataloger er det måske indlysende hvad dette helt konkret betyder, men for alle os andre som bare tager et værktøj i brug og forsøger at udvikle noget programkode, hvad skal man helt konkret gøre? Jeg spørger fordi jeg ikke kender svaret. Min uddannelse er indenfor maskinkonstruktion, ikke datalogi.

Begrebet "ordentligt" er meget fleksibelt. Hvis jeg med udgangspunkt I min egen uddannelsesmæssige baggrund skulle definere ordentligt, bliver det noget med at tænke over hvad der kan gå galt ... for folk som ikke arbejder med IT og programmering som hovedfag, bliver vi meget hurtigt ganske svage på dette punkt når vi skal forestille os hvad der er ordentlig skik indenfor IT.

Findes der en norm indenfor IT, svarende til f.eks. byggebranchens last-normer? (og hvis der gør - hjælper det noget?)

/Claus

  • 2
  • 0
#12 Poul-Henning Kamp Blogger

Realistisk er det ikke en mulighed blot at starte forfra med alle infrastruktur systemerne, og det vil være alt for dyrt at prøve at sikre/omskrive alle systemerne.

Det passer simplethen ikke. Det er billigere at omskrive dem, så de bliver sikre og får driftsudgifter der har en faktisk kontakt med deres funktionalitet og vigtighed.

Case in point: Rejsekortet der koster 150 mio mere end papir/pap.

... om året.

  • 10
  • 0
#15 Anonym

Tænker lidt.. Da der var en terrorøvelse sidst, blev min eks-kone ifølge hende selv varslet 3 uger i forvejen. At de skulle gøre klar til et stort antal sårede.. Så folk skulle aflyse aftaler, indkalde ekstra personale og rydde pladser til disse mennesker.. Konklusion : Beredskabet virkede..

Gad vide, om man traditionen tro ( det var nemlig ikke første gang ) havde varslet instanserne i god tid inden, så man kunne ændre vagtskemaer og indkalde folk..

Personligt er jeg mere tilhænger af Red Cell strategien, hvor man får folk til at angribe målene og teste, om beredskabet rent faktisk virker. Man kan derefter evaluerer og rent faktisk få noget fornuftigt ud af data, i stedet for "hvis vi bliver varslet 3 uger i forvejen, så virker beredskabet".

Eller måske er der bare tale om at lulle befolkningen i søvn?

( Nå, nu har jeg vist pisset PET etc. nok af for i aften.. )

  • 5
  • 0
#16 Jens Henriksen

tommelfingerregler

Enig, men netop derfor er Statens IT-projektråd mere af det der er problemet, og ikke en del af løsningen på de vanvittige forretningsbeslutninger. Et konkret eksempel: To år og 10-12 millioner for at forberede et projekt hvis minimalløsning til afhjælpning af den uacceptabel risiko kunne være etableret for 16 mio. Det er stadig år fra at levere og risikoen er under udløsning.

Magten til at træffe beslutninger skal ned på det niveau, hvor man ved hvad man laver og hvor det ikke er de djøf-definerede politiske omskrivninger af virkeligheden der skal kodes efter.

Apropos Rejsekortet: Den dag Rejsekortet bliver eneste mulighed, køber vi bil nr. 2 og 3...

  • 0
  • 0
#17 Henrik Mikael Kristensen

Det første trin i en krig handler vel om at ødelægge strategiske installationer: Peg missilerne de rigtige steder hen for at sætte fjenden ud af spillet med nogle velplanlagte skud. Det plejer at handle om lufthavne, jernbanebroer, elværker, vandforsyninger, osv.

IT og infrastruktur skal vel derfor designes, så det fungerer så decentralt som muligt. Små systemer der er lette at duplikere, osv. Måske kan de individuelt ødelægges, men er møgbesværlige at udrydde.

Case in point med NemID: En dreng der keder sig, kan med nogle scripts vælte det. Det er allerede demonstreret. Det ville aldrig kunne væltes af dén årsag, hvis hver privatperson selv rådede over sine private nøgler til digital signatur.

  • 2
  • 0
#18 Peter Stricker

Personligt er jeg mere tilhænger af Red Cell strategien, hvor man får folk til at angribe målene og teste, om beredskabet rent faktisk virker. Man kan derefter evaluerer og rent faktisk få noget fornuftigt ud af data, i stedet for "hvis vi bliver varslet 3 uger i forvejen, så virker beredskabet".

Ja, det giver helt sikkert en mere realistisk øvelse. I hvert fald første gang, og måske også anden og tredje gang. Men folk finder efterhånden ud af, at man ikke behøver at smutte fra sin datters konfirmation eller skynde sig hjem fra Bilka bare for at tage til endnu en øvelse.

Derfor er det dødhamrende vigtigt, at lade de involverede være fuldstændig sikre på, at hvis de en dag bliver indkaldt hvor de ikke på forhånd har været adviseret, så er det fordi det er alvor.

  • 2
  • 0
#19 Erik Bruus

Vi må bare håbe at cyberangreb, ikke rammer beredskabet. Kommunikationen er sikkert blevet meget bedre, og med Tetra, som sikkert har al den backup der er mulig, er man godt dækket ind. Jeg er dog glad for min VHF / UHF radioer, som også kan køre ved strømsvigt.

For et stykke tid siden, gik strømmen, og var væk i næsten 8 timer, Telefonnettet var også nede, og mobilnettet brød sammen efter kort tid. Der gik 2 dage før det hele var normalt igen. Her ville Tetra ikke hjælpe mig, eller mine naboer.

Hvis der pludselig skulle opstå et alvorligt problem, skade, sygdom mm. så ville man ikke kunne få fat på hjælp. Jeg sagde også til mine naboer, er der noget alvorligt, så kom til mig, så kalder jeg efter hjælp i nabobyen.

Se så er det ikke så tosset med en radio.

mvh, Erik.

  • 1
  • 0
#20 Anonym

Jeg syntes det absolut mest morsomme er at de - myndighederne - frygter at el-nettet bliver slukket i et cyber-angreb. Hvis det er det der sker kan man godt regne med at der kommer et reelt angreb. Slukker man strømmen slukker man også for "slagmarken", her internettet. Uden strøm, ingen servere. Ingen servere, intet internet.

Men det kunne da være sjovt at slukke mobilnettet i København så man kan sidde og skrive indlæg på v2 uden at blive forstyrret :-)

  • 2
  • 0
#21 Deleted User

Jeg har undret mig over det meget store antal "uheld", de danske kritiske infrastrukturer har haft i de seneste 12 måneder: - Opdatering af backbone switches hos TDC/YouSee. - Dankortsystemet, der smider sig på ryggen i tide og utide. - Mobilselskaber der er nede i flere dage i træk.

Jeg synes at vi forbavsende sjældent får en god forklaring.

  • 2
  • 0
#23 Johnny Olesen

Jeg er glad for mine radioer

Vi må bare håbe at cyberangreb, ikke rammer beredskabet. Kommunikationen er sikkert blevet meget bedre, og med Tetra, som sikkert har al den backup der er mulig, er man godt dækket ind. Jeg er dog glad for min VHF / UHF radioer, som også kan køre ved strømsvigt.

For et stykke tid siden, gik strømmen, og var væk i næsten 8 timer, Telefonnettet var også nede, og mobilnettet brød sammen efter kort tid. Der gik 2 dage før det hele var normalt igen. Her ville Tetra ikke hjælpe mig, eller mine naboer.

Hvis der pludselig skulle opstå et alvorligt problem, skade, sygdom mm. så ville man ikke kunne få fat på hjælp. Jeg sagde også til mine naboer, er der noget alvorligt, så kom til mig, så kalder jeg efter hjælp i nabobyen.

Se så er det ikke så tosset med en radio.

mvh, Erik.

Du er faktisk inde på noget Erik.

Sagen er, at de danske myndigheder ikke stiller krav til f.eks. mobilselskaberne og andre udbyderne af internet. Det betyder i praksis, at din mobiltelefon bliver ubrugelig efter 8-10 timers strømsvigt - i nogle områder måske allerede efter 4-5 timer.

Men så længe myndighederne ikke stiller krav, så er der ingen teleselskaber der vil investere i den nødvendige backupstrøm. For det er jo ikke sikkert, at der bliver brug for dem.

En meget stor del af det civile bredskab benytter dog i meget stor udstrækning mobiltelefoni, hvilket ikke lige frem er særligt betryggende den dag store længerevarende strømafbrydelser rammer Danmark.

  • 1
  • 0
#24 Erik Bruus

Ja det er altid rart at have noget ekstra til at kommunikere med. Som radioamatør har jeg altid fået fortalt dette råd: I tilfælde af naturkatastrofe eller krise, lyt på 145,500 MHz. Hvis muligt indstil også din radio på din lokale repeaterfrekvens.

Dette er jo selvfølgelig nemt for radioamatører, da 95% (bare mit gæt), har mulighed for at gøre dette. Alle andre kan jo anskaffe en scanner, eller en VHF radio, og kan så sende på den i nødstilfælde. Det mener jeg godt man må.

Ja Johnny, det er ikke til at vide hvornår systemerne svigter, og jeg er bange for du har ret. Der er måske kun til få timers batteridrift, hvis der i det hele taget er backup. mvh, Erik.

  • 0
  • 0
#26 Andreas Bach Aaen

Hvor ser jeg mange redundante cluster systemer med automatisk failover, der så igen er afhængige af et spejlet SAN med en central database på. Det er nemt at få store redundante systemer til at gå ned, hvis applikationerne er dumme og det omkringliggende system skal klare ærterne for dem.

Hvis applikationerne derimod er skrevet til at data er distribueret og ikke altid i sync, så er det nemt at starte en anden uafhængig maskine op og lade den overtage styringen. Det kræver noget mere af applikationerne, men de omkringliggende system behøver ikke nær så kompleks et setup. Rigtig mange fejl kan modvirkes med et sådant system, hvor meget kan køre videre selv om der er dele der er gået ned. Det er sagen uvedkommende om nedbrudet skyldes defekt hardware, en fejlkonfiguration eller et cyperangreb, der skal ligne en fejl. Altså lav applikationerne fejltollerante og spar på den ydre kompleksitet og afhængighed.

  • 0
  • 0
Log ind eller Opret konto for at kommentere