Krisberedskapsmyndigheten gick under våren ut och varnade för en ny trend av intrångsförsök mot informationssystem som är av betydelse för svenska nationella intressen. Sveriges it-incidentcentrum, Sitic, publicerade genast rekommendationer på sin webbplats.
– Vi har sett att liknande attacker har skett i andra länder, bland annat i Storbritannien, säger Peter Wallström på Sitic. Det allvarliga i dessa riktade försök är att de är skräddarsydda för att få just mottagaren av ett mail eller en länk att tro att avsändaren är legitim eller att ämnet direkt berör mottagaren. Därmed ökar risken för att de som utsätts också agerar på det sätt avsändaren vill.
Sitic är en självständig avdelning på Post- och telestyrelsen som har regeringens uppdrag att löpande bedöma och informera om hot mot it-säkerheten.
– Det är ett ständigt närvarande och pågående hot, menar Peter Wallström, på Sitic.
Det internationella namnet för Sitics verksamhet är CERT, ett Computer Emergency Response Team. CERT-organisationer över hela världen samarbetar och utbyter information. Kontakter och nätverk är en av Sitics stora källor för information. Även leverantörer och myndigheter ingår i kontaktnäten.
En annan informationskälla är de större säkerhetsföretagens rapporter. Sitic abonnerar på information från fyra, fem av de största säkerhetsföretagens publikationer.
I övrigt bygger man sina analyser på öppna publika källor, eller så kallade public domains. Det är en till synes oöverskådlig mängd information för Sitics tio anställda att bevaka. Till sin hjälp har de ett litet program, en scout, som samlar in intressant information utifrån vissa regler. Scouten rapporterar varje halvtimme med den information som kan vara av intresse. Hos Sitic sitter en person dagligen och bevakar dessa rapporter.
Det är ett konstant informationsflöde som ska analyseras och värderas. För att kunna hantera informationen har man förstås rutiner och verktyg.
Varje dag produceras en rapport, en så kallad ”daily”, som sprids internt på Sitic, till europeiska systerorganisationer samt till vissa personer inom försvarsmakten. Informationen där har genomgått en första filtrering av Sitic.
– Vi gör en första filtrering utifrån vår erfarenhet, vår magkänsla, säger Peter Wallström. Om någon information anses tillräckligt allvarlig testar vi den med ett tiotal variabler för att bedöma allvaret.
Man vill inte distribuera varningar i onödan.
– Det är viktigt att vi behåller vår trovärdighet, folk ska helst lyssna när vi varnar, säger Peter.
Varningarna från Sitic kommer i olika former beroende på dess innehåll. Så kallade blixtmeddelanden skickas via e-post till personer som abonnerar på informationen, i dagsläget cirka 500 personer. Vi undrar om det är så blixtrande med e-post verkligen.
– I dagens läge är det ingen större fara om meddelanden dröjer någon timme eller två innan de når fram till mottagarna, säger Peter Wallström.
Det finns de som tycker att Sitic borde ha personal på plats dygnet runt, alla årets dagar men Peter Wallström menar att det inte behövs. Det tar minst ett par dagar innan en säkerhetslucka resulterar i spridning av ett virus.
I det första skedet upptäcks och rapporteras en säkerhetslucka i en programvara. Tillverkaren börjar arbeta med att ta fram en patch.
– Om någon i det här skedet skriver en kod som utnyttjar sårbarheten, det vill säga en exploit, är det ändå inget reellt hot. Det måste till en ”pay load”, en instruktionskod som talar om för exploiten vad den ska göra när den väl är inne i systemet. Om den ska leta upp en viss funktion och utföra en viss uppgift. Först då har vi ett virus, säger Peter Wallström.
Han tar masken Sasser som exempel. Den 13 april 2004 upptäcktes säkerhetsluckan som Sasser sedan utnyttjade. Den 14 april publicerade Sitic sina råd för att täppa till luckan. Samma dag upptäcktes skadlig kod men det var först den 30 april som Sasser-masken spreds.
För Sitics del är uppdraget slutfört när man har uppmärksammat säkerhetsluckan i det första skedet. Om det sedan resulterar i ett virus innebär det ingen direkt uppgift för dem.
– Vi varnar inte för virus. Vi varnar för sårbarheter som virus utnyttjar, påpekar Peter Wallström. I februari fick vi kritik i media för att vi varnade för Nyxem, som sedan inte fick någon nämnvärd spridning i Sverige. Men det är en missuppfattning att vi varnar för virus. I fallet Nyxem blev uppmärksamheten i media så stor att vi beslutade att informera om den, om hur den beter sig och vilka effekter den kan åstadkomma.
Skryt får hackare på fall
Utöver bevakning och rapportering är Sitic även aktiva i att motverka virus och leta sårbarheter. Den senaste tiden har man lagt en del kraft på till exempel botnets och phising. Om Sitic upptäcker ett botnet eller phisingförsök anmäler man det till berörda svenska operatörer. Om det sker hos utländska operatörer meddelar man CERT-organisationer i det aktuella landet.
– Vi planerar att öka aktiviteten på det här området. Det finns också en stor vilja till samarbete internationellt, för att komma till rätta med problemen, säger Peter Wallström.
Med tanke på omfattningen är det en imponerande uppgift att ta sig an. Men Peter Wallström menar att det är information som Sitic stöter på utan svårighet.
– Vi bevakar sådana sidor som innehåller information om hackade svenska sajter. De har ofta ett behov av att skryta om sina bedrifter och då hittar även vi dit, säger Peter Wallerström.
Letar sårbarheter i eget labb
I Sitics lokaler nära Stureplan har man även ett eget labb, vilket tjänar flera syften. Där verifierar man varningar angående säkerhetsbrister och dessutom testas de för att öka förståelsen och finna åtgärder. Labbet hjälper till att upprätthålla kompetensen hos personalen och man letar även aktivt efter nya säkerhetshål i program.
– Vi granskar mjukvara i vårt labb och hittar vi säkerhetshål meddelar vi tillverkaren. Därefter har de möjlighet att ta fram en uppdatering och sedan går vi gemensamt ut och berättar om problemet.
Det är viktigt att informationen presenteras planerat och över hela världen samtidigt, annars är risken stor att någon utnyttjar säkerhetsluckan i väntan på att användarna har uppgraderat.
Granskningarna har gjorts med viss framgång.
– Vi har till exempel upptäckt och undanröjt risker i programmen Apache och e-postklienten Evolution. Det känns mycket bra att kunna göra sådan nytta, och att bidra till communityn, säger Peter Wallström.
Nyttiga säkerhetsverktyg
Sitic har också tagit fram ett antal verktyg för att hjälpa till att höja säkerhetsnivån i Sverige. Bland annat tjänsten Testa lösenordet som ligger på PTS webb, och som har blivit mycket populär.
Peter Wallström berättar att en riskanalysmetod är under utveckling.
– Det behövs, bland annat myndigheter behöver hjälp med att analysera sina system. Vi har utvecklat en som bygger på en amerikansk metod.
Systemet heter Octave och har hittills testats av tre större myndigheter med gott resultat.
På Sitics webbplats finns en matris, kallad Tilde, som visar hur internet mår för tillfället.
– Internet är inte ett moln, så som det ofta illustreras. Det är en vanlig missuppfattning att internet är okänsligt för störningar. Vår Tildematris visar just detta, om det är problem mellan två operatörer så blir det problem i näten, säger Peter Wallström.
Snart kommer en ny, utökad version av Tilde, där rutorna i matrisen blir klickbara. Om man klickar får man mer information om prestanda i näten.
– Vi kommer även att presentera namnen på de olika operatörerna, men först vill vi försäkra oss om att våra mätdata är korrekta.
Kommentatorerna ansvarar för sina egna kommentarer