I siste halvdel av oktober ble Nobelkomitéens digitale infrastruktur offer for det som ble omtalt som et avansert, målrettet angrep.
Hva er et avansert, målrettet angrep?
"... a type of offensive action characterized by preplanned co-ordinated employement of firepower and manoeuvre to close with and destroy the enemy." 2
Tygg litt på formuleringene; «destined for one specific organization» og «preplanned coordinated employement of firepower»!
Dette er helt andre formuleringer enn de vi vanligvis hører når sikkerhet og trusler i tilknytning til internett omtales - Virus og andre «trusler» på internett treffer tilfeldig - De er sjelden ment spesifikt for hverken Kari eller Ola men treffer tilfeldige maskiner som kanskje ikke er fullgodt beskyttet. Er de en trussel eller en risiko?
Hvorfor er det spesiellt at Nobelkomitéen blir en specific organization destined to be targeted by a preplanned and coordinated attack?
Totalbildet av et målrettet angrep er bygget opp av noen faktorer som kanskje kan hjelpe oss å forstå bedre. En slik angriper har:
- Kapasitet. Teknisk kapasitet og nødvendig kompetanse til å anvende denne
- Evne til å lede angrepet (planlegge og gjennomføre) - utøve "kommando og kontroll", K2.
- VILJE til å projisere sin kapasitet og evne mot et mål.
- Sist men ikke minst: EN INTENSJON! Angriperen ønsker å oppnå noe!
Noen har omtalt angrepet på Nobelkomitéen som en "script-kiddie-like"-sak 3 men la det være helt klart - dette er mer alvorlig enn som så! Denne angriperen er ikke en «(usual) cyber criminal» på jakt etter profitt.
Hvis ikke profitt, hva er da angriperens intensjon?
Jeg kunne selvsagt vært forsiktig med å legge for mye i ordene «avansert» og «målrettet» men jeg antar at Aftenpostens kilde, Frank Stien i Telenor Security Operations Center (TSOC) i Arendal, har mer enn en indikator på at dette er riktig betegnelse på dette angrepet.
Jeg tror ikke TSOC bruker slike ord tilfeldig - Spesiellt i en sak der man i tillegg har funnet det nødvendig å varsle Nasjonal Sikkerhetsmyndighet (NSM) og dennes underbruk Norwegian Computer Emergency Response Team, NorCERT. TSOC og andre i Telenor har nok diskutert lenge før man har valgt denne formuleringen!
Og hvordan reagerte NSM?
– Vi gjør ikke noe spesielt, men følger med på sidene til Nobelinstituttet, sier informasjonssjef Kjetil Berg Veire i NSM til NTB.
Det er NorCERT, Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon, som følger opp datasikkerheten i Norge. Organisasjonen drifter og organiserer et nasjonalt sensornettverk på internett for å forebygge og informere om alvorlige trusler på internett.
Nobelkomitéen kan neppe kategoriseres som samfunnskritisk infrastruktur men er i fjerde kvartal hvert år en av Norges viktigste internasjonale profiler. Det internasjonale samfunn har sannynsligvis betydelige problemer med å skille mellom Nobelkomitéen og det offisielle Norge (bl.a. utnevner Stortinget komitéens medlemmer, store deler av regjering og storting deltar på prisutdelingen etc etc).
Minst en fremmed stat - en svært kapabel i tillegg - har oppfattet årets fredspristildeling (til Liu Xiaobo) som en en pris fra den norske regjering, ikke en pris fra Nobelkomitéen.
Mot dette bakteppet; Hva betyr et angrep på Nobelkomitéen? Hvilken intensjon har angriperen?
Og NSM gjør ikke noe spesiellt! (men de la ut en sak om HVORDAN du blir angrepet, ikke hvorfor...)
Jeg har forsøkt å dykke ned i hva NSM og NorCERT er og kommet til følgende:
NSM, med sine ca 130 ansatte, fyller mange viktige funksjoner knyttet til nasjonal sikkerhet så som bl.a. informasjon, personkontroll og kryptoforvaltning. NSM som sådann er ikke problemet - problemet heter NorCERT!
NorCERT består av ca 20 personer - Muligens forsterket med et antall vernepliktige (!) - og bemanner et «Operasjonssenter». Operasjonssenter høres imponerende ut: Til enhver tid bemannet med minst tre personer: En hendelseskoordinator, en analytiker og en vakthavende.
For drift 24/7/365 hevdes det fra faghold at man må ha mellom seks og åtte skift for å drive iht Arbeidmiljøloven. HELE NorCERT er med andre ord opptatt med drift av operasjonssenteret... tre personer er på jobb, resten har pålagt fritid. Hvem skal da utøve NorCERTs andre funksjoner?
Hvorfor var det Telenor som avdekket angrepet på Nobelkomitéen, ikke NorCERT?
NorCERT som til enhver tid skal ha et oppdatert teknisk trusselbilde, som skal varsle om alvorlige angrep, trusler og sårbarheter, NorCERT som skal koordinere respons på alvorlige IT-sikkerhetsangrep mot viktig infrastruktur (hvem drifter serverne for Nobelkomitéen?), NorCERT som skal forebygge alvorlige angrep, og til slutt:
NorCERT som skal innhente informasjon om alvorlige sikkerhetstruende hendelser på Internett!
Men NSM/NorCERT «gjør ikke noe spesiellt...»
Når ble NSM/NorCERT varslet av TSOC og var angrepets omfang kjent på det tidspunktet?
Før omfanget var kjent må angrepet uansett falle inn i kategorien «alvorlige sikkerhetstruende hendelser på Internett» som potensiellt kunne ramme det offentlige Norge - hvor IT-sikkerhetskompetansen ikke kan sies å stå til troende. (DSS og FAD var nylig gjenstand for en smule oppmerksomhet knyttet til datasikkerhet – Av en alvorsgrad som ministeren mener departementet ikke er i stand til å håndtere selv!)
Når reagerte NorCERT - Hvor lang tid tok det fra TSOC varslet til NSM bestemte seg for ikke å gjøre noe spesiellt - Det å ikke gjøre noe er også en beslutning som bør gjennom de vanlige beslutningsprosessene! Innhentet NorCERT informasjon fra TSOC?
TSOCs nyhet ble etterhvert postet på bl.a. SANS4 og var «the talk of the town» den dagen. NorCERT, med tre personer på vakt hele døgnet, må ha fattet interesse for angrepet på Nobelkomitéen!
Nok om angrepet. NorCERTs bemanningsbilde og offentlige profil peker i retning av at organisasjonen er en IT-driftsrådgiver som fokuserer på virus-signaturer, patching og brannmurer, organisasjonen blir ikke trusselrettet, ikke fremadrettet - Den blir ikke forebyggende men reaktiv - Operasjonssenteret blir et reaksjonssenter! Og utøver funksjoner som kommersielle aktører gjør bedre og med større troverdighet.
Trenger vi NSM/NorCERT?
God helg!
2 APP-6A - Military Symbols for Land Based Systems
3 http://techblog.avira.com/2010/10/27/new-firefox-exploit-in-the-wild/en/ "It is currently unclear why obviously a script-kiddie-like malware abuses such a valuable 0-day vulnerability; usually cyber criminals abuse them for profitable malware."
4 http://www.sans.org/