Cyberattacker de nya kärnvapnen – ”Kapprustningen har bara börjat”

– I början på 90-talet skrevs alla virus av uttråkade tonåringar och vi skulle aldrig trott att underrättelsetjänster, militärer och poliser skulle börja skriva och använda skadeprogram, säger Mikko Hyppönen.

Han är forskningschef på finska F-Secure och har precis avslutat ett föredrag på Svenska mässan i Göteborg. Konflikter i cyberrymden är något alla ägnar sig åt nu, säger han där han sitter framåtlutad i en snurrstol i utkanten av mässområdet.

– Då hade det låtit som science fiction, men i dag är det verklighet. Vi är till 100 procent mitt i en cyberkapprustning. Varje land är involverat. Varje militär. Varje underrättelsetjänst.

Det finns goda anledningar till det. Mikko Hyppönen säger att cyberattacker har tre saker som talar för dem. De är effektiva, de är billiga och det går alltid att förneka att man är inblandad.

Läs också: Försvaret rustar för cyberkrig – ska slå tillbaka mot it-attacker

– Om du skickar ett stridsflygplan för att bomba ett annat land är det ju rätt svårt att förneka. Alla såg det hända och planet har din flagga på sig. Men ta Stuxnet som användes för att förstöra kärnanrikningssystem i Iran. Det går att förneka den attacken för alltid, säger Mikko Hyppönen.

För länder hackar varandra hela tiden. Mikko Hyppönen vill inte använda begreppet cyberkrig – det finns ingen formell krigsförklaring mellan USA och Nordkorea trots att de ständigt angriper varandra digitalt. Men spioneri och sabotage pågår ständigt, nu även i cyberrymden.

– Jag minns hur det var att vara tonåring på 80-talet. Jag oroade mig varje dag för ett kärnvapenkrig som skulle bli jordens undergång. Det hade kunnat hända, men nu blev det inte så. Men nu när vi lämnat kapprustningen om kärnvapen har vi dykt rätt ned i en cyberkapprustning. Vi tillbringade 60 år med kärnvapenupprustningen, jag tror mycket väl att vi kan tillbringa de kommande 60 åren med en cyberkapprustning, säger Mikko Hyppönen.

Frågan är hur ländernas cyberupprustning påverkar resten av samhället. Det finns redan många uppmärksammade attacker och dataintrång som tros ha genomförts av statliga aktörer. Wannacry-viruset, Equifax-hacket och dataintrånget hos USA:s personalmyndighet OPM är bara några.

För enskilda företag är det viktigt att hålla koll på riskerna, menar Mikko Hyppönen. Det finns bolag som är måltavlor för statliga hackare – och de måste veta om det.

– Spioner kommer inte attackera din lokala pizzeria, men däremot den lokala flygplanstillverkaren, säger Mikko Hyppönen.

– Företagen måste börja göra ordentliga riskbedömningar, fortsätter han. Det är bästa sättet att lista ut vem de ska oroa sig för. Det handlar i stort sett om att tänka igenom vad vårt företag sysslar med, vilken sorts data vi har och vem som skulle vilja stjäla vår data eller skada oss.

Oljebolag måste oroa sig för aktivister, hotell för brottslingar som vill åt kundernas kortuppgifter och företag som säljer varor till militären eller sitter på känsliga uppgifter måste oroa sig för nationella spioner.

Men tittar man på statligt stödda attacker mot it-företag drabbar de ju ett stort spann av bolag. Från Yahoo till Equifax?

– Och de är alla perfekta mål för underrättelsetjänster. Det hade de vetat om de bara gjort sin hotbildsanalys, säger Mikko Hyppönen.

Så de var dåligt förberedda?

– Det vill jag egentligen inte säga. Men jo, de var nog dåligt förberedda.

Men det finns ett tydligt undantag när det kommer till statligt understödda attacker – Nordkorea.

– Nordkorea spelar ett helt annat spel. De är det enda landet jag sett som inte bara utför attacker för att stjäla information och sabotera utan för att tjäna pengar […] få länder är beredda att sjunka så lågt att de infekterar sjukhusdatorer med ransomware och kräver bitcoin för att låsa upp dem, bara för att de har dåligt med pengar, säger Mikko Hyppönen.

Läs också: Forskare har knäckt WPA2 – krypteringen som skyddar ditt wifi

Han nämner Wannacry-viruset och attacken mot banksystemet Swift som två exempel där nordkoreanska hackare har pekats ut som skyldiga.

Så hur ska företagen skydda sig?

– En av mina hobbys är att spela flipper. Jag har ett spel hemma. Ghostbusters, baserat på filmen från 1984. När jag spelar sjunger det hela tiden ”who you gonna call?”. När du ser ett brott ringer du polisen. När du ser ett cyberbrott ringer du polisen. Men när cyberbrottet inte utförts av en brottsling, utan av ett annat land – ”who you gonna call?”, undrar Mikko Hyppönen.

– Polisen? Militären? Vem ska de drabbade företagen vända sig till? Vi har inget bra svar på det, för det här är en helt ny situation.

Cyberattacker är inte bara något som sker mellan länder. Sverige utreder just nu om brottsbekämpande myndigheter ska få rätt att hacka datorer och installera trojaner. Det som kallas hemlig dataavläsning.

Den typen av lagstiftning finns redan i flera europeiska länder och i USA. Och den väcker flera nya frågor.

– Jag har faktiskt inget problem med att polisen använder trojaner mot sina egna medborgare, så länge det finns transparens. Om vi medborgare ger poliserna sådana drastiska rättigheter måste vi få reda på hur effektiva de är, säger Mikko Hyppönen.

Han menar att även om brottsbekämpande myndigheter inte kan berätta exakt hur de använder trojaner, eller vilka verktyg de har till sitt förfogande, kan de åtminstone visa resultat. Som att släppa årliga rapporter över hur många de attackerat, och hur många brott som tvångsmedlen hjälpt till att lösa.

– Om det visar sig att de flesta som infekteras av trojaner och får sitt privatliv undersökt visar sig vara oskyldiga kanske polisen inte behöver sådana vapen. Men om de visar sig vara skolskjutare och massmördare, då kanske de behöver vapnen. Men vi som medborgare kan inte avgöra om [polisen] inte är transparanta med effektiviteten, säger Mikko Hyppönen.

Finland har ju infört liknande lagar. Har det blivit transparent?

– Nej. Snälla låt oss få det, det är allt jag ber om. I Tyskland, Nederländerna, Storbritannien, USA. Där kan polisen använda trojaner, men ingen har varit transparent. Det suger. Du kan citera mig så här: it motherfucking sucks.

Trojaner i allmänhetens tjänst har en annan baksida som ofta diskuteras. För att de ska vara effektiva behöver de i regel utnyttja sårbarheter i mjukvaran. Men ska en myndighet veta om att Chrome är sårbart – utan att meddela Google

– Titta på Wannacry-exploiten som skrivits av NSA. Deras uppdrag är att skydda amerikanska medborgare. För fem år sedan hittade de en sårbarhet som drabbade varenda jävla version av Windows sedan åtminstone Windows 95. Därefter hade de två val, menar Mikko Hyppönen.

Nummer ett: berätta för Microsoft så att bolaget kan släppa uppdateringar som fixar buggarna. Då skulle de hundratals miljoner amerikaner som kör Windows bli mer säkra.

Nummer två: hålla tyst och bygga ett cybervapen som använder sårbarheten för att få tillgång till datorer som tillhör brottslingar eller terrorister och få reda på vad de planerar. Det skulle också kunna göra amerikanska medborgare mer säkra.

– Jag säger inget om det etiska, men det är intressant att se att de valde nummer två. Jag hoppas de fick värdefull information på det sättet. Men, om man väljer nummer två finns ett mardrömsscenario: att någon stjäl vapnet och läcker det på internet, säger Mikko Hyppönen.

Vilket var precis vad som hände. En grupp som kallar sig The Shadow Brokers kom över en av NSA:s kommandoservrar, stal vapnen och säljer nu ut dem till allmänheten. Däribland sårbarheten Eternalblue som användes i Wannacry-attacken, och flera efterföljande cyberattacker.

Men så länge de fortsätter välja nummer två, så kommer det väl att hända igen?

– Det skulle kunna ske. Jag är säker på att de har massor av exploits som inte läckt. Men det är alltid möjligt att det finns en insider, att en olycka sker eller att du har en främmande makts underrättelsetjänst på ditt nätverk. Det är svårt att hålla data borta från internet, säger Mikko Hyppönen.