Det ser ut som en modelljärnväg fast utan så mycket järnväg. En liten stad med bostäder, butiker, trafik och industrier. Full av infrastruktur som går att hacka så att vardagens lunk kastas över ända.

Modellen på Totalförsvarets forskningsinstitut, FOI, i Linköping är ett sätt att konkretisera vad det faktiskt är som cyberangripare skulle attackera. Den är en liten del av det som kallas Crate – cyber range and training environment. En träningsanläggning där det går att träna fullskaliga angrepp mot vitala samhällsfunktioner.

– Precis på samma sätt som man inte vill träna på vad som händer med en bil som kraschar ute i verkligheten utan använder testmiljöer så vill man inte heller träna it-angrepp inne i produktionsnätet utan i en skyddad och kontrollerad miljö, säger Jonas Almroth som är tekniskt ansvarig för Crate.

modell
Modellen på Totalförsvarets forskningsinstitut, FOI, i Linköping.

Skapades 2008

Träningsmiljön skapades i en första version 2008 i samband med en övning tillsammans med Estland för att simulera ett överbelastningsangrepp – det var året efter att estniska myndigheter just råkat ut för massiva nätattacker i samband med spänningar med Ryssland efter att en bronsstaty tagits bort från centrala Tallinn.

– Då insåg vi hur bra det var att kunna öva på riktigt i en simulerad miljö. Men det vi hade då var inte specialanpassat. Sedan dess har vi skaffat bättre hårdvara och bättre verktyg så att vi kan konfigurera komplexa skeenden och simulera användare, säger Teodor Sommestad, forskningsansvarig inom informationssäkerhet på FOI.

– Vi kan också förinspela simulerade angrepp som vi sedan kan spela upp under kurser – vi har skapat ett api för det.

I dag består Crate av 500 servrar som i sin tur kan virtualisera ungefär 10 000 Windows- och Linuxdatorer och det går att skapa 16 miljoner nätverkssegment i spelmiljön.

– Det är den tekniska begränsningen men vi har aldrig använt så mycket, säger Teodor Sommestad.

Han konstaterar också att hårdvara i form av servrar är lätt att köpa in och att det är själva mjukvaran – att skapa fiktiva angrepp och ta fram verktyg – som är det stora jobbet.

Jonas och Teodor
Jonas Almroth, tekniskt ansvarig för Crate och Teodor Sommestad, forskningsansvarig inom informationssäkerhet på FOI.


Människors beteende en utmaning

Men trots den avancerade tekniska miljön brottas man fortfarande med att få in människor på ett realistiskt sätt i övningsscenariorna.

– Crate är jättebra på att simulera mjukvara som Windows 10. Att däremot simulera hur människor beter sig är inte så lätt förutom att de skickar mejl och så. Vi vet att människor är den svagaste länken för informationssäkerhet men det är svårt att simulera hur de agerar – laddar ner länkar med virus eller annat.

I Crate finns också en mängd bottar som simulerar internetbruset – människor som mejlar, surfar och så vidare – utan vanlig trafik i nätet utom angriparens blir det alldeles för lätt att hitta den.

Men någon intelligens i systemet som simulerar hur människor agerar finns inte ännu, men där tittar man nu på maskininlärning för att bygga upp även det.

Jonas Almroth visar hur den tekniska infrastrukturen är uppbyggd – på ena sidan servrarna och spelnätverket – på den andra sidan ligger de administrativa verktygen fysiskt separerade men de har alltid åtkomst till spelmiljön.

Här finns olika verktyg – ett som definierar de miljöer som ska läggas in i övningarna och som håller koll på konfigurationerna för flera event samtidigt. Med hjälp av detta kan olika moduler pusslas ihop för att skapa nya övningar. Med ett kommandoverktyg rullar man ut de bitar som ska ut.

– Det gör att vi slipper uppfinna hjulet varje gång och det är unikt för Crate att vi snabbt kan ställa om våra övningsmiljöer. Ofta är sådana här träningsanläggningar mer statiska – i alla fall de vi känner till, säger Teodor Sommestad.

Ett exempel är en så kallad cyber range i Finland där miljöerna förändras mindre mellan övningarna och där man simulerar olika typer av företag som elkraftbolag eller telebolag.

– Där krävs mer handpåläggning och de har inte samma verktyg för att bygga nya miljöer som vi har här.

Vill få verktygen att samverka bättre

Crate har också andra verktyg som ett för att köra ut angrepp i träningsmiljön – men det stora arbetet nu handlar om att få alla dessa verktyg att samverka för att verkligen få ut effekten konstaterar Teodor Sommestad.

– Vi har ett sådant projekt nu där vi försöker få ihop dem till en sammansatt verktygssvit.

Verktygen är också det som de två tänker sig kan vara intressanta att låta andra använda sig av.

– Ibland pratas det om att kombinera vår träningsmiljö med andra miljöer och köra en riktigt stor övning. Men det är komplicerat och jag tror inte det ger så mycket pang för pengarna som det skulle göra att just dela med sig av våra verktyg, säger Jonas Almroth.

De flesta verksamheterna på FOI har Försvarsmakten som primär mottagare men här på avdelningen som arbetar med informationssäkerhet finns ytterligare en mottagare – Myndigheten för samhällsskydd och beredskap, MSB.

MSB beställer utbildningar och övningar för olika nyckelgrupper i samhället. Det handlar om allt ifrån att höja insikten kring it-säkerhet hos chefer på myndigheter till att låta personer som till vardags sköter styrsystemen på exempelvis kraftverk att lära sig upptäcka och agera på rätt sätt om deras system angrips.

Antalet som utbildas varje år varieras men det handlar om ett par hundra.

MSB beställer stora övningar

En eller två större övningar görs per år där Crate används fullt ut. Det är då nya scenarier konfigureras och testas. De beställs ofta av exempelvis MSB och ofta är det någon speciell typ av attack som man övar på.

– Det utgår riktigt scenario och sedan generaliserar vi det, säger Teodor Sommestad.

Ska man verkligen lära sig något på övningen så är utvärderingen avgörande – annars kanske man bara minns hur man agerade i övningen men inte att det inte var det optimala sättet att agera.

– Utan en bra utvärdering är det inte säkert att du lär dig något, säger Jonas Almroth.

I Crate finns ett verktyg som gör att deltagarna får ut alla delar av attacken och kan se exakt vad som gjorts och också gå in i varje del och detaljstudera skeendet.

Dessutom poängsätts de lag som är med efter inte bara hur de slår tillbaka angreppet utan också sådant som hur de informerar ledningen. På så sätt kommer ett element av tävling in i det hela – gamification om man så vill.

Hackar trafikljus

På de mindre kurserna körs ofta labbövningar med deltagarna. En sådan övning är att hacka trafikljus. Deltagarna får en manual och kan sedan steg för steg hacka sig in i ett system hos ett påhittat företag som sköter trafikljusen.

De får utnyttja verktyg som går att hitta på nätet och med hjälp av dem hitta sårbarheter, hacka sig in i en dator så att de får tillgång till det interna nätverket på företaget och till sist söka sig fram till var trafikljusen styrs och sedan ställa dem på det de vill – rött, grönt eller kanske alla färger samtidigt, allt för att skapa kaos.

Och det hela sker inte bara på datorn utan deltagarna ställer om små fysiska trafikljus så det blir tydligt att det sker något i världen utanför skärmen.

– För en del som är duktiga på it-säkerhet så blir reaktionen snarast att de ser hur pass enkelt det är. För andra som inte är så duktiga så blir det mer en insikt om att de måste lära sig mer om hur det fungerar, säger Teodor Sommestad.

Läs också: 
Enkelt stänga av kylarna på Ica – ligger vidöppna på internet
Så placerar sig Sverige bland världens mest cybersäkra länder