Velkommen til cyberkrigen

Kim Zetter: Countdown to Zero Day: Stuxnet and the Launch of the World’s first Digital Weapon. Crown Publishers, 2014

Countdown to Zero Day forteller historien om Stuxnet, verdens første offentlig kjente digitale våpen. Boken reiser viktige spørsmål om en krigføring der vi alle kan bli collateral damage. 

Tori Aarseth
Aarseth er statsviter, og fast journalist i Ny Tid.

Countdown to Zero Day Stuxnet and the Launch of the World’s first Digital Weapon

Kim Zetter

Crown Publishers, 2014

I januar 2010 begynte inspektørene fra The International Atomic Energy Agency (IAEA) å ane at noe var galt med Irans anlegg for anrikelse av uran i Natanz. Nærmere sommeren dukket et nytt datavirus opp hos VirusBlokAda, et obskurt antivirusfirma i Hviterussland. Det skulle ta et halvt år og datasikkerhetseksperter fra flere land, før man endelig kunne slå fast sammenhengen mellom Stuxnet og problemene i Iran. Dette var første gang det ble oppdaget et digitalt våpen i bruk. «Velkommen til cyberkrigen,» erklærte Ralph Langner i blogginnlegget som til slutt viste hvordan Stuxnet virket.

En krigshandling. Stuxnet var i bunn og grunn en krigshandling, ifølge forfatter Kim Zetter. Samtidig ble viruset sannsynligvis tatt i bruk for å unngå en eskalering med konvensjonelle våpen. I en tilspisset situasjon der israelerne ble stadig mer nervøse og presset på for luftangrep mot installasjoner i Iran, ble Stuxnet et kompromiss som gjorde at forhandlinger fremdeles var en mulighet. Viruset gikk etter de industrielle kontrollsystemene for sakte, men sikkert å sabotere sentrifugene som ble brukt til å anrike uran, og slik kjøpe mer tid. Resultatet ble rundt 1000 ødelagte sentrifuger. Zetter antar at Irans atomprogram kan ha blitt forsinket med omtrent 18 måneder.

Kim Zetter har gjort et imponerende stykke research, og forteller uttømmende om oppdagelsen av Stuxnet, sårbar infrastruktur og utviklingen av digitale våpen. Likevel er Countdown to Zero Day ikke helt vellykket i bokformat. Zetter har forsøkt å kombinere teknologihistorie med et mer thrilleraktig narrativ sentrert rundt sikkerhetsekspertene som dekonstruerte Stuxnet, men hun går seg vill i detaljene. Ofte klarer hun ikke å kontekstualisere de mange faktaopplysningene inn i et større narrativ underveis, og mye av informasjonen fremstår dermed som løsrevet og repetitiv. Det virker som hun rett og slett ikke har klart å bestemme seg helt for hvilken bok hun skulle skrive. Med en noe strammere redigering kunne denne engasjerende historien kommet mer til sin rett. For de som ønsker å sette seg inn i hvordan dagens digitale våpen fungerer, kan boken likevel være verdt å lese.

Gjør alle sårbare. Digital krigføring er essensielt sett annerledes enn bruk av konvensjonelle våpen. Et hemmelig Pentagon-dokument fra 2003 viser at det amerikanske militæret vil etablere cyberkrig som et femte kompetanseområde, etter land-, sjø-, luft- og spesialstyrker. Fordelene kan potensielt sett være mange: Det finnes mange mulige mål for digitale angrep, geografisk avstand er ingen hindring, kostnadene er relativt lave og det kan være mer spiselig for en befolkning som er lei av å sende tropper utenlands. Men digital krigføring har også sterkt problematiske sider. For å kunne angripe et datasystem må man vite om sikkerhetshull i systemet for å så å programmere virus som utnytter disse hullene. Et sikkerhetshull som ikke er kjent for produsenten av programvaren, og som man derfor ikke har kunnet reparere gjennom en programvareoppdatering, kalles en «zero day». For å bygge opp et arsenal av digitale våpen, samler NSA på zero days for alle mulige systemer.

Problemet når man samler på zero days, er at man gjør alle databrukere sårbare. Før eller siden vil noen andre oppdage de samme sikkerhetshullene og bruke dem, det være seg andre stater, kriminelle hackere eller folk som vil stjele forretningshemmeligheter. «Det er en modell som hviler på det å holde alle sårbare slik at noen utvalgte få kan angripes – sammenliknbart med å tilbakeholde en vaksine fra en hel befolkning så noen få enkeltindivider kan infiseres med et virus,» sier Zetter i Countdown to Zero Day. Siden digitale våpen ikke begrenses av geografi, kan de ende opp med å spres over hele verden, inkludert i landet som først brukte våpenet. En av de særegne tingene med digitale våpen er at når man angriper med dem, så gir man samtidig fra seg koden til våpenet. Da kan hvem som helst bruke den etterpå. Ralph Langner estimerte at det ville ta omtrent seks måneder fra Stuxnet var kjent til man fikk se et angrep hvor noen andre kopierte Stuxnet-koden.

Digital våpenkontroll? Selv om Zetter gjør en grundig jobb med å dokumentere og legge frem de digitale våpnenes historie, løfter hun bare i begrenset grad frem de diskusjonene som åpenbart må tas. Her er det snakk om en metode som rammer systemer alle bruker, også livsviktige funksjoner som sykehus, selv om de ikke er det tiltenkte målet. Det kan bli langt mer uforutsigbart og vanskelig å definere hva som skal regnes som utilsiktet skade fra et militært angrep når man bruker digitale våpen. Zetter forteller at Stuxnet ved et uhell kan ha forårsaket gasseksplosjoner andre steder i Iran på grunn av et kompatibilitetsproblem. Stuxnet var veldig sofistikert og skreddersydd for målene det skulle ramme. Hvis Stuxnet forårsaket slike utilsiktede effekter, hvordan vil mindre sofistikerte digitale våpen ramme? Og hvilket ansvar har de originale utviklerne når andre aktører lager kopiangrep på basis av koden man har laget?

Eksportkontroll er også et delikat tema når det gjelder digitale våpen, men dette temaet tar ikke Zetter opp. Det å finne sikkerhetshull i programvare og lage enkle virus er noe selv tenåringer kan gjøre på gutte- og jenterommet. Hvor setter man da grensen mellom hva som er et våpen og hva som ikke er det? Nylig var det opprør i datasikkerhetsmiljøet fordi et forsøk på å ta inn kunnskap om sikkerhetshull i Wassenaar-regelverket, som regulerer internasjonal handel med våpen, ville rammet kunnskapsutveksling og forskning som nettopp har til formål å tette slike hull for å gjøre programvare sikrere. Kunnskap om sikkerhetshull er en essensiell del av programmering, og kan vanskelig lovreguleres på samme måte som et fysisk våpen. Det er i det hele tatt vanskelig å se for seg at det vil være bærekraftig å forsøke å holde sikkerhetshullene åpne, men begrense kunnskapen om dem til militæret og etterretningstjenestene. Det er uansett en debatt som bør tas i det åpne, og ikke i korridorene hos militæret og etterretningstjenestene.

tori@toriaarseth.no

---
DEL