Till och med trerorsim blir löjlig när den utspelar sig på Internet. Hackergruppen Anonymous har tydligen attackerat lite svenska webplatser tillhörande företag och myndigheter. Allmänheten gäspar.
Ikväll utlovar man en attack mot själva plånboken. Riksbankens hemsida. Man jävlas inte med Internet sägs det.
Jag gäspar.
Enda effekten att Riksbankens hemsida går ner är att statistiknördar som undertecknad inte kan komma åt historiska växelkurser och historiska räntor. En sådan attack är inte det minsta samhällsfarlig. Enligt Alexa.com är Riksbankens webplats svenskarnas 1831:a mest besökta webplats. Den här bloggen är på plats 1805 enligt samma källa och har alltså mer trafik än Riksbank.se. Man darrar av skräck inför att den av svenskar 1831:a mest besökta sajten ska angripas ikväll.
För övrigt är det faktiskt riktigt roligt att kalla att sänka Riksbankens hemsida för att slå mot svenskarnas plånböcker. Det visar hur stora och inkompetenta posörer Anonymous är. Det har ingen som helst påverkan på några plånböcker eller betalningsströmmar om Riksbankens hemsida fungerar eller ej.
Mat. Elförsörjning. Telekommunikationer. Sjukhus. Raffinaderier. Kraftverks styrsystem. Vattenverkens styrsystem.
Där har har ni samhällsviktiga resurser. Inte hemsidor.
Inte ens veckans attacker mot Försvarsmaktens hemsida kan man göra något annat än att gäspa åt. Det enda det innebär är att försvarets rekrytering blir marginellt störd.
Det är inte ens speciellt troligt att diverse organisationer driftar sina egna hemsidor i de egna lokalerna. De sitter i själva verket ofta i en sk co-location i någon extern serverhall.
Att angripa organisationers hemsidor är ingen samhällskritisk verksamhet. För bolag som bara verkar på nätet, som Internetbutiker, kan det förstås innebära problem och att konkurrenter tar marknadsandelar. Det enda riktigt allvarliga man kan göra är att angripa Internetbankernas Internettjänster runt den 25:e. Men exempelvis Nordeas Internetbank går ju ner alldeles av sig själv varje gång det är löning (IDG/CS) och livet går vidare ändå. Även Försäkringskassan och Skatteverket fortsätter att fungera utan sin hemsida. Det är bara att ringa. Möjligen skulle man kunna förstöra för företag om man sänker Skatteverkets E-tjänstsajt för momsdeklaration i så pass många dagar att företagen rapporterar in moms för sent. Eller om man lyckas sänka Skatteverkets deklarationstjänst i början av maj. Samtidigt skulle Skatteverket märka detta och förhoppningsvis ge några dagars generell dispens. Annars får man väl snällt lämna in en pappersblankett på Skattekontoret istället…
Nej, riktiga IT-attacker är när man tar kontroll över samhällets riktiga styrsystem. Websidor är bara publik information som de allra flesta klarar sig utan för tillfället. Den dag Anonymous lyckas identifiera ett sätt att ta sig in hos Svenska Kraftnäts styrsystem, som förhoppningsvis inte har koppling till Internet alls, så kan man bli lite orolig. Till dess så är det hela ungefär som klotter.
Inte ens centrala angrepp mot svenska DNS-servrar är något större problem. Jag hade problem med Telias DNS tidigare i veckan, vilket ledde till irritation, men bytte på inrådan över till Googles 8.8.8.8 (Ulla-Bella sekreterare!1.) och 8.8.4.4 istället. Varsågod att försöka sänka den. Dessutom rekurserar inte Googles DNS och svarar alltså betydligt snabbare än vanliga tjänster. Rekommenderas.
Kom samtidigt ihåg att riktiga IT-attacker klassas som massförstörelsevapen av Ryssland, ett land som utfört Internetattacker själva mot hemsidor i t ex Baltikum eller Georgien, och ska alltså proportionerligt mötas med massförstörelsevapen, t ex kärnvapen. För övrigt återinför Ryssland nu passtvång för att få resa inom landet (Barents Observer).
XKCD sammanfattar det hela väl, återpublicerat från XKCD under Creative Commons Attribution-NonCommercial License 2.5.
1. Obskyr pop-kulturell referens
25 kommentarer
Efterlyser ett stort inlägg om Stuxnet och dess (potentiella) konsekvenser samt den pågående krigföring mot Iran. USA har ju de facto redan inlett krigföring mot Iran, med samma utfall som en konventionell bombattack, dvs. trasig mekanik som kräver utbyte/reparation. Dock kom inga människor till skada den gången, men det såg man till att "åtgärda" när man likviderade iranska kärnfysiker. Det blir lite ironiskt när man pratar om ett eventuellt, förestående krig mot just Iran när man alltså redan 1) infört handelssanktioner 2) attackerat landet med cyberkrigföring 3) attackerad landet med ekonomisk krigföring vilket lett till att sänka värdet på valutan med x antal procent. Det händer mycket där borta nu – nya uppror senast idag. Vad försöker man åstadkomma?
Sen vore det intressant att veta vilka resurser som skulle krävas för att slå ut just samhällsviktiga funktioner (och då pratar ja inte om den här bloggen). Vilken typ av organisation/land har möjlighet till detta och vad är ett troligt scenario?
Ja, speciellt oljesanktionerna verkar väldigt effektiva, för Kina som får tillgång till all den olja som USA och EU ratar. Och stuxnet har säkert fördöjt kärnvapenprogrammet, och förstärkt Irans beslutsamhet att fullfölja ändå. Gång efter gång verkar USA vara sin egen största fiende, åtminstone om man tittar på resultatet av deras vapendiplomati. Kina å andra sida verkar mer lyckosamt med sin plånboksdiplomati. Dock är nog den svenska modellen bäst, den med tyst diplomati.
"Sen vore det intressant att veta vilka resurser som skulle krävas för att slå ut just samhällsviktiga funktioner"
Något som genererar en EMP i atmosfären över Sverige, kommer att göra livet surt för modebloggare och övriga datoranvändare.
@gruelse2012-10-03 23:18
Fan, innebär kärnvapensprängningar i övre atmosfären att jag inte kan spela World of Warcraft längre?
Buddha hade rätt: Livet är lidande.
skulle det vara möjligt att tex gå in i vägverkets hastighets övervakningssystem och snyggt och fint lägga in en bild på grannen i hans nya bil när han passerar en fartkamera i 240 km/h? och hur bevisar man sin oskuld i så fall?
Anonymous behöver inte heller nödvändigtvis vara dom som ställer om frånskiljarna i elnätet, Det räcker bra om dom kan förse dom som ställer om elnätet med felaktiga uppgifter så blir effekten likadan.
Dom enskilda givarna ute vid kraftverksdammarna och ställverken är säker inte speciellt svåra att lura eller bevakade.
Dom kriminella är många gånger betydligt kunnigare och skickligare på datorer och systemen än dom chefer och beslutsfattare som sitter och beställer dom samma i tron att dom nu har det ultimata systemet.
Titta bara på dom som skaffat larm hemma som går över mobilnätet i tron att dom skaffat något som inte går att sabotera genom att tex skruva ur säkringarna.
Det kontrade tjuvarna med att skaffa störsändare som släcker ut mobilnätet medans dom "jobbar" ostört
likaså var det länge sedan bankrånare använde mobiltelefoner i "tjänsten" nu använder dom annonyma kontantkorts mobiler eller walkie-talkies, som bränns upp efteråt.
Nu har ett antal kriminella åkt dit tack vare att dom stulit GPS utrustade fordon som dom sedan använt till diverse brott, hur länge dröjer det innan dom kommer på en GPS scanner som kan detektera en GPS sändare som sedan enkelt monteras bort och tex monteras på en tunnelbanevagn eller en utländsk långtradare på väg hem till ryssland?
hur säker är tex den "bankdosa" som används för att logga in på internetbanken eller datachipet som påstås göra alla kreditkort bombsäkra?
jag är övertygad om att det dagligen sitter hundratusentals dataintresserad personer världen runt som inget annat gör än att försöka knäcka dessa säkerhets detaljer.
som IRA en gång sade när dom misslyckats med ett attentat, "vi behöver bara ha tur en gång du kommer att behöva ha tur varenda dag resten av livet"
I och med att säker förbindelse redan upprättats innan dosan kommer i bruk så är den nog den säkraste formen av identifiering i publikt bruk idag. Möjligen kan man bli utsatt för en man-in-the-middle-attack om man skriver fel adress till banken. Men det drabbar då endast ett fåtal. Men du har rätt i att principerna är kända och väl studerade av många. Det är just därför det är säkert. Vem som helst kan granska pinciperna och matematiken, vilket många har gjort men inte lyckats hitta några hål, än.
Den här kommentaren har tagits bort av skribenten.
Visst, men din liknelse haltar. Det en vanlig villaägare tjänar på att göra är att minska risken för inbrott. Inte att bygga ett fort utan fönster.
Tror knappast Affe Amfetamin springer omkring med utrustningen du pratar om.
För komplexa och avgörande system kan det vara viktigt att vara på bleeding edge, men inte för enskilda individer.
Larm funkar liksom som utbildning på arbetsmarknaden. När alla har larm skiter Affe Amfetamin i det och går in ändå i brist på olarmade bostäder.
För övrigt om ett larm skall vara tillförlitligt mot sabbotage så skall uppkopplingen mot larmcentralen fungera för att larmet inte skall trigga. Då räcker det inte att klippa av telefonledningarna. Det kräver dock att kommunikationskanalen är tillräckligt tillförlitlig så att man vet att det är något fel ifall den går ner.
Bankdosa och bankkort med smartcard är inte så överdrivet säkra – får man fysisk tillgång till dosan/kortet så är man bara en fyrsiffrig kod från pengarna. Dessutom så är koden ibland vald av ägaren så den blir lättare att gissa och man har väl tre chanser på sig. Att skydda mot man-in-the-middle-attack är tämligen enkelt ifall man vill – problemet är väl att många inte är medvetna om potentiella säkerhetshål utan nöjer sig med den upplevda säkerheten man får genom att systemet djävlas lagom mycket med användaren.
Det jag visar på är exempel på bombsäkra system som i takt med den allmänna utvecklingen är totalt värdelösa eller områden som ligger under atack ta magnetremsan på kreditkorten tex, vad är det tex som gör en säker överföring så säker?
Och jag ville påpeka att det är viktigare att se på helheten i det man vill uppnå istället för att snöa in på detaljer.
Exempel är fokusering på krypteringsnyckelstorlek när det är enklare att nästla sig in hos personalen.
Bruce Schneier [*] tar liknelsen med att sätta upp ett kostängsel. Det funkar inte att stänga in kor med 50st tunga järnspett oavsett hur tunga och stabila man gör dem. Däremot fungerar det med ett lätt och flexibelt elstängel.
[*] Kanske borde jag skämmas, Schneier kanske skulle ha en egen version av Godwin's law.
Det som gör säker överföring (jag antar att du menar https eller annan krypterad kommunikation). Det hela bygger på publickey-kryptering – dvs ett system där man har två nycklar som kräver motsatta nyckeln för kryptering (ofta kallas den ena privat och den andra publik). Det antas att vare sig kryptot kan forceras eller att man utifrån ena nyckeln kan generera motsatt nyckel snabbare än med kända algoritmer (det kan dock inte uteslutas att någon i hemlighet sitter på en snabbare algoritm).
Det hela bygger på hur nycklarna distribueras – om man kan vara säker på att det bara är motparten som har motpartens privata nyckel. Vet man detta så vet man att meddelanden som kan dekrypteras med motpartens publika nyckel är skickade av motparten och att meddelanden man sänder med motpartens publika nyckel bara kan dekrypteras av motparten.
Två saker till behövs alltså: för det första att veta att motparten faktiskt håller sin privata nyckel hemlig dvs att ingen annan har denna och för det andra veta att den publika nyckel man får faktiskt kommer från motparten.
Att lösa problemet med att veta att publika nyckeln kommer från rätt källa kan man t.ex. lösa genom att utbyta nycklarna personligen. Ett annat sätt att använda tredje part som båda har gjort nyckelutbyte med vilket är det vanliga när man får nyckeln från säkra web-sidor (tredje part är browserns tillverkare vilket man kanske kan lita på är pålitlig och den man tror den är) – det är dock i praktiken bara verifiering att motparten är den som kontrollerar domänen som man surfar in på (vilket är ungefär lika säkert som att du är i kontakt med banken ifall du går in på ett bankkontor). Verifieringen på andra hållet sker i praktiken genom koddosan – det är först när man använt den som man kan lita på att kunden har tillgång till koddosan och koden till den.
När det tekniska är tillräckligt säkert så är det social engineering som är det största hotet – haken här är när okunniga försöker öka säkerheten genom att djävlas med användarna blir social engineering enklare. Sen måste man givetvis skydda sig mot att personalen blir utsatta för hot eller helt enkelt får för långa fingrar (isht ifall man transporterar kontanter).
Hittar inte länken nu. Men jag har haft inloggningsidan till RIX på min skärm. Skulle de bryta sig in där skulle (gäsp) cornu också kunna hålla sig från skratt.
RIX, det centrala system som överför pengar(?) mellan banker, staten och utländska banker/stater. Tänk tanken att det systemet blir hackat.
Naturligtvis tänker alla, bloggare också, på vad som finns i deras vardag. Vad de ser, kan kontakta och har kunskap om. Men tänk om det är RIX……
Till och med Cornu skulle ha svårt att förklara att det bara är en krusning på ytan.
Går det att hacka RIX (till högsta behörighet) kan med några enkla kommandon fullständigt länsa staten på tillgångar. Vi snackar inte 100 miljoner. Snarare 3000 miljarder. Sug på den. (hade jag varit pengagalen hade jag då jag hittade inloggningssidan satsat på att hacka den)
1. Hade du RIX på din skärm över öppet Internet eller via din arbetsplats?
2. Är du säker på att det inte bara var avgränsade och isolerade delar av RIX, t ex asynkront flyttad statistik, och inte själva transaktionssystemet? Bara för att det är en RIX-logga betyder det inte att det är hela härket.
Dessutom som sagt så finns det inga digitala pengar så du kommer inte åt några 3000mdr – om de tycker att det saknas 3000mdr så sätter de bara dit dem igen. Kom ihåg att banker och staten lyder under samma bokföringsregler som gäller för alla andra bokföringsskyldiga – det skall finnas verifikationer på alla affärshändelser. Har något skuldförhållande slinkit in i bokföringen som inte har laglig grund så är det bara att bokföra en motpost så är ordningen återställd.
Amazonklubbens forum är en av alla viktiga institutioner spm är nere idag. Om det har något samband med Assange vet jag inte.
@Cornucopia "Där har har ni samhällsviktiga resurser. Inte hemsidor."
Det finns ett problem. Mitt apotek baserar sin krisberedskap på att de skall kunna kommunicera med cheferna i Stockholm. De förutsätter alltså att det går i en kris… Att telefon / fax / internet skulle kollapsa verkar de inte ha tränat för.
Slutsatsen för egen del är att lägga upp ett litet lager av de mediciner jag tror mig behöva de närmaste månaderna.
Den här kommentaren har tagits bort av skribenten.
TV4:
Och så här såg det ut på Riksdagens hemsida . . . . som var oåtkomlig !!!!
!!Den var ju inte oåtkomlig, bara stängd av den som skötte den, ja förmodligen av bekvämlighetsskäl, det går fortare att få bort 'sökare' från 1-sida än att måsta göra detta på alla.
Skulle inte förvåna om man kommer in, om man pekar exakt.
Däremot så likt bankerna så outsourca Telia samhällsviktiga grejs på . . . ja varför inte riksdagstelefonin till Ryssland eller nått, som bankerna 'avhänder sig' ansvar genom att outsourca slantarna på . . .vad dom nu 250-miljonerna hette.
Oh duuu
"1. Obskyr pop-kulturell referens"
Då växte mina barn upp, jag satt som klistrad på barnprogrammen o titta på winerbrödsflickorna ;)))
Mjaee din far kanske kan berätta varför han höll dig sällskap vid just dom programmen 😉
Dom va faen inte dåliga, kanske lite genusfel idag men inte då.
64 var det dubbelt så många pojks som tog realen som flicks, flicksen skulle ju skaffa karl o barn.
Men om sanningen ska fram så jobbar 'flicksen' samma idag som då, dom sköter 5-barn . . . . på dagis, eller några barn o nån åldring, precis som normen inom kommunen.
I dag får dom pensionsgrundande inkomst, då, höll förhållandet in i döden=livspension.
Tja typ.
Den här kommentaren har tagits bort av skribenten.
Mycket bra inlägg.
Tänkte precis skriva att jag dock inte håller med helt för att det faktiskt visst skulle ha någon slags effekt om man slog ut banker, men jag såg sedan att du faktiskt tog upp det.
Men om internetbanker skulle slås ut samtidigt som de största nyhetssajterna tror jag faktiskt att folk skulle bli lite rädda över vad som faktiskt händer, om syftet även är att skrämmas.
Detta är knappast Anonymous syfte men kanske någon annans…
Att plocka ned hemsidor kan i de flesta fall jämföras med en vanlig demonstration men med betydligt sämre effekt, därmed ska man inte förvänta sig någon direkt effekt.
Som viktig samhällsgärning vill jag sprida lite kunskap om den obskyra popkulturella referensen. Se ca 7.30 in i detta klipp:
http://www.youtube.com/watch?v=uAruqcKqt54&feature=share&list=PL2A431E3F2A65E620
Vad anonymous är kan man diskutera. Det är knappast de tunga namnen som håller på med det som händer nu, förmodligen ett gäng yngre killar som är arga över historien med "Anakata" – vem som helst kan ju kalla sig för Anonymous och utföra saker i Anonymous namn.
Däremot kan man fråga sig om ens de påstår att det de håller på med just nu är en styrkedemonstration, det handlar nog mest om att skaffa sig uppmärksamhet, och det lyckas man ju rätt bra med. Det har dock gjorts ett par intressanta grejor i Anonymous namn genom tiderna. Styra kärnstridsspetsar ("trerorism") uppfattar jag inte som att det är något som de utger sig för att hålla på med, därför tycker jag det känns lite fånigt att jämföra dom efter den skalan. Det har väl mer handlat om att komma åt känslig information och att sno pengar?