Image
Anonymous computer hacker over abstract digital background

De kriminelle hackerne er ikke nødvendigvis mørke og hemmelighetsfulle kjellermennesker - de sitter isteden på kontorer og har stabsmøter som andre it-folk. Foto: Colourbox 38771583.

Kjenn din digitale fiende, da blir verden tryggere

Vinningsforbryterne og de statlige aktørene som gjennomfører hyppige angrep via internett, er ressurssterke og kreative, men prinsippet for et godt digitalt forsvar er 3000 år gammelt. – Det handler om å kjenne sine digitale fiender og utveksle informasjon med sine venner, sier professor Audun Jøsang.

Fra venstre: Førsteamanuensis Nils Gruschka, Phd-student Morten Weea (Mnemonic), PhD-stipendiat Vasileios Mavroeidis, professor Audun Jøsang, postdoktor László  Erdödi.
De gjør den digitale dagen tryggere: Fra venstre: Nils Gruschka, Morten Weea, Vasileios Mavroeidis, Audun Jøsang og László  Erdödi. Foto: Bjarne Røsjø/UiO  Bruk bildet.

I løpet av 48 timer etter at USA likviderte den iranske generalen Qasem Soleimani i et luftangrep 3. januar 2020, ble det registrert en tredobling i antallet forsøk på cyberangrep fra iranske IP-adresser mot USA-vennlige interesser. På det meste ble det registrert om lag en halv milliard forsøk på cyber-angrep hver dag, ifølge den amerikanske sikkerhetsbedriften Cloudflare.

Men angrepene fikk ikke veldig store konsekvenser, fordi ekspertene som jobber med digital trussel-etterretning (Cyber Threat Intelligence) hadde forutsett at angrepene ville komme. Og når man vet om et kommende angrep, og hvem som kommer til å angripe, kan man også forsvare seg.

– Den kinesiske generalen Sun Zi (også kalt Sun Tzu), som levde for 3000 år siden, skal ha sagt at hvis du kjenner din fiende og deg selv, trenger du ikke frykte resultatet av hundre slag. Det visdomsordet er like gyldig i dag, forklarer professor Audun Jøsang.

Han leder Forskningsgruppen for digital sikkerhet (SEC) ved UiOs Institutt for informatikk (IFI).

Den kalde krigen er blitt digital

De fleste privatpersoner med e-post og internett er antakelig blitt utsatt for flere angrep fra en digital vinningsforbryter. Et vanlig knep er å lokke med at du har vunnet noe verdifullt, men først må du registrere viktige personalia for å få utbetalt gevinsten. Det tyvene som regel er ute etter, er å stjele identiteten din.

De statlige digitale angriperne er mer opptatt av å ramme viktige digitale infrastrukturer eller å fremme sine interesser på andre måter. Det er for øvrig sant, mye av det du har hørt om for eksempel russiske forsøk på å påvirke den amerikanske presidentvalgkampen og den britiske folkeavstemningen om Brexit.

digitale sikkerhetsprosjekter

Den digitale sikkerhetsgruppen ved Institutt for informatikk har organisert arbeidet i flere prosjekter:

– Det hersker konsensus i forskningsmiljøene om at disse tingene virkelig skjedde. Det er også enighet om at det finnes en «internett-trollfabrikk» i St. Petersburg, oppklarer professor Jøsang. Trollfabrikkens offisielle navn er Internet Research Agency, og det åpenbare formålet er å bedrive påvirkningsoperasjoner på oppdrag for russiske forretningsmiljøer og politiske interesser. Men hva russerne egentlig har oppnådd, er mer uvisst.

Både den russiske innblandingen i en amerikansk valgkamp og en britisk folkeavstemning, samt den iranske responsen på likvideringen av Soleimani, er eksempler på at gamle konflikter har flyttet inn på nettet og nå utspilles i det digitale rom.

 – Vi ser de samme grensene og konfliktene på internett i dag som under Den kalde krigen. Det betyr at vi også må bringe inn politiske aspekter i arbeidet vårt. Hvis Norge for eksempel gir en nobelpris til en dissident fra et land som var «på den andre siden» under Den kalde krigen, må vi regne med et digitalt angrep kort tid etterpå. Dette betyr at det digitale forsvaret ikke bare handler om tekniske ting lenger, kommenterer Jøsang.

Lynraske reaksjoner

Den russiske
Den russiske "trollfabrikken" heter Internet Research Agency og har kontorer på Savusjkinagaten 55 i St. Petersburg. Det er uvisst hva de egentlig har oppnådd. Copyright:  Charles Maynes, Voice of America og Wikimedia Commons

Det digitale forsvaret er isteden blitt både tverrfaglig og preget av et intenst internasjonalt samarbeid, fordi USA og vesteuropeiske land i stor grad blir utfordret av de samme angriperne. Det er om å gjøre å vite mest mulig om hvem som angriper og utveksle informasjon med samarbeidspartnere som er på samme side i den digitale og kalde krigen.

– Nå jobber vi blant annet med å automatisere og koordinere teknologier som kan reagere på disse angrepene i det vi kaller cyber-relevant tid. Det vil si lynraskt, gjerne i løpet av millisekunder, forklarer PhD-stipendiat Vasileios Mavroeidis.

– Ingen menneskelige IKT-eksperter klarer å reagere i løpet av millisekunder, men automatiserte systemer kan klare slikt, tilføyer Jøsang.

IFI-forskerne har funnet sine viktigste internasjonale samarbeidspartnere i den globale standardiseringsorganisasjonen OASIS og i Horisont 2020, som er EUs rammeprogram for forskning og innovasjon. OASIS har flere tekniske komiteer som jobber med standardisering av den digitale trussel-etterretningen, og IFI-forskerne er med i alle de sentrale gruppene.

Et sentralt H2020-prosjekt der IFI deltar, heter Concordia, formålet der er å utvikle et integrert og felleseuropeisk system for beskyttelse mot digitale trusler.

Forsøk på infiltrasjon

Det ligger i sakens natur at internasjonale samarbeidsorganer på dette området fra tid til annen opplever at noen forsøker å infiltrere de tekniske komitémøtene, som ofte foregår i form av videokonferanser.

– Det er bare legitime medlemmer som får lov til å delta på møtene i våre tekniske komiteer, men vi har flere ganger opplevd at ukjente mennesker prøver å snike seg med. De blir selvfølgelig kastet ut med en gang. Av og til er det veldig lett å oppdage infiltratørene, som for eksempel den gangen vi hørte en maskinstemme som sa «For recording this message, press 1». Men det er ikke lov til å gjøre opptak fra disse møtene, selv ikke for dem som er medlemmer. Så da skjønte vi straks at vi hadde en inntrenger, forteller Mavroeidis.

Det er for øvrig ikke bare russere og iranere og kinesere som driver med digitale angrep. Det mest kjente angrepet fra en antatt vestlig aktør skjedde i 2010, da et iransk atomanlegg i Bushehr ble skadet av dataormen Stuxnet. Angrepet slo ut mange av sentrifugene som ble brukt til anrikning av uran, og de fleste tror at USA eller Israel sto bak angrepet.

Skremmende perspektiver

Professor Jøsang og kollegene kommer ikke til å bli arbeidsledige med det første, for digitale angrep og cyber-etterretning er en stor og voksende industri. Da må også de digitale forsvarerne vokse og utvikle seg.

– Det er antakelig flere av dem som angriper, enn av oss som jobber med å utvikle digitale forsvar. For øvrig likner de antakelig på oss, der de sitter i sine møterom og planlegger de neste angrepene. Noen av dem er fast ansatte med god lønn og finansiering gjennom statlige budsjetter, avslører Mavroeidis.

De digitale sikkerhetsforskerne er vant til litt av hvert, men av og til oppdager de nye trusler som gir ny grunn til bekymring.

samarbeidspartnere

Sikkerhetsgruppen ved IFI har en rekke samarbeidspartnere. Her er et utvalg av de største:

– Noen ganger kommer vi over ting som rett og slett er skremmende. Det er for eksempel ikke lenge siden en kinesisk forskergruppe rapporterte om en teknologi som gjør det mulig å komponere falske setninger med din stemme, på grunnlag av et opptak som bare varer i fem sekunder. De kan altså spille inn stemmen din i fem sekunder og deretter bruke den til å si noe helt annet for å villede, sier postdoktor László  Erdödi.

Den falske stemmen er fremstilt med en teknologi som kalles  AI-basert stemmekloning og er så naturtro at selv ikke ektefellen din vil klare å avsløre det. Stemmekloningen er en parallell til den såkalte Deepfake-teknologien – produksjonen av videoer manipulert ved hjelp av avansert dataprogrammering.

De fleste synes det er hyggelig når de livaktige hologrammene av for lengst avdøde Roy Orbison og Buddy Holly legger ut på turné igjen.  Men det var ikke like hyggelig for Emma Watson, Scarlett Johansson og Natalie Portman da bilder av dem ble misbrukt med en litt enklere teknologi – for å skape falske pornofilmer.

Når teknikken først er på plass, er det også mulig å lage falske beskjeder fra politiske ledere – og da kan det bli virkelig skummelt.

– I dag har vi kanskje bare sett starten på hva deepfakes og stemmekloning kan bli brukt til, frykter Erdödi.

Profesjonalisering på begge sider

Doktorgradsstudent Morten Weea understreker at hackerne og de cyber-kriminelle blir mer og mer profesjonelle. En forutsetning for å møte den utfordringen er å finne ut hvem de er, hvordan de jobber, hva slags sikkerhetshull de utnytter og hva som er målet deres.

– Hvis vi klarer å danne oss et godt bilde av alt dette, kan vi også lage en plan for hvordan vi kan beskytte systemene våre mot trusselaktørene. Hvis vi ikke har den riktige informasjonen, risikerer vi å beskytte oss mot Angriper A mens det egentlig er Angriper B som er på ferde, og da kan vi gjøre vondt verre. Da kan vi for eksempel gi Angriper B tid og anledning til å grave seg enda lenger inn i systemet som blir angrepet, advarer Weea.

Morten Weea kommer fra IT-sikkerhetsfirmaet Mmemonic, som er en av partnerne i SFI-søknaden og har jobbet med slike ting i mange år.

– De digitale angrepene mot privatpersoner, bedrifter og statlige organer foregår hele tiden. Man kunne kanskje tro at det blir litt stillere på angrepsfronten i feriene, men slik er det ikke. Det eneste vi har sett, er at angrepstrafikken ble litt lavere rundt det kinesiske nyttåret, forteller Weea.

Underviser i etisk hacking

Laszlo Erdödi leder UiOs kurs i etisk hacking
Laszlo Erdödi leder Institutt for informatikks kurs i etisk hacking, som også bidrar til å utvikle et bedre forsvar mot hackere. Foto: UiO, Institutt for informatikk. Bruk bildet.

I 2018 ble etisk hacking et fast kurs på IT-masterstudiene ved UiO, og kurset Ethical Hacking følges nå av ca. 150 studenter. Disse kan blant annet bryne seg på hele 110 utfordringer som er publisert på UiOs Hacking-Arena, som er åpent tilgjengelig for alle.

– De som skal jobbe med digital sikkerhet, må kjenne til hvordan hackere tenker for å kunne stoppe dem, forklarer kursleder Laszlo Erdödi.

Hackere som har ondt i sinne, kalles Black hats på det digitale stammespråket, og de bekjempes av White hats – som er invitert til å lete etter sikkerhetshull i digitale nettverk. Bilprodusenten Tesla har for eksempel nylig invitert white hat-hackere til å forsøke å ta kontrollen over en Tesla Model 3. Den første som klarer oppgaven – hvis den kan løses – vinner en bil og 1 million dollar.

Men UiO-studentene som lærer etisk og «hvit» hacking, jobber også indirekte med å utvikle forsvaret mot hackerne med svarte hatter.

– Mange av studentene våre blir etter hvert veldig flinke til å hacke utfordringene våre, men det er minst like viktig at vi bruker maskinlæring til å analysere hvordan de jobber. Den kunnskapen vi får på den måten, brukes til å utvikle automatiserte antihacking-roboter, forteller Erdödi.

– Kan det tenkes at de «hvite» hackerne dere utdanner, blir fristet til å gå over til den svarte siden?

– Jeg har undervist i etisk hacking i ni år, og jeg har ennå ikke opplevd at en student har skiftet side. Studentene oppfatter fort at det er bedre å være lovlydig og tjene lovlydige penger, enn å være en kriminell hacker med uviss fremtid, svarer Erdödi.

Epost-forfalskning er barnemat

– Jeg får av og til truende e-poster fra hackere som påstår at de har stjålet e-post-kontoen min, og e-postene ser ut som om de er sendt fra min egen konto. Hvordan klarer de det?

– Det er noe av det letteste som finnes! De fleste informatikkstudentene lærer seg dette allerede i første semester på bachelorstudiet, og de blir trent på dette i kurset om etisk hacking. En av de mer oppfinnsomme studentene sendte meg en e-post som så ut som den kom fra UiOs rektor , med beskjed om at jeg var blitt utnevnt til viserektor. Men jeg er fortsatt bare postdoktor, flirer Laszlo Erdödi. Så blir han alvorlig:

– Jeg kunne jo sende deg et forfalsket brev også i gamle dager, med «snail mail» og med hvilken som helst underskrift. Det er ikke noe nytt at avsenderens identitet kan forfalskes. Mange tror at alt mulig skal bli sikrere når det blir digitalt, men det stemmer som regel ikke. Du skal være minst like skeptisk på nettet som du er i andre sammenhenger, advarer han.

Kontaktperson:

Professor Audun Jøsang, Institutt for informatikk

Vitenskapelige artikler:

Vasileios Mavroeidis and Audun Jøsang: Data-Driven Threat Hunting Using Sysmon. Conference Paper: International Conference on Cryptography, Security and Privacy (ICCSP), March 2018.

Vasileios Mavroeidis and Audun Jøsang: Cyber Threat Intelligence Model: An Evaluation of Taxonomies, Sharing Standards, and Ontologies within Cyber Threat Intelligence. Published September 2017.

Mer informasjon:

UiO: The Hacking Arena. Established in 2019

Vasileios Mavroeidis: Through the First OpenC2 Plugfest - Towards Standardization. Published February 5, 2020.

Tweak Town: Hackers can win a Tesla Model 3 + $1 million if they can hack a Tesla. Published Jan 13, 2020.

OASIS Open Command and Control (OpenC2) TC (Main page)

OASIS Collaborative Automated Course of Action Operations (CACAO) for Cyber Security TC (Main page)

OASIS Threat Actor Context (TAC) TC (Main page)

European Horizon 2020 Project Concordia

Security Playbook Automation through Concordia. Posted January 30, 2020

Les mer på Titan.uio.no: