211service.com
Antivirusföretag bör vara mer öppna med sina statliga upptäckter av skadlig programvara
Förra veckan fick vi veta om en slående skadlig programvara som heter Regin som har infekterat datornätverk över hela världen sedan 2008. Det är mer sofistikerat än någon känd kriminell skadlig programvara, och alla tror att en regering ligger bakom det. Inget land har tagit åt sig äran för Regin, men det finns betydande bevis att den byggdes och drevs av USA.
Detta är inte den första statliga skadliga programvaran som upptäckts. GhostNet tros vara kinesiska. Röd oktober och Tornet tros vara ryska. Masken är förmodligen spanska. Stuxnet och Flamma kommer förmodligen från USA. Alla dessa upptäcktes under de senaste fem åren och namngavs av forskare som drog slutsatser om deras skapare från ledtrådar som vem skadlig programvara riktade sig mot.
Jag ogillar cyberkrigsmetaforen för spionage och hacking, men det pågår ett slags krig i cyberrymden. Länder använder dessa vapen mot varandra. Detta påverkar oss alla, inte bara för att vi kan vara medborgare i ett av dessa länder, utan för att vi alla är potentiella sidoskador. De flesta av varianterna av skadlig programvara som anges ovan har använts mot icke-statliga mål, såsom nationell infrastruktur, företag och icke-statliga organisationer . Ibland är dessa attacker olycklig , men ofta är de det avsiktlig .
För sitt försvar måste civila nätverk förlita sig på kommersiella säkerhetsprodukter och tjänster. Vi förlitar oss till stor del på antivirusprodukter från företag som Symantec, Kaspersky och F-Secure. Dessa produkter skannar kontinuerligt våra datorer, letar efter skadlig programvara, tar bort den och varnar oss när de hittar den. Vi förväntar oss att dessa företag agerar i våra intressen och aldrig medvetet misslyckas med att skydda oss från ett känt hot.
Det är därför det senaste avslöjandet av Regin är så oroande. Det första offentliga tillkännagivandet av Regin var från Symantec , den 23 november. Företaget sa att dess forskare hade studerat det i ungefär ett år och meddelade att det fanns eftersom de kände till en annan källa som skulle tillkännage det. Den källan var en nyhetssajt, Intercept, som beskrivs Regin och dess amerikanska förbindelser följande dag. Både Kaspersky och F-Secure publicerade snart sina egna resultat. Båda uppgav att de hade spårat Regin i flera år. Alla tre antivirusföretagen kunde hitta prover av det i sina filer sedan 2008 eller 2009.
Så varför höll dessa företag Regin hemliga så länge? Och varför lämnade de oss sårbara under hela denna tid?
För att få ett svar måste vi reda ut två saker. Nära som vi kan säga hade alla företag lagt till signaturer för Regin till sin upptäcktsdatabas långt före förra månaden. VirusTotal-webbplatsen har en signatur för Regin från och med 2011 . Både Microsoft säkerhet och F-Secure började upptäcka och ta bort det det året också. Symantec har skyddat sina användare mot Regin sedan dess 2013 , även om det verkligen lade till VirusTotal-signaturen 2011.
Helt separat och till synes oberoende beslutade alla dessa företag att inte offentligt diskutera Regins existens förrän efter att Symantec och Intercept gjorde det. Angivna skäl varierar. Mikko Hyponnen från F-Secure sa det specifik kunder bad honom att inte diskutera skadlig programvara som hade hittats i deras nätverk. Fox IT, som anlitades för att ta bort Regin från det belgiska telefonbolaget Belgacoms hemsida, sa inget om vad det upptäckte eftersom det ville inte störa NSA/GCHQ-operationer .
Min gissning är att inget av företagen ville gå ut på börsen med en ofullständig bild. Till skillnad från kriminell skadlig programvara kan skadlig programvara av statlig kvalitet vara svår att ta reda på. Det är mycket mer svårfångat och komplicerat. Den uppdateras ständigt. Regin består av flera moduler – Fox IT kallade det ett fullständigt ramverk av många arter av skadlig programvara – vilket gör det ännu svårare att ta reda på vad som händer. Regin har också använts sparsamt, mot endast ett fåtal utvalda mål, vilket gör det svårt att få prover. När du gör ett presstryck genom att identifiera en del av skadlig programvara vill du ha hela historien. Tydligen kände ingen att de hade det med Regin.
Det är dock inte en tillräckligt bra ursäkt. När skadlig programvara i nationalstaterna blir vanligare kommer vi ofta att sakna hela historien. Och så länge länder kämpar mot det i cyberrymden, kommer några av oss att bli måltavlor och resten av oss kan ha otur nog att sitta i explosionsradien. Skadlig programvara av militär kvalitet kommer att fortsätta att vara svårfångad.
Just nu sitter antivirusföretag förmodligen på ofullständiga historier om ett dussin fler varianter av skadlig programvara av statlig kvalitet. Men det borde de inte. Vi vill, och behöver, att våra antivirusföretag berättar allt de kan om dessa hot så snart de känner till dem, och inte väntar tills släppet av en politisk berättelse gör det omöjligt för dem att vara tysta.
Bruce Schneier är säkerhetstekniker. Hans senaste bok är Lögnare och outliers: Att möjliggöra förtroendesamhällets behov att blomstra .