Om detta är cyberkrig, var är alla cybervapen?

Liksom atombomben under andra världskrigets avtagande dagar verkade datorviruset Stuxnet, som upptäcktes 2010, inleda en ny era av krigföring. I cyberkrigets era varnade experter för att tysta, mjukvarubaserade attacker kommer att ersätta explosiva förordningar, stridsvagnar och maskingevär, eller åtminstone sätta scenen för dem.





Eller kanske inte. Nästan fyra år efter att det först identifierades offentligt är Stuxnet en anomali: det första och enda cybervapnet som någonsin känts till att ha utplacerats. Nu vill några experter inom cybersäkerhet och kritisk infrastruktur veta varför. Finns det färre realistiska mål än man misstänker? Är sådana vapen svårare att konstruera än insett? Eller är den nuvarande generationen cybervapen helt enkelt för väl gömd?

Sådana frågor uppmärksammades av världens främsta experter på säkerheten för industriella kontrollsystem förra veckan vid årsmötet S4 konferens utanför Miami. S4 samlar världens främsta experter på säkerheten för kärnreaktorer, elnät och löpande band.

På S4 rådde en bred enighet om att – långt efter att Stuxnets namn har försvunnit från rubrikerna – är industriella styrsystem som Siemens Programmerbara Logic Controllers fortfarande sårbara.



Eireann Leverett , en säkerhetsforskare på företaget IOActive , berättade för deltagarna vid konferensen att vanliga säkerhetsrutiner inom företagsinformationsteknologins värld fortfarande är ovanliga bland leverantörer som utvecklar industriella kontrollsystem (se Att skydda kraftnät från hackare är en enorm utmaning). Leverett noterade att moderna industriella kontrollsystem, som säljs för tusentals dollar per enhet, ofta levereras med programvara som saknar grundläggande säkerhetskontroller som användarautentisering, kodsignering för att förhindra obehöriga programuppdateringar eller händelseloggning för att låta kunderna spåra ändringar av enheten .

Det är också tydligt att under åren sedan Stuxnet kom i dagen har både utvecklade länder och utvecklingsländer tagit till sig cyberoperationer som en fruktbar ny väg för forskning och utveckling (se Welcome to the Malware Industrial Complex ). Laura Galante, en tidigare underrättelseanalytiker från det amerikanska försvarsdepartementet som nu arbetar för företaget Mandiant , sa att USA inte bara spårar aktiviteterna i nationer som Ryssland och Kina, utan också Syrien och Stuxnets valmål: Iran. Galante sa att cybervapen ger mindre, fattigare nationer ett sätt att utnyttja asymmetrisk kraft mot mycket större fiender.

Ändå kräver verkligt effektiva cybervapen extraordinär expertis. Ralph Langner , kanske världens högsta auktoritet på Stuxnet-masken, hävdar att enbart hackning av kritiska system inte räknas som cyberkrigföring. Till exempel skapade Stuxnet rubriker för att ha använt fyra bedrifter för noll dagar (eller tidigare oupptäckta) hål i Windows operativsystem. Men Langner sa att den metallurgiska expertis som behövs för att förstå konstruktionen av Irans centrifuger var mycket mer imponerande. De som skapade Stuxnet behövde veta den exakta mängden tryck eller vridmoment som behövdes för att skada aluminiumrotorer i dem, vilket saboterade landets urananrikningsoperation.



Att koncentrera sig på mjukvarubaserade verktyg som kan orsaka fysisk skada sätter en mycket högre ribba för diskussioner om cybervapen, hävdar Langner. Med den standarden var Stuxnet ett riktigt cybervapen, men Shamoon-attacken 2012 mot oljejätten Saudi Aramco och andra oljebolag var det inte, även om den raderade hårddiskarna på de datorer som den infekterade.

Vissa hävdar att villkoren för att använda ett så destruktivt cybervapen helt enkelt inte har uppstått igen - och kommer sannolikt inte att göra det på ett tag. Operationer som Stuxnet – smygprojekt utformade för att långsamt försämra Irans anrikningsförmåga över år – är undantag snarare än regel, sa Thomas Rid vid Institutionen för krigsstudier vid Kings College i London. Det finns inte för många mål som skulle lämpa sig för en hemlig kampanj som Stuxnet gjorde, sa Rid.

Rid berättade för deltagarna att kvaliteten på den intelligens som samlats in på ett visst mål gör skillnaden mellan ett effektivt cybervapen och en flopp.



Det är också möjligt att andra cybervapen har använts, men omständigheterna kring deras användning är hemliga, låsta av regeringar som sekretessbelagda uppgifter eller skyddade av strikta avtal om sekretess.

Faktum är att Langner, som arbetar med några av världens ledande industriföretag och regeringar, sa att han känner till en annan verklig fysisk cyberattack, den här kopplad till en kriminell grupp. Men han ville inte prata om det.

Industriella kontrollproffs och akademiker klagar över att den information som behövs för att undersöka framtida attacker hålls utanför det offentliga området. Och allmännyttiga företag, industriföretag och ägare av kritisk infrastruktur har just nu blivit medvetna om att system som de antog var avspärrade från det offentliga Internet ofta inte är det.



Samtidigt driver tekniken ännu snabbare och transformerande förändringar som en del av det som kallas sakernas internet. Ubiquitous Internet-anslutning i kombination med billiga och små datorer och sensorer kommer snart att tillåta autonoma system att kommunicera direkt med varandra (se Säkra det smarta hemmet, från brödrostar till toaletter).

Utan ordentliga säkerhetsfunktioner inbyggda i industriprodukter från början ökar risken för attacker och fysisk skada dramatiskt. Om vi ​​fortsätter att ignorera problemet kommer vi att hamna i djupa problem, sa Langner.

Dölj