Skillnad med it-vapen

När både Flame och bekräftelsen på att USA låg bakom Stuxnet dök upp under samma vecka blev min syn på it-vapen avsevärt mindre teoretisk.

Shit just got real. -Detective Marcus Burnett

Vi har det dock rätt förspänt; vi vet vad it-vapen är för något, det är inget främmande, vi har grepp om fenomenen exploits, maskar, bakdörrar, bottar och trojaner. Det handlar bara om en nivåskillnad: militära it-vapen är helt enkelt mycket bättre än vad vi är vana vid.

Mikko Hypponens kolumn i NYT är obligatorisk läsning. Det har också dykt upp en diskussion om kring huruvida antivirusindustrinhar misslyckatsellerinte; inte lika intressant. Antivirusindustrin misslyckas på daglig basis, det är en del av deras affärsmodell.

Konventionella vapen utnyttjar, på samma sätt som it-vapen, sårbarheter. Soldater är sårbara för finkalibrig ammunition. De kan skyddas med kroppsskydd med keramikplattor. Är kroppsskyddet en säkerhetspatch? Jag tycker att analogin haltar. Om motståndarens soldater har kroppsskydd på sig kan man lösa problemet genom att skjuta ”mer” eller skjuta ”hårdare” för det går alltid att ta fram mer, kraftigare ammunition. Samtidigt kan man alltid utöka skyddet. Jämför med s k bunker buster-bomber som bara blir större och större och bunkrar som går djupare och djupare. Man kan aldrig skydda sig fullständigt.

Samma sak gäller inte för digitala säkerhetshål. Om sårbarheten är att en angripare kan skriva över minnet, ta kontroll över instruktionspekaren och köra sin egen kod går det att patcha genom att kontrollera längden på strängen innan den skrivs in i minnet. När försvararen väl har gjort det är sårbarheten borta. Det går inte att smälla i med en ännu längre sträng eller att göra det flera gånger. Angriparen blir tvungen att hitta en helt ny sårbarhet. (Det enda området som jag, såhär på rak arm, kommer på där analogin stämmer är i princip allt som rör brute force. Du kan alltid försöka med att ta i hårdare.)

Påpassligt nog verkar vapen i it-världen antingen fungera eller inte (digitalt) medan de i den verkliga världen kan fungera i olika utsträckning (analogt).

Det finns många detaljer att ta hänsyn till när man jämför analoga och digitala vapen, det är inte alltid man jämför äpplen med äpplen men det är ändå en intressant diskussion.

Ikväll ska jag lyssna på Marcus Ranums Rear Guard Podcast ”The Problem with ‘Cyberwar'” från 2009 igen för att se hur den står sig. Duqu och Stuxnet fanns eller var åtminstone under utveckling vid den tiden men var förstås ännu inte kända för allmänheten.

Annonser