Reflektioner om Flame – Komplext, omfattande och riktat

Om vi ska tro Kaspersky Labs har vi fått ytterligare en ”Stuxnet” på nacken och med ny menar jag produkten av några med en… tillräckligt stor budget. Vilka som har en sådan lämnar jag som uppgift till dig själv att spekulera i. Hur som helst, en tvååring har äntrat rampljuset, Flame.

Likheterna med Stuxnet är i vissa avseenden slående; komplexiteten, omfattningen och måltavlorna för infektering. Stuxnet hade ett från början utpekat mål, att (för)störa Irans uranium berikningsindustri. Däremot är syftet med Flame helt olikt det vi såg i Stuxnet. Flame verkar vara konstruerat för spionage med alla möjliga intressanta funktioner som t.ex. möjlighet att övervaka chat- och ”telefoni”-applikationer. Det kan sätta på mikrofonen, starta blåtandsenheter och självklart övervaka tangentbordet för knapptryckningar.

Min spontana och nästan omedelbara reaktion på när jag först läste om Flame var något i stil med: coolt, det händer igen, statligt finansierad utveckling av ”attackkod”. Sedan måste jag också erkänna att jag reagerade på hur länge Flame påstås ha existerat; uppåt två(!) år. Låt oss suga på den karamellen ett tag. Två… år. Hur mycket information produceras under två år. Hur många samtal ringer vi och hur mycket e-post skickar vi?

Jag vill dra slutsatsen att det handlar om spionage och riktade attacker. Det talas till och med om 0-day sårbarheter för att sprida Flame, alltså inget trams som opatchade hål, nej… vi talar om oupptäckta hål. En konspirativ tanke slår mig; Microsoft källkod är tillgänglig för de med budget. Behöver jag säga mer? Kombinationen av 0-day, källkod, stater och stora budgetar? Jag lämnar den tanken här.

Kan man skydda sig? Svaret är nog ett tveksamt ja men under mängder av antaganden och förutsättningar. Tekniken för att skapa ett tillräckligt bra it-säkerhetsskydd finns, men kostnaderna (tid och pengar) för att implementera och underhålla skyddet blir snabbt ohyggligt högt.

I de situationer då angreppet är av karaktär riktad handlar det kanske mer om upptäckande kontroller än förebyggande och åtgärdande. Självklart är det en kombination av samtliga, men jag vill nog ändå tycka att just upptäckande kontroller är mer relevanta när det gäller riktade angrepp.

TL;DR – Jag har ingen slutsats, eller snitsigt avslut… jo, förresten, jag har läst en hel del kommentarer här och där om att man ska undvika Windows därför att det inte är tillräckligt säkert… suck.

// Christoffer Strömblad
Informationssäkerhetskonsult SAFESIDE SOLUTIONS AB