Internet down, hva nå?

Én hacker tok ned Nord-Korea, kan han ta ned oss?

Vi trekker på skuldrene. Nord-Korea? Det passer – og har ingen ting med oss å gjøre. Det har det imidlertid. Dessuten er historien interessant – selv om den stort sett er ignorert av media.

En hacker-turned-security-expert ble forsøkt hacket (ironien er til å ta og føle på) av nord-koreanske statlige hackere i fjor. Det skjer til stadighet – nord-koreanerne er aktive og dyktige, og orienterer seg spesielt mot steder der de håper å finne nye og bedre verktøy. Myten om at de  er supersmarte til å utvikle verktøy er akkurat det, en myte. Ikke dårlige, men slett ikke bedre enn kinesere, russere og amerikanere – og israelere, som med hendene på ryggen tar olympisk gull i så henseende. Nord-koreanerne hacker og stjeler og er flinke til å bruke det de får tak i.

Denne gangen traff de imidlertid feil sted og feil person. Han stoppet dem før de fikk tak i noe – og ble mektig irritert. Så irritert at han bestemte seg for å slå tilbake. Under motto 'hvis ingen viser tenner når de blir angrepet, blir det bare verre'. Uangripelig logikk, men kan én person angripe et land? Her er første erkjennelse å ta inn over seg. Svaret er 'ja', og det kunne like godt vært Norge. Eller Sverige, eller et annet land av moderat størrelse. Helt det samme blir det imidlertid ikke, som vi skal komme tilbake til.

Vår hacker, som går under psevdonymet P4x og ble intervjuet av Wired Magazine for noen uker siden (se lenke nedenfor), satte i gang et 'undersøkende angrep', i realiteten hva sikkerhets-profesjonelle  kaller en 'medium size pen test', for å finne svakheter hos nord-koreanerne. De lot ikke vente på seg, og her kommer erkjennelse nummer 2: At et land eller en organisasjon har høy angreps-kapasitet og -kompetanse, sier ingen ting om forsvarsevnen. Angrep og forsvar betjenes av ulike mennesker med ulik kompetanse, holdninger, kultur, ledelse, kanskje ressurser og så videre. Vel verdt å ta med seg innover - selv om vi ikke har planer om å angripe noen som helst: De fleste – også russere, nord-koreanere etc. – øver for lite, som vi diskuterte i Tannløst cyberforsvar forleden. Å angripe seg selv - ofte - er uvurderlig læring.

P4x fant nok svakheter til å sette samtlige synlige nord-koreanske nettsteder ut av drift lenge nok til at de ble lagt merke til i internasjonale sikkerhetsmiljøer. Som automatisk antok at amerikanere sto bak - et svar på Kim Jung-uns rakett-oppskytninger noen dager tidligere. Ingen stor forstyrrelse for noen, siden Nord-Koreas internasjonale nett-trafikk er minimal (vanlige brukere, i den grad de finnes, har kun tilgang til et lands-internt nettverk). Men nok til å irritere nord-koreanske myndigheter og å gi dem et blått øye: Cyberforsvaret er elendig. Gammel og upatchet software florerer, de burde vite bedre.

Mer enn godt nok for vår hacker, og erkjennelse (eller påminnelse) nummer tre for vår del: Upatchede systemer er ikke bare profesjonelt selvmord, de er livsfarlige i krig. Og krig har vi.

Tilbake til det opprinnelige spørsmålet: Kan én person 'ta ned' Norge – eller et annet land? Det utrivelige svaret er 'ja, men' – der 'men' er signifikant, men ikke egnet som sovepute. Nord-Korea er spesielt fordi kanalene inn og ut av landet er få og lavt trafikkert. For vestlige land er situasjonen den motsatte. Enorm trafikk, mange forbindelser, uoversiktlig landskap og høy kapasitet. For diktaturer med høy grad av trafikk-kontroll er det enklere, men for alle er antall kanaler den viktigste parameter – sammen med deres fysiske beskaffenhet, hvilket vi ikke skal komme inn på i denne sammenhengen.

Det én eneste hacker med høy kompetanse og rimelig innsats kan klare, er å forstyrre status quo tilstrekkelig til at det merkes – om ikke over hele landet, så i store regioner. Og jo lenger angrepet varer, desto mer merkbart. Dessuten – og viktig for forsvarsstrategien – et angrep fra eksterne kan like gjerne komme innenfra som utenfra, fra infiserte systemer og sovende celler. Derfor er grensekontroll kun en del av forsvaret.

Videre vil en realistisk sårbarhetsanalyse for Norge avsløre det samme som vi har sett i forbindelse med energi i vinter: At forbindelsene øst/vest er langt bedre enn nord/sør – på godt og vondt.

Med andre ord – 'the takeaway' fra hacker-historien er en påminnelse om to forhold vi kjenner altfor godt fra før, og som aldri får nok oppmerksomhet: Patchede systemer og multiple 'kanaler'. Pluss et effektivt, oppegående og testet forsvar.

Er det nok med 'både fiber og 5G'? Kanskje, men ikke hvis de har felles avhengigheter i neste ledd. Hvordan vet vi det? Vi sjekker. Ikke en gang, men stadig vekk. Dynamikken er stor og voksende, avhengigheter den ene måneden kan se annerledes ut den neste. Det er vårt ansvar å vite, ikke tro. Først da blir forsvaret 'ansvarlig'.