Taggat med: PSYOPS

FRA:s årsrapport 2017

Försvarets radioanstalt (FRA) släppte i fredags årsrapporten för 2017. Som vanligt så kan vi läsa om intressanta saker som hänt under det gångna året. Extra kul är också att myndigheten fyllt 75 år.

Jag har sammanfattat det jag tycker är mest intressant inom cyberområdet som framgår i årsrapporten:

  • Fler installationer av det tekniska detekterings- och varningssystem (TDV) har genomförts
  • FRA spelade en viktig del i att upptäcka Cloud Hopper. Även så släpptes ett PM i samband med detta, här kan du läsa det PM:et
  • Främmande underrättelseverksamhet utgörs i dag av avancerade IT-angrepp
  • Hybridhot och påverkansoperationer (PSYOPS) har blivit en risk som vi i Sverige inte kan bortse ifrån
  • När FRA genomför IT-säkerhetsanalyser för att hitta sårbarheter så är rapporterade sårbarheter kvar vid uppföljningar. Därför kommer FRA att samarbeta mer med Säkerhetspolisen för att ge ett mer kontinuerligt och operativt stöd

FRA har teknik och kunskap för att upptäcka och följa skadlig kod genom cyberrymden från de mest avancerade angriparna.

Skärmdump från årsrapporten

Här kan du ladda hem årsrapporten i sin helhet:

En annan rolig sak är att FRA numera kör med DNSSEC. Dock fortfarande många myndigheter som ej kör DNSSEC enligt myndighetermeddnssec.se.

Tidigare årsrapporter jag har skrivit om:

Myndighetssajter låg nere efter överbelastningsattack

DDoS DNS

Igår låg flertalet myndighetssajter nere såsom Krisinformation.se, Regeringen.se och MSB.se, men även flertalet internationella tjänster såsom Github, Spotify och Twitter. Anledningen till att de låg nere var en överbelastningsattack mot dess DNS-leverantör Dyn.

Ända sedan 2012 är det känt att flertalet svenska myndigheter har lagt alla ägg i samma korg och valt leverantören Dyn för DNS (eller indirekt via företaget Excedo). Dyn är ett amerikanskt företag som inte har några DNS-servrar i Sverige samt har alla DNS-servrar ett och samma AS (Autonomous System).

Stephan Lagerholm på Secure64 och Torbjörn Eklöv, Interlan skrev redan 2012 ett brev och ifrågasatte valet av leverantör för DNS.

Och som Cornucopia påpekade 2013 så ligger ansvaret för psykologiskt skydd hos MSB. Och om en utländsk leverantör handhar DNS:erna så har dessa även möjlighet att modifiera innehållet på myndigheternas webbsidor genom att helt enkelt peka om.

Brev till regeringen, Kustbevakningen och MSB finns här:

Som tur var så verkar MSB eller dess leverantör Excedo ändrat tjänsteleverantör för DNS till svenska Netnod och Dnsnode.

Men vem eller vad stog bakom den stora överbetlastningsattacken? Troligtvis så användes Mirai-bottnätet som utnyttjar svagheter i Internet of Things-enheter såsom övervakningskameror. Dessa svagheter som utnyttjas är bl.a. användarnamn och lösenord som är lätta att gissa eller hårdkodade, dock så väntar vi fortfarande på en djupara analys från Dyn.

Och att Myndigheten för samhällsskydd och beredskap, Regeringen etc var nere beror så klart på collateral damage (sidoskada) då målet troligtvis var något helt annat.

IIS dnscheck är ett bra verktyg för att se några av de vanligt förekommande felen. Här är för MSB.se:

Uppdatering: En observant läsare påpekade att med anledning av flytten för MSB.se så försvann DNSSEC. Även så använder man sig fortfarande enbart av en leverantör.

Uppdatering 2: En annan intressant kedjereaktion på DDoS mot DNS är att DKIM och SPF misslyckas att verifieras vilket får till följd att mängder av E-post hamnar i spam-korgar.

Uppdatering 3: Nu har även DN skrivit om att flertalet experter påpekade detta problem redan 2012.

Ryska cyberkriget mot Sverige trappas upp

Ryska cyberkriget mot Sverige

Att cyberarenan används mer och mer för krigsföring är nog ingen som är förvånad över. Vi ser små fragment nå fram till media om vad som verkligen pågår under ytan på isberget: storskaligt cyberkrig. Du kanske tänker att kärnkraftverk ska slås ut och tåg krockar på grund av intrång i IT-system, för så är det ju på film.

Men inom cyberarenan ingår också att sprida desinformation om motståndare samt påverka befolkningen i en viss riktning, att hålla i narrativet. Detta var mycket tydligt under Krim-operationen från rysk sida.

Försvarsminister Peter Hultgren säger till DN:

Det här en ny arena där man driver desinformation och propaganda och det är vi inte förberedda och rustade för. Här har vi en oerhört stor förbättringspotential. Under det kalla kriget hade vi ju Styrelsen för psykologiskt försvar som hanterade den tidens informationskrigföring men den lades ju ned.

Men vad som försegår under ytan vet vi inte riktigt. Men vi kan anta att operationer pågår konstant att kartlägga och exploatera den svenska IT-infrastrukturen samt andra mål såsom politiker, högt uppsatta tjänstemän, pressen och myndigheter eller företag som sitter på värdefull information.

Och att MSB nu satsar på ett psykologiskt försvar lett av Mikael Tofvesson är också en tydlig signal att civila försvaret inom psyops måste bli bättre. Att gruppen som jobbar med det civila psykologiska försvaret skulle vara hemlig som DN skriver är dock något som Tofvesson dementerar på Twitter.

Men oavsett den svenska upprustningen inom psyops-försvaret kommer de ryska trollfabrikerna troligtvis inte att avta med sin propagandaspridning och hackergrupper som avlönas från Kreml.

Att nu även SIGINT-material används inom psyops är något som vi såg under Kreml-operationen, när Nuland pratade med Pyatt. Troligtvis var detta något som fastnade i SORM (Система Оперативно-Розыскных Мероприятий) som är det system som sköter all avlyssning.

Försvarsmakten: Cyberkriget är här

Försvarsmakten släppte nyligen sitt dokument med underlag till försvarspolitisk inriktningsproposition 2015 där man anger att förutom sjö, luft, mark och rymd så bör även cyber införas som den femte operativa miljön.

Även anges i dokumentet att stora mängder information snabbt kan inhämtas dolt, sid 11:

Underrättelseverksamhet i cybermiljön ger möjligheter till snabb och dold inhämtning av stora mängder information, som kan vara tillgänglig i realtid. Mjuk- och hårdvara som levereras till svenska system kan, redan innan de tas i bruk, vara förberedda för att samla underrättelser eller ta emot och öka effekten av- eller initiera attacker med svåra konsekvenser som följd. Underrättelseverksamhet i cybermiljö är en förutsättning för att kunna genomföra cyberattacker.

Så därför dras slutsatsen mycket logiskt att Försvarsmaktens förmåga inom cyber måste öka och vara juridisk kontrollerad precis som inom andra militära förmågor. Samt så bör det finnas en god samverkan med andra berörda myndigheter.

Redan idag kan militära effekter uppnås inom cybermiljön framgår men oklart dock om hela spektrat inom informationsoperationer såsom PSYOPS inkluderas inom detta begrepp.

Under punkt 2.2 så framgår även att Ryssland bedriver hybridkrigföring där också cyberoperationer ingår.

Bilden nedan förevisar operationer inom cyberarenan. Hämtad från Försvarsmaktens Handbok Informationsoperationer:

FM Handbok infoops

CNO = Datornätverksoperationer eller computer network operations som det heter på engelska. OPSEC handlar om sekretess runt operationer.

Cyberattacker genomförs förutom i underrättelsesyfte med kinetiskt angrepp där operativa förmågor inom cyber koordineras med traditionella militära förmågor.

Här kan du ladda hem dokumentet som PDF:

Screen Shot 2014-12-17 at 14.37.01