Portland, Oregon, 21. august i år: Protest mot NSAs etterretning. (Bilde: REX/Alex Milan Tracy/NurPhoto/All Over Press)

Kjøpte sårbarheter fra hackere

NSA betalte millioner til nettkjeltringer.

I to artikler har Washington Post gjennomgått et hemmeligstemplet budsjettdokument for USAs hemmelige tjenester:

Det går fram av dokumentet at amerikansk etterretning gjennomførte 231 offensive kyberoperasjoner i 2011. Et eget prosjekt, GENIE, disponerte 652 millioner dollar for å plassere skreddersydd ondsinnet kode i tusener av fjerntliggende datamaskiner, rutere og brannmurer. Av disse ble det brukt 25,1 millioner dollar på å kjøpe hittil ukjente programvaresårbarheter på gråmarkedet, hovedsakelig fra europeiske hackere.

Budsjettene er i utgangspunktet hemmelige. Avisen bygger artiklene på nye lekkasjer fra Edward Snowden, samt intervjuer med til dels anonymiserte kilder med nåværende eller tidligere tilknytning til de hemmelige tjenestene. Selve budsjettdokumentet fra februar 2012 er gjort tilgjengelig sterkt redigert, med bare 17 av de opprinnelige 178 sidene. Avisen skriver at det er skjedd på anmodning fra representanter fra etterretningstjenestene: Budsjettdokumentet er så spekket med følsomme opplysninger at tradisjonell sladding ikke hadde nyttet.

Budsjettet gjelder skatteåret 2012–2013. Det omfatter alle USAs 16 etterretningsorganisasjoner, hvorav de to mest kjente NSA og CIA, med til sammen 107 035 ansatte.

Utgiftspostene i budsjettet summeres til 52,6 milliarder dollar, hvorav 14,7 milliarder dollar til CIA og 10,5 milliarder til NSA. En stor del av midlene øremerkes såkalte «offensive kyberoperasjoner». Virksomheten er underlagt følgende prioriteringsliste:

  • Kamp mot terrorisme
  • Hindre spredning av kjernefysiske og andre «ukonvensjonelle våpen»
  • Advare og informere USAs ledelse om kritiske hendelser i andre land
  • Forsvar mot utenlands spionasje
  • Kyberoperasjoner

Omfanget av ressursene som vies «signaletterretning» («SIGINT», «signal intelligence») gjenspeiles i at nærmere 35 000 etterretningsansatte arbeider med «Consolidated Cryptologic Program». Dette programmet omfatter NSA samt overvåknings- og kodeknekkingsvirksomheten til de væpnede styrkene.

Det går også fram at CIA bruker nesten 1,7 milliarder dollar på et fellesprogram med NSA, døpt «CLANSIG», for å fange opp radio- og telesamband fra fiendtlig territorium.

Nærmere tre fjerdedeler av de offensive kyberoperasjonene som ble gjennomført i 2011 var rettet mot «topprioritetsmål», det vil si blant annet Iran, Kina, Nord-Korea og Russland.

Det gis få detaljer om disse operasjonene. Budsjettdokumentet inneholder ingenting om Stuxnet, ormen som høsten 2010 saboterte Irans anlegg for anrikning av uran, og som observatører flest mener stammer fra enten USA eller Israel, eller et samarbeid mellom dem.

Washington Post viser til andre, åpne dokumenter for å presisere hva amerikanske hemmelige tjenester mener med «offensive kyberoperasjoner»: Det dreier seg om å manipulere, avbryte, nekte tilgang til, degradere eller ødelegge informasjon i datamaskiner eller datanettverk, eller selve datamaskinene og nettverkene. Noen ganger er det et poeng å gjøre dette så skjult at offeret enten ikke merker noe, eller merker at noe er galt uten å skjønne at det skyldes ondsinnet kode fra en fremmed makt.

Avisens muntlige kilder presiserer at dette er å spre den samme typen «vedvarende, avanserte trusler» (APT, «advanced, persistent threats») som Kina. Forskjellen er at kineserne gjør det for egen økonomisk vinning mens USA… (gjør det for verdens fredens skyld?).

En amerikansk offensiv kyberoperasjon kan omfatte «maskinvareimplantater», men det typiske er ondsinnet programvarekode spredd direkte, gjerne utviklet av NSA-avdelingen TAO («tailored accesss operations») som er spesialisert på å skreddersy ondsinnet kode tilpasset bestemte mål. TAO disponerer maler for å utnytte sårbarheter i rutere, svitsjer og brannmurer fra populære leverandører. Det er mer effektivt å angripe nettverksutstyr enn pc-er og servere, heter det. Et mål for TAO er «programvareimplantater» som kan automatisk velge ut interessante samtaler og videreformidle hensiktsmessige utdrag. Bakdører som ikke forsvinner når utstyrets systemvare oppgraderes, er et prioritert område.

GENIE-programmet skal etter budsjettets prognose styre minst 85 000 implantater i strategisk valgt utstyr verden over innen utgangen av 2013, heter det i dokumentet. I 2011 var det til sammen 68 975 implantater.

Å utnytte slike implantater fullt ut krever store mannskaper. GENIE-programmet hadde 1 870 ansatte i 2011, men greide å gjøre full bruk av bare 8 448 implantater. Prosjektet «TURBINE» skal bøte på dette, ved å automatisere forvaltningen av implantatene.

Det er kjent at det er et globalt gråmarked for nulldagssårbarheter. Av budsjettdokumentet går det fram at NSA er aktiv på dette markedet, som kjøper.

Budsjettet setter av 25,1 millioner dollar for «fordekte tilleggskjøp av sårbarheter i programvare» («additional covert purchases of software vulnerabilities»).

Amerikansk etterretning bidrar altså til å holde liv i en undergrunnsvirksomhet som primært er rettet mot lovlig virksomhet. Man solidariserer seg med kriminelle, av hensyn til den nasjonale sikkerhet.

Ondsinnede observatører vil ha det til at NSA driver med kyberangrep. Slett ikke, går det fram av budsjettet.

Det er ikke likhetstegn mellom «offensive kyberoperasjoner» og «kyberangrep». Det dreier seg ikke om «attack» men om «exploitation», definert som «hemmelig virtuell eller fysisk tilgang for å skaffe og opprettholde en tilstedeværelse inne i bestemte systemer eller fasiliteter». Det presiseres at systemlogger og -prosesser endres for å skjule inntrengingen og gjøre det mulig å utnytte bakdøren uten å bli oppdaget. Men noe angrep er det altså ikke snakk om, bare en «utnyttelse».

For øvrig er det verdt å merke seg at etterretningstjenestene i februar i fjor var bekymret over den raske økningen av antall personer med tilgang til graderte dokumenter, spesielt unge hackere innleid gjennom eksterne selskaper. Det ble varslet en gjennomgang av minst 4000 klareringer med tanke på å avdekke lekkasjerisiko.

Beskrivelsen passer til Edward Snowden, som var ansatt i Booz Allen Hamilton mens han brukte sin NSA-opplæring i datasikkerhet til i all hemmelighet å kopiere hundrevis av graderte dokumenter.

De kunne ha tatt ham.

Til toppen