Robert E. Joyce holdt foredrag om hvordan USAs elitehackere jobber når de skal bryte seg inn i nettverk. (Foto: skjermdump/Youtube)

Tailored Access Operations

NSAs elitehackere: – Slik gjør du livet surt for oss

Kontoret for «skreddersydd adgang» bryter tausheten.

Gruppen av elitehackere var en hemmelighet dypt begravd i etterretningsbyrået National Security Agency – med det intetsigende kodenavnet S32. Det endret seg da varsleren Edward Snowden i juni 2013 lekket store mengder gradert informasjon om USAs massive overvåking av internett og telesamband.

Dokumentene viste at krumtappen i det systematiske arbeidet med å kompromittere fremmede lands nettverk er spesialavdelingen Tailored Access Operations (TAO).

Ut av skyggene

Sjefen for den myteomspunne avdelingen holdt i forrige uke et ytterst sjeldent foredrag.

Det skjedde i avslutningsforedraget på sikkerhetskonferansen Enigma i San Francisco. Innlegget til TAO-leder Robert E. Joyce er publisert i sin helhet på Youtube.

Med det interessante temaet sikkerhetspraksis og hvordan gjøre livet surt for «nation state hackers», altså statssponsede hackere – som dem selv.

– Skal du virkelig beskytte nettverket ditt, så må du kjenne det ut og inn. Inkludert teknologien på innsiden og alle tilkoblede enheter. Vi kjenner i mange tilfeller nettverkene bedre enn menneskene som har designet og drifter dem, sier Joyce.

Fra seminarets beskrivelse av mannen kan vi lese at han hadde 25 års fartids i NSA, før han overtok ansvaret for TAO-enheten i april 2013. Han har sivil bakgrunn med utdannelse blant annet som teknolog og elektroningeniør. I sitt virke har han to ganger blitt hedret av den amerikanske presidenten i form av utmerkelsen «Presidential Award».

Joyce erkjente at det var uvant og rart for ham å stå på scenen. Det skjer ikke ofte.

– Det jeg skal fortelle i dag, som statlig angriper, er hva du kan gjøre for å beskytte deg selv og gjøre livet vanskelig for meg.

Underveis beskrev han en sekstrinns prosess for hvordan de opererer når de skal bryte seg inn i datasystemer:

Rekognosering, første utnyttelse (innbrudd), etablere utholdenhet, installere verktøy, sideveis bevegelse. Siste punkt er innsamling/uthenting/utnyttelse av stjålne data.

– Vi er avhengig av første crack, og vi vil lete og lete til vi finner det. Det er en grunn til at dette blir kalt en avansert vedvarende trussel. Vi pirker og pirker og venter og venter helt vi vi kommer inn.

Her kan vi minne om at NSA er å regne som en såkalt APT-aktør (Advanced Persistent Threat) i likhet med andre lands aktører de både forsvarer seg mot, samt angriper.

– Anta at du er hacket

Han beskrev en nidkjær og tidkrevende aktivitet, der leten etter små sprekker i forsvaret kan være det som avgjør.

– Ikke anta at et hull er for lite til å bli lagt merke til, eller for lite til å bli utnyttet. Du bør forvente at du allerede er kompromittert.

Videre tonet han ned viktigheten av å angripe såkalte nulldagssårbarheter, det vil si sårbarheter i programvare som det typisk ikke foreligger noen fiks mot ennå. Det er for øvrig kjent at NSA kjøper informasjon om nulldagssårbarheter.

Nulldagssårbarheter er i verktøykassen deres, men i likhet med FBI før dem, hevder NSA at de foretrekker andre metoder.

Angivelig fordi det er mindre risikabelt, men også enklere å vente ut motstanderen. De utnytter mulighetsrommet som oppstår når systemeiere glemmer, eller ikke har rukket å installere sikkerhetsoppdateringer.

– Hvorfor er vi suksessrike? Vi setter av tiden som skal til for å komme oss inn i det nettverket. Vi setter av tid til å kjenne nettverket bedre enn folkene som designet det og folkene som sikrer det.

Konferansen forfekter et åpenhetsprinsipp og har publisert foredraget:

Til toppen