I mitten av mars släpptes en rättning till den sårbarhet som gjorde WannaCry möjlig. Det är inte någon ovanlig rättning utan en del av Microsofts månatliga paket med rättningar som hos de allra flesta är en naturlig del av vardagen där dessa installeras i nära anslutning till att de tillgängliggörs. Men, tyvärr är det ännu inte naturlig hos alla. Det verkar heller inte naturligt att operativsystem som inte längre stödjs helt ersätts (exempelvis Windows XP). Parallellerna till exempelvis Conficker i årsskiftet 2009/2010 är slående (https://certezza.net/hur-kan-en-snall-mask-sla-ut-ett-helt-landsting/). Skillnaden är att denna gång rörde det sig om en ganska elak mask. Kanske oväntat att kombinera detta med ett i övrigt ganska klassiskt ransomware varpå reaktionerna kanske blev därefter. Men var det verkligen så oväntat och var det verkligen så avancerat?
Det stora flertalet drabbades inte vilket kanske visar att det inte var så oväntat och så avancerat. De hade förhoppningsvis gjort sin hemläxa och var helt enkelt inte sårbara, eller så hade de kanske tur denna gång.
Hur sannolikt är det då att det är främmande makt eller organiserad brottslighet som ligger bakom WannaCry? Jag väljer till skillnad från många andra att inte spekulera förrän vi vet betydligt mer. Det vi vet är att WannaCry bygger på ett asymmetriskt krypto (RSA) som sen i sin tur används för att kryptera symmetriska bulknycklar som i sin tur används för att kryptera innehållet på den drabbade datorns hårddisk. Det är också känt att den asymmetriska nyckelgeneratorn bygger på ett klassiskt amatörmisstag i form av att primtalen som slumpas fram under nyckelgenereringsprocessen inte tas bort från datorns minne efter att det asymmetriska nyckelparet är genererat. Resultatet blir att man kan läsa ut dessa primtal och därmed återskapa RSA-nyckelparen (WannaCry använder två nyckelpar på en smittad dator) för att därefter dekryptera symmetriska nycklar som bulkkrypterat diskens innehåll. Eftersom primtalen ligger i datorns RAM förutsätter det såklart att man inte startar om en drabbad dator eller drar igång andra processer som skriver över minnesarean där primtalen lagrades under nyckelgenereringen.
Är det rimligt att främmande makt begår dessa amatörmisstag? Spelar det egentligen någon större roll vem som ligger bakom? Det som torde spela en helt avgörande roll är den breda oförmågan att arbeta strukturerat med informations- och IT-säkerhet.
Hur kan vi acceptera att sårbar IT-utrustning blandas med våra värdefullaste informationstillgångar? Hur kommer det sig att det är okey att släpa efter med säkerhetsuppdateringar? Varför får inte användarledet tillräcklig utbildning så att de allra enklaste tricken inte längre lyckas? Listan kan göras oändligt lång. Till den kan sedan adderas den ständiga önskan att någon annan ska ta ansvar. Borde inte internetoperatörerna kunna göra mer? Vad gör våra expertmyndigheter i frågan? Vad görs från politiskt håll?
Det finns inte en chans i världen att någon annan kan ta ansvar för våra egna tillkortakommanden. På sikt kommer det att lösa sig om än brutalt. De som inte klarar av ett leverne i en digital samvaro kommer helt enkelt inte att överleva länge till. Låt detta bli ett rejält uppvaknade. Även om du inte drabbades, så kan du bidra till att ni inte blir drabbade nästa gång det drar över en våg. Alla har ett ansvar och vi måste ta ansvar. Det finns inte några vinnare i ett blame game.
PS! Här finns finns kod/verktyg som kan användas för att läsa tillbaka primtal från en dator som smittats med WannaCry:
• WannaKey https://github.com/aguinet/wannakey
• WannaKiwi https://github.com/gentilkiwi/wanakiwi/releases
Thomas Nilsson
