Möt Gabriel som analyserar skadlig kod på FRA - Försvarskarriär
Medarbetarporträtt

Gabriel

Hemliga it-attacker, geopolitiska kriser eller fullskaliga krig. För den exklusiva skara på Försvarets radioanstalt, FRA, som arbetar med reverse engineering för att analysera skadlig kod påverkar globala händelser vardagen. Exempelvis Rysslands invasion av Ukraina våren 2022.

Gabriel, FRA

Möt Gabriel som analyserar skadlig kod på FRA

Hemliga it-attacker, geopolitiska kriser eller fullskaliga krig. För den exklusiva skara på Försvarets radioanstalt, FRA, som arbetar med reverse engineering för att analysera skadlig kod påverkar globala händelser vardagen. Exempelvis Rysslands invasion av Ukraina våren 2022.

– Alla i världen som arbetar med skadlig kod är på tårna just nu, säger Gabriel, som är civilingenjör inom mjukvaruutveckling och har arbetat med reverse engineering på FRA sedan 2007.

Två saker till att börja med. Gabriel heter egentligen något annat. Till följd av de känsliga uppgifter han arbetar med vill varken myndigheten FRA eller han själv att hans riktiga namn används.

Och sedan. Reverse engineering. Begreppet har ingen självklar svensk motsvarighet. Men det handlar om att från en färdig konstruktion plocka fram de olika byggstenarna för att sedan visa dess funktionalitet. I det här fallet på FRA handlar det om plocka ned befintlig programkod i dess allra minsta beståndsdelar för att se hur koden eventuellt kan utgöra ett hot mot samhällsviktiga it-system eller hur den stjäl information.

Konkret går arbetet ut på att analysera programvara på så djup detaljnivå som det bara är möjligt, och därifrån beskriva vad koden har för syfte och hur den kan användas. Förenklat beskrivet så blir Gabriel och hans kollegor inkopplade efter att en misstänkt programvara upptäckts cirkulera på internet. Uppgiften blir då i första hand att ta reda på om det är någon typ av skadlig kod, vad koden gör, vilka effekter den kan få i samhället och hur den kan hittas igen.

Ett typiskt fall är att den skadliga koden kanske har upptäckts som en bilaga till något mejl som skickats mellan internationella aktörer. Men fortfarande finns också det gamla klassiska skeendet kvar: det kan då vara någon, exempelvis en utländsk underrättelseaktör, som ”slänger”, alltså planterar, ett usb-minne på en parkeringsplats utanför en svensk myndighet. Förhoppningen från den utländska underrättelsetjänsten, eller angriparen, är att någon som arbetar på myndigheten hittar usb-minnet och sedan sätter det i datorn av ren nyfikenhet eller för hjälpa till och se vem som tappat det. Följden kan då bli att det preparerade minnet skickar in den skadliga koden i myndighetens it-system. Exemplet har använts vid otaliga tillfällen för att visa hur en angripare tar sig in i ett it-system.

Men hur är det egentligen, sker det verkligen på riktigt?

– Ja, och det ger jättebra utdelning, säger Gabriel.

Och det är alltså vid sådana tillfällen – vid exempelvis misstänkt e-post eller annan filhantering – som Gabriel och kollegerna på FRA blir inkopplade.

– Vi analyserar den skadliga koden så maskinnära som möjligt utan att hålla på med hårdvara, säger Gabriel.

Ytterligare en central uppgift vid analysen av den skadliga koden är att hitta metoder för att kunna upptäcka den på internet. Inte minst är det viktigt för att skydda svenska myndigheter eller andra samhällsviktiga aktörer från att drabbas av en specifikt hotande kod.

Förbjudet att googla

En typisk dag på jobbet är svår att beskriva, enligt Gabriel. Arbetet handlar mycket om analyserande uppgifter vid datorn. Men det krävs också samarbete med kollegerna.

– Vi är ett prestigelöst gäng och vi som arbetar nära tillsammans kan fråga varandra om råd, säger han.

Och just det är viktigt. För med anledning av den starka sekretess som finns kring arbetsuppgifterna och myndigheten FRA så går det aldrig att fråga en utomstående om råd kring problemlösning. Det är heller inte tillåtet att söka på nätet efter en eventuell lösning eftersom sökningen i sig kan avslöja att det finns ett intresse för en viss kod som cirkulerar på internet.

– Vi måste skapa våra egna verktyg för att hitta en lösning på något som kanske ingen annan har sett tidigare. Du är den som måste lösa det och något facit finns inte, säger Gabriel.

Intervjun med Gabriel görs under de veckor då Ryssland precis har invaderat Ukraina våren 2022. Och det är ett exempel på geopolitiska händelser som påverkar jobbet.

– Ja, absolut, det är ett stort tryck. Det är mycket som händer nu, säger Gabriel.

Exakt vad FRA nu ser i form av skadlig kod på internet är inte möjligt att gå in på. Men kanske är det något som kommer att nå offentligheten i framtiden. Så var det exempelvis med den skadliga koden Stuxnet som började diskuteras öppet runt år 2010 och som noterades på ett tidigt stadium bland de som arbetar inom ämnet.

– Ingenjörer satte i halsen. Jag kommer i håg att jag tänkte ”oj,oj här har vi något annorlunda, det här är något nytt”, säger Gabriel, när han minns tillbaka.

Men det finns också ett djupt allvar kopplat till arbetet. FRA poängterar att den typ av arbetsuppgifter som Gabriel och kolleger arbetar med är väldigt eftertraktade generellt, inte bara just nu till följd av det skärpta säkerhetsläget internationellt. ”Uppgifterna är väldigt viktiga för FRA och de är väldigt viktiga för svenska intressen.”

– Vi har mycket att göra, konstaterar Gabriel.

Vilka egenskaper är det då som behövs för att klara av arbetet? Här beskriver Gabriel att det krävs envishet, och han sticker inte under stol med att det är svåra problem som ska lösas.

– Du kan börja med något väldigt stort med känslan att ”hur ska jag få ihop det här?”. Men undan för undan, som vid ett pussel, blir det färre och färre bitar kvar och till slut faller det på plats, säger han.

Vid sidan av envisheten krävs också kreativitet, vetgirighet, nyfikenhet och det som Gabriel beskriver som ”hackermentalitet”. Och han säger att han hållit på med just det i princip så länge han kan minnas, från att han var riktigt liten och försökte komma förbi skydd på dataspel.

– För mig är det en livsstil och jag älskar infosäkerhet. Jag läser bloggar hemma och man måste nästan älska det för att kunna hänga med, säger Gabriel.

Och just att ligga i den absoluta framkanten när det gäller informationssäkerhet är något som Gabriel uppskattar med jobbet på FRA. Och han skulle vilja berätta väldigt mycket mer om hur roligt arbetet är och fungerar – men den starka sekretessen sätter stopp.

– Vi gör väldigt spännande och häftiga saker. Det är jätteroligt att jobba här med duktiga kollegor och i en prestigelös miljö. Förhoppningsvis gör man världen till en bättre plats, det handlar inte bara om att fakturera så mycket som möjligt, säger Gabriel.