Eigenaardigheden Home Onderwerpen Samenleven Zoek Over ons Contact

Oorlog in Cyberspace

— Internet als slagveld—

dr. Albert Benschop
Universiteit van Amsterdam

Internet als medium en inzet van strijd
  Internet als slagveld
  Nabijheid en confrontatie
  Digitaal Pearl Harbour
Nieuwe stijl van oorlogsvoering
  Informatietechnologie en oorlogsvoering
  Eigenaardigheden van cyberoorlog
Veiligheid: kwetsbaarheden van ict
  Risico’s: onveiligheid & kwetsbaarheid
  Complexiteit | Productie | Gebruik
  Kwaadaardige software
  DDoS-aanvallen: klassiek en geavanceerd
  Software vernietigt hardware
  Mobiele malware
Beveiliging en verdediging
  Passieve verdediging: Reactief | Proactief
 
Actieve verdediging:
  Preëmptief | Tegenaanval | Misleiding
CyberMilitairen
  Wat doen cybermilitairen?
  Kwalificaties | Aantallen
  Uitrusting en kosten
  Organisatie: coördinatie en leiding
  Tactiek en strategie
  Laboratoria, simulaties en oefeningen
CyberInlichtingen
  Spionage: vroeger en nu
  CyberSpionage: inbreken en aftappen
  DigiNotar: gehackt vertrouwen
  Moeizame attributie
  Geduldig voorbereiden
  Automatische spionnen
  Wachtwoorden kraken
  Akoestische penetraties
  Social engineering: kunst van de misleiding
  Hengeltechnieken
  Cyberspionage in Nederland
  Toekomst van cyberspionage
Economische Spionage
  Economische Cyperoperaties (ECO)
  Bedrijfsspionage in cyberspace
  Wie steelt wat en waarom?
  The China Connection
  Huawei en ZTE
  Spioneren in de wolken
Financiële CyberManipulatie
  Digidieven in soorten en maten
  Stelende paarden
  Banken meervoudig in de klem
  Bankroof in de 21 eeuw
  EEX: CO2 kredietzwendel
  Europese btw-fraude
  NASDAQ: beurzen kraken
  Flitshandel en beursmanipulatie
  Beperking van risicoís door snelheidslimieten?
  Ontregeling van financiële markten
  Cybercriminele ketens en specialisatie
Cybotage
  Saboteren van procescontrolesytemen
  Procescontrolesystemen: PCS/SCADA
  Meer dan incidenten
  Nederland veilig achter de dijken?
  Toekomst van cybotage
Cyberoorlog die niet doorging
  Oost-Timor → Timor Leste
  Legions of the Underground
Kosovo: eerste cyberoorlog?
  Kosovaren en hun internet
  Navo zuinig met cyberwapens
Oorlog in het heilige cyberland
  Virtueel zionisisme vs cyberjihad
  Tenenbaum: internetbandiet en volksheld
  Palestijns cyberverzet
  Onvolkomen bescherming
China bereidt zich voor
  Een asymmetrisch perspectief
  Veroveringsoorlog in cyberspace?
  Cyberspace als domein van samenwerking
Noord-Korea: gemilitariseerd internet
  Leren voor de cyberoorlog
  Een vileine testcase
  Noord versus Zuid
Nieuwe wapenrace
  Wie zijn de schurken?
  Geen slachtofferloze oorlog
  Strategische afwegingen
  Cyberoorlog in actie: 2e Golfoorlog 2003
  Internet als terrein en inzet van oorlog
Estland en de Navo
  Estland in de vuurlinie
  Loochenbaarheid van cyberaanvallen
  Superbemachtiging
  Cyberdefensie door NAVO
  Georgië 2008 & 2011
  Terugslaan mag: regels voor cyberoorlog
Stuxnet: onverklaarde oorlog met Iran
  Ultracentrifuges slaan op hol
  Werking van Stuxnet: een briljante worm
  Een potente cyberspion: Flame
  Stuxnet als prototype
  Pentagon escaleert cyberoorlog
  Tegenvuur uit Iran
  Plan X | Presidentieel decreet
  Onafhankelijk advies | Handschoenen uit
CyberAfschrikking
  Voorkomen is beter dan verdedigen
  Voorwaarden van afschrikking
  Mogelijkheden van cyberafschrikking
Cyberoorlogsrecht
  Aanknopingspunten
  Een nieuw internationaal of bilateraal verdrag?
Europese perspectieven
  Europa reguleert zichzelf
  Europees dreigingsbeeld
Duitsland: strategische verlichting?
  Militarisering van de ruimte en vredespolitiek
  Recht op zelfverdediging
  Van Bundestrojaner naar FinFisher
Digitale zwaardmacht in de lage landen
  Slagkracht door samenwerking
  Verdedigen, exploiteren en aanvallen
  Zwaardmacht in het digitale domein
  Alleen het belangrijkste ontbreekt nog
Nomadische gedachten
  Leven met onzekerheden
  Kwetsbare digitale boezem
  Is cyberoorlog gehypte bullshit?
  Het internet der dingen
  Zuivere cyberoorlog?
  Wederzijds gegarandeerde cyberdestructie
  Het slechtste moet nog komen

CyberDoemScenario
  Wat zou er gebeuren als...?
  C-Day — Een hypothetische constructie
  Redeloos, radeloos, reddeloos
  Het uur dat nooit zal slaan

Informatiebronnen
Verwante teksten
Index CyberTerrorisme: Dodelijk geweld vanaf het toetsenbord
Index Jihad in Nederland: Kroniek van een aangekondigde politieke moord
Index Regulatie en zelfregulatie van internet
Index Politiek op het internet
rode_knop Netactivisme en wolkbewegingen
Index Iran — Anatomie van een twitterende rebellie
Index Egypte — Rebelleren met en zonder internet
Index Syrië: Het zwarte gat van het internet
rode_knop Toezicht op internet: Grootschalig afluisteren en de surveillancestaat
rode_knop Encryptie: privacy beschermen

“Onze huidige en potentiële tegenstanders begrijpen duidelijk het militaire potentieel van cyberspace en de expansieve macht van het medium” [Keith B. Alexander 2007 - US Cybercommand - CYBERCOM].

“Cyberwapens zijn de gevaarlijkste innovatie van deze eeuw” [Eugene Kaspersky, New York Times, 3.6.12].

“De toenemende onstabiele situatie in de afgelopen jaren zorgt ervoor dat een uiteindelijke cyberoorlog vrijwel onvermijdelijk is. Veel landen beseffen dat cyberaanvallen tegen vitale infrastructuren een vernietigende kracht hebben en dat het moeilijk is om zich hiertegen te verdedigen” [McAfee 2012:6].

Internet als medium en inzet van strijd

Internet als slagveld
Internet is een nieuw slagveld geworden. Een slagveld waarop misdadige en gewelddadige organisaties opereren, maar ook nationale staten die elkaar met cyberwapens bestrijden. Nationale staten bereiden zich voor op de oorlogen die in het digitale domein, in cyberspace zullen worden uitgevochten. Naast het land, de zee, de lucht en de ruimte is cyberspace een vijfde domein voor militair optreden. De militarisering van cyberspace zet zich door. Het militair gebruik van internet is zeer al wijd verspreid en zet zich steeds agressiever door.

Aanvallen met cyberwapens worden door steeds meer landen opgevat als oorlogshandelingen waarop met militaire middelen gereageerd moet worden. De schermutselen in cyberspace zijn al langer aan de gang. Bij internationale conflicten maken nationale staten steeds vaker gebruik van digitale wapens om elkaar te bespioneren en daadwerkelijk schade te berokkenen. De cyberwapens die daarbij worden ingezet, zijn steeds gevarieerder, slimmer, doelgerichter en schadelijker. Er is een nieuwe virtuele wapenwedloop aan de gang die in steeds hogere versnellingen begint te draaien.

Wat moeten we ons voorstellen bij een «oorlog in cyberspace»? Is cyberoorlog werkelijk een gevaar of is die dreiging slechts een waanidee van doemdenkers of een fantasie voor een science fiction film?

Dit is een onderzoek naar de voorgeschiedenis, de actuele ontwikkelingen en toekomst van cyberoorlog. Het laat zien hoe niet alleen criminele en terroristische organisaties het internet gebruiken om hun doeleinden te realiseren, maar ook nationale staten. Hoe organiseren nationale staten hun cyberaanvallen? Wat zijn hun strategieën, tactieken en methoden? Wat zijn de gevolgen van cyberaanvallen, wat richten zij aan? En hoe kunnen wij ons tegen cyberaanvallen verdedigen?

Index


Nabijheid en confrontatie
“Als de goden iemand willen vernietigen, maken ze hem eerst gek” [Euripides]


Internet is een medium van sociale nabijheid. Het stelt ons in staat om op afstand en mobiel met elkaar te communiceren en informatie uit te wisselen. Dank zij internet en mobiele communicatieapparatuur kunnen we elkaar op elk gewenst tijdstip en overal bereiken. Er is een nieuwe digitale leefomgeving ontstaan, een virtuele leefwereld die in al haar vezels en haar≠vaten verankerd is in de lokale, fysieke wereld.

Internet dringt diep door in ons alledaagse en persoonlijke en publieke leven. De meest uiteenlopende activiteiten worden tegenwoordig virtueel afgehandeld. We werken en studeren via internet. We gebruiken internet om met elkaar te com≠mu≠niceren en van informatie te voorzien. We kopen goederen en diensten op com≠merciële websites en via online bankieren regelen we ons betalingsverkeer. We amuseren ons op internet en spelen online spelletjes. We geven lucht aan onze emoties, publiceren onze meningen, verhalen en analyses en we leveren online kritiek op anderen. In webfora uiten we onze diepste gevoelens en delen virtueel lief en leed met elkaar. Internet is een medium van sociale nabijheid en van creativiteit.

In Nederland zijn de individuele burgers en de samenleving als geheel sterk afhankelijk geworden van de informationele en commu≠nicatieve mogelijkheden van het internet. Juist daarom zijn we op dit punt ook erg kwetsbaar geworden. We zijn afhankelijk geworden van systemen die we niet kunnen beschermen tegen kwaadaardige aanvallen.

We merken pas hoe afhankelijk we zijn van het internet als het niet meer werkt, of niet meer werkt zoals wij verwachten. Individuele burgers, ondernemingen en overheden lopen averij als de computersystemen en netwerken door kwaad≠wil≠len≠den wordt gemanipuleerd en ontregeld.

Internet heeft ons veel nieuwe mogelijkheden en comfort geboden. Maar het biedt juist ook veel schaduwzijden. Die duistere kant van het internet loopt van online bedreigingen en cyberbelaging, tot online pedofilie tot identiteitsdiefstal en schending van privacy, van cybercriminaliteit (fraude, diefstal, oplichting) tot cyberterrorisme, en eindigt met nationale staten die via het internet elkaars vitale infrastructuren ontregelen en zelfs fysiek vernietigen. We kunnen via internet worden bedreigd, bespioneerd, afgeperst, bestolen en beschadigd.

Internet is zowel medium als inzet van maatschappelijke en politieke strijd. Het is het virtuele toneel geworden waarop maatschappelijke conflicten worden uitge≠vochten. Activisten met de meest uiteenlopende doelstellingen en strijdmetho≠den gebrui≠ken internet als platform om zich virtueel te organiseren: zij publice≠ren hun kritieken, programmaís en eisen; zij werven aanhan≠gers en fondsen; zij mobiliseren hun achterban; zij protesteren bij hun con≠flict≠tegenstanders of blok≠keren hun internetlocaties; en zij organiseren internationale solidariteit. Bur≠gers in landen met dictatoriale regimes gebruiken internet om het staats≠monopo≠lie op tv, radio en kranten te doorbreken. Zij associŽren zich in de virtuele ruimte als ęwolkbe≠we≠gingĽ om daarna onverwachts in de publieke ruimte op straten en pleinen massaal in beweging te komen.

Internet wordt gebruikt door een uitgebreide schare cybercriminelen die zich onrechtmatig proberen te verrijken. Het zijn de kleine fraudeurs, gouw≠die≠ven en bedriegers die telkens weer nieuwe trucs bedenken om geld te stelen van parti≠cu≠lie≠ren en ondernemingen. Er zijn ook internatio≠naal georganiseerde criminelen en misdaadsyndicaten die gigantische sommen geld stelen door goed georkes≠treerde cyberovervallen op banken en door zeer geraffineerde beursmanipulaties.

Cyberterroristen gebruiken om hun gewelddadige aanslagen op civiele doelen voor te bereiden en om mensen angst aan te jagen met beelden van hun ver≠nietigende acties. Zij brengen via internet hun klachten en eisen voor een groot publiek, zij organiseren hun internationale virtuele netwerken en lokale cellen en zij coŲrdineren hun acties online.

Daarnaast zijn er tal van paramilitaire groepen en netwerken van nationalis≠tische hackers die min of meer los of juist op instigatie van hun nationale over≠heden grootschalige cyberaanvallen lanceren op buitenlandse websites, data≠banken, servers, computersystemen en netwerken. Zij maken mees≠tal gebruik van de oude techniek van de DoS-blokkade (het overstromen van een website of server met automatisch gegenereerd verkeer: een soort digitale sit-in) en van de webonthoofding (het vervangen van de hoofdpagina van een site met een eigen boodschap). In de loop der tijd wordt ook door hen meer gebruik gemaakt van de verspreiding van geavanceerde kwaadaardige software.

Cyberaanvallen richten steeds meer schade aan. Zij belemmeren en ontre≠ge≠len regelmatig vitale bedrijfssectoren, nutsvoorzieningen, financiŽle markten en staatsinstellingen. De niet-statelijke vormen van cyberagressie worden echter steeds meer overtroffen door nationale staten die hun militaire capaciteiten hebben uitgebreid met krachtige cyberwapens waarmee internationale conflicten worden uitgevochten. Militaire cyberwapens worden bedacht en ontworpen door zeer goed gekwalificeerde specialisten op het gebied van het inbreken (hacken) op en manipuleren van vijandige computersystemen.

Cyber Attacks AheadInternet is geen echt veilige plek. Vroeg of laat krijgt elke nationale staat te maken met cyberaanvallen van andere staten. Informatie- en communicatievoorzieningen zijn extreem gevoelig voor ontregeling door cyberaanvallen. Computernetwerken zijn de wegen en bruggen van het informatietijdperk en daarom ook het primaire doel van vijandige machten [Nye 1990; Nye/Owens 1995; Ronfeldt e.a. 1999; Dacey 2001; Gaycken 2012; Saalbach 2012].

Politici en militairen beginnen zich hierover steeds meer zorgen te maken. De nieuwe informationele infrastructuur schept een keten van kwetsbaarheid die ongekend is in de geschiedenis tot nu toe. Naast nucleaire, biologische en chemische wapens is de dreiging van een cyberoorlog een van de belangrijkste bedreigingen voor de nationale veiligheid.

Klaar om op cyberoorlogspad te gaan?
Eind 2000 werd per ongeluk ontdekt dat hackers hadden ingebroken in de computersystemen van het Pentagon, de NASA, het ministerie van Energie, onderzoekslaboratoria en particuliere universiteiten. De inbraak begon in maart 1998 en ging bijna twee jaar onopgemerkt verder. Tienduizenden bestanden werden door de cyberkrakers systematisch geroofd, inclusief kaarten van militaire installaties, troepenconfiguraties en ontwerpen van militaire hardware. Het ministerie van Defensie voerde het spoor terug naar een mainframe computer in Rusland. Maar de sponsor van de aanvallen —die de naam Moonlight Maze kregen— bleef onbekend en de Russische regering ontkende elke betrokkenheid. De waarde van de gestolen informatie is moeilijk te schatten. James Adams (hoofd van de afdeling voor bescherming van de infrastructuur) sprak van tientallen miljoenen tot honderden miljoenen dollars [Adams,2.3.2000]. Van een —niet geclassificeerde— computer van het Navy onderzoeksinstituut in Washington werden de broncodes van een programma voor geleide projectielen gestolen [Lubbock, 4.3.2001: Navy Probes Hacker Theft of Codes].

Voor militaire strategen is de kwetsbaarheid van informatiesystemen uiteraard een primaire zorg. Natuurlijk zijn bijna alle militaire informatiesystemen niet direct verbonden met het openbare internet. Maar ook de informatiesystemen van het Pentagon zijn gebaseerd op dezelfde technologie als het internet. Dit geldt zowel voor het Secret IP Router Network (SIPRNET), via welke geclassificeerde berichten worden verstuurd, als voor de Defense Information Infrastructure (DDI), de informatie backbone van het ministerie.

Als deze militaire informatiesystemen in een cyberoorlog worden aangevallen, zijn zij net zo kwetsbaar als het publieke internet en particuliere commerciële systemen. De computersystemen van het Ministerie van Defensie in Amerika worden sinds 2001 aan grootschalige tests onderworpen om te achterhalen op welke punten haar geheime netwerken kwetsbaar zijn. In de praktijk is het echter nogal lastig om een realistische simulatie van een grootschalige cyberoorlog te organiseren [George I. Seffers, mrt. 2001].

In maart 2011 werd er wederom ingebroken op beveiligde computers van een defensiebedrijf die geheime documenten van het Pentagon bevatte. In een enkele aanval werden tienduizenden bestanden door buitenlandse hackers gestolen [BBC, 14.7.2011; SFGARE, 15.7.11].

Het was natuurlijk al veel langer bekend dat internet een groot aantal veiligheidsproblemen kent. Al in mei 1998 getuigden zeven leden van het krakerscollectief Lopht voor de Amerikaanse Senaat dat zij in staat waren om binnen 30 minuten het hele internet in de Verenigde Staten plat te leggen. Het krakerscollectief Lopht is inmiddels omgevormd tot het succesvolle veiligheidsbedrijf @stake, dat in 2004 werd overgenomen door Symantec Corp. De veiligheidslekken van onze computersystemen en netwerken zijn nog lang niet gedicht. Het SANS-instituut stelde in samenwerking met het NIPC een lijst op van de twintig meest kritieke veiligheidsrisico’s. Zelfs met de helft daarvan mag het een wonder heten dat het internet tot nu toe zo betrouwbaar heeft gefunctioneerd.

De informationele infrastructuur is een stelsel van geavanceerde computersystemen, databanken en telecommunicatienetwerken die elektronische informatie op brede schaal beschikbaar stellen en toegankelijk maken. Het omvat het internet, de kabelnetwerken, de draadloze en satellietcommunicatie. Door geconcentreerde, strategische aanvallen kan deze infrastructuur ontregeld worden.

Voor een cyberoorlog zijn gespecialiseerde strijdkrachten nodig die hun eigen verdediging organiseren, die zicht hebben op potentiële doelen en kwetsbaarheden van vijandige computersystemen en die eigen offensieve cyberwapens ontwikkelen. Zij moeten vooral een nieuw strategisch en tactisch repertoire ontwikkelen, een scenario voor een oorlog die met cyberwapens wordt uitgevochten in het digitale domein.

Het meest verontrustend zijn de relatief lage kosten en beperkte middelen die nodig zijn om een succesvolle cyberoorlog te voeren. Een goedvoorbereide en gecoördineerde aanval door minder dan 30 computervirtuosen die strategisch over de wereld zijn gelokaliseerd, met een budget van minder dan $10 miljoen, kan een sterke high-tech natie in korte tijd op de knieën brengen” [Rapport van het Center for Strategic and International Studies uit 1998, CSIS].

Een strategische aanval van een vijandelijke mogendheid of cyberterroristische groep kan bijna alles platleggen: elektriciteits- en kernenergiecentrales, telecommunicatiesystemen, banken, openbaar vervoer, centra van vluchtcontrole, nooddiensten. Bij grootschalige ICT-uitval worden vitale functies uitgeschakeld en onstaan domino-effecten die leiden tot systeemfalen, tot een digitaal Waterloo.

Index


Simulatie van digitaal Pearl Harbor
Meer dan welke andere natie moeten de V.S. zich voorbereiden op cyberaanvallen van competente vijanden gericht op het immobiseren en degraderen van de slagkracht van haar strijdkrachten. In november 1997 verklaarde de staatssecretaris van defensie, John Hamre voor de Amerikaanse senaat dat er rekening moet houden met de mogelijk≠heid van een elektronisch Pearl Harbor.

De angstdroom van een digitaal Pearl Harbor kreeg vat op veel burgers, en niet alleen in de Verenigde Staten. Hoe actueel is het gevaar van een totale cyberoorlog? Er zijn diverse studies experimenten gedaan om het realiteitsgehalte van doemscenario’s te bepalen. Daaruit bleek telkens weer dat zelfs de machtigste natie ter wereld niet in staat zou zijn om zich te weren tegen een goed geconcentreerde en gecoŲrdineerde verrassingsaanval met louter digitale middelen. De verontrustende conclusie is dat voor een digital Pearl Harbor geen waarschuwings≠systemen bestaan en ook geen effectieve verdedigingsstrategieŽn.


1941: Pearl Harbor
Er onstond een nieuw trauma dat verbonden is met de herinnering aan de vernietigende verrassingsaanval die het Japanse leger op 7 december 1941 uitvoerde op de Amerikaanse marinebasis Pearl Harbor in Hawaii. Het is een geanticipeerd trauma — een onbepaalde angst voor een allesvernietigende verrassingsaanval die in het digitale domein wordt uitgevoerd. Niet met aanvallen van Japanse Zero-jagers op Amerikaanse slagschepen, maar door destructieve digitale virussen en wormen die vitale infrastructuren van de natie volledig ontregelen.


Leon Panetta
Dat trauma beheerst ook de visie van de Amerikaanse minister van Defensie, Leon E. Panetta:


Digitaal Pearl Harbor
De minister in niet de enige. Bijna driekwart van de Amerikanen het meest bevreesd is voor een aanval van hackers en criminelen op computersystemen en de materiële infrastructuren, zoals de stroom- en watervoorziening en de vervoerssystemen [Unisys Security index, 14.3.2012]. De angst voor terroristische aanvallen — een digitaal 9/11— speelt ook een rol, maar de angst voor een algemeen cybarmageddon voert de boventoon.

Militaire strategen houden altijd rekening met het onverwachte omstandigheden en met niet voorziene mee- en tegenvallers. Zolang de technologische infrastructuur van cyberspace niet goed beveiligd is, moet worden ingecalculeerd dat tegenstanders altijd nieuwe, nog onbekende technologische middelen, aanvals- en verdedigingsstrategieën, tactieken en methodieken in het strijdperk werpen.

In mijn cyberdoemscenario laat ik zien wat er zou kunnen gebeuren als een vijandige staat zou besluiten om Nederland met alle denkbare cyberwapens tegelijkertijd aan te vallen en wanneer bij het verde≠digen van onze computersystemen en infrastructuren alles fout gaat wat er fout zou kunnen gaan. Het is een ramp≠scenario dat uitloopt op een complete nachtmerrie.

Gelukkig is dit slechts een denkexperiment. De doel van dit cyberdoemscenario is niet om mensen bang te maken. Het is geen oproep om de privacy van burgers te beperken door draconische beveiligingsmaatregelen te nemen. Het is ook geen pleidooi om de kassen van het nieuwe «militair-informationele complex» —de kongsi van beveiligingsbedrijven, wapenfabrikanten, inlichtingendiensten en leger— te spekken of om het internet te militariseren.

Het doemscenario dat geschetst wordt, zet aan tot nadenken — over de kwets≠baarheden van samenlevingen in het informatietijdperk, over de nieuwe risico’s die we lopen en over de manier waarop we met die risicoís omgaan. Het is een doemscenario dat eindigt met het heerlijke optimisme van de zichzelf ontkennen≠de voorspelling: een goed doemscenario kan ons helpen om te voorkomen dat het ooit zover komt.

Index Nieuwe stijl van oorlogsvoering

Informatietechnologie en oorlog
De digitale revolutie verandert de wijze van oorlogsvoering op minstens drie manieren: de middelen, het domein en de organisaties.

In de eerste plaats zijn de middelen van oorlogsvoering gewijzigd. De manier waarop gewelddadige conflicten werden uitgevochten, werd altijd bepaald door de ambachtelijke, technische of technologische eigenaardigheden van de wapens waarmee de gestreden wordt. De pijl en boog reiken verder dan het zwaard, maar minder ver dan het geweer of het kanon. Conventionele bommen worden heel anders ingezet dan nucleaire bommen. Tegenwoordig worden conflicten tussen nationale staten ook uitgevochten met louter digitale wapens.

In de tweede plaats is het domein van oorlogsvoering uitgebreid. Na het land, de zee, de lucht en de ruimte is het digitale domein (cyberspace) een vijfde slagveld waarop krijgsmachten opereren. Dat digitale domein bestaat uit computersystemen en virtuele netwerken. De hele samenleving en ons dagelijks leven zijn daar langzamerhand erg afhankelijk van geworden.

Wat is Cyberspace?
Er zijn voortdurend discussies over de vraag hoe cyberspace gedefinieerd moet worden, bijvoorbeeld in onderscheid van verwante begrippen zoals internet. «Internet» is het wereldwijde netwerk van computernetwerken dat de TCP/IP netwerkprotocollen gebruikt om overdracht en uitwisseling van informatie te faciliteren. Internet is de materiële infrastructuur van cyberspace. «Cyberspace» is het geheel van virtuele (door internet gefaciliteerde en gemedieerde) interacties en transacties tussen mensen die online zijn. Cyberspace is dus gedefinieerd door de sociale interacties en transacties die zich via internet voltrekken en niet zozeer door de technologische eigenaardigheden van het internet.

De digitale informatie en communicatie zijn een basistechnologie geworden van moderne samenlevingen. Internet en mobiele communicatie dringen door in alle poriën van ons publieke en particulieren bestaan. Onze samenleving is sterk afhankelijk geworden van de stabiliteit van informationele en communicatieve infrastructuren. Bovendien ondersteunt het internet in toenemende mate besturingsprocessen van vitale infrastructuur, zoals het bankenverkeer, het elektriciteitsnetwerk en het water- en rioolbeheer. Het zijn allemaal systemen die van cruciaal belang zijn voor het dagelijkse maatschappelijke leven [AIVD 2012:17]. Door het ontregelen van deze infrastructuren met cyberwapens kunnen nationale samenlevingen in vergaande mate worden ontwricht. De virtuele samenlevingsverbanden zijn sterk verweven met vitale delen van ons lokale bestaan, en zijn onlosmakelijk verbonden met cruciale materiŽle infrastructuren.

In de derde plaats worden de organisatie en operatie van de krijgsmacht gevirtualiseerd. Sinds het begin van de oorlogsvoering waren strategische, tactische en operationele beslissingen afhankelijk van de nauwkeurigheid en betrouwbaarheid van de informatie waarover een commandant beschikte. De media waarmee deze informatie werd ingewonnen en overgedragen, konden door de conflicttegenstander worden gemanipuleerd en verstoord. In het digitale tijdperk is dat niet anders. Computersystemen en -netwerken zijn een belangrijk kanaal geworden voor de uitwisseling van militaire commando- en stafinformatie door het leveren van tekst, geluid, afbeeldingen en streaming video.

Oorlogsvoering is technologie gedreven
Militairen zijn in toenemende mate afhankelijk van informatietechnologieŽn om te communiceren, strijdkrachten aan te sturen, gevechten te coŲrdineren en inlichtingen te verzamelen en te verspreiden. Voor moderne conflicten tussen staten is het in hoge mate bepalend hoe deze technologieën zijn geÔntegreerd en in specifieke omstandigheden worden ingezet. Daarbij is het minder belangrijk in de voorhoede van deze technologieën te verkeren dan slim te zijn in het aanpassen aan unieke condities [De Czege 2010:21].

Net als atomaire wapens zijn cyberwapens technologieën die het internationale strategische speelveld veranderen. Ze hebben grote gevolgen voor de manier waarop staten met elkaar interacteren.

Index


Eigenaardigheden van een cyberoorlog
Internet is een nieuwe arena geworden waarin de politieke strijd tussen nationale staten met destructieve middelen wordt voortgezet. Er ontstaat een hele nieuwe fase van oorlogsvoering die zich in meerdere opzichten onderscheidt van de traditionele militaire operaties.

  1. Cyberoorlog — definitie
    Oorlog is het gebruik van militaire kracht om een andere natie aan te vallen en haar capaciteiten te beschadigen of te vernietigen en haar wil tot verzet te breken. Een cyberoorlog is een militair conflict tussen nationale staten dat in de virtuele ruimte wordt uitgevochten met de middelen van informatie- en communicatietechnologie. Een cyberoorlog bestaat uit militaire operaties die zich met zuiver digitale middelen richten op het manipuleren, ontregelen, degraderen of vernietigen van computersystemen en infrastructurele netwerken van een vijandige macht of mogendheid.

    Netoorlog?
    Synoniemen voor cyberoorlog zijn «virtuele oorlog» of «digitale oorlog« (in onderscheid van «kinetische oorlog»). John Arquilla en David Ronfeldt [1993, 1999, 2001] introduceerden het onderscheid tussen een netoorlog op het vlak van maatschappelijke conflicten en cyberoorlog op het militaire vlak. Daarbij wordt cyberoorlog net als hier gedefinieerd als een militair conflict dat met informatietechnologische middelen wordt uitgevochten en die gericht is op het ontregelen of vernietigen van de informatie- en communicatiesystemen van een vijandige macht of mogendheid.

    Minder duidelijk is de term «netoorlog». Arquilla en Ronfeldt definiëren netoorlog als een grootschalig informatiegerelateerd conflict tussen naties of samenlevingen. In een netoorlog proberen de tegenstanders elkaar schade toe te brengen door het beïnvloeden van de manier waarop een doelgroep informatie verwerft over zichzelf en de omringende wereld. Een netoorlog kan gericht zijn op het beïnvloeden van de publieke opinie of van bepaalde elites, of op beide. De ware kunst van deze netoorlog is het ondergraven of vernietigen van het informatiepotentieel van de vijand.

    De middelen die in een netoorlog kunnen worden ingezet zijn divers. Naast diplomatie, propaganda en psychologische campagnes, politieke en culturele subversieve acties wordt in netoorlogen vooral gebruik gemaakt van het misleiden of manipuleren van lokale media, infiltratie van computernetwerken en databanken.

    Arquilla en Ronfeldt gebruiken de term netoorlog als een containerbegrip. Netoorlogen omvatten in hun hun definitie zowel conflicten in het digitale domein tussen overheden en rivaliserende natiestaten als tussen overheden en niet-statelijke actoren, zoals sociaal-culturele bewegingen, emancipatiebewegingen, milieubewegingen, religieuze bewegingen en actiegroepen.

    Zij gebruiken het woord ‘oorlog’ als metafoor voor een heftig conflict in de breedste zin des woords. Maar er zijn veel goede redenen om het woord ‘oorlog’ te reserveren voor gewapende confrontaties tussen nationale staten. Maatschappelijke conflicten tussen groepen burgers (onderling, tegenover bepaalde ondernemingen of tegenover hun staat) zijn geen oorlog. Het zijn vormen van netactivisme die beginnen bij het de agenderen van sociaal-culturele of politiek-ideologisch thema’s en die eindigen met de praktische coördinatie van de meest uiteenlopende lokale en virtuele acties.

    Dissidente of oppositionele bewegingen maken gebruik van het internet om hun klachten te uiten, om hun eisen te stellen, om hun doelstellingen te propageren, om hun organisatie op te bouwen en om hun acties te initiëren en te coördineren. Zij organiseren zichzelf via het internet als wolkbeweging en manifesteren zich onverwachts in andere publieke domeinen, zoals op pleinen en straten.

    Dat is geen ‘netoorlog’ maar een maatschappelijk of politiek conflict dat met digitale middelen wordt uitgevochten. Het digitale domein is niet alleen een sfeer van nabijheid, maar ook een arena waarin tegengestelde belangen worden gearticuleerd en waarin maatschappelijke conflicten worden uitgevochten. Die conflicten kunnen heel kleinschalig en lokaal zijn, maar ook grootschalig en internationaal.

  2. Informatieoorlog
    Een cyberoorlog is onderdeel van een meer omvattende informatieoorlog. In een informatieoorlog kunnen in principe drie aanvalsmethoden worden gehanteerd:
    • het met bommen en raketten fysiek beschadigen van computers en communicatielijnen (kinetische wapens);
    • de vernietiging van transistors door elektromagnetische straling (Electric Magnetic Pulse - EMP);
    • de manipulatie van computers en netwerken door kwaadaardige software (malware).

    Een informatieoorlog wordt niet alleen gevoerd met programmacode en software, maar ook met apparaten, zoals

    • apparaten voor het direct afluisteren van toetsaanslagen van vijandelijke computers,
    • apparaten voor het op afstand afluisteren van de elektromagnetische golven die door computers worden uitgezonden,
    • apparaten voor het op afstand overnemen van de bediening van computers,
    • het op afstand frituren van de elektronische circuits van computers, radar en andere elektronische apparatuur met wapens die intensieve elektromagnetische energie uitstralen.

    Het arsenaal dat gebruikt kan worden om computersystemen te ontregelen, is dus zeer gevarieerd. Naast de traditionele kinetische wapens en cyberwapens zijn het vooral wapens die intensieve elektromagnetische energie uitstralen — zoals High-Power Microwaves (HPM) en High-Energy Radio Frequency (HERF). Met deze wapens kunnen computers, radar en alle andere elektronische apparatuur ernstig worden beschadigd of vernietigd. In het begin van de jaren vijftig werd tijdens het testen van nucleaire wapens ontdekt dat bij kernexplosies een sterke elektromagnetische straling vrijkomt die zich met de snelheid van het licht verspreidt. Inmiddels zijn er ook niet-nucleaire methoden ontwikkeld om deze elektromagnetische straling op te wekken. Daarmee kunnen elektronische bommen worden gemaakt die in fracties van een milliseconde een elektromagnetische straling van miljoenen joules genereren. Elke digitaal gecontroleerde infrastructuur is een potentieel doelwit van EMP-wapens [Radasky 2014].

    De kinetische en nucleaire vormen van informatieoorlog blijven hier grotendeels buiten beschouwing. We concentreren ons op de cyberoorlog in de strikte zin van het woord.

  3. Oorlog op afstand
    Een cyberoorlog is geen contactoorlog maar een «oorlog op afstand» of een «teleoorlog». Nog meer dan bij een guerrillaoorlog is het een oorlog waarbij men de vijand niet gemakkelijk in het vizier krijgt. De tegenstander in een cyberoorlog is een onzichtbare vijand die van grote afstand schade berokkent. Een cyberoorlog wordt niet uitgevochten in droge woestijnen of natte jungles, maar in een virtuele wereld van onzichtbare knooppunten in elektronische netwerken. Een cyberoorlog wordt uitgevochten op het digitale of virtuele domein.

  4. Programmacode als cyberwapen
    De wapens waarmee een cyberoorlog wordt uitgevochten zijn geen gepantserde en pantserdoordringende hardware, maar kwaadaardige software. Het zijn digitale programmacodes waarmee beveiligingen worden gekraakt, informatie wordt gestolen of veranderd, of waarmee computers en industriële productiesystemen worden gesaboteerd.

  5. Cyberoperaties: defensief, offensief, exploitatief
    Cyberoperaties omvatten zowel de (statische en dynamische) cyberverdediging, de cyberaanval als de cyberexploitatie. Een cyberaanval is niet hetzelfde als een cyberexploitatie — ook al zijn de technische middelen en vaardigheden die daarvoor worden gebruikt erg verwant. Een cyberexploitatie is geen destructieve maar een inlichtingenverzamelende activiteit gericht op het ondersteunen van de doelen en missies van een krijgsmacht. Middels cyberexploitaties wordt informatie ingewonnen/afgetapt die op vijandige computersystemen of netwerken staat of daarop wordt doorgegeven.

    Cyberexploitaties kunnen gericht zijn op persoonlijke informatie over individuele gebruikers, kritische bedrijfsgeheimen van een onderneming, militaire oorlogsplannen of ontwerpspecificaties voor nieuwe wapens.

    Cyberexploitaties worden clandestien uitgevoerd en online inlichtingen worden heimelijk verworven. Daarom zullen we cyberexploitaties hier bespreken onder de titel «cyberspionage». Cyberspionage is een cruciaal onderdeel van de strijd om informatie dominantie — zorgen dat je weet wat de vijand weet en dat de vijand zo min mogelijk over jouw weet. Wie op het gebied van de informatievoorziening de overhand heeft, kan op het virtuele strijdveld het initiatief winnen.

  6. Geen fysieke frontlijnen
    Nationale staten concentreerden zich vroeger op het ‘buiten de deur’ houden van vijandelijke troepen of aanvalswapens. Aanvallen moesten bij de grenzen van de natie worden gekeerd. In cyberspace bestaan geen geografische grenzen die verdedigd kunnen worden. Cyberspace heeft een aantal unieke kenmerken die niet in de fysiek-lokale wereld bestaan: het kent geen territorium. Een cyberoorlog heeft geen afgebakende frontlijn. Potentiële slagvelden zijn overal waar men toegang kan krijgen tot elektronische netwerken. Voor een cyberoorlog zijn geen grootschalige troepenbewegingen nodig waardoor andere landen onraad kunnen ruiken. Een vijandige botnet kan maanden slapend doorbrengen en dan plotseling op commando toeslaan, waardoor het voor de slachtoffers te laat is om zich te verdedigen.

  7. Cyberwapens als zwaarden der zwakkeren
    Het voeren van een cyberoorlog is relatief goedkoop. De kosten van de verfijnde en geavanceerde technologische wapens waarmee de cyberoorlog wordt uitgevochten, zijn uiterst laag in vergelijking met de kosten van een goed uitgerust traditioneel leger. De aanvallers kunnen snel schade toebrengen, vanaf iedere plek aan iedereen op de aardbol, tegen verwaarloosbare kosten. Hierdoor kunnen ook relatief kleine, in gedecentreerde netwerken georganiseerde vijanden van een natie met uitzicht op succes een cyberoorlog beginnen. De cyberoorlog heeft dus ook nieuwe actoren: individuele hackers, niet-gouvernementele organisaties, terroristische organisaties, en andere niet-statelijke actoren.

  8. Complexiteit en strategisch overzicht
    De technologieën waarmee cyberoorlogen worden uitgevochten vereisen vergaande decentralisatie van commando en controle. Zij bieden echter ook een groter overzicht over het hele strijdterrein (‘topsight’). Door een beter begrip van het hele strategische plaatje wordt het management van complexiteit versterkt.

  9. Escalatie en afschrikking
    In de virtuele oorlogsvoering kunnen ver verwijderde conflicten direct naar het hart van de aangevallen natie worden verplaatst. Kleinschalige of lokale conflicten kunnen zeer snel escaleren tot nationale of internationale cyberstrategische confrontaties. Cyberoorlogen vertonen een inherente tendens tot escalatie die zich nauwelijks meer beperkt worden door de kracht van de afschrikking (die het uitbreken van een nucleaire oorlog tot nu toe heeft voorkomen).

  10. Attributieprobleem: loochenbaarheid en strafbaarheid
    Cyberaanvallen kunnen gemakkelijk worden geloochend (‘deniability’) en zijn moeilijk te bestraffen (‘punishability’). Meestal is onduidelijk door wie de aanslagen worden georganiseerd. Omdat het moeilijk is de aanvallers (tijdig) te identificeren, is het meestal ook niet mogelijk om gerichte tegenmaatregelen te nemen. In een conventionele oorlog kan de agressor snel worden geïdentificeerd en kan de verantwoordelijkheid voor oorlogsmisdaden of verdragsschendingen in de regel eenduidig worden vastgesteld. Een aanval op een computernetwerk kan echter zelden direct worden toegeschreven aan een specifieke actor. Omdat er gebruik gemaakt wordt van zombie-computers blijft niet alleen de identiteit van de aanvallers, maar ook hun geografische lokatie onduidelijk.

    Uniciteit van cyberoorlog
    Onze vertrouwde strijdervaringen in de fysieke ruimte kunnen niet gemakkelijk worden overgedragen naar cyberspace. Het is lastig om welbekende concepten van de fysieke ruimte, zoals afschrikking of vergelding, zomaar over te dragen naar cyberspace waar attributie (het identificeren van aanvallers en het toerekenen van verantwoordelijkheden) meestal problematisch is. Zo’n simpele overdracht is bijna altijd een recept voor mislukking.

    Een toetsaanslag reist in ongeveer 300 milliseconde twee keer rond de wereld. Maar het forensisch onderzoek dat nodig is om een aanvaller in cyberspace te identificeren kan weken, maanden en zelfs jaren duren — als het überhaupt al lukt om dit te doen. Het is extreem moeilijk om vast te stellen waar een aanval precies vandaan komt en wie daarvoor verantwoordelijk is. Als je niet weet aan wie je een cyberaanval kunt toeschrijven, is het onmogelijk om die aanval te vergelden.

    In cyberspace loopt de verdediging daarom altijd structureel achter op de aanvaller: tegenmaatregelen komen altijd te laat en vaardige cyberaanvallers vinden altijd weer nieuwe zwakke plekken.

  11. Statische verdediging werkt niet
    De verdediging van de eigen computersystemen en netwerken tegen cyberaanvallen is zeer lastig. De defensieve maatregelen die men neemt moeten áltijd succesvol zijn als de tegenstander een vijandige cyberactie onderneemt, terwijl een vijandige aanval maar een keer succesvol hoeft te zijn: “aanvallen kunnen eindeloos worden gevarieerd, terwijl verdedigingen slechts zo sterk zijn als hun zwakste schakel” [NRC 2010:348]. Hierdoor komt er een zware en asymmetrische hypotheek te liggen op een defensieve houding die alleen maar gebruik maakt van een passieve of statische verdediging.

    Het is uiterst moeilijk om zich te beschermen tegen vijandige aanvallen op strategische infrastructuren van informatie en communicatie. Gedecentreerde actie- en organisatievormen en in fijnmazige netwerken verspreid leiderschap zijn veel moeilijker te bestrijden dan de traditionele militaire aanval met zijn gecentraliseerde organisatie en leiderschap. Maatregelen gericht op het voorkomen van cyberoorlogen vereisen in ieder geval ook een sterkere internationale samenwerking.

  12. Strijd om het intellect
    Het echte computertalent lijkt tegenwoordig steeds sterker geconcentreerd te worden in de particuliere sector. Rusland en China zijn waarschijnlijk de enige landen die een vruchtbare manier gevonden hebben om hun particuliere sectoren in hun strategie van cyberveiligheid te betrekken.
    De meest doorslaggevende strategische factor in de cyberoorlog van de toekomst is de toegang tot de kennis en vaardigheden die nodig zijn om doeltreffende cyberoperaties uit te voeren. Om niet achter te lopen in de wapenrace van de cyberoorlog vind een strijd om het intellect plaats. Overheden proberen talenten te rekruteren uit hackerskringen die weten hoe zij computersystemen kunnen kraken en manipuleren; en zij organiseren speciale opleidingen om een toekomstige generatie van cybermilitairen te kwalificeren.

    Het grootste gevaar in deze strijd om het intellect schuilt vaak in de eigen organisatie: ontevreden personeelsleden en rancuneuze ex-werknemers die zich laten rekruteren door vijandelijke mogendheden, criminele bendes of terroristische organisaties.

  13. Kunst van de misleiding
    Misleiding
    Misleiding
    Manipulatie is niet langer een middel in de oorlogsvoering, maar de cyberoorlog zelf [Werber 1998]. Cyberwapens manipuleren vijandige computersystemen en netwerken. Virussen, wormen en Trojaanse paarden sluipen listig langs beveiligingsmechanismen zoals firewalls en virusdetectoren en manipuleren de informatie en programma’s op computersystemen. Maar in een cyberoorlog wordt niet alleen gemanipuleerd met digitale codes.

    Cyberoorlog biedt vele mogelijkheden om de perceptie in cyberspace te manipuleren. De feitelijke gebeurtenissen kunnen via multimediale technieken volledig worden gemanipuleerd en snel over het internet worden verspreid. Uitgangspunt daarbij is dat men de vijand altijd in onzekerheid moet laten over de eigen toestand. Laat een vijand denken dat je sterk bent waar je in werkelijkheid zwak bent, en omgekeerd. Deze misvattingen provoceren verkeerde reacties bij de vijand en kunnen strategisch worden uitgebuit.

    The fog of war
    Volgens een van de grondleggers van de militaire theorie, Carl von Clausewitz ligt in een oorlog driekwart van de zaken verborgen in een mist van onzekerheid. “De grote onzekerheid van alle gegevens in een oorlog is een eigenaardig probleem, omdat alle maatregelen tot op zekere hoogte moeten worden gepland in een loutere schemering, die bovendien —zoals het effect van een mist of maneschijn— dingen overdreven afmetingen en onnatuurlijk aanzien geven” [Carl von Clausewitz, 1832, On War, bk. 2, chap. 2, par. 24].

    Als een gewapend conflict eenmaal begonnen is, dan heb je geen overzicht meer over het feitelijke gewoel op het strijdtoneel. Het strijdplan moet constant worden bijgesteld en commandanten zijn gedwongen direct te reageren op gebeurtenissen, op onverwachte aanvallen of verdachte defensieve operaties. Bij een cyberoorlog zijn de vereiste reactietijden uiterst klein.

  14. Geen schone oorlog
    De cyberoorlog lijkt een schone oorlog omdat zij met intelligente digitale middelen wordt uitgevochten in een virtuele wereld. Op het virtuele slagveld zelf hoeft men niet bang te zijn dat er werkelijke doden vallen. Maar in haar effecten kan een cyberoorlog leiden tot een nog effectievere vorm van grootschalige vernietiging van mensenlevens.

    De ‘smart bombs’ die generaal Norman Schwartzkopf tijdens de Golfoorlog op de materiële infrastructuren van Irak liet afvuren, zijn ‘dom’ in vergelijking met de menselijke en kunstmatige intelligentie die in de ‘digitale bommen’ zijn ingebouwd. In toekomstige militaire confrontaties zouden digitale of logische bommen wel eens veel effectiever kunnen zijn dan kinetische ‘smart bombs’.

    De destructieve kracht van cyberwapens beperkt zich niet tot de ontregeling van computernetwerken (en van alle hierdoor gemedieerde informatie- en communicatieprocessen), maar strekt zich ook uit tot alle fysieke productie, distributie en vervoersprocessen die door computersystemen worden aangestuurd en gecontroleerd. Zelfs de meest virtuele cyberoperatie kan de meest verstrekkende fysieke en levensbedreigende vormen aannemen. Cyberwapens zijn wapens van massadisruptie.

  15. Cyberwapens voor iedereen toegankelijk
    De meeste middelen waarmee een cyberaanvallen kunnen worden gelanceerd, zijn op het internet vrij verkrijgbaar: inbraaksoftware en constructiekits voor mailware,, procedures en lijsten met tips en trucs, cursussen voor aspirant, gevorderde of gespecialiseerde h/crackers, wederzijds advies en steun. Via internet hebben veel hackers specialistische kennis van de instrumenten waarmee computers of netwerken kunnen worden gepenetreerd om informatie te stelen, te wijzigen of ontoegankelijk te maken, of om communicaties af te tappen, te manipuleren of te blokkeren.

    Zowel individuele hackers, criminele bendes, terroristische organisaties als legers verwerven hun wapenuitrusting op de vrije internetmarkt. In het nieuwe tijdperk van de cyberoorlog brokkelt het geweldmonopolie van de staat in het digitale domein af.

  16. Cyberoorlog = Volksoorlog
    Een cyberoorlog wordt uitgevochten in de samenleving als geheel. De computernetwerken van bedrijven, particulieren, overheden en militaire eenheden zijn nauw met elkaar vervlochten. Bij gevechten op het digitale slagveld blijft vaak lang onduidelijk of het gaat om een economische confrontatie, een politiek steekspel of een militaire krachtmeting.

    Bij confrontaties in cyberspace is het lastig om een duidelijk onderscheid te maken tussen civiele en militaire doelwitten. Bovendien wordt het steeds moeilijker om een onderscheid te maken tussen combattanten en non-combattanten. Militaire aanvallen op civiele doelen en burgers worden terecht als oorlogsmisdaad aangemerkt.

    Individuele burgers hebben aanzienlijk veel mogelijkheden om zich wereldwijd te informeren over en zelf te interveniëren in de strijd op het digitale domein. Een omvattende cyberoorlog raakt alle mensen die computersystemen en netwerken gebruiken om te werken, te leren, te besturen etc. Een succesvolle cyberoorlog is daarom per definitie een «volksoorlog». In een cyberoorlog komt iedereen die over de nodige telecommunicatie-apparatuur beschikt in aanmerking als aanvaller of aanvalsdoel. Elke computer, elk computernetwerk, elke laptop en elke mobiele telefoon kan als een middel van oorlogsvoering dienen.

  17. De cyberoorlog is al begonnen
    Een cyberoorlog kent geen vastomlijnd begin —cyberoorlogen worden niet officieel verklaard— en ook geen afgebakend eind. Een cyberoorlog dwingt geen definitieve beslissing af (erkenning van de nederlaag), maar beweegt zich op verschillende niveaus van intensiteit en extensiteit.

    Alsof zij elke dag oorlog voeren
    Al in 1985 schreef Shen Weiguang in de krant van het Chinese volksbevrijdingsleger een scenario voor de cyberoorlog. Hij zegt daarin: “In de informatieoorlog versmelten oorlogsvoorbereiding en -uitvoering met elkaar. De naar hegemonie strevende staten zijn praktisch dagelijks bezig met voorbereidend werk, net als zij elke dag oorlog voeren” [Information Warfare — A New Challenge].
    De cyberoorlog is dus al begonnen. Diverse naties zijn bezig het slagveld te prepareren. Zij breken in elkaars netwerken en infrastructuren, zijn bouwen daarin valkuilen en Trojaanse paarden, en zij leggen daarin logische bommen. Zij doen dat hier en nu, in vredestijd. De grens tussen oorlog en vrede lijkt te vervagen. In de virtuele wereld is het geen oorlog óf vrede, maar ontstaat een derde modus: «anders-dan-vrede + anders-dan-oorlog». Tussen nationale staten is nog nooit een cyberoorlog verklaard, maar cyberoorlogsvoering is inmiddels schering en inslag.

    Daarbij gaat het om meer dan alleen maar passief afluisteren van potentieel vijandige netwerken en computersystemen. Buitenlandse netwerken worden gepenetreerd voor spionage en worden beschadigd om ze te prepareren voor een aanval. Er worden offensieve cyberwapens ontwikkeld die op specifieke doelen worden afgestemd en die klaar zijn om direct te worden afgevuurd tegen de electronische infrastructuur van een ander land.


Definiërende kenmerken Gevolgen
Kwetsbaarheid van digitale en materiŽle infrastructuren voor cyberaanvallen is groot. Thuisland is geen veilige haven: cyberspace heeft geen verdedigbare grenzen.
Lage toegangskosten: cyberwapens zijn voor iedereen toegankelijk. Verspreiding van cyberwapens is niet te controleren. Veel offensieve actoren op het virtuele slagveld: militairen, paramilitairen, criminelen, terroristen, individuele hackers.
Strategische informatie over bedreiging niet beschikbaar. Cybercapaciteiten van potentiŽle tegenstanders zijn moeilijk te bepalen.
Tactische waarschuwing is moeilijk. Niet weten of er een cyberaanval op komst is.
Bepalen van identiteit van cyberaanvaller is moeilijk. Niet weten wie aanvaller is of wat doelen zijn. Vergeldingsoperaties zijn daarom problematisch.
Effecten van cyberwapens zijn onzeker. Zowel aanvaller als verdediger zijn onzeker over effecten van ingezette cyberwapens.
Beoordeling van schade is moeilijk: cyberwapens zijn weinig selectief. Geen volledige informatie over implicaties van cyberaanvallen. Zij kunnen veel meer schade toebrengen dan aan het beoogde doelwit.
Effecten van cyberwapens zijn onzeker. Zowel aanvaller als verdediger kunnen onzeker zijn over
effecten van ingezette wapens.
Traditionele grenzen tussen militaire en civiele doelwitten en tussen combattanten en non-combattanten vervagen. Cyberspace and meatspace vloeien in elkaar over. Verweving van militaire, politieke en economische aanvallen. Humanitair oorlogsrecht op losse schroeven. Kans op schade aan civiele objecten en burgers kan excessief zijn in vergelijking met het militaire voordeel (proportionaliteit).
Snelheid van conflictverplaatsing. Kleinschalige en lokale conflicten escaleren snel tot nationale of internationale cyberoorlogen. Afschrikking in cyberspace werkt niet.
Cyberoorlogen zijn onverklaarde oorlogen. De koude cyberoorlog is al aan de gang Ė het digitale slagveld wordt geprepareerd. Computersystemen en netwerken van actuele en potentiële vijanden worden verkend en gepenetreerd, geheime en gevoelige informatie wordt gestolen, er wordt kwaadaardige software geplaatst en er worden sabotageoperaties uitgevoerd.

Cyberoorlog is een geïnstitutionaliseerde werkelijkheid geworden, onderwerp van heftige controverses en voor velen zelfs een angstdroom. Cyberoorlog betekent een revolutie op het militaire domein. Zij verschilt in bijna alle opzichten van de oorlogsvoering zoals wij die kenden en van de manier waarop oorlog door militairen werd gevoerd. Cyberoorlog betekent niet alleen een revolutie op het gebied van strijdwapens, strategieën en tactieken, maar zou ook wel eens kunnen leiden tot een heruitvinding of herformulering van de essentie van oorlog (en misschien ook tot een nieuwe definitie van ‘natiestaat’).

Index Veiligheid: kwetsbaarheden van ICT

Risico’s van ICT: onveiligheid & kwetsbaarheid
Computernetwerken hebben een uniek vermogen om in zeer uiteenlopende omstandigheden te overleven. Maar dat betekent allerminst dat zij ook daadwerkelijk veilig of onkwetsbaar zijn. Hoe robuust zijn onze computersystemen bij interne balansverstoringen en hoe kwetsbaar of weerbaar zijn zij tegenover vijandige aanvallen van buitenaf?

De schaduwzijde van de informatie- en communicatietechnologie is haar onzekerheid. Die onzekerheid is zowel intrinsiek (de technologie kan falen) als extrinsiek (zij is niet bestendig tegen aanvallen van buiten af).

Index


Complexiteit, productie en gebruik
“We kunnen onze problemen niet oplossen met hetzelfde denken dat we gebruikten toen we ze creëerden” [Albert Einstein].


Internet is een robuust netwerk dat van buitenaf niet gemakkelijk uit de digitale lucht of de virtuele wolken is te blazen. Maar al die computersystemen en netwerken kennen ook een aantal interne faalpunten waardoor zij onveilig worden: (a) de omvang en complexiteit van de software, (b) de ongecontroleerde, en dus onveilige wijze van hard- en softwareproductie, en (c) de slordige, onverantwoordelijke manier waarop mensen met hun computers en netwerken omgaan.

  1. Omvang en complexiteit van software
    De computerprogramma’s waarmee we werken zijn zeer omvangrijk en uitermate complex. Die omvang en complexiteit van onze software is de afgelopen decennia dramatisch toegenomen en deze trend zal zich in de toekomst verder doorzetten. De vraag naar complexe softwaresystemen is echter veel sneller toegenomen dan het vermogen om ze te ontwerpen, te implementeren, te testen en te onderhouden [Lyu 2005]. We zijn op gevaarlijke wijze afhankelijk geworden van grote softwaresystemen waarvan het functioneren niet goed begrepen wordt en die vaak op onvoorspelbare wijze falen. Complexiteit is de grootste vijand van beveiliging.

    Software is robuust waneer er slechts zelden fouten optreden die slechts kleine onaangenaamheden met zich meebrengen en geen grotere schade of verliezen veroorzaken. Maar door de omvang van de huidige computerprogramma’s is robuuste software (safeware) een zeldzaamheid.

    Open Source Software is niet noodzakelijk beter of veiliger. Dit type niet-commerciële software, waarvan de ontwikkelingscode openbaar toegankelijk is, wordt door een veelvoud van programmeurs gezamenlijk ontwikkeld: “given enough eyeballs, all bugs are shallow.” Open source software bevat daarom veel minder programmeringsfouten (metingen laten zien dat het foutenpercentage 0,02% is). Maar ook deze systemen zijn nog altijd veel te complex en bieden daarom nog voldoende ingangen voor geraffineerde aanvallers.
    Cyberspace wordt geregeerd door laws of code (Lawrence Lessig) die door mensen zijn gemaakt en ontworpen zijn om de meest uiteenlopende doelen te dienen. De besturingssystemen van Windows en Apple bevatten elk meer dan 80 miljoen regels code. De Linux Kernel bevat slechts 15,9 miljoen regels, maar de Linux Debion 5.0 bevat maar liefst 324 miljoen regels code. Elke regel bevat een aantal instructies of een bepaalde informatie. Alleen al de omvang van het aantal coderegels biedt vele mogelijkheden om programmeringsfouten te maken.

    Bij commercieel geproduceerde software ligt de foutenmarge tussen de 1,5% en 5%. Met meer dan 80 miljoen regels betekent dit dat er gemiddeld zo’n 1,2 tot 1,4 miljoen fouten zitten in de besturingssoftware. Lang niet al deze fouten zijn veiligheidslekken die door hackers kunnen worden uitgebuit. Maar een geraffineerde aanvaller is desondanks in staat enige tienduizenden van deze fouten uit te buiten. Er zijn dus zeer veel invalswegen die gesloten moeten worden om de software echt veilig te maken. Maar dat is allesbehalve eenvoudig.

    Een miljoen coderegels
    Als je een miljoen regels code afdrukt, levert dat 18.000 pagina’s op (25 Ulyssess). Dat is een stapel van meer dan 1,80 meter. Een miljoen coderegels bevatten ongeveer 20 miljoen instructies, of 600 miljoen bits. Een miljoen coderegels vereisen 40.000 pagina’s externe documentatie. In een miljoen coderegels zitten gemiddeld 100.000 fouten (pre-test). Alleen bij de allerbeste bedrijven zitten er na het testen gemiddeld nog 1.000 fouten in de software. Het schrijven van een miljoen coderegels kost tussen de 20 en 40 miljoen dollar [Ganssle 2008].

    Statistisch onderzoek laat zien dat er gemiddeld 2 à 3 fouten worden gemaakt in elke 1.000 regels code. Bij software waarbij de uitval mensenlevens kan kosten, zoals bij militaire of ziekenhuissystemen, wordt een foutdichtheid van < 0,5 fouten per 1.000 regels code nagestreefd. Meestal wordt gestreefd naar een foutdichtheid van < 2, normaal is 2-6 en acceptabel (alleen in de sfeer van het web) is 6-10. Meer dan 10 fouten geldt als wanprestatie en kan voor een rechtbank tot compensatiebetaling leiden.

    Voor elke 7-10 regels nieuwe of gewijzigde code wordt 1 fout geïntroduceerd. Zelfs als 99% van die fouten wordt geëlimineerd voordat de software wordt gelanceerd, resulteert dit in 1 tot 1,5 fouten in elke 1.000 regels nieuwe en gewijzigde code. Meer dan 90% van de kwetsbaarheid van software wordt veroorzaakt door programmeringsfouten. De defecten die ontsnappen aan het testen, worden geëxploiteerd door hackers om cyberaanvallen te lanceren.

    Elke ervaren programmeur weet dat softwarefouten onvermijdelijk zijn. Zij zijn een natuurlijk onderdeel van het evolutionaire proces dat de meeste toepassingen doorlopen [Beckett/Putnam 2010]. De meeste veiligheidslekken zijn het gevolg van fouten die onbewust geïntroduceerd zijn tijdens het ontwerp en de ontwikkeling van software. Foutenreductie is een voorwaarde voor veilige software ontwikkeling [Noopur 2005].

    De software die gebruikt werd voor de eerste maanlanding in 1969 bevatte ongeveer 7.500 regels code. De gemiddelde mobiele telefoon bevatte in 2005 al 2 miljoen regel software code. In 2008 was dit al gestegen tot 5 miljoen en voor de Android tot 11 miljoen. Volgens General Motors bevatten haar auto’s nu al zo’n 100 miljoen coderegels.

    Ten eerste weten we niet precies wat een veiligheidsrisico is. Er zijn diverse instrumenten waarmee fouten in de programmeringscode kunnen worden opgespoord (bug-tracker), maar er zijn nog geen betrouwbare geautomatiseerde procedures om software op fouten te testen. Slechts een aantal bekende standaardfouten kan automatisch worden opgespoord. Er zullen altijd achterdeurtjes zijn en een hacker zal altijd een weg naar binnen weten te vinden. Ten tweede worden er regelmatig nieuwe aanvalsvarianten gevonden waarvan het risico (d.w.z. de kans op het optreden van een succesvolle aanval en de schade als gevolg daarvan) niet was voorzien.

    Er is nog een derde probleem: de behoefte aan nieuwe applicaties en functionaliteiten in de markt is wezenlijk groter dan de behoefte aan veiligheid. Er worden meer nieuwe programma’s ontwikkeld dan er ooit getest kunnen worden. De paradox is: hoewel er meer geïnvesteerd wordt in IT-beveiliging, daalt de veiligheid elk jaar verder [Gaycken 2012:42]. Er worden elke dag veel meer onveilige producten, toepassingen, apps en (verbeteringen van) besturingssystemen op de markt geworpen dan er slechts in aanzet gecontroleerd kunnen worden. De software industrie wordt nog in sterke mate bepaald door de cultuur van: ‘Deliver now, fix later’ [Seshagiri 2011].

    Veiligheidsrisico‘s en beheersingsproblemen vloeien in belangrijke mate voort uit de toenemende complexiteit van de software [McGraw 2006]. Bij veel van de huidige softwaresystemen zijn er zoveel potentiële interacties tussen de componenten dat zij niet goed meer kunnen worden gepland, begrepen en beheerst. Complexe systemen zijn altijd modulair opgebouwd omdat er geen andere manier is om de complexiteit te hanteren dan deze op te splitsen in gemakkelijk te behandelen stukjes. Dit brengt echter ook beveiligingsrisico’s met zich mee omdat de beveiliging vaak faalt waar twee modules interacteren.

    Sommige systemen zijn zo complex dat zij het begrip van bijna alle experts te boven gaan. Zelfs de weinige experts die ze wel begrijpen, hebben onvolledige informatie over het potentiële gedrag van de software. Hoe groter de complexiteit van de software hoe moeilijker het is om deze te actualiseren (upgraden), te onderhouden en verder te ontwikkelen — zonder dat ze instabiel wordt en zonder verlies van functionaliteit.

    Met de huidige programmeringsinstrumenten kunnen meer geïntegreerde, meervoudige terugkoppelingen in systemen worden ingebouwd. Software is opgebouwd uit groot aantal dynamisch met elkaar interacterende componenten. De hechte koppeling tussen deze componenten leidt gemakkelijk tot ontregelingen: disfunctionele interacties in een deel van de software hebben verreikende effecten op andere delen van het systeem. Kleine lokale balansverstoringen kunnen grootschalige effecten tot gevolg hebben die zich door het gehele netwerk verplaatsen. Als de belasting te groot is, wordt deze doorgeschoven naar de volgende buren.

    We bouwen dus systemen die ons vermogen tot intellectuele beheersing te boven gaan. De toegenomen interactieve complexiteit maakt het voor ontwerpers moeilijk rekening te houden met alle potentiële systeemtoestanden. Voor beheerders wordt het steeds lastiger om alle abnormale situaties en verstoringen veilig en effectief te behandelen [Leveson 2004].

    Een hacker hoeft in zo’n complex programma slechts één losse draad te vinden om de veiligheid van het hele systeem te compromitteren. In de vele miljoenen coderegels hoeft er maar één teken gewijzigd te worden om de betekenis van een hele coderegel te veranderen, waardoor er op een andere plaats een deur wordt geopend die juist tot elke prijs gesloten zou moeten blijven [Gaycken 2012:48].

    We werken met een technologie waarvan we tot in de kleinste uithoeken van de samenleving afhankelijk zijn, maar die fundamenteel onzeker en onbeheersbaar is. Naast dit louter technische probleem zijn er nog twee andere bronnen van onveiligheid: de productie en het gebruik van ICT.

  2. De productie van ICT
    Er zijn nog te weinig krachtige impulsen om de producenten van hard- en software te dwingen om betrouwbare en veilige producten op de markt te zetten. Door de toenemende globalisering en de kapitalisering van belanghebbenden hopen de kwetsbaarheden van onze ICT zich steeds verder op.

    De productie van hard- en software verloopt anders dan in een gewone wapenindustrie. De mensen die in de ontwikkelingsplatforms werken, worden niet gescreend. Een programmeur werkt nu eens hier dan weer daar, zonder dat iemand weet of deze programmeur heimelijk voor een concurrent, een geheime dienst of misdaadsyndicaat werkt. Ook de gebouwen waarin de software wordt ontwikkeld zijn meestal slecht beveiligd. Voor slimme aanvallers is het tamelijk eenvoudig om in de softwareproductie in te breken. Ze kunnen op elke plaats iemand binnensluizen die de meest uiteenlopende clandestiene acties kan uitvoeren. Een infiltrant kan veiligheidsgaten inbouwen waardoor men een directe en exclusieve toegang krijgt tot de werking van de software. Voor nationale staten is dat buitengewoon aantrekkelijk: spionage en manipulatie worden kinderspel. De kosten van een infiltrant zijn gering: 50 tot 100.000 dollar. Dat is een koopje als je voor deze som een achterdeur in een besturingssysteem dat over de hele wereld verspreid wordt kunt inbouwen.

    • Software maken
      Een intelligente techniek van cyberterroristen is het zelf maken van software.

      Bij de productie van software kunnen Trojaanse paarden worden geïnstalleerd die op een later tijdstip geactiveerd worden om cyberaanvallen te lanceren of te vergemakkelijken.
      Een opmerkelijk voorbeeld daarvan deed zich voor in Japan. In maart 2000 meldde het Japanse Metropolitan Police Department dat zij een software systeem had laten bouwen om de 150 politiewagens, inclusief politieauto’s zonder herkenningstekens, te traceren. Later bleek dat het programma was ontwikkeld door de Aum Shinryko sekte, dezelfde groep die in 1995 zenuwgas in de metro van Tokyo liet ontsnappen, waardoor 12 mensen werden gedood en 6.000 mensen gewond raakten. Toen het Trojaanse paard ontdekt werd, had de sekte al de geclassificeerde gegevens over 115 voertuigen ontvangen. Bovendien had de sekte software ontwikkeld voor minstens 80 Japanse bedrijven en 10 overheidsinstellingen. Mantelorganisaties van de Aum sekte hadden als onderaannemers voor andere bedrijven gewerkt, waardoor het bijna onmogelijk werd om te achterhalen wie de software eigenlijk ontwikkelde.

      Het Amerikaanse ministerie van Buitenlandse Zaken zond in februari 2000 een urgent bericht naar ongeveer 170 ambassades met de mededeling software te verwijderen waarvan zij achteraf moesten vaststellen dat deze was geschreven door burgers van de voormalige Sovjet-Unie.

    • Knoeien met hardware

      Een andere kopzorg is de productie van microchips. De meeste commerciële chips worden in het buitenland gefabriceerd en er is al herhaaldelijk geconstateerd dat er met sommige van die chips is geknoeid. Het Amerikaanse ministerie van Defensie is ervan overtuigd dat dit het werk is van buitenlandse inlichtingendiensten. Daarom worden de microchips voor nucleaire wapens en andere geavanceerd wapentuig vervaardigd door eigen technici van Sandia National Laboratories. DARPA (de onderzoeksafdeling van het Pentagon) spendeert alleen al in 2011 minstens 20 miljoen dollar aan het identificeren van onbetrouwbare chips.

      In een rapport van militaire commissie van de Amerikaanse Senaat, Inquiry into counterfeit electronic parts in the Department of Defense supply chain [21.5.2012], werd onthuld dat grote aantallen vervalste elektronische onderdelen hun weg hebben weten te vinden naar kritische defensiesystemen. Deze vervalste elektronische onderdelen waren overwegend (70%) van Chinese makelij.

      Het internet en de toenemende complexiteit van elektronische circuits hebben het veel eenvoudiger gemaakt om «kill switches» en achterdeurtjes in te bouwen waarmee apparaten waarin kunnen worden ontregeld of uitschakeld. Een chip kan twee miljard transistors (elektronische schakelingen) bevatten. Dit biedt voldoende ruimte om een paar schakelingen in te bouwen die clandestien opereren. Chips kunnen zo worden ontworpen dat zij op een bepaalde datum zichzelf vernietigen. Een component die er onschuldig uit ziet of zelfs een heel klein beetje soldeer kan een verborgen antenne zijn. Wanneer een chip een radiosignaal ontvangt van een mobieltje, een vliegtuig of een satelliet kan het apparaat zichzelf opblazen, uitschakelen of anders gaan werken.

      De «kill switches» en achterdeurtjes werken net als landmijnen. Ze worden door heimelijk verborgen in elektronische apparatuur totdat zij in een confrontatie worden geactiveerd. Deze landmijnen zijn bijzonder destructief omdat zij worden ingebouwd in geavanceerde wapensystemen en in de vitale infrastructuur van een land.

      Een simpel maar effectief voorbeeld stamt uit de Eerste Golfoorlog in 1991. Het leger van Irak gebruikte in Noord-Amerika gefabriceerde kleurenkopieermachines om haar strijdplannen uit te werken. Dat hadden zij beter niet kunnen doen. In het elektronisch circuit van deze kopieermachines waren zenders verborgen die hun locatie verraadden. Hierdoor waren Amerikaanse gevechtsvliegtuigen in staat om meer precieze bombardementen en raketaanvallen lanceren. ‘Turning assets into liabilities’, wordt dat genoemd — maak van een lust een last [The Economist, 7.4.11].

    • Computers verkopen
      De supergeheime Israëlische Eenheid 8200 is gespecialiseerd op cyberoorlog. Er werken tienduizenden militairen die allerlei transmissies en elektronische signalen van naburige vijandige staten verwerken. IsraŽlische spionnen rekruteerden in Iran zakenlieden die elektronische apparatuur en computers importeerden en verkochten aan het Iraanse leger en het Iraanse atoomproject. De computers werden aangeleverd door de Mossad en waren geÔnfecteerd met Trojaanse paarden en virussen. Zodra ze geïnstalleerd werden in de militaire of nucleaire installaties begonnen ze informatie terug te sturen naar Israë [Ronen Bergman in EenVandaag,19.11.10].

  3. Gebruik van computersysteem
    Door de toegenomen complexiteit van onze computersystemen neemt ook de kans toe dat de mensen die daarmee werken fouten maken. Menselijk gedrag wordt beïnvloed door de context waarin het plaatsvindt en beheerders van hightech systemen zijn overgeleverd aan het ontwerp van de hard- en software waarmee zij werken. Uit onderzoek blijkt dat veel fouten die aan systeembeheerders worden toegeschreven het gevolg zijn van gebrekkige systemen en ondeugdelijk ontwerp van de interfaces. Individuen zijn vaak niet meer in staat om de risico’s die aan hun werk verbonden zijn te controleren. Veel fouten en ongelukken vloeien voort uit inadequate communicatie tussen mensen en machines [Leveson 2004].

    Er zijn diverse mogelijkheden om computersystemen te manipuleren. Om een computernetwerk te compromitteren is het vaak al voldoende om een USB-stick een keer kort in een computer te stoppen. De malware nestelt zich in de computer en besmet vervolgens het hele netwerk. De geïnfecteerde computers kunnen in een botnet worden geplaatst: een netwerk van duizenden of zelfs miljoenen computers die door een aanvaller worden gecontroleerd en dat zeer uiteenlopende kwaadaardige praktijken kan faciliteren: het versturen van spam, het faciliteren van phishing-aanvallen en online fraude, het initiëren van denial-of-service-aanvallen en het anonimiseren van de aanvaller. Door het installeren van keyloggers kunnen alle wachtwoorden en creditcardnummers worden achterhaald die op een computer worden ingevoerd.

    De veiligheidsrisico’s van de software waarmee gewerkt wordt zijn dus enorm. Die risico’s zijn al ingebakken in het ontwerp en de programmering van de software technologie, en ze nemen alleen maar toe bij de productie en het gebruik van ICT. Hoe grotere en complexer een systeem is, des te eenvoudiger is het voor een aanvaller om een zwakte te identificeren en uit te buiten.

Niet alleen het niveau van complexiteit in IT-omgevingen van bedrijven en instellingen maakt het voor vaardige hackers makkelijk om onbekende of niet-gerepareerde kwetsbaarheden te vinden. Ook het feit dat steeds meer werknemers eigen apparaten (zoals smartphones, tablets, laptops, USB-sticks) in de organisaties brengen en gebruik maken van sociale media schept nieuw invalswegen voor kwaadaardige aanvallen van buitenaf.

Een andere grote zwakte is het netwerkontwerp. Veel netwerken zijn te plat. In platte netwerken kan vanuit elk station van het netwerk alle andere stations worden bereikt zonder tussenkomst van bewaakte bruggen of interne brandgangen. Sterk geseggregeerde netwerken zijn minder flexibel en het beheer is minder kostbaar. Maar in platte netwerken kunnen aanvallers makkelijk rondsnuffelen op zoek naar systemen waarin waardevolle, vertrouwelijke of geheime informatie is opgeslagen.

SNMP-lek: komt u maar binnen
SNMP is een hulpmiddel om netwerken mee te beheren. Je kunt er op afstand de status van een apparaat, inclusief foutmeldingen en instellingen mee aflezen en wijzigen. Het SNMP protocol is gebaseerd op het Internet Protocol (IP).
Soms wordt het voor hackers van computersystemen wel erg gemakkelijk gemaakt. Een voorbeeld daarvan is het lek in het netwerkprotocol dat gebruikt wordt om internetsystemen te bewaken en te configureren. In november 2012 werd ontdekt dat dit Simple Netwerk Management Protocol (SNMP) zodanig is geconfigureerd dat het kinderspel is om alle computers die daarvan gebruik maken af te tappen, de controle over te nemen of stil te leggen [Volkskrant, 1.11.2012].

Gemakzuchtige van fabrikanten —waaronder CISCO—verkopen routers en modems waarop het SNMP-systeem standaard staat ingeschakeld. De meeste gebruikers hebben dat protocol niet nodig, maar schakelen het niet uit. Degenen die daar wel gebruik van maken, zouden het protocol moeten configureren om het te beveiligen, maar doen dat meestal niet. Daarom is het voor hackers zeer eenvoudig om in deze systemen in te breken.

Het beveiligingsbedrijf ITSX ontdekte het lek en scande ruim de helft van de 48 miljoen IP-adressen in Nederland. Bij 13.656 adressen waren alle instellingen en wachtwoorden uit te lezen. Bij 2.294 adressen konden de systemen volledig worden overgenomen of gecyboteerd. Daartoe behoorden ook enkele banken, supermarktketens, grote internetproviders en overheidsinstellingen.

Het rapport van het ITSX laat zien dat het slecht gesteld is met de beveiliging van infrastructuurcomponenten in Nederland.

Oude kwaal
In 2000 werd SNMP al opgenomen in de Top 19 beveiligingsproblemen [Sans 2000]. Ook daarna wordt regelmatig voor SNMP-lekken gewaarschuwd. In 2008 scanden Amerikaanse onderzoekers 2,5 miljoen willekeurige IP-adressen op problemen en vonden 5.000 kwetsbare apparaten [Guchitzen, 3.3.2008].
De problemen met SNMP zijn al meer dan twintig jaar bekend. maar voor de fabrikanten van die technologie was dit tot nu toe geen aanleiding om maatregelen te nemen. Providers en systeembeheerders die gebruik maken van professionele producten laten het SNMP-protocol uit gemakzucht of onkunde ongewijzigd aanstaan zonder dat zij zich bewust zijn van de risico’s die daaraan verbonden zijn. Particuliere consumenten schaffen onveilig geconfigureerde apparaten aan of krijgen deze geleverd door hun providers.

IP-scan is geen misdaad
Niemand vind het prettig als iemand aan de voordeur morrelt om te kijken of deze te openen is. Een IP-scan is niets anders dan het digitaal snuffelen aan de deur van een computersysteem. Er wordt niet binnengedrongen en er wordt niets gestolen, ontregeld of vernietigd. In juridische zin een IP-scan geen inbraak, ook al kan de daarmee vergaarde informatie dienen als opstap voor een daadwerkelijke cyberinbraak. Het is geen argument om een IP-scan als inbreken te kwalificeren — zoals Lodewijk van Zwieten (Officier van Justitie voor cybercrime) meent [Webwereld, 1.11.2012]. De informatie die met een IP-scan wordt verworven, kan immers ook worden gebruikt om op veiligheidslekken te attenderen en om voorstellen te doen voor reparatie.

De discussie over de IP-scan wijst erop dat er nog steeds geen duidelijke criteria zijn om te beslissen wat een ‘cyberaanval’ is en wat niet. Tot 1998 rekende het Amerikaanse Ministerie van Defensie elke poging om een telnet-verbinding (vergelijkbaar met kloppen op een gesloten deur) te leggen als een elektronische aanval [Niall McKay, in: Wired, 16.10.98.

Index


Kwaadaardige software — malware
Technisch gezien hebben aanvallers dus goede kansen om een systeem te breken, of nog erger: om in een systeem in te breken en met eigen bevelen te sturen. Het is vaak al voldoende om slechts een paar coderegels te wijzigen. Maar zelfs als daar een paar honderd coderegels voor nodig zijn, is dat altijd nog erg weinig (en deze extra regels kunnen makkelijk worden verborgen). Op het niveau van de productie is er maar één infiltrant nodig om achterdeurtjes in de software in te bouwen. En op niveau van gebruik is slechts één kort contact met usb-stick nodig om een heel netwerk te infiltreren.

Kortom: er bestaat een extreem grote asymmetrie tussen verdediging en aanval: de aanval is verschrikkelijk makkelijk, de verdediging zo goed als onmogelijk [NRC 2010:348; Gaycken 2012:46,51]. De grootste bedreiging is dat er zoveel bedreigingen zijn. Bijna elk jaar verdubbelt het aantal virussen. In de databank van McAfee zijn inmiddels 100 miljoen unieke exemplaren malware opgeslagen [McAfee 2012]. De verwachting is dat dit aantal eind 2013 zal zijn gegroeid tot 160 miljoen.

Explosieve toename van virussen
De ontwikkeling van het aantal virussen vertoont een exponentiële groei.
Jaar Aantal Virussen
1984 12
1990 9.000
2002 1 miljoen
2007 9 miljoen
Jan. 2013 100 miljoen
Dec. 2013 160 miljoen
Het AV-Test Institute registreert dagelijks meer dan 200.000 nieuwe malware programma’s — meer dan 5 miljoen per maand.

Er is nu meer malware dan legitieme software applicaties. Malware (schadelijke software of zo men wil schoftware) kent vier basisvarianten: traditionele virussen, wormen, Trojaanse paarden en botnets.

Nederland speelt een belangrijke rol in het verspreiden van malware en aansturen van besmette computers die onderdeel zijn van een botnet. Van alle malware die er gemaakt wordt, komt 17% uit Nederland. In 2011 was dit nog maar 11%. Nederland staat op de derde plek in de Top 10 van landen die malware verspreiden (na de Verenigde Staten en Rusland) en op plaats vijf in de Top 10 van landen met Command & Control-servers [Websense, 2013] en op plaats 3 in de Top 3 bottnetlanden [McAfeee, 23.1.13]. In 2011 werd geschat dat tussen de 450.000 en 900.000 Nederlandse computers onderdeel van een botnet zijn. Dit betekent dat 5% tot 10% van alle Nederlandse breedbandabonnees besmet is. Volgens de onderzoekers van de TU Delft is het werkelijke aantal besmette machines waarschijnlijk veel groter dan hun schatting laat zien.

Nederland staat —in 2013— op de tiende plaats van landen die voor de meeste cybercrime verantwoordelijk zijn. Met bijna evenveel cybercrime hubs als in Duitsland, Frankrijk en Italië samen [Global Security Map].

Index


DDoS-aanvallen: klassiek en geavanceerd

Van belletje trekken naar grootschalige blokkade-acties
Een Denial-of-Service aanval is een digitale vorm van belletje trekken waardoor een computersysteem niet meer in staat is om te functioneren. Het computersysteem wordt door hackers overladen met aanvragen die niet verwerkt kunnen worden waardoor het systeem onbeschikbaar wordt voor reguliere gebruikers. Soms is hierbij helemaal geen kwaadwil in het geding. Een bekend (pre-internet) voorbeeld hiervan is het Henny Huisman-effect. In 1988 organiseerde de SoundMixShow een televoting-actie die het hele PTT-netwerk platlegde. Een recenter voorbeeld is het Slashdot-effect dat optreed als er op door Slashdot een link naar een kleinere website wordt gepubliceerd die opeens door alle bezoekers wordt gevolgd.

Een Denial-of-Service aanval (DoS) maakt een website, internetdienst of server onbruikbaar voor de reguliere gebruikers. Het verschil tussen een gewone DoS-aanval en een Distributed DoS-aanval (DDoS) is dat bij de laatste de aanval wordt uitgevoerd door meerdere computers tegelijkertijd. Dat kunnen computers zijn van meerdere personen die hun acties onderling coördineren (zoals cyberactivisten vaak doen), maar heel vaak wordt hiervoor gebruik gemaakt van een botnet van gekaapte computers.

Het is uitermate lastig om een DDoS-aanval te voorkomen (een preventieve aanpak zou de inzet van een enorme overcapaciteit vereisten). Systeembeheerders kunnen eigenlijk alleen maar defensief reageren door het verkeer te beperken op het moment dat servers worden overbelast [Computerworld, 10.4.13]. Een botnet kan alleen maar onschadelijk worden gemaakt als men toegang weet te krijgen tot de command & control servers die het botnet aansturen.

Telefoonboek van het internet
Om het effect van een DDoS-aanval te versterken richten cyberaanvallers hun pijlen steeds meer op het Domain Name System. Het Domain Name System is het systeem dat op het internet wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Het DNS zet het webadres dat je intypt in je browser (zoals www.uva.nl) om in wat daadwerkelijk door het internet gebruikt wordt: IP-adressen (zoals 145.18.10.172). Een IP adres is een adres waarmee een netwerkkaart (NIC = Network Interface Card of Controller) van een gastheer (host) op het internet eenduidig geadresseerd kan worden binnen het TCP/IP-protocol. Elke op het internet of netwerk aangesloten computer heeft een IP-nummer waarmee deze zichtbaar is voor alle andere computers op het internet. Ze zijn te vergelijken met telefoonnummers.

DNS is dus het telefoonboek voor het internet. Als iemand in staat zou zijn om de toegang tot het telefoonboek te blokkeren, dan zou het internet daadwerkelijk niet meer kunnen functioneren.

Het Domain Name System heeft een boomstructuur. Het begint met 13 servers op het topniveau en elk daarvan communiceert met het volgende lagere niveau, die het dan doorgeeft aan een nog lager niveau, enzovoort. Wanneer er op het topniveau iets wordt veranderd, wordt dit automatisch doorgegeven aan het hele netwerk. Daarom brengt de lokale kopie van het telefoonboek je altijd precies naar de juiste plaats.

Het hele internet kan worden platgelegd als iemand het functioneren van alle dertien DNS-topniveau servers zou kunnen verhinderen. Als deze servers niet meer kunnen communiceren met de lagere echalons van het systeem, dan kunnen ook de lagere takken van de boom niet meer functioneren.

De 13 topniveau servers van het DNS zijn gevestigd in verschillende landen, maken gebruik van verschillende technologieën en zijn zwaar beveiligd. De zwakte van het DNS is tweeledig. Ten eerste genereert een DNS-verzoek meer informatie dan het verzoek zelf. Ten tweede is het relatief eenvoudig om het adres waarvanuit het verzoek wordt verstuurd te falsifiëren.

Hackers kunnen gebruik maken van deze twee kwetsbaarheden. Zij kunnen een heel leger van zombiecomputers (bots) afsturen op het IP-adres van het doelwit. Middels een botnet worden enorme hoeveelheden verzoeken aan het DNS gericht die daarop antwoord door een nog veel grotere hoeveelheid data door te sturen naar het doelwit (een klein DNS query kan een veel langere reactie opleveren). Maar hierdoor wordt niet alleen het specifieke doelwit uitgeschakeld. Als er meerdere omvangrijke botnets worden gebruikt om meerdere doelwitten aan te vallen, dan overspoelt het DNS zelf het netwerk dat zij zou moeten dienen [Woodward 2009].

Deze infrastructurele kwetsbaarheid van het internet is al langer bekend is. Maar een groot deel van de DNS-servers is nog steeds niet op de juiste wijze geconfigureerd om een dergelijke DNS-amplificatie aanval te voorkomen.

Er zijn nieuwe technologieën ontwikkeld die de DNS veiliger kunnen maken. Het meest bekende is DNSSEC (Domain Name System Security Extension) dat ontworpen is om aanvallen zoals DNS-spoofing te voorkomen. Maar zolang deze nieuwe systemen niet op brede schaal worden gebruikt, zijn ze weinig hulpzaam. Uit een onderzoek uit 2012 bleek dat 40% van de federale instellingen in de VS nog geen gebruik maakten van DNSSEC, ook al is dat het officiële overheidsbeleid. Technet, 23.4.13].

Naar aanleiding van DDoS-aanvallen op Spamhaus concludeerde de ENISA, de organisatie voor netwerk- en informatiebeveiliging in Europa, dat de internetproviders falen om grootschalige DDoS-aanvallen via DNS amplificatie te voorkomen [ENISA, 12.4.13]. Er zijn minstens drie maatregelen die op korte termijn genomen zouden kunnen worden.

De bron van DNS-amplicifatie aanvallen is soms nauwelijks te vinden. Om de bron te achterhalen moeten de logs van de misbruikte DNS-server worden onderzocht. Als deze servers in het buitenland staan, is het lastig om de hand te leggen op die records. Omdat er bij deze aanvallen ook vaak botnets worden gebruikt wordt het spoor nog meer verhuld.

Klassieke en geraffineerde DDoS-aanvallen
De klassieke DDoS-aanval geeft een website of server zoveel onnodig werk te doen dat het reguliere netwerkverkeer niet meer tijdig kan worden afgehandeld.

De meest recente DDoS-aanvallen gaan veel verder dan simpele bandbreedte-aanvallen (traffic flood). Er zijn diverse DDoS-varianten: DNS-amplificatie aanval, SYN-flood aanval en de TCP ACK aanval. Bij al dit soort protocol-aanvallen worden netwerkpakketjes naar een systeem gestuurd, waarbij de verbinding niet tot stand komt. Het aantal halfopen verbindingen onttrekt steeds keer servicekracht aan het systeem. Het systeem wordt vertraagd, functies vallen uit, en tenslotte gaat het systeem zelf plat.

Synchronisatie-overstroming
Bij een SYN flood-aanval worden de bronnen van een server in beslag genomen door synchronisatieverzoeken terwijl de server wacht op een antwoord dat niet komt.

Bij een SYN flood wordt een groot aantal verbindingsaanvragen met een fout IP-adres naar een server gestuurd. Bij iedere aanvraag reserveert de server een deel van het geheugen of een socket. Als de server een bericht terugstuurt met de mededeling dat hij klaar is voor de verbinding, wordt dit bericht naar het verkeerde IP-adres gestuurd. De server krijgt daarom geen bericht van ontvangst en blijft wachten op het antwoord. Alle gereserveerde bronnen blijven in gebruik.

Als er grote aantallen van dit soort valse aanvragen na elkaar worden verzonden is de server niet meer bereikbaar voor bonafide aanvragen en kan zelfs helemaal plat gaan.

Een tweede vorm van DDoS is application flooding. Daarbij wordt misbruik gemaakt van kwetsbaarheden van applicaties zoals een web- of mailserver. De cyberaanvallers versturen daarbij zeer grote hoeveelheden ‘http get-verzoeken’ of zetten massale halve SMTP-aanvagen op touw. Op die manier nemen zij de beschikbare diensten in beslag en kunnen zij deze applicaties uitschakelen.

Index


Software ruïneert hardware
Apparaten en machines kunnen worden beschadigd of vernietigd door het manipuleren van de procescontrolesystemen die hen aansturen. Computers kunnen echter ook zelf softwarematig worden uitgeschakeld. Dit zijn een aantal effectieve methoden.

Voor al deze cybotagetechnieken is een ruim aanbod van kwaadaardige software beschikbaar [Kotler 2011]. Bijna alles dat door software wordt gecontroleerd, kan door malware worden gewijzigd of aangevallen.

Index


Mobiele malware
Smartphones zijn mini-pc’s waarmee je ook kunt bellen. Net als alle andere computers zijn smartphones gevoelig voor malware en spyware. Smartphones die op Android, het besturingssysteem van Google, draaien zijn bijzonder kwetsbaar voor kwaadaardige software. De applicaties van Android worden niet van te voren gecontroleerd. Dubieuze apps worden door Google pas uit de applicatiewinkel verwijderd nadat er klachten binnenkomen. Het Android platform blijft het grootste doelwit voor zowel mobiele malware als spyware [McAfee, 2012].

Medio 2012 werden Android smartphones geïnfecteerd met de virussen «Loozfon» en «FinFisher». De spyware wordt geïnstalleerd zodra er op een specifieke link wordt geklikt. Slachtoffers worden op verschillende manieren benaderd. In een variant wordt een mogelijkheid van betaald thuiswerk aangeboden waarbij men alleen maar e-mails hoeft te versturen. Een link binnen deze advertenties leidt naar een website die is ingericht om Loozfon op het mobieltje te zetten. Zodra Loofzon is geïnstalleerd begint het alle contactgegevens die in het mobieltje zijn opgeslagen te stelen.

FinFisher (of FinSpy) is nog veel gevaarlijker. Na installatie kan de smartphone op afstand worden bestuurd en gevolgd, waar de gebruiker zich ook bevindt. Op 15 october 2012 waarschuwde de Amerikaanse FBI de Android-gebruikers voor deze spyware [IC3, 12.10.12].

Mobiele apparaten (zoals smartphones en tablets) zijn notoir onveilig. Slechts vier procent van die apparaten is voorzien van beveiligingssoftware. Alle mobiele telefoons kunnen worden geïnfecteerd met schadelijke software [Wired, 25.10.12].

In 2010 werden al 2.500 verschillende soorten mobiele malware geïdentificeerd en dat aantal is sindsdien zeer sterk toegenomen [mobiThinking, 2.11.2011; Symantec, jun 2011]. Trojaanse paarden zijn erg populair voor Android-apparaten omdat iedereen een app kan plaatsen op de Android-markt. Ze zijn erg effectief omdat zij geen technische kwetsbaarheden nodig hebben om zichzelf te installeren. Trojaanse paarden zitten verpakt in spelletjes en andere applicaties die we zelf op onze mobieltjes en tablets plaatsen. Mobiele malware verspreidt zich veel sneller dan traditionele malware omdat de doelwitten altijd aan een netwerk zijn verbonden.

Index Beveiliging: verdedigen tegen aanvallen van buiten

Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen kwaadaardige aanvallen van buitenaf. Hun weerbaarheid is afhankelijk van de beveiliging. De beveiliging moet ervoor zorgen dat computersystemen weerbaar worden tegen externe verstoringen door kwaadwillende individuen die op illegale wijze proberen in te breken.

Er kan op drie verschillende manieren in computersystemen worden ingebroken.


Schema beveiliging

Via deze drie ingangen kunnen kwaadwillende buitenstaanders clandestien toegang verwerven tot de informatiebronnen en communicatieprocessen. De weerbaarheid van computersystemen en netwerken is een samenstel van fysieke beveiliging, personele beveiliging, ict-beveiliging en informatie- & communicatiebeveiliging.

Er is een groot repertoire aan digitale aanvalstechnieken en methodieken. Computersystemen en netwerken moeten niet alleen worden beveiligd tegen relatief eenvoudige aanvallen, zoals e-mail bombardementen, webonthoofdingen en DDoS-aanvallen. Ze moeten ook worden beveiligd tegen meer complexe aanvallen met virussen, wormen en Trojaanse paarden, en tegen geavanceerde spyware waarmee communicatie wordt afgeluisted en informatie wordt gestolen. Bovendien moet in al deze gevallen worden bepaald of het gaat om vandalisme van amateurhackers, computerfraude van kleine criminelen, georganiseerde criminele bendes, terroristische organisaties, buitenlandse inlichtingendiensten of een aanval van militaire strijdkrachten.

Computersystemen en netwerken kunnen op twee manieren worden verdedigd: passief en actief. Bij een passieve verdediging worden speciale barrières opgeworpen die door een aanvaller niet kunnen worden overwonnen. Bij een actieve verdediging wordt elke zich ontwikkelende aanval direct afgeslagen en worden door vernietiging van de vijandige aanvalsposities verdere aanvallen onmogelijk gemaakt.

Index


Passieve verdediging: reactief en proactief
Passieve verdediging: Computer op slot Bij passieve verdediging wordt een bescherming opgebouwd die een aanvaller niet kan doorbreken. Het klassieke voorbeeld daarvan is de slotgracht om een kasteel die de vijanden niet kunnen overbruggen. De digitale variant is de firewall. Een passieve verdediging is een kat-en-muis spel: hardnekkige aanvallers proberen om methoden te vinden waarmee de passieve beschermingsmaatregelen overwonnen, ondergraven of doorbroken kunnen worden.

Alles wat we op het gebied van de passieve verdediging kennen —wachtwoordbescherming (toegangscontrole), virusscanners, firewalls, detectiesystemen, encryptie— heeft tegenover aanvallers al meerdere keren grondig gefaald. Amateurhackers en crackers slagen er telkens weer de defensieve maatregelen te doorbreken of te omzeilen. Voor goed gekwalificeerde cybermilitairen die over voldoende bronnen beschikken is dit nog eenvoudiger. Dit heeft meerdere redenen.

Passieve verdediging is dus alleen maar effectief als de bedreiging al bekend is. De detectiemechanismen moeten bovendien zeer nauwkeurig werken zodat er niet per ongeluk bepaalde gegevens worden afgevangen die op virussen lijken (en dat is wat veel virussen doen). Daarom kan een aanvaller met virussen die slechts licht gevarieerd zijn al door de beveiligingsmaatregelen heen breken.

Veel hackers zijn zeer getalenteerd en moeilijk te blokkeren, terwijl de beveiliging van bedrijfs- en overheidsnetwerken ondermaats is. De hackers zijn aan de winnende hand in de cyberoorlog. De meerderheid van de bedrijven hebben niet eens door dat hun systemen zijn gecompromitteerd. Zij beseffen pas wat er gebeurd is nadat buitenstaanders hen dat hebben verteld.
De aanvaller is de verdediger dus altijd een stap voor. De tijd die nodig is om een virus te ontdekken, haar signatuur te bepalen en op te laten nemen in de protectielijsten van de gebruikers is nog steeds veel langer dan de malware zelf nodig heeft om zich te verspreiden [Swimmer 2008]. Reactieve veiligheid is altijd te laat: voor een krijgsmacht die de nationale veiligheid moet waarborgen, is dat een ernstig probleem. Passieve verdediging is slechts zo sterk is als haar zwakste schakel. Een aanvaller/hacker hoeft alleen maar één exploiteerbare zwakte te vinden om toegang te krijgen tot het systeem. De ‘bad guys’ kunnen overal aanvallen waar zij willen, de ‘good guys’ moeten overal verdedigen.

Een proactieve verdediging stuit op andere problemen. Een van de meest beproefde proactieve beveiligingmaatregel is het monitoren van Šlle datastromen binnen het eigen computersysteem en tussen dit systeem en externe systemen. In de dataleidingen van het eigen netwerk kunnen meetapparaten (sensoren) worden aangebracht die opvallende patronen in de doorstromende data detecteren (intrusion detection). De systeembeheerder kan deze software zelf configureren en bijvoorbeeld zelf definiëren wat ‘abnormaal’ is [Denning 1987; Scarfone/Mell 2007]. Bij zeer grote hoeveelheden data moet altijd rekening worden gehouden met een normale basisruis omdat er anders te vaak vals alarm gegeven wordt [Anderson 2001:387-388; Mattord 2008:290Ė301]. Voor een aanvaller is dit meestal voldoende om zijn aanvallen door de sensoren te krijgen.

Bovendien sluizen aanvallers niet het hele cyberwapen in een keer naar binnen, maar onderdelen die dan op een specifieke plaats in elkaar worden gezet en vervolgens voor kwaadaardige acties kunnen worden ingezet. De sensoren van het beveiligingsysteem definiëren elke afzonderlijke component van het cyberwapen als onschadelijk/ongevaarlijk. Als alle onderdelen van het cyberwapen op de bestemde plek zijn aangekomen, kan het daar zichzelf samenstellen en beginnen met het destructieve of spionagewerk.

Blacklisting versus Whitelisting
De passieve verdediging wordt ook wel blacklisting genoemd: al het inkomende verkeer wordt gecontroleerd op bekende zwarte schapen die zich tussen de kudde proberen te dringen, Wie of wat er op de zwarte lijst staat wordt de toegang geweigerd. Bij whitelisting wordt alleen binnengelaten wat er op de witte lijst staat en wordt gecontroleerd of de witte kudde nog een normaal patroon vertoont.

Blacklisting is een negatief model: sluit ‘bad things’ uit en laat al het andere door). Whitelisting is een positief model: laat ‘good things’ door en sluit de rest uit.

Het voordeel van het negatief model is dat het tamelijk makkelijk is om een paar ‘bad things’ die op de lijst staan te herkennen, ze te blokkeren en de rest door te laten. Bovendien kan het onderhoud van zwarte lijsten gemakkelijk worden gedelegeerd naar een derde partij — de bedrijven die anti-virus software maken. Die bedrijven kunnen de zwarte lijst automatisch voor ons updaten. We hoeven er zelf weinig aan te doen. Toen er nog niet zoveel virussen waren werkte dit model redelijk efficient.

Bij het positieve model is het moeilijk om de beslissing over welke applicaties we nodig hebben te delegeren naar een derde partij. Het bijhouden van een witte lijst is veel moeilijker: elke keer dat je een nieuw programma installeert of een oud programma update zou je elke DLL (dynamic-link library is de bibliotheek met functies die door meerdere applicaties gebruikt kunnen worden) moeten registreren of herregistreren [Townsend 2011].

Computer immuunsysteem
Er zijn nieuwe instrumenten in omloop voor een proactieve verdediging: adaptive response tools. Daarbij wordt detectiesoftware gekoppeld aan geautomatiseerde reacties waardoor het netwerk ‘zichzelf’ verdedigt tegen aanvallen. Met gebruik van de principes van kunstmatige intelligentie wordt lenige software ontwikkeld die snel nieuwe bedreigingen kan identificeren en dienovereenkomstig kan reageren. Hierdoor kan snel en flexibel worden gereageerd op zowel op interne als externe bedreigingen. De programma’s bevatten een lijst van reacties op aanvalsvarianten die op basis van nieuwe ervaringen telkens wordt gewijzigd. De detectie/responsie software verspreidt zichzelf in alle knooppunten van het eigen systeem. Daarom blijft het de computers beschermen ook als er een lokale server uitvalt.

De inspiratiebron voor deze slimme software is de manier waarop het natuurlijke immuunsysteem functioneert. Het immuunsysteem van levende organismen heeft veel eigenschappen die gewenst zijn voor de imperfecte, ongecontroleerde en open omgevingen waarin de meeste computers opereren [Somayaji/Hofmeyr/Forrest 1997; Balthrop/Forrest/Newman/ Williamson 2004]. Een immuunsysteem maakt onderscheid tussen het ‘zelf’ en het gevaarlijke ‘andere’ en elimineert deze gevaarlijke elementen (vreemde ziekteverwekkers zoals bacteria, virussen, parasieten en giftige stoffen).

De bescherming van computersystemen tegen kwaadaardige intrusies werkt op vergelijkbare manier. Beveiligingssoftware probeert alle vreemde en gevaarlijke elementen en processen te identificeren: elke niet geautoriseerde gebruiker, vreemde code in de vorm van een computervirus of worm, niet geanticipeerde code in de vorm van een Trojaans paard of gecorrumpeerde data. Vervolgens moeten deze oneigenlijke en gevaarlijke elementen en processen gericht worden bestreden. De analogie tussen computerbeveiliging en biologische processen werd al in 1984 onderkend, toen Leonard Adleman de term computervirus introduceerde.

Misleiding van detectiesystemen
Een intrusie detectiesysteem (IDS) is een systeem dat ontworpen is om intrusies te detecteren, of ongeautoriseerde pogingen om toegang te krijgen tot een computersysteem of netwerk en daarin iets te veranderen of te manipuleren. Dergelijke systemen kunnen netwerkgebaseerd zijn (NIDS): zij monitoren al het verkeer dat het netwerk binnen komt of verlaat en kijkt naar onregelmatige activiteiten. Zij kunnen ook gefocused zijn op individuele protocollen of applicaties.

Er zijn diverse manieren waarop een intrusie detectie- of preventiesysteem (IDS/IPS) kan worden misleid. De aanval zelf kan zodanig worden gemanipuleerd dat het verschillende informatie geeft aan het IDS/IPS-systeem van het aangevallen computernetwerk. Het is onmogelijk om alle intrusies en anomalieŽn te identificeren [Singh 2010].

Conventionele beveiligingsmethoden concentreren zich op bepaalde kritische toegangspunten: alleen de in- en uitgangen naar het internet worden beveiligd, maar niet het hele systeem. Creatieve en bronrijke aanvallers zullen weliswaar ook het internet gebruiken als zij daardoor interessante doelstellingen kunnen bereiken, maar als dat niet het geval is zoeken zij naar andere wegen: een infiltrant (een persoon die van binnenuit werkt) of een achterdeurmen die in het computernetwerk van de organisatie is ingebouwd. Op die manier wordt dan op elegante wijze voorbijgegaan aan de firewall en alle andere beveiligingsmaatregelen.

Index


Actieve verdediging
Bij een louter passieve beveiliging staat een zwakke verdediger tegenover een oppermachtige aanvaller. Bij een actieve of dynamische beveiliging wordt elke potentiële en actuele aanval in de kiem gesmoord en worden verdere aanvallen onmogelijk (of moeilijker) gemaakt door de vijandige aanvalsposities en -lijnen uit te schakelen of te degraderen. Er zijn vier actieve vormen van beveiliging:

  1. Preëmptieve aanval
    Bij een preëmptieve aanval probeert men om in een dreigende en onvermijdelijke geachte confrontatie een strategisch voordeel te behalen voordat die dreiging werkelijkheid wordt. Een preëmptieve aanval op infrastructuur van het vijandige informatiesysteem verhindert dat deze wordt gebruikt om effectieve aanvallen te lanceren.

    Preventieve en preëmptieve aanvallen
    Een preëmptieve aanval is niet hetzelfde als een preventieve aanval. Een preventieve aanval wordt gelanceerd om de potentiële bedreiging van een vijand te vernietigen terwijl er op dat moment nog geen aanval wordt uitgevoerd, gepland of anderszins wordt voorbereid. Een preëmptieve aanval wordt gelanceerd in anticipatie van een directe vijandelijke agressie.

    Een preventieve oorlog is een daad van agressie (volgens artikel 2, sectie 4 van het Handvest van de Verenigde Naties breekt zij de vrede omdat ze de soevereiniteit van een staat aantast). Een preëmptieve aanval is een vorm van legitieme zelfverdediging. Volgens het internationale recht moet zo’n zelfverdediging voldoen aan een aantal strikte voorwaarden, zoals het beginsel van proportionaliteit (evenredigheid) en van distinctie (onderscheid tussen militaire en civiele doelwitten) [O’Connel 2012].

    Preëmptieve aanvallen zijn vaak niet effectief omdat ze de aanvalscapaciteiten van de tegenstander niet kunnen te treffen. Een competente cyberstrateeg zorgt ervoor dat zijn aanvalscapaciteiten geïsoleerd van het internet blijven totdat ze feitelijk hun aanval beginnen. Aanvallende cybercapaciteiten kunnen gemakkelijk worden verborgen, gedistribueerd worden opgeslagen en volledig buiten het bereik van de tegenstander worden gehouden. In het gunstigste geval kunnen ze worden gelokaliseerd door personele infiltratie (spionnen en mollen).

    Een preëmptieve aanval is per definitie een vijandige handeling. Daarom zullen de bevoegde autoriteiten zo’n aanval alleen maar goedkeuren wanneer ze een redelijke garantie hebben dat de effecten van de aanval beperkt kunnen blijven tot het vijandige netwerk. Maar dit veronderstelt (i) dat de offensieve vijandige krachten en/of hun ondersteuningsstructuren gelokaliseerd kunnen worden en (ii) dat zij gedegradeerd of vernietigd kunnen worden voordat ze effectief gebruikt kunnen worden.

    Het netwerk dat de bron van een aanval lijkt te zijn zou in werkelijkheid wel eens slechts een tussenschakel kunnen zijn die door de aanvaller wordt gebruikt om de ware oorsprong te verhullen. De aanvaller kan zijn cyberactie ondernemen vanuit een neutraal of zelfs vriendelijk netwerk dat hij al gecompromitteerd heeft. Competente hackers beschikken over een uitgebreid instrumentarium waarmee zij bewijzen van hun activiteiten (digitale sporen) kunnen wissen (zoals utclean.c en tlnthide.c).

    Preëmptieve aanval en first-strike
    De Amerikaanse minister van Defensie Leon Panetta verklaarde dat cyberaanvallen net zoveel schade berokkenen als de fysieke aanvallen op 11 september 2001. Er worden geavanceerde cyberwapens ontwikkeld om cruciale controlesystemen voor utiliteiten, industrie en transport te ontwrichten en te vernielen.
      “Een aanvallende natie of extremistische groep zou controle kunnen krijgen over kritische knoppen en passagierstreinen kunnen laten ontsporen of treinen geladen met dodelijke chemicaliën. Zij kunnen de watervoorziening in grote steden besmetten, of de stroomvoorziening in grote delen van het land afsluiten. Zo’n cyberterroristische aanval zou de natie kunnen verlammen en een diep besef van kwetsbaarheid creëren” [BBC 12.10.2012].
    Bij een serieuze cyberaanval zal de VS daarom direct reageren met een preëmptieve actie. Potentiële agressors worden gewaarschuwd dat de VS het vermogen heeft om ze te lokaliseren en ze verantwoordelijk zal stellen voor acties die Amerikaanse belangen schaden. Het enige dat nog afgerond moest worden zijn wijzigingen in de rules of engagement waarin wordt vastgelegd in welke gevallen er direct gereageerd mag worden op belangrijke bedreigingen.

  2. Tegenaanval
    Een tegenaanval is een tactiek die gebruikt wordt in reactie op een aanval. De tegenaanval richt zich tegen het informatiesysteem van de tegenstander tijdens of direct na de originele aanval. Het doel is om het voordeel dat door de vijand wordt behaald tijdens een aanval teniet te doen of te blokkeren. Een tegenaanval is effectief als deze vroeg genoeg begint om alle voorbereidende activiteiten onschadelijk te maken voordat de aanval is voltooid.

    Een tegenaanval in cyberspace bestaat uit vijf stadia: (i) een effectieve detectie van vijandige acties waarbij een onderscheid gemaakt wordt tussen gradaties van intrusies: van triviale sondes tot aan substantiële aanvallen; (ii) het identificeren van de bron van inkomende sondes, malware, exploits etc.: weten wie de vijand is en waar deze zich bevindt; (iii) het bepalen van vijandige intenties; (iv) het ontwerpen en in werking zetten van directe en indirecte tegenmaatregelen die proportioneel zijn aan de intensiteit van de aanval; en (v) de evaluatie van de effectiviteit van de tegenaanval.

    De bron en kenmerken van een vijandige cyberaanval worden meestal pas duidelijk op het moment dat deze feitelijk wordt uitgevoerd. Net als bij preëmptieve aanvallen moet ook hier de bron van de aanval worden gelokaliseerd en gescand op kwetsbaarheden. Al deze taken moeten zijn voltooid voordat de aanvaller zijn aanval beëindigd heeft en zijn netwerk en cyberwapens van het internet heeft verwijderd.

    Een tegenaanval vereist in de eerste plaats dat de originele aanval snel kan worden teruggevoerd tot de bron. We zullen nog zien hoe lastig dit is. Er zijn geen internationale overeenkomsten die het mogelijk maken om cyberaanvallers in andere landen op te sporen. Maar zelfs als de bron van een vijandige aanval betrouwbaar is gelokaliseerd, is de tijd die beschikbaar is voor een tegenaanval ongemeen kort. De aanvaller weet precies hoeveel tijd hij nodig heeft voor zijn aanval en verdwijnt daarna zo spoedig mogelijk van het cybertoneel.

    Tegenaanvallen bieden geen voordelen op lange termijn. Ze elimineren de directe dreiging, maar lossen het onderliggende probleem van onveilige computernetwerken en gebrekkige beveiliging niet op. Zodra de kwetsbare systemen worden schoongeveegd van kwaadaardige software, kunnen zij direct daarna weer worden geïnfecteerd.

    Escalatie van het conflict
    De vraag is wat een aanvaller doet wanneer hij met een tegenaanval wordt geconfronteerd. De aanvaller zou kunnen besluiten om nog agressievere aanvalstechnieken in te zetten en nieuwe malware kunnen gebruiken die nog moeilijker te verwijderen is. Een worm kan bijvoorbeeld de gastcomputer vernietigen als er mee geknoeid wordt. Hierdoor verandert de gastcomputer in een soort ‘menselijk schild’ (gijzelaar) om tegenaanvallen af te schrikken [Hoskins/Liu/Relkuntwar 2005].

    Juridische kwesties
    Tegenaanvallen in het digitale domein verkeren per definitie in een juridisch grijs gebied. Wanneer een bedrijf of overheid een tegenaanval lanceert, kunnen zij dezelfde strafwetten overtreden als de aanvaller en kunnen zij aansprakelijk worden gesteld voor schade als gevolg van de tegenaanval. Een tegenaanval kan alleen als zelfverdediging worden gerechtvaardigd wanneer de gebruikte methode proportioneel is aan de initiële aanval, en er geen andere redelijke alternatieven waren [Karnow 2005].

  3. Misleiding
      “Alle oorlogsvoering is gebaseerd op misleiding. Wanneer we in staat zijn om aan te vallen, doen we net alsof we dit niet zijn; wanneer we onze strijdkrachten inzetten, doen we alsof we inactief zijn; wanneer we dichtbij zijn, laten we de vijand geloven dat we ver weg zijn; wanneer we ver weg zijn, laten we de vijand geloven dat we dichtbij zijn” [Sun Tzu, De kunst van het oorlogvoeren, I, 18-19].

    Al sinds het paard van Troje speelt misleiding een belangrijke rol in oorlogen. Het op het verkeerde been zetten van de vijand is ook in cyberoorlog een factor van betekenis. Men kan vijanden buiten een netwerk proberen te houden. Maar men kan ze ook doorsturen naar een vals netwerk. Het is een soort digitaal judo waarbij gebruik gemaakt wordt van het momentum van de aanval om deze af te slaan [Holdawy 2001]. Door misleiding wordt een aanval afgeleid naar een nepnetwerk (honeypot). De aanvallers denken succesvol te zijn, terwijl ze in feite worden geneutraliseerd. Cyberaanvallen moeten dan wel snel en adequaat worden ontdekt om ze tijdig te kunnen omgeleiden naar nepnetwerken.

    Honingpot trekt malware aan. De eenvoudigste manier is om een exploiteerbare kwetsbaarheid (trap door) op te zetten die de vijand naar het virtuele nepnetwerk leidt. Zo’n nepnetwerk wordt opgebouwd achter een niet-verdedigde poort of een user account waarvan het wachtwoord gekraakt kan worden met een wachtwoordkraker. Het nepnetwerk geeft valse informatie waardoor de aanvaller gaat geloven dat hij effectief is [Spitzner 2002; Pouget/Dacier/Debar 2003].

    Hackers misleiden
    Hackers inspecteren websites en servers om hun structuur, functies en kwetsbaarheden te achterhalen. Zij maken daarbij gebruik van instrumenten die dit verkennend onderzoek automatiseren. Er zijn diverse technieken waarmee hackers kunnen worden misleid en waarmee hun automatische instrumenten onschadelijk worden gemaakt. Een verkenner (spider) kan bijvoorbeeld worden gevangen in een teerput door het maken van neplinks die nergens toe leiden. Een server controleert welke informatie een aanvaller ontvangt: die informatie hoeft niet waarheidsgetrouw of onschuldig te zijn. Met dergelijke tegenmaatregelen loopt de aanvaller het risico al getraceerd te worden voordat er een aanval kan worden gelanceerd.

  4. Afschrikking
    De vierde vorm van actieve beveiliging is de strategie van afschrikking. Door een solide cyberwapening op te bouwen probeert men potentiële en actuele vijandige staten ervan te weerhouden om een cyberaanval te lanceren. Als vijandige staten ervan overtuigd zijn dat de vergelding middels een second strike henzelf meer schade zal berokkenen dan de winst die met een cyberaanval behaald kan worden, dan zullen zij deze aanval niet inzetten.

    Wanneer men als verdediger zelf sterk bewapend is, moet een aanvaller rekening houden met aanzienlijke verliezen. Als het te verwachten tegenoffensief van een verdediger voldoende groot is, dan is het voor een aanvaller niet meer rendabel om aan te vallen. Een verdediger kan dus met offensieve tegenmaatregelen het gedrag van aanvallers sturen en zich op die manier actief tegen aanvallen beschermen.

    “Er zijn geen rokende wapens, geen voet- of vingerafdrukken in de virtuele werkelijkheid” [Jaak Aviksoo, Minister van Defensie, Estland].
    Maar hoe doe je dat in het digitale domein? Afschrikken doe je met internationale rechtsafspraken en met forensisch onderzoek naar digitale sporen. Op die manier wordt de aanvaller identificeerbaar gemaakt en kan gerichte vergelding plaats vinden. Forensisch onderzoek is sporenonderzoek ten behoeve van strafrechtelijk onderzoek. Bewijzen tegen digitale misdaad/aanvallers kunnen op twee manieren worden verzameld:

    • Fysieke sporen achterhalen (conventioneel)
      Als er bij een cyberaanval gebruik is gemaakt van een infecterende USB-stick dan kan deze op DNA-sporen of vingerafdrukken worden gecontroleerd. En als je weet welke computer gebruikt is, kun je daarmee hetzelfde doen. In beide gevallen is forensisch onderzoek echter zeer lastig. Ten eerste moet het cyberwapen zelf worden geïdentificeerd. Als dat ooit gevonden wordt dan gebeurt dat pas veel later als alle sporen al verdampt zijn. Zelfs als de computer van waaruit een aanval is gelanceerd gelokaliseerd wordt , dan is dat meestal niet de computer van de aanvaller zelf, maar een door de aanvaller gehackte computer.

      Ten tweede hebben forensische onderzoekers niet zoveel tijd als de aanvaller: aanvallen in cyberspace worden meestal weken of maanden voorbereid en worden vervolgens bliksemsnel uitgevoerd. De verdediging heeft voor het traceren van de sporen slechts een paar ogenblikken. De verbindingen tussen de aanvallende computer en een doelcomputer zijn meestal van erg korte duur. Na de aanval wordt de verbinding verbroken en de computer van het internet ontkoppeld.

    • Digitale sporen achterhalen
      Cyberschaduw
      Een digitaal spoor is een spoor dat achter wordt gelaten bij interacties in een digitale omgeving. Daarbij gaat het zowel om sporen die op internet worden achtergelaten, als op mobiele telefoons en tablets. Voorbeelden van digitale sporen zijn: tijdstip en plaats van inloggen en uitloggen op systemen, bezoeken aan websites of databanken, zoekopdrachten, gebruik van darknet, gemaakte of bekeken bestanden, e-mails, chat- en twitterberichten en alle berichten en conversaties op sociale netwerken. Al onze handelingen in cyberspare laten informatie na die ons als een schaduw blijft achtervolgen.
      Bij het achterhalen van digitale sporen wordt de programmering van de cyberaanval zelf onderzocht. Cyberaanvallen vertonen vaak bijzondere methoden van programmering die kenmerkend zijn voor bepaalde (nationale of regionale) hackersculturen. Ook deze eigenschappen kunnen echter gemakkelijk worden vervalst en vertekend. Wie de verdenking van een aanval op China wil richten, kan van een chinees hackersforum bepaalde stukjes van de kenmerkende code kopiëren en in het aanvalswapen inbouwen.

      Ook bij cyberaanvallen kan de klassieke vraag worden gesteld: Cui bono? [Cavelty/Rolofs 2012] Wat beoogt de aanvaller te bereiken en wie heeft er profijt van? In een militaire cyberconfrontatie is het relatief eenvoudig om de werkelijke oogmerken en identiteit van de aanvaller te verhullen. Een professionele cyberkrijger kan een aanval zo ensceneren dat deze er uit ziet als een sabotageaanval van de Mossad op Iran of als een spionageaanval van de Chinese regering op de wapenindustrie van de V.S.

    Kortom: in cyberspace kunnen vaardige aanvallers nooit met voldoende zekerheid worden geïdentificeerd. Afschrikking kan alleen maar effectief zijn wanneer een directe vergelding mogelijk is. Maar vergelding met een second strike veronderstelt dat men precies weet wie er verantwoordelijk is voor de first strike. Wanneer het onmogelijk is om de aanvallers te identificeren, ondergraaft dit de afschrikkende werking van een superieure aanvalscapaciteiten. Op dit attributieprobleem zullen we nog regelmatig terugkomen.

    We hebben gezien wat de mogelijkheden en beperkingen zijn van zowel actieve als passieve beveiligingsmaatregelen en verdedigingsstrategieën. Elk afzonderlijk zijn deze maatregelen en strategieën niet effectief tegenover professionele en hooggeorganiseerde aanvallen van een militaire cybereenheid. Maar als actieve en passieve verdedigingsmaatregelen synergetisch samenwerken kunnen zij elkaar versterken.


    Index Cybermilitairen

    Wat doen cybermilitairen?
    We hebben gezien dat er in het digitale domein meerdere actoren zijn die cyberwapens gebruiken om in te breken in computersystemen en -netwerken: individuele hobbyistische hackers, bedrijfsspionnen, syndicaten van criminele hackers (crackers) en internationaal conspirerende terroristen. In een echte interstatelijke cyberoorlog hebben we te maken met een nieuwe categorie van beroepsmilitairen die hoog gekwalificeerd en goed georganiseerd zijn en die over zeer omvangrijke hulpbronnen beschikken.

    De meeste nationale staten beschikken tegenwoordig over speciale cyberstrijd≠krachten die zich volledig toeleggen op het voeren van cyberoorlog. De opdracht van deze cybereenheden is:

    • om de eigen infrastructuren te beschermen en vijandige cyberaanvallen daarop af te weren (cyberverdediging);
    • om door infiltratie in vijandige computersystemen en netwerken tijdig op de hoogte te zijn van plannen en voorbereidingshandelingen van cyberstrijdkrachten (cyberspionage, ook wel cyberexploitatie genoemd) en
    • om bij actuele conflicten de ICT-structuren van feitelijke tegenstanders te ontregelen, te degraderen of te vernietigen (cyberaanval)

    Om deze taken te verrichten is een nieuw type militairen nodig: cybermilitairen. Dat zijn militairen die zijn opgeleid om preventieve, defensieve en offensieve cyberoperaties te plannen en uit te voeren als onderdeel van een militaire cybereenheid.

    Index


    Kwalificatie van cybermilitairen
    Voor cyberoperaties zijn specifiek gekwalificeerde militairen nodig. Cybermilitairen moeten in staat zijn:
    • veiligheidsrisico’s in de eigen computersystemen en netwerken te analyseren en om deze risico’s te minimaliseren;
    • eigen militaire en civiele infrastructuren zowel passief, proactief als dynamisch te verdedigen tegenover vijandige cyberaanvallen van andere nationale staten en van niet-statelijke actoren;
    • veiligheidszwaktes te detecteren in potentieel/actueel vijandige computersystemen en netwerken;
    • aanvalspatronen en tactieken te ontwikkelen die de cybermacht van potentiële/actuele tegenstanders kunnen ontregelen, degraderen of vernietigen.

    Cybermilitair. Bron: ANP Om al deze activiteiten te verrichten hebben cybermilitairen een hoog niveau van kennis nodig van de structuur en werking van computersystemen en netwerken. Naast inzicht in de eigenaardigheden van het digitale strijddomein zijn goed ontwikkelde technische en tactische vaardigheden nodig op het gebied van programmering, systeembeheer, computerveiligheid en -beveiliging. Het meest ideaal is een combinatie van wetenschappelijke expertise op het gebied van computernetwerken en praktische vaardigheden uit de sfeer van het offensieve hacken.

    Kennis van hacking technieken en vaardigheden om deze toe te passen behoren tot de basiskwalificatie van elke cybermilitair. Daartoe behoren in ieder geval:

    • het scannen van kwetsbaarheden (vulnerability scanning);
    • het kraken van wachtwoorden (password cracking);
    • het besnuffelen van datapakketten (packet sniffer);
    • het verzamelen van informatie over systeem- en netwerkgebruikers (tracking cookies);
    • het maskeren van hengelpraktijken en het manipuleren van identiteiten (phishing, pharming, url-spoofing en backdoors);
    • het analyseren en maken van kwaadaardige en/of schadelijke software: virussen, wormen en Trojaanse paarden (malware en spyware);
    • het aftappen van toetsaanslagen (keystroke logging);
    • het destabiliseren van besturingssystemen (rootkit);
    • het injecteren van een database met een extra SQL-verzoek waardoor de inhoud van de database kan worden aangepast of extra informatie uit de database kan worden opgehaald (SQL injection);
    • het verwerven van inside information door omkoping of afpersing (social engineering en spear phishing);
    • het opsporen en verwijderen van malware infecties (virus scanners, security scans en firewalls).

    Hooggekwalificeerde cybermilitairen kunnen niet eenvoudig worden gerekruteerd uit het reservoir van de hackersgemeenschappen. De gemiddelde (hobbyistische) freelance hacker beschikt niet over de kennis en vaardigheden die nodig zijn voor hoogwaardige cyberkrijgsmacht. De sleutel voor de opbouw van zo’n cybereenheid is dus niet het rekruteren van amateurhackers of digitale vandalen, maar het opleiden van professionele hackers.

    Hackers bieden helpende hand
    De Verenigde Nederlandse hackerspaces en -organisaties bestaat uit diverse hackersclubs en -organisaties: Hack42 (Arnhem), ACKspace (Heerlen), TkkrLab (Enschede), Bitlair (Amersfoort), Revelation Space (Den Haag), Randomdata (Utrecht), Frack (Leeuwarden), Sk1llz (Almere), Stichting eth0, 2600nl.net en Stichting HXX.
    De Nederlandse hackersgemeenschap maakt zich zorgen over de beveiliging van ICT-systemen van de Nederlandse overheid. Een 11-tal hackersclubs heeft zich verenigd en bood op 15 september 2011 in een brandbrief aan de vaste Kamercommissie Binnenlandse Zaken haar kennis en kunde aan. De aanleiding hiervoor was het falen van de beveiliging van belangrijke overheidssystemen zoals DigiNotar, de SSL-certificaten, de OV-chipkaart en het elektronisch patiëntendossier (EPD). In hun gemeenschappelijke verklaring zeggen de hackers:

      “Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars. Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet nagedacht over mogelijk misbruik van nieuwe systemen” [Brandbrief].

    Hackers die dergelijke fouten ontdekken, durven dat vaak niet te melden omdat zij de kans lopen zelf in de beklaagdenbank te belanden. De hackers wijzen erop dat er “momenteel een klimaat heerst waarin de boodschapper wordt gestraft.”

    Sommige instellingen beschouwen het testen van systeemveiligheid en de (ontbrekende) bescherming van persoonsgegevens als iets dat strafbaar is of zou moeten zijn. Maar steeds meer parlementsleden zijn er inmiddels van overtuigd dat hackers dezelfde bescherming verdienen als klokkenluiders (mensen die ongeautoriseerd geclassificeerde informatie lekken).

    Voor de uitvoering van een effectieve cyberaanval heeft men een nauwkeurig beeld (footprinting) nodig van de doelwitten die moeten worden ontregeld, gedegradeerd of vernietigd. Inlichtingendiensten maken daarbij gebruik van spyware en andere online technieken om heimelijk informatie in te winnen over potentiële doelwitten of aanvalscapaciteiten.

    Index


    Aantallen: hoeveel cybermilitairen?
    Al deze kennis en kunde kan alleen maar worden gemobiliseerd wanneer er voldoende (telkens specifiek gekwalificeerde) cyberspecialisten in een krijgsmacht aanwezig zijn. Voor een succesvolle cyberstrategie zijn dus niet alleen de training en opleiding van professionele hackers van belang, maar ook de aantallen cybermilitairen die kunnen worden ingezet.

    In de hele wereld worden grote aantallen militaire specialisten opgeleid en getraind om cyberoperaties uit te voeren als onderdeel van een nationale krijgs≠macht. Daarover worden natuurlijk meestal geen betrouwbare gegevens gepubliceerd. Volgens de meeste experts is China de onbetwiste leider in de globale cyberoorlog. Vermoedelijk beschikt China over een cyberleger van 50.000 en 100.000 manschappen [Gaycken 2012:64]. Het US Cyber Command beschikt inmiddels over meer dan 12.000 cybermilitairen [Alexander 2012]. Ook andere grote landen, zoals India, Brazilië en Rusland beschikken eveneens over meerdere duizenden personen. De meeste andere landen, zoals Frankrijk, Groot-Brittannië en zelfs kleine staten in Azië en Afrika hebben altijd nog een paar honderd cyberstrijders. In Nederland wordt inmiddels gewerkt aan de opbouw van een eigen digitale zwaard≠macht die de veiligheid van de digitale samenleving moet versterken “om daarmee het vertrouwen in het gebruik van ICT door burger, bedrijfsleven en overheid te verhogen” [Nationale Cyber Security Strategie zoals vastgelegd in Slagkracht door samenwerking, 2011].

    Interessant werk
    Op de Ben Gurion Universiteit (Beer Sheva) werd in julie 2012 in samenwerking met de inlichtingendiensten een nieuw academisch programma opgezet waarin hackers worden opgeleid om computersystemen van vijandige staten aan te vallen en Israël te verdedigen tegen cyberaanvallen [Al Monitor, 25.7.12]. Voor hun master leren studenten o.a. methoden voor het identificeren van aanvallen, bescherming tegen virussen, machine learning (een onderdeel van kunstmatige intelligentie), beveiliging van systemen en netwerken. Het programma staat onder leiding van professor Yuval Elovici. De universiteit belooft dat studenten die dit traject kiezen later “erg interessant werk” zullen krijgen.
    Israël heeft verhoudingsgewijs misschien wel de grootste legereenheid die zich bezig houdt met oorlogsvoering in cyberspace. De cybereenheid —codenaam 8200— bestaat uit duizenden soldaten en opereert vanuit een ondergronds complex in de buurt van Beer Sheva [Bergman 2005]. Volgens Generaal Majoor Amos Yadlin —het hoofd van de Militaire Inlichtingen Dienst— is Israël wereldleider is op het gebied van cyberspace-oorlog. Virtuele oorlogsvoering geeft kleine landen de militaire macht die tot nu toe was voorbehouden aan supermachten. In oktober 2012 werd besloten om de menskracht van cybereenheid 8200 te verdubbelen [Mako, 23.10.12; EurasiaReview, 24.10.12]. De vraag naar cybermilitairen is zo groot dat er in het buitenland naar nieuwe rekruten wordt gezocht. “If you’re a computer genius, this is the place for you!”

    Israël is het doelwit van permenente cyberaanvallen. Premier Benjamin Netanyahu kondigde aan dat er gewerkt wordt aan een ”digital Iron Dome” om cyberaanvallen af te slaan. Maar Cybereenheid 8200 doet veel meer dan defensieve operaties. Het houdt zich bezig met offensieve operaties die met name gericht zijn op het saboteren van vitale infrastructuren van Iran.

    Index


    Uitrusting en kosten
    Voor de uitrusting van hooggekwalificeerde cybereenheden is relatief weinig geld nodig. Men heeft niet veel gespecialiseerde apparatuur nodig. Een paar snelle en goed afgeschermde computers, geavanceerde software, een laboratoriumomgeving en hier en daar een (liefst goed beveiligde) internetverbinding. De rest zijn personele kosten.

    Ronald Prins van internetbeveiligingsbedrijf Fox-IT: “Ik heb uitgerekend dat je voor de kosten van één JSF-toestel een cyberleger van duizend man kunt financieren” [VK 4.8.2012]. Volgens de laatste berekeningen van het Pentagon kost één F-35 Joint Strike Fighter inmiddels meer dan Ä100 miljoen en per jaar zo’n €4 miljoen om één toestel te gebruiken en te onderhouden [NU, 6.6.12].
    Voor relatief weinig geld kan men al een redelijk gekwalificeerde cybereenheid opstellen die in staat is om sterke aanvallen uit te voeren op een hele bandbreedte van doelen. Een strijdvaardige cybereenheid biedt in ieder geval meer mogelijkheden voor aanvalsvariatie dan een JSF-toestel en kan zelfs in vredestijd nog worden gebruikt. Inmiddels wordt ook in Nederland gewerkt aan de opbouw van operationele cybereenheden.

    Index


    Organisatie: coördinatie en leiding
    De organisatie van preventieve, defensieve en offensieve cybercapaciteiten is zeer complex. Hoe verbind je zulke grote aantallen cybersoldaten in een professionele militaire organisatie? De effectiviteit van de inzet van operationele cybercapaciteiten bij militaire operaties is niet alleen afhankelijk van de deskundigheid van de afzonderlijke cybermilitairen en van hun aantal en uitrusting, maar ook —en in veel gevallen vooral— van de manier waarop zo’n cybereenheid wordt georganiseerd en aangestuurd. De slagkracht van een operationele cybereenheid is in belangrijke mate afhankelijk van (i) de planmatige coördinatie van militairen met zeer uiteenlopende —technische, operationele, tactische, strategische— vaardigheden, en van (ii) de aansturing van deze cybereenheid en subeenheden.

    Index


    Tactiek en strategie: cybermilitair denken
    Oorlogsvoering is een uitermate complexe, riskante en omvangrijke vorm van georganiseerd handelen. De doelen van cybermilitaire operaties zijn meestal niet eenvoudig of enkelvoudig. Er wordt gewerkt met samengestelde doelen die niet met één stap of in één keer gerealiseerd kunnen worden. Cybermilitaire operaties bestaan uit een complexe hoeveelheid van stappen die in een bepaalde volgorde en volgens een bepaald tijdsschema moeten worden gepland en georganiseerd [Gaycken 2012:66]. Dat vereist een strategische manier van denken. Een cybermilitaire strategie bestaat uit de behendige combinatie van:

    • de omgang met meerdere, ongelijksoortige stappen waarin een operatie wordt uitgevoerd;
    • het bepalen van de volgorde van die stappen, inclusief gelijktijdigheid van operationele gevechtshandelingen;
    • het bepalen van het tijdschema volgens welke deze stappen moeten worden uitgevoerd om de operaties temporeel met elkaar te coördineren;
    • het rekening houden met de interactie-effecten tussen deze afzonderlijke stappen en elementen van de operatie als geheel;
    • het flexibel reageren op wijzigingen in het strategisch-tactische veld waarin men opereert: de tegenstander zit ook niet stil en wijzigt door zijn eigen operaties de structuur en dynamiek van het strijdperk.

    Dit zijn geen activiteiten die men aan technisch specialisten of programmeurs kan overlaten, omdat ze een strategisch-tactische of militaire wijze van denken vereisen, waarin strategie, tactiek en operationele actie systematisch met elkaar verbonden worden. Om ingewikkelde en uiteenlopende wapensystemen op de juiste wijze in te zetten en te combineren zijn goed geschoolde militairen nodig. Militairen die vertrouwd zijn met de praktijk van strategische, tactische en operationele valkuilen en dilemma’s. Militairen die niet alleen rekening houden met alle eigenaardigheden van het cybermilitaire front, maar ook met de conflictueueze afstemming op politiek gedefinieerde opties, straf- en staatsrechtelijke condities en volkenrechtelijke beperkingen. Net als bij alle andere militaire strijddomeinen zijn de risico’s op het cyberdomein zeer groot. Ook bij cybermilitaire operaties gaat het uiteindelijk altijd om mensenlevens. Bij confrontaties in cyberspace is het nog veel lastiger om bij de eigen operaties een duidelijk onderscheid te maken tussen militaire doelen en burgerdoelen, en tussen combattanten en non-combattanten.

    Risico-analyse
    De traditionele manier om een veiligheidsrisico te bepalen bestaat uit drie elementen: actor, intentie en capaciteiten. In de virtuele wereld zijn deze elementen uitermate lastig te bepalen.

    Ten eerste is er meestal geen duidelijk identificeerbare actor die als mogelijke vijand kan worden aangemerkt. Cyberaanvallers kunnen buitenlandse overheidsinstellingen zijn (veiligheidsdiensten, strijdkrachten), maar ook verveelde teenagers die zich vermaken met joyriding op het internet, hackers die op eigen gezag testen hoe sterk de beveiliging van ICT-systemen is, criminelen die op zoek zijn naar buit, terroristen die met een spectaculaire cyberaanslag paniek willen zaaien, ondernemers die proberen bedrijfsgeheimen van hun concurrenten te stelen, of ontevreden insiders die hun gram willen halen bij de organisatie waar zij zojuist ontslagen zijn.

    Ten tweede is het moeilijk om betrouwbare informatie te krijgen over de vijandige intenties van de (mogelijke) aanvaller. Wat beoogt een aanvaller? Wordt er een heel land aangevallen of wordt alleen de robuustheid van computersystemen en netwerken getest? Wordt er aangevallen om economisch voordeel te behalen, of slechts om geld te roven? Is het een eenmalige actie, of is de aanval het begin van een omvangrijke cybercampagne?

    Ten derde is het lastig om vast te stellen of de mogelijke vijand beschikt over de capaciteiten om een grootsschalige cyberaanval te plegen op een hele natie. Over hoeveel manschappen, tanks en raketten een vijand beschikt, laat zich nog relatief eenvoudig tellen. Cyberwapens zijn veel lastiger te identificeren en te kwantificeren. We weten wel dat alle natiestaten beschikken over hoogwaardige informatie- en communicatietechnologieën en dat de instrumenten voor cyberaanvallen gemakkelijk verkregen —en verborgen— kunnen worden.

    De logica van een cyberoorlog brengt dus veel meer onzekerheden met zich mee dan die van een conventionele oorlog. Het maken van een goed risico-analyse is daarom ook veel lastiger.

    Index


    Laboratoria, simulaties en oefeningen
    De NAVO-landen bereiden zich gezamenlijk voor op de eigenaardigheden van het nieuwe strategisch cyberveld. Er worden laboratoria opgebouwd waarin cyberwapens ontwikkeld en getest kunnen worden en die dienen als oefenterrein voor de nieuwe generatie van cybermilitairen. Er worden bondgenootschappelijke oefeningen georganiseerd waarin grootschalige cyberaanvallen worden nagebootst en waarin het incasserings≠vermogen van de eigen systemen op de proef wordt gesteld.

    “Soldaten moeten oefenen en al helemaal in de digitale wereld. Als je drie maanden niet hackt, loop je hopeloos achter. Dat is heel anders dan wanneer je scherpschutter bent; dat kun je over twee jaar ook nog wel. De digitale techniek verandert continu, hackers zitten dagelijks te hacken” [Ronald Prins, Volkskrant, 4.8.12].
    Defensieve en offensieve cybermilitaire acties moeten niet alleen worden bedacht en gepland, maar ook worden geoefend en telkens weer opnieuw getest. Hoe realistischer men kan testen, des te beter. Als men een bepaald systeem wil aanvallen, kan men het beste proberen om dit in een laboratorium na te bouwen (om de Stuxnet-worm te testen werden bijvoorbeeld de door Iran gebruikte ultracentrifuges nagebouwd). Laboratoria zijn de oefenterreinen van de cybermilitairen.

    Naast test- en simulatielaboratoria zijn ook internationale oefeningen van belang. Een voorbeeld daarvan is de door de Amerikanen georganiseerde oefening CyberStorm. Ook vertegenwoordigers van Nederlandse ministeries en overheidsdiensten doen mee aan deze oefeningen [Volkskrant 30.9.10]. In de derde crisisoefening werd gesimuleerd dat een computervirus wereldwijd miljoenen computers besmet en ICT-systemen platlegt. Tijdens de simulatie hacken nepvijanden in de infrastructuren die gebruikt wordt door bedrijven, overheid en consumenten. De kern van de oefening is testen van het incasseringsvermogen: hoe gaan we om met het uitvallen van basisfuncties van het moderne leven? [IVA-evaluatie + Brief aan Tweede Kamer over Cyberstom III]. Bij de vierde oefening lag de nadruk op het versterken van het herstelvermogen (de veerkracht) van de nationale infrastructuren.

    Kloon van het internet
    Het Pentagon beschikt over een model van het internet waarin cyberoorlog simulaties kunnen worden uitgevoerd. Het is een door DARPA ontwikkelt computernetwerk, National Cyber Range (NCR) genoemd, dat de architectuur van het internet nabootst. Daarbinnen kunnen militaire planners en onderzoekers aanvals- en verdedigingsscenario’s uitproberen om te zien wat de effecten zijn van diverse cyberwapens [PCWorld, 18.6.11]. Kosten sinds 2008: ca. $130 miljoen.

    NCR bestaat uit een verzameling van proefstellingen waarin afzonderlijke tests kunnen worden uitgevoerd en die desgewenst ook in een grotere proef kunnen worden geïntegreerd. Omdat het een gecontroleerd mini-internet is kunnen onderzoekers de meest uiteenlopende en vergaande experimenten uitvoeren. Praktische alle digitale technologieën kunnen worden getest: netwerkprotocollen, beveiligingssoftware, mobiele communicatie, en satellietcommunicatie.

    Een andere testomgeving is CyberCity [Washington Post, 27.11.12]. De stad is een virtuele plaats die alleen op de computernetwerken draait van een beveiligingsbedrijf Counter Hack dat voor de Amerikaanse luchtmacht werkt. Er is een bank, een ziekenhuis en een elektriciteitscentrale. Naast de watertoren staat een treinstation en de koffiehuizen hebben gratis WIFI. De 15.000 burgers van de stad hebben e-mail en bankrekeningen met wachtwoorden. CyberCity is ontwikkeld om cybermilitairen te leren hoe online acties kinetische effecten kunnen hebben en hoe dit door proactief bestreden kan worden. Het motto is: als je in cyberspace de controle verliest, dan verlies je controle over de fysieke wereld [zie grafische voorstelling].

    Index CyberInlichtingen

    Plus ça change, plus c’est la même chose.

    Spionage: vroeger en nu
    Al sinds de oude Egyptenaren proberen rivaliserende naties over en weer heimelijk informatie te verwerven over de bewapening, legeropbouw en troepenbewegingen van de ander. Inlichtingenverwerving en spionage gebeuren niet alleen tussen staten die feitelijk met elkaar in oorlog zijn of zich daarop voorbereiden, maar ook tussen staten die elkaar als bondgenoten beschouwen. In het internationaal recht bestaan geen algemene normen die het verwerven van inlichtingen expliciet verbieden of limiteren. Zelfs spionnen genieten een zekere bescherming onder de wetten die het gewapend conflict regelen [Fleck 2006].

    De klassieke spion steelt informatie uit brandkast.Spionage is een vorm van informatieverwerving. Bij de klassieke spionage wordt ongezien toegang verworven tot locaties waar geheime, vertrouwelijke of gevoelige informatie is opgeslagen. Spionnen worden getraind om die informatie heimelijk te verwerven zonder opgemerkt te worden. Zij verhullen hun eigen bewegingen en operaties voor anderen. Om een continue stroom van informatie te garanderen wordt geïnfiltreerd in vijandige organisaties of worden informanten gerekruteerd.

    De moderne spion steelt digitale informatie. Hij zoekt naar digitale informatie op computers en computernetwerken. Tegenwoordig liggen geheime, vertrouwelijke of gevoelige informaties niet of nauwelijks meer opgeslagen in bureaulades, archiefkasten of kluizen, maar in computers en andere digitale opslagmedia. De kunst is dus niet zozeer om in te breken in specifieke locaties, maar om te penetreren in computersystemen en te infiltreren in digitale netwerken.

    Het moderne inlichtingenwerk neemt daarom steeds meer de vorm aan van spionage op afstand of cyberspionage. Wereldwijd zijn duizenden netwerken door cyberspionnen geïnfiltreerd. Medio 2012 waren er al meer dan 200 unieke spyware families ontdekt die bij inlichtingenoperaties zijn ingezet. Er werden zo’n 1.100 domeinen (en bijna 20.000 subdomeinen) gevonden waarmee de aanvallers de spyware bestuurden of waar ze hun slachtoffers naar toe lokten [Stewart 2012].

    Wat is een spion?
    “Iemand kan slechts als spion worden aangemerkt als deze zich clandestien of onder valse pretenties van informatie meester probeert te maken c.q. meester maakt in de zone die als operationeel gebied van de tegenstander geldt en deze informatie daadwerkelijk aan de eigen partij tracht over te brengen c.q. heeft overgebracht” [Haagse Conventie 1907, art. 29]. Volgens de Haagse Conventie opereert een spion altijd in de zone die als gebied van een andere oorlogvoerende natie geldt. Voor cyberspionnen gaat dat niet op. Tenzij men deze “zone” zo breed opvat dat zij ook de cyberzone omvat.

    In alle bestaande verdragen wordt deze zone echter als territoriaal gebied opgevat. Dit geldt ook voor de omschrijving van spionnen in het Eerste Aanvullende Protocol bij de Verdragen van Genève (1977). In artikel 46 wordt nadrukkelijk gesproken van spionnen die inlichtingen verzamelen “op het gebied dat onder controle is van een tegenpartij”. Van spionage is alleen sprake wanneer er militair relevante inlichtingen worden verzameld “binnen het grondgebied” van de tegenpartij.

    Cyberspionage is relatief eenvoudig en goedkoop uit te voeren, terwijl het risico van ontdekking klein is en de potentiële opbrengst bijzonder groot kan zijn. Het gevolg hiervan is dat spionage niet langer is voorbehouden aan geavanceerde inlichtingendiensten van nationale staten. Ook personen en organisaties vergaren vanuit financiële of politiek-ideologische overwegingen clandestien inlichtingen over overheden, ondernemingen of burgers. Cyberspionage is de laatste niet alleen sterk toegenomen, maar ook aanzienlijk diverser en complexer geworden [AIVD Jaarverslag 2013].

    Index


    CyberSpionage: inbreken en aftappen
    Cyberoperaties bestaan uit twee op elkaar aansluitende fasen van activiteiten: het inbreken en het ingrijpen in een vijandig computersystemen en -netwerken. De eerste fase is de geheime inbraak in vijandige doelsystemen. Het doel ervan is om de zwakke plekken op te zoeken in die systemen om vervolgens door een onbewaakte of zwak beveiligde achterdeur binnen te dringen. De tweede fase omvat de eigenlijke beschadigende activiteiten. Wie eenmaal als bevoegd gebruiker toegang heeft verkregen tot een vijandig computersysteem, kan daarmee in principe alles doen: spioneren (informatie aftappen), manipuleren (kritieke processen beïnvloeden) en cyboteren (het handelingsonbekwaam maken van systemen).

    Inbreken in en afluisteren van vijandige computersystemen is een taak van inlichtingen- en spionagediensten. De slimste manier om in te breken in een beveiligd systeem is het compromitteren van elementen die het meeste vertrouwen genieten. “Vroeger was dat de lievelingsconcubine van de koning, tegenwoordig is dat de exploitatie van beveiligingssoftware” [Gaycken 2012:9].

    De kunst is om in te breken in de bedrijven die de beveiligingssoftware voor digitale processen fabriceren. De meest aangewezen plek om dit te doen is bij bedrijven die certificaten uitgeven die dienen ter identificatie van websites en beveiliging van webverkeer. De protocollen die transacties en commmunicaties op internet beveiligen zijn SSL (Secure Sockets Layer) en TLS (Transport Layer Security).

    SSL en TLS zijn technologieën voor het maken van een geëncrypteerde verbinding tussen een webserver en een internetbrowser. Deze verbinding verzekert dat alle data die tussen een webserver en browser worden verstuurd geheim blijven voor buitenstaanders en niet gestolen kunnen worden. Een SSL- of TLS-certificaat wordt gebruikt voor het beveiligen van online transacties en voor de encryptie van creditcardgegevens of persoonlijke informatie. Dit certificaat is versleuteld met asymmetrische cryptografie; de communicatie tussen gebruiker en server wordt versleuteld met symmetrische cryptografie.

    De server wordt door middel van een certificaat geauthentiseerd zodat de gebruiker er zeker van kan zijn dat de gevonden server (bijvoorbeeld van een bank) ook daadwerkelijk de server is die hij zegt te zijn. De protocollen worden gebruikt om client/server-applicaties te beveiligen tegen afluisteren. De veiligheid van deze protocollen is echter slechts zo sterk als haar zwakste schakel. De inbraken op de SSL-beveiliging toonden aan dat er veel zwakke schakels zijn.

    Index


    Diginotar: gehackt vertrouwen
      “Het internet is weliswaar opgebouwd uit software en hardware, maar het is een ecosysteem dat afhankelijk is van een menselijke kernwaarde: vertrouwen. De netwerken en systemen de informatie die we versturen kunnen vertrouwen, en omgekeerd moeten wij de informatie die we ontvangen kunnen vertrouwen” [Peter W. Singer 2014]

    Inbreken bij producenten van vertrouwensmechanismen is een superieure vorm van cyberspionage. Dat was precies wat er in 2011 in Nederland gebeurde: er werd ingebroken op DigiNotar, de belangrijkste leverancier van beveiligingscertificaten. Het toonde aan dat er intussen meer tactisch denkende aanvallers opereren in het digitale strijdperk.

    DigiNotar was een commerciële certificaatautoriteit. Het DigiNotar SSL certificaat werd door de Nederlandse overheid gebruikt voor al hun veilige online transacties. DigiNotar verzorgde de PKIoverheid-certificaten voor grote delen van de Nederlandse overheid, waaronder die van DigiD. De certificaten werden niet alleen gebruikt voor alle online belastingteruggaven, maar ook voor de website van de AIVD.

    SQL-injectie
    Veel webapplicaties maken gebruik van een database om daarin allerlei informatie op te slaan. Met de standaard databasetaal SQL (Structured Query Language) worden verzoeken naar de database verstuurd om bepaalde informatie beschikbaar te maken op de website. Met een zoekterm bepalen gebruikers zelf welke informatie zij willen zien. Hackers maken hiervan gebruik om een extra SQL-verzoek toe te voegen, waardoor de inhoud van de database wordt aangepast of toegang wordt verkregen tot niet publiek toegankelijke gebruikersnamen en wachtwoorden. Dit toevoegen van zo’n verzoek wordt SQL-injectie genoemd.
    Op 17 juni 2011 slaagde een hacker, die opereerde onder de naam ‘Comodohacker’, erin bij DigiNotar in te breken [PCWorld, 6.9.2011]. Net als bij zijn eerdere inbraken gebruikte de hacker daarvoor een bekende techniek voor een aanval op een database: de SQL injectie. De hacker kreeg uiteindelijk de controle over de servers van DigiNotar. Er werden 531 SSL-veiligheidscertificaten gestolen. Sommige daarvan kunnen gebruikt worden om nepupdates voor Windows naar computers te sturen.

    Een van de directe gevolgen van deze inbraak was dat DigiNotar op 29 juli 2011 een certificaat voor het domein google.com uitgaf aan onbekende personen in Iran. Wekenlang probeerde DigiNotar deze valse uitgifte te verzwijgen. Zelfs na publicatie over de diefstal hield ze bij hoog en bij laag vol dat haar systemen niet gecompromitteerd waren. Maar uiteindelijk moest het bedrijf toegeven dat haar certificaten niet meer veilig waren. In een forensisch onderzoek van het beveiligingbedrijf Fox-IT werden de fouten in de procedures en systemen van DigiNotar aan het licht gebracht. Diginotar maakte gebruik van verouderde software, haar wachtwoorden waren gemakkelijk te kraken en er werd geen gebruik gemaakt van antivirusprogrammatuur.

    Op 2 september zegde de Nederlandse overheid haar vertrouwen in DigiNotar volledig op [Cert.nl: Factsheet]. Tijdens een opmerkelijke persconferentie —zaterdagmorgen om 1:15 uur— kondigde minister Donner van Binnenlandse Zaken aan dat de Nederlandse regering alle vertrouwen in digitale certificaten van DigiNotar had verloren. Op 13 september trok de OPTA de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen (certificaten) in. Op 20 september 2011 werd DigiNotar failliet verklaard [Nu.nl:20.9.2011].

    Dodelijke hack
    Het belangrijkste doel van de inbraak bij Diginotar was waarschijnlijk het achterhalen van de tegenstanders van het Iraanse regime. In Iran werden internetters die dachten bij Gmail in te loggen omgeleid naar een andere website die niet te vertrouwen was. Ook netwerken van universiteiten werden gekraakt. Met de van DigiNotar gestolen certificaten kon de Iraanse overheid haar burgers bespioneren, zelfs als deze verbinding hebben met beveiligde https-websites.

    Door de hack bij DigiNotar kon de regering gemakkelijk achterhalen welke mensen met welke ideeŽn rondliepen en waar deze personen zich bevonden. Op die manier proberen de machthebbers in Iran de oppositie de kop in te drukken [Nu.nl:13.10.2011].

    Index


    Moeizame attributie: nationalistische hack of door staat gesponsorde aanval?
    De nepcertificaten konden gebruikt worden om de communicatie van gebruikers te monitoren zonder dat ze dat door hebben. Dit kan echter alleen door een organisatie die in staat is om internetverkeer om te leiden naar servers die ze controleren. Meestal zijn dat overheden. Zonder controle over de infrastructuur zijn de nepcertificaten onbruikbaar.

    Toch bleef het ook in dit geval lastig te bepalen wie er voor de aanval op DigiNotar verantwoordelijk was en wat het eigenlijke doel van de hele operatie was. Sommige experts beschouwen de DigiNotar-hack daarom als een cyberoorlogsdaad (‘worse than Stuxnet’).

      “De aanval op DigiNotar zal cyberoorlog bovenaan of dicht bij de top van de politieke agenda van Westerse regeringen zetten. Ik blijf erbij dat het meest plausibele scenario een regeringsoperatie is. De schade die is toegebracht aan de Nederlandse (overheids-) IT-infrastructuur is zeer significant. Een groot aantal diensten zijn niet langer beschikbaar. De communicaties zijn feitelijk ontregeld. Daarom kan men zeggen dat de aanval een daad van cyberoorlog is” [Roel Schouwenberg van beveiligingsbedrijf Kaspersky, in The Guardian, 5.9.11].

    Op de server van Diginotar werd een script aangetroffen dat bedoeld was om handtekeningen aan te maken voor aangevraagde certificaten. Het script bevat een Engelse tekst waarin de hacker zijn vingerafdruk had geplaatst: Janam Fadaye Rahbar. Dezelfde tekst was gevonden in de Comodo hack [Onderzoeksrapport van Fox-It].
    Maar daar zijn niet alle beveiligingsexperts het mee eens. Robert Graham, de CEO van Errata Security, wisselde e-mails met de inbreker en bevestigde dat hij inderdaad verantwoordelijk was voor de hacks. De persoon die claimde dat hij eerder het certificatiesysteem van Comodo had gehackt, beschikte inderdaad over de private key van zijn ontvreemde certificaten. Graham gelooft niet in de Iran-connectie:

      “We gaan uit van de vooronderstelling dat iedereen die de regering steunt daar ook voor de regering werkt en dat is gewoon niet waar. Mijn theorie is dat hij precies is wie hij zegt dat hij is. Alle sporen wijzen in deze richting. Er is geen enkel bewijs dat hij onderdeel is van een door de staat gesponsorde inspanning. De aanval is niet zo ingewikkeld. Het is gewoon iets wat een gemiddelde penetratietester zou doen” [Errata Security, 28.3.11].

    Onder de naam Commandohacker plaatste de inbreker op 5 september 2011 een waarschuwing op Pastebin: “I strike back again.” In een nogal verward betoog legt hij uit dat de Nederlandse overheid moet boeten voor de acties van haar soldaten in Srebrenica, waar tijdens de Bosnische oorlog in 1995 achtduizend moslims werden gedood door Servische strijdkrachten. De hele investering van de Nederlandse overheid in DigiNotar zou door zijn acties voor niets geweest zijn: “I thought if I issue certs from Dutch Gov. Certificate Authority, they’ll lose a lot of money.” Daarbij verwijst hij naar de beursnotering van Vasco, het moederbedrijf van DigiNotar.

    In persinterviews presenteerde de hacker zichzelf als een 21-jarige Iraanse student. Op 23 maart 2011 verklaarde Comodo dat hij acht dagen daarvoor nepcertificaten had gestolen voor de log-on sites van Microsoft’s Hotmail, Google’s Gmail, de internet telefoon en chatdienst van Skype en Yahoo Mail. Hij verduisterde ook een certificaat voor Mozilla’s Firefox add-on site.

    Bedreigingen
    Een week na zijn aanval op de digitale certificaten van Comodo stuurde de hacker —die zich ook wel ‘Ich Sun’ noemt— een brief aan de Italiaanse vicepresident van Comodo, Massimo Pence. Hij maakt zich daarin erg boos over het feit dat de topman van Comodo niet op zijn brieven reageert. “Because I didn’t saw your reply, for now, just for now, I wiped your LG Drive and F:\drive and all log files.” Hij dreigt nog veel verdergaande maatregelen te nemen als Pence niet op hem reageert. “So now, contact me before I do something so dangerous. Simply personally contact me, do not try to find me, do not try to remove me, do not try anything...”

    De CEO van Comodo, Melih Abdulhayoglu, zei dat hij over bewijzen beschikte dat de aanval door een staat werd ondersteund en dat waarschijnlijk de Iraanse regering achter de aanval zat. Alleen de Iraanse regering was in staat om de DNS (domain name system) van het land zo in te richten dat het verkeer naar fake sites werd verstuurd die beveiligd waren door gestolen certificaten. Maar de Comodo hacker spreekt dit tegen. In zijn eerste bericht op Pastebin benadrukt hij zijn alleenrecht op de certificatendiefstal:

      “I see Comodo CEO and other wrote that it was a managed attack, it was a planned attack, a group of cyber criminals did it, etc. Let me explain: I’m not a group, I’m single hacker with experience of 1000 hacker, I’m single programmer with experience of 1000 programmer, I’m single planner/project manager with experience of 1000 project managers, so you are right, it’s managed by 1000 hackers, but it was only I with experience of 1000 hackers” [A message from Comodo hacker, 23.2.11].

    De hacker motiveert zijn actie als een vergelding voor de door Stuxnet-aanval die de VS en Israël pleegden op de kerncentrales in Iran.

      “When USA and Israel write Stuxnet, nobody talks about it, nobody gots blamed, nothing happened at all, so when I sign certificates nothing happens, I say that, when I sign certificates nothing should happen. It’s a simple deal. When USA and Israel could read my emails in Yahoo, Hotmail, Skype, Gmail, etc. without any simple little problem, when they can spy using Echelon, I can do anything I can. It’s a simple rule. You do, I do, that’s all. You stop, I stop. It’s rule #1.”

    Comodo wil in Iran niemand wil toelaten die de bevolking, haar nucleaire wetenschappers, zijn leider, zijn president kwaad doet. Zolang hij leeft zal er voor ‘jullie’ geen privacy op internet bestaan en zullen ‘jullie’ niet veilig zijn in de digitale wereld. “I’ll show you how someone in my age can rule the digital world.” En met een knipoog: “My orders will equal to CIA orders.”

    In zijn tweede bericht Another proof of Hack from Comodo Hacker [27.3.11] gaf hij een uitvoerig technisch bewijs van zijn inbraak. In een derde bericht Comodo Hacker: Mozilla Cert Released [28.3.11] werd voor “some real dumbs” nog een bewijs aan toegevoegd. In zijn vierde bericht Just Another proof from Comodo Hacker [28.3.11] en in het vijfde bericht Response to comments from ComodoHacker [29.3.11] reageert hij uitvoerig op alle commentaren.

    In de laatste twee berichten vertelt Comodohacker dat hij de laatste zes jaar van zijn leven besteed heeft aan encryptie en cryptoanalyse: “most of my daily work focuses on encryption algorithms, differential cryptanalysis, inventing new methods of attacks on encryption algorithms, creating new secure encryption algorithms (symmetric and asymmetric), creating secure hash algorithm.” Hij nodigt iedereen uit om contact met hem op te nemen op: ichsun@ymail.com.

    Bij cyberaanvallen is meestal niet duidelijk wie daarvoor verantwoordelijk is. Bij DigiNotar lijkt de eerste verantwoordelijkheid voor de diefstal van beveiligingscertificaten duidelijk. De Comodo Hacker alias Ich Sun eiste de verantwoordelijkheid op en kon dit —door het tonen van de private key— ook bewijzen. Dit sluit betrokkenheid van de Iraanse overheid bij deze cyberoperatie niet uit — zij kan hiervan voor eigen repressieve doeleinden hebben geprofiteerd.


    “Als je mekaar niet meer vertrouwen kan,
    waar blijf je dan...”
    In cyberspace is attributie bijna altijd fundamenteel omstreden. Wat niet omstreden is zijn de effecten van deze operatie. Wanneer al dan niet door overheden gesponsorde hackers erin slagen om fundamentele vertrouwensmechanismen in de digitale wereld te compromitteren, brengen zij een ernstig slag toe aan de veiligheid van transacties en communicaties via internet. Het exploiteren van beveiligingssoftware is de meest geavanceerde vorm van cyberspionage. Naties en nationale defensies die niet in staat zijn om de vertrouwensmechanismen van hun digitale transacties en communicaties te beschermen, staan bij internationale conflicten die (ook) in cyberspace worden uitgevochten bij voorbaat op achterstand.

    Certificatendiefstal neemt toe
    Certificaat van echtheid van Windows-software.
    Certificaat van echtheid van Windows-software.
    Wereldwijd zijn er meer dan vijfhonderd certificaatautoriteiten (CA). Steeds meer malware wordt getekend met gestolen certificaten van legitieme bedrijven. In 2010 werden er 39.000 certificaten gestolen, in 2011 bijna 54.000 [Security.nl, 22.6.11]. Met de frauduleuze certificaten worden gebruikers en beveiligers misleid dat het om een legitieme applicatie gaat. Meestal stelen aanvallers alleen de sleutels van de certificaten, waarmee ze hun eigen malware van deze certificaten kunnen voorzien.

    Index


    Geduldig voorbereiden
    Een hoogwaardige en complexe cyberaanval vereist een lange voorbereidingstijd. Eerst moet een zo nauwkeurig mogelijk beeld worden verkregen van de doelwitten. Inlichtingendiensten moeten een blauwdruk van de technische computersystemen opstellen (footprinting) van alle informatie- en communicatieprocessen, en van de mensen die deze technologieën bedienen. Pas dan is het mogelijk een aanvalstactiek te ontwikkelen die ongemerkt door de beveiligingsmechanismen kan dringen. Ook voor defensieve operaties zijn inlichtingendiensten van essentieel belang: ze moeten inzicht geven in alle mogelijke aanvalstechnieken en tactieken van potentiële tegenstanders. Daarom zijn militaire cybereenheden en de inlichtingendiensten zeer nauw met elkaar verbonden.

    Inlichtingendiensten kunnen de benodigde informatie maar gedeeltelijk via online spionage verwerven. Ook de waarde van afgetapte mobiele communicaties is beperkt. In veel gevallen blijft het noodzakelijk om persoonlijk te infiltreren in vijandige cybercentra of daarin interne informanten (mollen) te rekruteren.

    Computers en spionage

    Een Colossuss Mark 2 computer in Bletchley Park
    Cyberspionage is minstens zo oud als de computer zelf. De eerste professionele computers werden voor spionagedoeleinden gemaakt. Tijdens de Tweede Wereldoorlog ontwikkelde een van de grondleggers van de computerwetenschap, Alan Turing, samen met een aantal ingenieurs de eerste grote elektronisch computer voor het Engelse leger. Met deze computer, de Colossus moesten de Duitse geheime boodschappen worden ontcijferd. De codering van die boodschappen werd gedaan met de Enigma.

    Computers kunnen met verschillende algoritmes alle mogelijke varianten van tekens testen die voor het ontcijferen van gecodeerde berichten nodig zijn. Alle encryptie wordt tegenwoordig met computers uitgevoerd. Dit geldt in het bijzonder voor de techniek van de steganografie, waarbij een betekenisvol bericht verstopt wordt in een publiekelijk toegankelijk digitaal bestand: een foto, een muziekstuk of een video. In zeer kleine plaatjes (zoals avatars) kunnen omvangrijke documenten worden verborgen. Een eenvoudig te bedienen en vrij instrument hiervoor is mozaiq.

    Dit aapje bevat een —gefantaseerde— aanvalsinstructie. Je kunt deze geheime boodschap lezen als je het plaatje opent met mozaiq. Het wachtwoord is: “aanvallen”.
    Op de vrije internetmarkt is een zeer uitgebreid aanbod van encryptieprogramma’s die zeer krachtig zijn. Het aan banden leden van dit aanbod is geen realistische optie. Daarvoor zijn deze programma’s en hun broncode te zeer over de hele wereld verspreid. Geen wet of maatregel kan verhinderen dat kwaadwillende actoren de hand kunnen leggen op encryptieprogramma’s met militaire kracht.

    Criminelen, terroristen en vijandige staten versleutelen hun communicatie om te ontsnappen aan het wakend oog van inlichtingen- en veiligheidsdiensten. De kwaliteit van de encryptie is tegenwoordig zo hoog dat onderschepte berichten slechts met grote en langdurige inspanning ontcijferd kunnen worden. Het versterken van kennis van cryptografische technieken en van vaardigheden om versleutelde berichten te identificeren en te ontsleutelen heeft daarom voor veiligheids- en inlichtingendiensten hoge prioriteit.

    Van inlichtingen- en veiligheidsdiensten wordt verwacht dat ze de kritische kwetsbaarheden van de eigen systemen en netwerken afdekken (risicobeheer) en dat ze die bij potentiële vijandige krachten exploiteren (risicoexploitatie).

    • Beveiligingscontrole
      Bij een beveiligingscontrole (security audit) worden mogelijke kwetsbaarheden van een of meer computersystemen in kaart gebracht zonder dat er daadwerkelijk een poging wordt gedaan om in te breken. Er wordt gecontroleerd wat de risico’s zijn, dat wil zeggen de relatieve kans dat een kwetsbaarheid van een computersysteem of netwerk kan worden misbruikt in combinatie met het gewicht van de schade die zo’n exploitatie kan opleveren. Het soortelijk gewicht van een exploitatie is afhankelijk van de mate waarin daadwerkelijk vitale informatie- of communicatieprocessen kunnen worden beschadigd.

      Niet alle kwetsbaarheden zijn exploiteerbaar. Er zijn ook kwetsbaarheden die wel geŽxploiteerd kunnen worden maar geen veiligheidsrisico vormen omdat de aangetaste bron geen waarde heeft.

    • Penetratietest
      De beste manier om te voorkomen dat conflicttegenstanders inbreken in de informatie- en communicatieprocessen, is het uitvoeren van een penetratietest. Bij een penetratietest (pentest) worden de kwetsbaarheden van het systeem juist wel gebruikt om in te breken. In een penetratietest worden beveiligingsgaten in de IT-infrastructuur door een aanvaller nagebootst (security assessment). In militaire termen: het ‘rode’ team valt aan en het ‘blauwe’ team verdedigt. Het is een brandoefening waarin mensen worden voorbereid op de tijd dat er een echte digitale brand uitbreekt.

    Bij een penetratietest worden computersystemen gecontroleerd op kwetsbaarheden die daadwerkelijk worden gebruikt om in te breken. Een penetratietester (a) verkent de kwetsbaarheden van een computersysteem of netwerk; (b) bepaalt de in- en uitgangsrisico’s; (c) definieert de exploitatiemogelijkheden van gevonden kwetsbaarheden (d) test alle systemen op zwakke wachtwoorden; (e) gebruikt mensen —mollen, insiders— om toegang te krijgen tot informatie en systemen: via lokmails, geïnfecteerde USB-sticks, telefoongesprekken en andere methoden van misleiding; (f) onderzoekt de mogelijkheden om controle over computersystemen en netwerken over te nemen: directe toegang tot gegevens in databanken, installeren van keyloggers en het overnemen van schermcontrole; (g) verzamelt bewijzen dat men daadwerkelijk binnen is, middels screenshots, wachtwoorden, decryptiecodes of ontvreemde bestanden; (h) rapporteert over de wijze waarop tijdens de penetratietest in het netwerk werd ingebroken en toegang werd verkregen tot geheime informatie en vertrouwelijke communicatie; en (i) doet verbeteringsvoorstellen voor een effectievere verdediging van de eigen computersystemen en netwerken en voor de versterking van de aanvallen op vijandige systemen.

    Index


    Automatische spionnen
    De weerbaarheid en het herstelvermogen van computersystemen en netwerken kan handmatig worden getest. Dat is wat veel hobbyistische en ambachtelijke hackers doen. Professionele inbrekers gebruiken gespecialiseerde softwarepaketten waarmee beveiligingscontroles en penetratietests automatisch worden uitgevoerd.

    Net als alle andere instrumen≠ten voor netwerkverkenning en computer≠beveiliging worden deze pakketten zowel gebruikt door systeem≠beheerders die hun netwerk proberen te beveiligen als door cybercriminelen die in die netwerken proberen in te breken.

    In het volgende schema zijn de belangrijkste verkennings- en testfuncties van automatische spionnen in kaart gebracht.

    Verkenningsfuncties
    Host-discovery Identificeren van de op een netwerk aanwezige hosts (via ping- of arp-scans).
    Port-scanning Zoeken naar open TCP/IP-poorten op een of meerdere doelcomputers
    OS-detection Bepalen welke besturingssystem de doelcomputer gebruiken
    Service-detection Inventariseren van de diensten die het systeem aanbiedt.
    Version-detection Inventariseren van welke versies er gebruikt worden van aangeboden diensten.
    Packet filter/Firewall detection Identificatie type van type packet filter en firewall.
    Testfuncties
    Vulnerability detection Testen van doelsysteem en aangeboden diensten op aanwezige kwetsbaarheden.
    Penetratietest Simuleren van externe en interne aanvallen.
    Exploit design Ontwikkelen en testen van exploitatieprogrammaís die gebruik maken van
    kwetsbaarheden van computersystemen en netwerken om daarop in te breken.

    Bij de verkenningen worden tientallen systeemkenmerken in kaart gebracht. Meerdere computers kunnen tegelijkertijd op diverse kenmerken en kwetsbaarheden worden gecontroleerd.

    Met behulp van eenvoudige scripts wordt een grote diversiteit van tests geautomatiseerd. Om maximale snelheid en flexibiliteit te garanderen kunnen deze scripts parallel worden uitgevoerd.

    Alle diensten (TCP of UDP) die door een netwerk worden aangeboden, worden getest om te bepalen of en hoe daarop kan worden ingebroken, of er DDoS-aanvallen op uitgevoerd kunnen worden, en of er via deze diensten gevoelige informatie verkregen kan worden.

    De meer geavanceerde softwarepakketten fungeren als platform voor het ontwikkelen, testen en gebruiken van inbraakmethodieken (exloits) die onzichtbaar zijn voor antivirussoftware en voor systemen van inbraakdetectie en -preventie.

    Voorbeelden van dit soort pakketten zijn Shodan, Nessus, OpenVAS, Core Impact, SAINT, Wireshark, Metasploit en het commerciële Finfisher.

    • Telnet (TELetype NETwork) is een netwerkprotocol waarmee je op afstand kunt inloggen op een computer om die vervolgens via een opdrachtregel te besturen. De eigen computer fungeert dan als terminal van de server. Meestal maakt Telnet gebruik van TCP/IP-poort 23. Tegenwoordig wordt Telnet vooral gebruikt voor het opzetten, testen en herzien van verbindingen die onder andere protocollen draaien.

    • Nmap (Network Mapper) is een opensource programma voor netwerkverkenning en beveiligingscontrole. Het is een uiterst krachtig, multifunctionele cyberspion. Naast een zeer uitgebreid repertoire aan ingebouwde modules voor verkenning en testing, heeft Nmap heeft een ingebouwde Scripting Engine waarmee gebruikers zelf scripts kunnen schrijven om het vergaren van inlichtingen te automatiseren. Nmap werd ontwikkeld om grote netwerken te scannen, maar werkt ook uitstekend tegen afzonderlijke computers.

      Trinity uses Nmap.Na haar lancering in 1997 werd Nmap snel een populair instrument voor netwerkspecialisten en hackers. Gordon ‘Fyodor’ Lyon schreef het boek NMAP Network Scanning [2009] waarin hij uitvoerig uitlegt hoe het programma gebruikt kan worden. In diverse films werd van Nmap gebruik gemaakt: The Matrix Reloaded, The Bourne Ultimatum en Die Hard 4.0. In de Matrix maakt Trinity gebruik van Nmap om in te breken op de elektriciteitscentrale van de stad. Het was de eerste grote film waarin op adequate wijze een hack werd geportretteerd.

    • Shodan (Sentient Hyper-Optimized Data Access Network) is een zoekmachine waarmee je op het internet naar computers kunt zoeken. Het is de Google voor hackers waarmee zowel gezocht kan worden naar apparaten op bepaalde plaatsen (steden, landen, lengte/breedtegraden), als naar hostname, besturingssysteem of IP-nummer. Je vind er webservers mee, maar ook industriële controlesystemen, ijskasten en alles wat er verder met het internet verbonden is: webcams, routers, energiecentrales, windturbines, smartphones, VoIP telefoons.

      Shodan werkt eigenlijk heel eenvoudig: het zoekt het hele internet af naar poorten van webservers en indexeert alle HTTP headers die gevonden worden. Je kunt zoeken naar een kwetsbaarheid die je op een doelsysteem kunt exploiteren, maar je kunt ook een exploit kiezen en vervolgens een systeem zoeken dat daar kwetsbaar voor is. Zo wordt het kinderlijk eenvoudig om systemen te vinden die kwetsbaar zijn voor een SQL-injectie. Met Shodan kunnen hackers razendsnel en efficiënt systemen vinden waarop gemakkelijk kan worden ingebroken.

      John Matherly
      John Matherly
      Shodan werd ontworpen door John Matherly. In 2003 vroeg hij zich als teenager af hoeveel hij aan de weet kon komen over apparaten die aan het internet verbonden zijn. Na jaren sleutelen aan de code vond hij een manier om de specificaties van alle apparaten in kaart te brengen: van desktopcomputers tot netwerkprinters en websevers.webcams, routers, energiecentrales, iPhones, windturbines, ijskasten en VoIP telefoons. auto’s, beveiligingssystemen, en industriële controlesystemen. Op dit moment zijn al meer dan 12 miljard van alle apparaten met het internet verbonden en in het volgende decennium zullen dat er 50 miljard zijn.

      Een kwaadaardige godin
      John Matherly was geobsedeerd door de digitale wereld. Hij ontleende de naam van zijn project aan een kwaadaardig karakter in het videospel System Shock II. Het karakter Shodan (Sentient Hyper-Optimized Data Access Network) is een kunstmatige intelligentie entiteit. Shodan houdt zichzelf voor een godin wier bestemming het is om alle mensen te vernietigen.

      In 2009 nodigde Matherly zijn vrienden uit om Shodan uit te proberen. Zij ontdekten iets verbazingwekkends: talloze industriële controlecomputers waren verbonden aan het internet en in een aantal gevallen stonden zij ver open voor exploitatie door zelfs gematigd getalenteerde hackers.

      In twee jaar tijd vond Shodan bijna honderd miljoen apparaten: legde hun precieze locatie vast en de software systemen die er op gebruikt worden. Per maand compileert Shodan de informatie van 10 miljoen nieuwe apparaten. In 2010 waarschuwde het Amerikaanse cybercrisisteam voor industriële controlesystemen (ICS-CERT) dat Shodan gebruikt werd om toegang te krijgen tot SCADA-systemen. Daarbij wordt gebruik gemaakt van kwetsbaarheden in de mechanismen voor authenticatie en autorisatie. Sommige identificatiesystemen maken nog steeds gebruik van de standaard gebruikersnamen en wachtwoorden zoals deze door de verkopers van SCADA-systemen worden aangeleverd.

    • Nessus is een programma om de beveiliging van computers en computernetwerken te testen. Het serverprogramma zorgt voor de eigenlijke scans; via het clientprogramma kan verbinding worden gemaakt met het serverprogramma. Aanvankelijk was Nessus gratis en open source, maar in 2005 werd de broncode gesloten en kost het programma $ 1.200 per jaar. Er is nog wel een gratis Home Feed beschikbaar, maar deze is beperkt en kan alleen worden gebruikt voor thuisnetwerken.

    • OpenVAS (Open Vulnerability Assessment System) is een kwetsbaarheidsscanner en manager (beveiligingscontrole). Het softwarepakket is afgeleid van de laatste vrije versie van Nessus (Nessus werd in 2005 commercieel). OpenVAS detecteerd meer dan 2.000 kwetsbaarheden in computersystemen en kan meerdere computers tegelijkertijd te controleren op kwetsbaarheden. Het genereert rapporten in diverse formaten (inclusief XML en HTML). Met een eenvoudige scripttaal (NASL) kan de gebruiker het programma zelf aanpassen en scripts schrijven waarmee kwetsbaarheden in computersystemen geadresseerd kunnen worden.

    • Core Impact is een van de meest krachtige exploitatie-instrumenten, maar kost wel minstens $30.000. Het programma heeft een paar aardige trucs in huis: eerst wordt ingebroken in een computer en vervolgens wordt in die machine een een geëncrypteerde tunnel aangelegd om andere netwerkstations te bereiken en te exploiteren.

    • SAINT (Security Administrator’s Integrated Network Tool) is een netwerkscanner die zoekt naar kwetsbaarheden waarop kan worden ingebroken. Zowel interne als externe aanvallen kunnen worden gesimuleerd om de robuustheid van het doelsysteem te bepalen. Alle diensten die op een netwerk worden aangeboden worden getest op inbraakgevoeligheid, mogelijkheden om de toegang tot deze diensten te blokkeren en op de kans om gevoelige informatie te vervreemden. De gevonden kwetsbaarheden kunnen op verschillende manieren worden gecategoriseerd: naar ernst, type of hoeveelheid. SAINT controleert niet alleen of er kan worden ingebroken op de poorten van de computers van een netwerk, maar kan ook DOS-aanvallen uitvoeren en gevoelige informatie stelen.

    • Logo van Wireshark Wireshark is een opensource softwarepakket voor het analyseren van netwerkprotocollen. Het is een krachtige packet sniffer die gebruikt wordt om gegevens die in een computernetwerk circuleren op te vangen en te analyseren. Door de netwerkkaart in de promiscue modus te zetten, laat het programma zien welke gegevens over het netwerk worden verstuurd. Wireshark ‘begrijpt’ de structuur van honderden netwerkprotocollen en mediatypen. Het geeft niet alleen de geneste protocollen weer, maar ook de inhoud van de velden die door deze netwerkprotocollen zijn gespecificeerd. Met plug-ins kunnen nieuwe protocollen worden ontleed.

      Systeembeheerders gebruiken dit programma om de meest uiteenlopende netwerkproblemen op te lossen. Wireshark wordt ook gebruikt in cyberforensisch onderzoek naar virussen en spyware. In 2009 werd Wireshark bijvoorbeeld gebruikt om het spionagenetwerk GhostNet op te sporen [IWM 2009:15], waarmee ook een Nederlandse NAVO-basis werd afgeluisterd.

      Metsploit werd in 2004 gelanceerd. In 2009 werd het programma overgenomen door Rapid7 en heeft nu ook een aantal commerciële varianten: Metasploit Pro, Metasploit Express en Metasploit Community.

    • Metasploit is een geavanceerd opensource beveiligingsprogramma dat de kwetsbaarheden van computersystemen in kaart brengt. Het is een platform voor het ontwikkelen, testen en gebruiken van exploitcode. Exploits zijn programma’s die van bekende kwetsbaarheden van computers gebruik maken om daarop in te breken. De penetratietester maakt de testaanvallen onzichtbaar voor antivirus software en voor Intrusion Detection / Prevention systemen (IDS/IPS).

      Aan de hackerstoolkit worden telkens nieuwe modules toegevoegd. Zo werd er medio 2012 een module toegevoegd waarmee de veiligheid van beveiligingscamera’s getest kan worden. Veel van de camera’s die in video surveillance systemen worden gebruikt zijn kwetsbaar en kunnen door aanvallers op afstand worden overgenomen. Aanvallers kunnen dan niet alleen live meekijken, maar ook de camera besturen en het opgeslagen archiefmateriaal bekijken [Security.nl: 18.5.2012]

      Metasploit heeft ook een aantal modules —zoals modicon_command en modicon_stux_transfer— waarmee kwetsbaarheden van procescontrolesystemen (PCS/SCADA-systemen) getest en geëxploiteerd kunnen worden [Scadahacker]. Bij de analyse van de werking van de bekende Stuxnet-worm zullen we zien welke gevolgen dergelijke exploitaties kunnen hebben.

    • FinFisher - offensieve informatievergaring
      FinFisher - penetratie software.
      In dit promo-filmpje op YouTube is te zien
      hoe het systemen en apparaten overneemt.
      FinFisher is een zeer krachtig en geraffineerd spionagewapen dat door het Britse softwarebedrijf Gamma Group wordt ontwikkeld en dat uitsluitend verkocht wordt aan opsporingseenheden van overheden voor surveillance in het digitale domein.

      FinFisher is een uitgebreid pakket met offensieve technieken voor informatievergaring: afluisteren op afstand, infecteren en controleren van computers en smartphones en het meelezen met verzonden en ontvangen berichten (ook wanneer deze gecodeerd zijn). Er worden kwaadaardige hackingtechnieken gebruikt waarmee inlichtingendiensten informatie vergaren die ze erg moeilijk op legale wijze kunnen verkrijgen [OWNI, 32.10.12].

      De FinUSB Suite bestaat uit een ‘headquarter notebook’ en tien kleine USB-sticks die speciaal ontworpen zijn om gebruikersnamen en wachtwoorden te kapen en om de laatst geopende of gewijzigde bestanden te stelen. De spyware verzamelt in ongeveer 20 seconden de geschiedenis van bezochte sites, instant messages en de inhoud van de prullenmand. De USB-stick weet door eventueel beschermende wachtwoorden heen te breken en laat geen enkel spoor na. Kosten: 13.080 euro [Brochure; Video].

      Met de FinIntrusion Kit kunnen de beveiligingsmechanismen van draadloze netwerken zoals Wifi worden doorbroken. Zelfs als het doelwit SSL gebruikt —het protocol voor beveiligde communicatie op het internet— dan kunnen heimelijk zowel het webmailverkeer als de sociale netwerken worden gemonitord. Kosten: 30.600 euro; [Brochure; Video; Specificaties; Handleiding; Produkt Training]. Wie op nationaal niveau wil spioneren gebruikt de FinFly ISP, waarmee de internetproviders zelf worden geïnfiltreerd [Brochure; Video].

      De FinSpy PC is een professioneel Trojaans paard dat gebruikt wordt om doelwitten te observeren die regelmatig reizen, hun communicatie encrypteren, anoniem surfen en die vaak in buitenland verblijven. FinSpy PC werkt op alle grote besturingssystemen (Windows, Mac en Linux) en wordt door de veertig meest gebruikte virusscanners niet herkend. Alle communicatie (e-mail, Skype, VoIP, bestandstransfer) en alle internetactiviteiten kunnen in real time worden afgeluisterd. FinSpy biedt volledige toegang tot alles wat er op de harddisk van de computer staat, inclusief bestanden in de prullenbak en crypto containers. Desgewenst kunnen webcam en microfoon op het apparaat van het doelwit worden aangezet [Brochure; Video; Specificaties; Handleiding; Installatie & Training; Product Training]. FinSpy PC kost 202.200 euro,

      Met FinSpy Mobile kunnen alle typen smartphones en tablets (iPhone, BlackBerry, iOS, Symbian, Android en Windows Mobile) worden afgeluisterd, zelfs als de communicatie is geëncrypteerd. Alle gegevens die op een mobiel apparaat van het doelwit staan (contacten, kalenders, foto’s, bestanden) zijn toegankelijk. Uiteraard is de geografische locatie van het apparaat op elk tijdstip bekend [Brochure; Video; Handleiding]. FinSpy Mobile wordt verkocht voor 202.200 euro.

      De FinFly Web is een instrument om een webpagina te maken waardoor de computers van alle bezoekers met de spyware worden besmet. In de handleiding wordt uitgelegd hoe doelwitten naar zo’n webpagina kunnen worden gelokt en hoe ze kunnen worden verleid om een bestand te downloaden dat afkomstig lijkt te zijn van een bekend softwarebedrijf, zoals een plug-in van Flash of RealPlayer of een Java-applet. Daarbij wordt nadrukkelijk vermeld dat het programma zeer geschikt is om dissidenten te infecteren die websites bezoeken die de overheid onwelgevallig zijn [Brochure; Video]. Kosten: 36.600 euro.

      Het is niet verbazingwekkend dat FinFisher zeer populair is in repressieve regimes. In het hoofdkwartier van de staatsveiligheidsdienst vonden Egyptische demonstranten op 6 maart 2011 een offerte om voor € 287.000 FinFisher te kopen [F-Secure, 8.3.11]. In april en mei 2012 bleek dat ook in Bahrein de spyware via lokmails naar activisten was verstuurd om hen af te luisteren [Citizenlab, 25.6.12; Bloomberg, 25.6.12; Security, 9.8.12]. De spionagesoftware van Gamma wordt gebruikt voor het opsporen en afluisteren van dissidenten en is in ieder geval ook in handen gekomen van de staatsveiligheidsdiensten van de Verenigde Arabische Emiraten, Quatar, Ethiopië, Mongolië en Turkmenistan [zie het overzicht van FinFisher klanten].

      Spionnen en waakhonden
      Ook in Nederland wordt gebruik gemaakt van de spyware FinFisher. In Nederland staan minstens twee Command & Control servers die de spyware aansturen [Citizens Lab, 13.3.13]. Beide servers staan bij de hoster Tilaa in Amsterdam. Het gebruik van deze hoster maakt het onwaarschijnlijk dat er Nederlandse opsporingsdiensten achter deze afluisteroperatie zitten.

      Sinds 2008 gebruikt de Nederlandse politie Trojans en spyware om de pc’s van verdachten af te tappen [BNDeStem, 17.5.09; Webwereld, 19.5.08]. De producent van de omstreden Bundestrojaner van de Duitse politie, het Keulse bedrijf Digitask, verklapte dat de spyware ook aan Zwitersland, Oostenrijk en Nederland is verkocht [DW; Webwereld, 12.10.11].

      De meest respectabele strafrechtsgeleerden veegden de vloer aan met de legaliteit van de gebruikte afluistermethode.:

        “De wet schrijft voor dat burgers moeten weten welke opsporingsmethoden onder welke omstandigheden mogen worden gebruikt. Bij bijvoorbeeld telefoontaps is dat wettelijk geregeld. Bij deze vorm nog niet. In een rechtszaak is het dan ook maar de vraag of zo verkregen bewijslast standhoudt” [Theo de Roos, hoogleraar straf- en strafprocesrecht aan de Universiteit van Tilburg].

      In 2011 werd bekend dat de Unit Interceptie van het Nederlandse KLPD in een “zeer beperkt aantal gevallen” spyware injecteert op pc’s van verdachten. In een brief aan de Tweede Kamer verklaarde minister van Veiligheid en Justitie Ivo Opstelten: “De Unit Landelijke Interceptie van het Korps Landelijke Politiediensten (KLPD) beschikt over software die geïnstalleerd kan worden op de computer van een verdachte en waarmee ten behoeve van opsporingsdiensten toegang kan worden verkregen tot die computer en of gegevens daarvan kunnen worden overgenomen.” Maar de minister verschafte geen informatie over welke specifieke software opsporingsdiensten beschikken. Dit zou “een onaanvaardbaar risico voor de inzetbaarheid van die middelen” vormen [Antwoorden op Kamervragen, 13.12.11; Webwereld, 13.12.11].

      De slimme waakhond van de vrijheidsrechten van Nederlandse internetburgers, Bits of Freedom (BoF), ondernam juridische stappen om de politie (KLPD) te dwingen openheid te geven — met beroep op de Wet Openbaarheid van Bestuur (WOB) — over het gebruik van spyware door opsporingsdiensten [Webwereld, 8.10.12]. BoF wil weten wat de software is “die door opsporingsdiensten heimelijk geÔnstalleerd kan worden op een digitaal apparaat van een verdachte (zoals computers, tablets, mobiele telefoons, routers en printers) en waarmee, al dan niet op afstand, toegang verkregen kan worden tot dit apparaat, gegevens van dit apparaat kunnen worden overgenomen en dit apparaat op afstand bestuurd kan worden.” Maar echte antwoorden werden door de minister niet gegeven.

      Met de billen bloot?
      Op 7 augustus 2014 verscheen plotseling een enorme hoeveelheid technische en klanteninformatie van Gamma International, de maker van FinFisher. Duitse burgerrechtenactivisten keerden het wapen om en bespioneerde het spionagebedrijf. Zeer vertrouwelijke informatie over de verschillende spionagemodules van FinFisher en over de clientele van Gamma werden openbaar gemaakt (omvang: 40GB). Uit de door Wikileaks gelekte documenten blijkt dat in bijna alle landen gebruik gemaakt wordt van de FinFisher technologie. Ook de Nederlandse politie maakt al sinds 2012 gebruik te maken van het programma. In de gehackte klantenbestanden werd een versleutelingscode gevonden die toebehoort aan een lid van de Nationale Eenheid (voorheen: KLPD), de landelijke politie in Driebergen. De twee licenties lopen van 2012 tot 2015 en zijn geregistreerd met de username 20FEC907. De licenties voor FinSpy en FinSpy Mobile kosten beide €202.200. In totaal besteedde de Nederlandse politie €2,7 miljoen aan FinSpy-licenties[Wikipedia: SpyFiles 4; VK, 8.8.14; Tech Worm, 16.9.14].

      De Amerikaanse burgerrechtenbeweging EFF noemde het zorgwekkend dat de Nederlandse politie FinFisher spionage software heeft aangeschaft. “Als dit bewijs correct is, zou het wereldwijd aanleiding voor ernstige zorgen zijn. Finfisher is beruchte malware” [Jillian York, EFF, 21.9.14]. Zonder juridische en technische waarborgen het gebruik van FinFisher en soortgelijk software de integriteit en veiligheid van zowel computers als netwerken ondermijnen en een vrij en veilig internet schaden.

    Programma’s voor beveiligingscontrole en penetratietesting kunnen nog zo geavanceerd zijn, uiteindelijk zijn het de mensen die computersystemen bedienen (humanware) die bepalen of die systemen effectief beveiligd worden of wanneer de kwetsbaarheden daarvan daadwerkelijk worden geëxploiteerd.

    Index


    Wachtwoorden kraken
    a. Standaard wachtwoorden
    Het is verbazingwekkend hoe gemakkelijk het cybercriminelen vaak gemaakt wordt. Heel vaak vergeten gebruikers of systeembeheerders het standaard wachtwoord van een nieuw informatiesysteem te wijzigen. Een crimineel hoeft dan alleen maar de handleiding van zo’n systeem te bemachtigen.
      Op die manier kreeg bijvoorbeeld in 2011 een hacker toegang tot de watervoorziening in Houston (Texas). Hetzelfde gebeurde in 2012 met het Cisco-vergadersysteem bij het Nederlandse ministerie van Defensie. Het standaard fabriekswachtwoord van het communi≠catie≠≠systeem stond in de online handleiding. Na een tip van de hackersgroep «Anonymous» werd het lek gevonden door beveiligingsexpert Rickey Gevers. Hij opende de inlogpagina van een topman bij de Defensie Materieel Organisatie (DMO) met de rang van comman≠deur. Op die manier kreeg hij een aantal IP-adressen en telefoon≠nummers van kazernes en kantoren, vermoedelijk ook van het Nationaal Crisis Centrum [Volkskrant, 23.02.12; Hulsman 2012].

    Herhaaldelijk is gebleken dat ook op eenvoudige wijze kan worden ingebroken op procescontrolesystemen (zoals SCADA) waarmee industriŽle machines en nuts≠voorzieningen worden aangestuurd. Deze systemen werden gebouwd om veilig achter stenen muren hun werk te doen. Door hun verbindingen met het internet is deze stenen beveiliging echter waardeloos geworden. Bij inbraak wordt gebruik gemaakt van de kwetsbaarheid van de methode van identificatie en autorisatie. De standaard wachtwoorden kunnen meestal gemakkelijk worden gevonden in online documentatie of in online opslagplaatsen voor standaardwachtwoorden.


    Dr. Strangelove
    In januari 2013 publiceerden twee Russische beveiligingsonderzoekers, Alexander Timorin en Dimitry Sklyarow, een instrument voor het kraken van wachtwoorden waarmee het verkeer binnen SCADA-omgevingen wordt beveiligd. Het Siemens S7-protocol regelt de communicatie tussen SCADA-systemen en PLC, HMI (human-machine interface) en engineering stations. Om de inhoud van dit verkeer te beschermen ondersteunt dit protocol het gebruik van wachtwoorden. Als een aanvaller erin slaagt het TCP/IP-verkeer te onderscheppen, kan met dit instrument het gebruikte wachtwoord kraken [SCADA Strangelove].

    b. Voor de hand liggende wachtwoorden raden
    Mensen gebruiken wachtwoorden die ze gemakkelijk kunnen onthouden. Maar juist daarom kunnen ze ook makkelijk worden geraden door wachtwoordkrakers. De meest voorkomende wachtwoorden zijn ‘password’ en ‘123456’ [Burnett 2011]. Verder wordt er vaak gebruik gemaakt van de eigennaam van de gebruiker en van namen van echtegenoten, familieleden, geboorteplaatsen, voetbalteams, automerken of huisdieren.

    Uit onderzoek blijkt dat bijna de helft van de medewerkers de wachtwoorden kent van directe collega’s. 91% van de mensen gebruikt een wachtwoord van de lijst met 1.000 meest populaire wachtwoorden. Bovendien gebruiken veel mensen hetzelfde wachtwoord voor verschillende informatiesystemen. Slimme crackers weten dat en maken daar vaak handig gebruik van.

    Voor een reep chocola
    Kantoormedewerkers blijken nog altijd snel bereid om hun pc-wachtwoord prijs te geven. Meer dan 70 procent doet dat zelfs in ruil voor een chocoladereep.

    In het jaarlijkse onderzoek ter gelegenheid van de InfoSecurity-beurs in Londen ondervragen de onderzoekers aan de vooravond hiervan kantoormedewerkers op een druk metrostation in de hoofdstad.

    Wachtwoord is chocola In 2003 bleek de overgrote meerderheid zijn wachtwoord te geven voor een pen. In 2004 was de beloning een chocoladereep. 71 procent was bereid de geheime informatie te overhandigen, waarvan meer dan de helft zonder enige aarzeling. Meer dan 34% van de respondenten stond zelfs vrijwillig het wachtwoord af zonder omkoping. Hen werd alleen gevraagd of het wachtwoord iets te maken had met een huisdier of de naam van de kinderen [BBC News].

    c. Kraken met woordenboeken
    Cybercriminelen kunnen de identiteit van een slachtoffer achterhalen en hun gebruikersnamen en wachtwoorden proberen te raden. Hiervoor is speciale software beschikbaar die razendsnel alle combinaties van bekende gebruikersnamen en wachtwoorden uitprobeert. Deze wachtwoordkrakers maken gebruik van woordenboeken die vaak gebruikte wachtwoorden bevatten.

    Versleutelde wachtwoorden kunnen door sitebeheerders en dus ook door inbrekers weer leesbaar worden gemaakt. Bij gehashte wachtwoorden kan dat niet direct. Om gehashte wachtwoorden te achterhalen wordt elk woord uit het woordenboek gehasht met behulp van het door het doelsysteem gebruikte cryptografische hash algoritme. Wanneer het resultaat daarvan overeenkomt met de hashcode van het gezochte wachtwoord, dan is het wachtwoord gekraakt [Hash Code Cracker].

    d. Kraken met brute computerkracht
    Multitasking
    Omdat computers steeds sneller worden, zijn zij ook in staat om meerdere wachtwoorden per seconde te testen. De gratis wachtwoordkraker Hashcat kan 8 miljoen wachtwoorden per seconde testen. Andere populaire wachtwoordkrakers zijn Cain and Abel, John de Ripper, Hydra, DaveGrohl en ElcomSoft
    Bij de methode van de brute kracht wordt uitsluitend de rekenkracht van een computer gebruikt om wachtwoorden te achterhalen zonder dat er gebruik gemaakt wordt van slimme algoritmen (instructies) of heuristieken (zoekregels) om deze berekening te versnellen. Alle mogelijke opties worden uitgeprobeerd totdat de gebruikersnaam en/of het wachtwoord gevonden wordt dat toegang biedt tot een computersysteem of netwerk. Deze methode is weliswaar inefficiënt en zeer tijdrovend, maar als alle mogelijke combinaties van beschikbare tekens worden uitgeprobeerd is ze 100% trefzeker.

    Stel dat een computer 3 miljoen wachtwoorden per seconde kan raden. Dan kan de geschatte maximumtijd om een wachtwoord te vinden worden berekend met de volgende formule:
        seconden = karakterposities/3.000.000

    De tijden die nodig zijn om wachtwoorden te raden met de methode van de brute rekenkracht zien er dan als volgt uit.

    Samenstelling Aantal tekens Maximaal
    aantal posities
    Benodigde tijd
    Kleine letters van alfabet
    + alle cijfers
    26+10=36
    6
    725,6 seconden = 12,1 minuten
    Alle karakters op toetsenbord
    95
    6
    68 uur = 2,8 dagen
    Alle karakters op toetsenbord
    95
    8
    25.594 dagen = 70 jaar

    De gemiddelde zoektijd naar een wachtwoord wordt meestal binnen de helft van de doorlopen zoekruimte gevonden. In de praktijk kan de berekende de zoektijd dus door twee worden gedeeld.

    De zoektijd word nog korter als men meerdere computers gebruikt. Met deze techniek van parallellisatie wordt de rekentaak verdeeld over meerdere afzonderlijk opererende computers tegelijk. In plaats van één voor één de mogelijkheden te proberen doen meerdere computer dat tegelijkertijd. Het probleem wordt in stukken opgesplitst en aan meerdere computers toegewezen. Op die manier kan bij het kraken van een wachtwoord met 8 posities met een systeem van 100 processoren de tijd van 70 jaar worden teruggebracht naar 70/100 jaar = 8,4 maanden.

    Als het rekenwerk tussen de computers goed wordt gecoördineerd om dubbelwerk te voorkomen, kan de zoektijd nog verder worden verlaagd. Deze techniek van distributed computing wordt onder andere gebruikt voor het Seti-project waarin gezocht wordt naar buitenaardse intelligentie en het Climateprediction.net dat onderzoek doet naar de opwarming van de aarde.

    Robuuste wachtwoorden?
    Volgens een rapport van Deloitte, Canadian Technology, Media & Telecommunications (TMT) Predictions 2013, kan meer dan 90% van de wachtwoorden van gebruikers binnen een paar seconden worden gekraakt. Nog niet zo lang geleden werden wachtwoorden van minstens 8 tekens (met een nummer, met kleine en grote letters, en met symbolen) als robuust gezien. Door de snelle ontwikkeling van hard- en software is dit inmiddels achterhaald. Met de juiste apparatuur en software kan een wachtwoord met 8 tekens nu binnen vijf uur worden gekraakt.

    De Amerikaanse inlichtingendiensten NSA werkt aan de ontwikkeling van een supercomputer waarmee het bijna alle vormen van encryptie kan kraken [Washington Post 2.2.14]. Uit de door klokkenluider Edward Snowden gelekte documenten blijkt dat de bouw van een kwantumcomputer onderdeel is van een geheim onderzoeksproject met de naam Penetrating Hard Targets. De NSA heeft voor dit project bijna 80 miljoen dollar uitgetrokken. Gewone computers werken met bits, die enkel de waarde 0 of 1 kunnen hebben. Kwantumcomputers werken met kwantumbits (ook wel qubits), die gelijktijdig een 0 en een 1 kunnen zijn. De klassieke computer kan één berekeing per keer doen terwijl een kwantumcomputer in staat is om parallel te rekenen — ze voert tegelijkertijd bewerkingen uit op alle oplossingsmogelijkheden. Een kwantumcomputer kan berekeningen die onnodig zijn voor het oplossen van een probleem vermijden en is daardoor in staat om veel sneller het juiste antwoord te vinden.

    e. Slim kraken met gefundeerde inschattingen
    Mensen ontwerpen hun wachtwoorden volgens een bepaald patroon. Bijvoorbeeld een combinatie van een naam en een jaar. Anders dan een brute-kracht methode maakt de mask attack op slimme wijze gebruik van deze patronen om de zoektijd naar het wachtwoord te bekorten. Het is bijvoorbeeld gebruikelijk om een hoofdletter op de eerste posite te zetten. De mask-methodiek maakt gebruik van deze informatie om het aantal combinaties te beperken [Hashcat].

    Index


    Akoestische penetraties: afluisteren
    Penetratietesten kunnen ook op telefoonsystemen worden uitgevoerd. Er zijn programma’s die niet alleen telefoonsystemen verkennen, classificeren en controleren, maar ook bedrijfstelefooncentrales (PBX), modems, faxen, voicemail boxes, kiestonen, interactive voice response (IVR) en forwarders.

    In zijn lezing over acoustic intrusions legt HD Moore de achtergronden en werking van WarVOX uit.
    Een van de meest geavanceerde softwarepakketten voor het afluisteren is het door HD Moore ontwikkelde WarVOX. Beveiligingscontroleurs en penetratietester kunnen daarmee op een snelle en goedkope manier zoeken naar kwetsbaarheden van het eigen telefoonsysteem. Via Voice-over-IP-lijnen (internettelefonie) kunnen hele series telefoonnummers worden geïnspecteerd. In de database wordt opgeslagen wie of wat de telefoon op elk nummer heeft beantwoord. Door het gebruik van VoIP wordt wardialing minder duur en minder tijdrovend.
    Bellen via internet
    VoIP staat voor “Voice over IP”. De stem wordt via internet verstuurd in plaats van de telefoonlijnen. Bellen via internet is aanzienlijk goedkoper dan bellen via de vaste koperlijn of via digitale zendmasten.
    WarVOX vereist geen telefonische hardware. Op een breedbandverbinding met een typische VoIP-account kan WarVOX meer dan 1.000 nummers per uur scannen. Er kunnen zo’n tien lijnen tegelijkertijd worden gebeld en van elk antwoord worden de eerste 20 seconden vastgelegd. Met deze audiobestanden worden niet alleen alle verbindingslijnen met modems in een bepaald gebied in kaart gebracht, maar alle communicatielijnen. Het programma classificeert alle telefoonverbindingen in een specifiek gebied en maakt daardoor een omvattende controle op een telefoonsysteem mogelijk.

    WarVOX is eenvoudig te gebruiken en levert een schat aan beveiligingsinformatie voor organisaties die belang hebben bij veilige telefoonverbindingen én voor organisaties die belang hebben bij het afluisteren van die schijnbaar veilige mobiele communicatie.

    Wardialing
    «Wardialing» is een techniek waarbij een computer telefoonnummers binnen een gebiedscode of bedrijf systematisch afbelt om zo een modem of een ander toegangspunt te ontdekken waarlangs een hacker of cracker het netwerk kan binnendringen.

    De naam voor deze techniek is ontleend aan de film WarGames uit 1983. Op zoek naar nieuwe computerspelletjes programmeert daarin een jonge hacker zijn computer om alle telefoonnummers in Sunnyvale (Californië) te bellen om andere computers te vinden. Per ongeluk komt hij zo ook in de oorlogscomputer van het ministerie van Defensie [Ryan 2004].
    Bij wardialing wordt een onbekend nummer gebeld en gewacht tot de beltoon een of twee keer overgaat. Computers nemen meestal al bij het eerste signaal op. Als het belsignaal twee keer is verzonden, wordt er opgehangen en wordt het volgende nummer gebeld. Als een modem of faxmachine reageert dan noteert het programma het nummer. Als een persoon of antwoordapparaat reageert dan wordt er opgehangen.

    In 2002 claimde een hacker dat 90 procent van de bedrijven via modemverbindingen kon worden aangevallen. Dat is tegenwoordig heel anders. In het breedbandtijdperk is het traditionele wardialing op z’n retour. Tegenwoordig leidt slechts 4 procent van de telefoonnummers naar een modem. Toch blijft wardialing bij penetratietesters populair. Dat komt vooral omdat sommige infrastructurele voorzieningen nog steeds gebruik maken van onveilige modems als onderdeel van hun SCADA-netwerk.

    Wardriving
    «Wardriving» is het zoeken naar draadloze netwerken (WiFI) vanuit een rijdend voertuig met behulp van een laptop, tablet of smartphone. Met brute kracht worden alle draadloze computernetwerken opgespoord en met behulp van GPS in kaart gebracht. De hiervoor benodigde software is vrij verkrijgbaar. Varianten hierop worden vernoemd naar het vervoermiddel dat gebruikt wordt om draadloze netwerken in kaart te brengen: warflying, warrailing, wartraining, warbiking, en uiteraard warwalking en warjogging.

    Digitaal afluisteren richt zich in het bijzonder op mobiele communicatie en op telefooncentrales van particuliere bedrijven en instellingen. Het voordeel van het gebruik van een eigen PBX (Private Branch eXchange) is dat een organisatie niet al zijn telefoons op het publieke telefonienetwerk (PSTN) hoeft aan te sluiten. Op het publieke telefoonnet is voor elk toestel een aparte lijn vereist en worden interne gesprekken eerst naar buiten gestuurd worden, om dan even later terug binnen te komen. Maar ook PBX-systemen hebben veiligheidslekken die een onderneming in gevaar kunnen brengen. PBS- systemen zijn vaak zwak beveiligd tegenover nieuwsgierige concurrenten, afluisterende staatsinstellingen of kwaadaardige aanvallen van buitenaf. “Veel organisaties hebben een beleid met betrekking tot wachtwoorden of andere authenticatie certificaten voor de toegang tot computersystemen, maar schieten te kort bij PBX of voicemail systemen” [Mitnick/Simon 2005:136].

    Een bekende techniek om de interne relaties van een organisatie in kaart te brengen is om alle werknemers van een bedrijf mobiel te bellen en hun stem op te nemen. Vervolgens worden alle telefoonnummers van het bedrijf gebeld en wordt eveneens de stem van de gebelde vastgelegd. Door vergelijking van alle audiofragmenten kunnen alle werknemers automatisch worden geïdentificeerd. WarVOX is hiervoor een uitstekend instrument.
    Inlichtingendiensten gebruiken diverse technieken om in te breken in mobiele, draadloze en vastelijn communicaties. Het aftappen van telefonische communicatie kan zich richten op diverse doelen: het afluisteren van gesprekken, het inbreken op de voicemail, het bepalen van interne organisatorisch relaties, het identificeren van doelwitten voor impersonatie of het achterhalen van wachtwoorden.

    Aftappen van telefoon
    JaarAantal telefoontaps
      Vast Mobiel Totaal
    1993 3.610 0 3.610
    1994 3.284 0 3.284
    1998 3.000 7.000 10.000
    2007 3.997 20.985 24.982
    2008 2.642 23.783 26.425
    2009 3.461 21.263 24.724
    2010     22.006
    Bron: Odinot e.a. 2012:82
    In Nederland wordt de telefoontap veel frequenter ingezet dan in andere landen. Per dag lopen er in Nederland bijna evenveel telefoontaps als in de VS in een heel jaar. In 2008 liepen er dagelijks gemiddeld 1946 taps [Tapstatistieken 2008]. In 2012 werden ruimt 25.000 telefoons afgetapt. De statistische kans dat een Nederlandse burger onder de tap komt is 177 keer groter dan bij een Amerikaanse burger.

    Daar staat tegenover “dat andere bijzondere opsporingsmiddelen, zoals infiltratie door undercoveragenten, of opnemen van vertrouwelijke informatie door middel van microfoons, juist minder vaak in Nederland worden ingezet” [Odinot e.a 2012; WODC 2012]. Omdat criminelen weten dat ze worden afgeluisterd, levert dit echter zelden direct bewijs op voor misdaad [WODC, 2012].

    Het afluisteren en manipuleren van mobiele communicatiesystemen (smartphone, tablet en laptop) neemt sterk toe. De transmissie van digitale informatie verloopt over slecht of zelfs helemaal niet beveiligde kanalen en de software is nauwlijks beveiligd. Voor cyberhackers zijn PC’s nog steeds laaghangend fruit. Maar omdat het gebruik van mobiele platforms sterk toeneemt, ontwerpen virusmakers steeds meer malware die in staat is om je telefoon over te nemen, te exploiteren, af te luisteren.

    Index


    Social engineering: de kunst van de misleiding
    Beveiligingsprogramma’s kunnen nog zo geavanceerd zij en alle penetratietests hebben doorstaan, toch is de veiligheid van de communicatie binnen een organisatie nooit sterker dan haar zwakste schakel. Meestal is dit een personeelslid dat slordig met wachtwoorden omgaat, dat veiligheidsprocedures niet in acht neemt, of zich gemakkelijk laat verleiden of omkopen om geheime of vitale informatie prijs te geven.

    Niet hackers, maar nalatige werknemers zijn verantwoordelijk voor de meeste datalekken bij bedrijven. Dit was de conclusie van een onderzoek van het Ponemon Istitute (febr. 2013) onder meer dan 3.500 ict-ers in acht landen.
    Typen datalekken
    Nalatige werknemer of aannemer47%
    Systeemfouten en ander hardwarematige storingen    32%
    Externe aanvallen24%
    Fouten of nalatigheid van derden23%
    Kwaadwillend personeel14%
    Bij de niet kwaadaardige datalekken gaat het meestal om datadragers die niet goed gewist zijn, of om apparaten die werknemers zijn verloren.

    De geautomatiseerde digitale spionagetechnieken zijn steeds verfijnder, krachtiger en effectiever. Maar heel vaak kunnen resultaten alleen verkregen worden er menselijke spionnen worden ingezet die beschikken over de vaardigheden van social engineering of van human intelligence (HUMINT). Zij moeten een speciale rol spelen, geloofwaardigheid opbouwen en gebruik maken van vertrouwensrelaties en van wederzijdse verplichtingen [Mitnick/Simon 2005:232; Erlanger 2011]. Ze moeten op een manipulatieve en misleidende manier gebruik maken van vertrouwen. Zij moeten de kunst van de misleiding (Kevin Mitnick) beheersen.

    Social engineering is de kunst om mensen iets te laten doen wat jij wilt, zonder dat ze het zelf door hebben. Het doel is om vertrouwelijke of geheime informatie van mensen los te krijgen waardoor de hacker dichter bij zijn doelwit kan komen. Er wordt dus geen directe aanval op de techniek zelf (de computers, software en netwerken) uitgevoerd. Het is een indirecte methode waarbij via het één (de te misleiden persoon) iets anders bereikt (toegang tot een computersysteem of netwerk). Aanvallers gaan niet direct af op de kwetsbaarheden van de firewall, maar op de menselijke kwetsbaarheden van individuen.

    Toegepaste sociale wetenschap
    Vertrouw me! Ik ben socioloog. Social Engineering is een vorm van toegepaste sociale wetenschap. In het beveiligingscircuit wordt daarmee bedoeld het benutten van menselijke eigenschappen zoals hulpbereidheid, klantvriendelijkheid, dankbaarheid, behoefte aan erkenning, geldingsdrang, machtsstreven, carrièredenken, materiële reden, winstzucht, levensstijl, ideële factoren, onwetendheid, goedgelovigheid en naïviteit. Maar het gaat ook om het exploiteren van arbeidstrots, respect voor autoriteiten, omkoopbaarheid, neiging tot conflictvermijding, behoefte aan liefde en de wens om een goede teamspeler te zijn.

    Het doel daarbij is altijd de heimelijke en/of illegale vergaring van informatie. Social engineering is een efficiënte methode van bedrijfsspionage zonder dat men daarvoor technische hulpmiddelen nodig heeft. De aanvaller oefent geen dwang uit op het slachtoffer en het slachtoffer heeft de illusie van volledige controle en vrijwilligheid.

    Een van de eenvoudigste trucs van een cyberspion is impersonatie: het zich voor iemand anders uitgeven dan wie men is. Met die gespeelde rol bouw je vertrouwen op met het doelwit. Als je het personage maar goed construeert, toegespitst op ambities, gevoeligheden, ijdelheden, zwakheden etc. van het doelwit, dan is het meestal niet moeilijk om vertrouwen te winnen.


    Admiraal James G. Stavridis
    Doelwit van cyberspionage,
    die zelf actief gebruiker van Facebook is.
    Via virtuele sociale netwerken kunnen vertrouwensrelaties worden gecreëerd en gemanipuleerd. Hoe eenvoudig dit is bleek uit de Facebookval die —zo werd door de leiding van de NAVO vermoed— door Chinese spionnen werd opgezet. Begin 2012 werd op Facebook werd een vals account geopend op naam van admiraal James G. Stavridis, de commandant van de NAVO in Europa. Een aantal NAVO generaals en topdiplomaten werden uitgenodigd om bevriend met hem te worden. Daarna werd voorgesteld om militaire documenten en bestanden uit te wisselen, onder meer over technologie van onderzeeërs en Stealthvliegtuigen [The Guardian, 11.3.12; Telegraaf, 12.3.12].

    Sindsdien waarschuwt de NAVO haar werknemers over de gevaren van internet. De NAVO spendeerde bijna 48 miljoen euro aan een defensiebedrijf om de beveiliging van de verschillende NAVO-hoofdkwartieren in Europa te versterken [Knack.be: 12.3.12].

    Social engineering kent vier basistechnieken.

    1. Persoonlijk contact - Impersonatie
      Een aanvaller legt persoonlijk contact met het slachtoffer. Hij doet zich voor als iemand anders en belt het doelwit met het verzoek om zijn gebruikersnaam en wachtwoord door te geven om een urgent probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker informatie over het slachtoffer zodat hij een verhaal kan vertellen dat voor het slachtoffer overtuigend is. Om die informatie te vergaren worden zoekmachines als Google, sociale netwerksites als Facebook en andere online informatiebronnen gebruikt.

      Het is een eenvoudige en effectieve techniek. De aanvaller doet zich voor als systeembeheerder, een bekende collega, een gezaghebbende leidinggevende of een goede klant. Uit onderzoek blijkt dat zeer veel personeelsleden hun wachtwoord geven aan iemand die zich voordoet als een medewerker van de it-afdeling. Via de aangenomen vertrouwenwekkende rol van insider probeert de aanvaller informatie te verkrijgen van zijn slachtoffer die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.

      Bij slachtoffers wordt eerst vertrouwen gewonnen (geloofwaardigheid), nieuwsgierigheid geprikkeld, medelijden opgewekt. Zij worden geïntimideerd of bang gemaakt (angst inboezemen). Vervolgens wordt om een bepaalde handeling te verrichten of informatie af te staan die eigenlijk niet gegeven mag worden. Door een behendige en op de persoon toegespitste combinatie van verleiding, misleiding en intimidatie krijgt het slachtoffer het gevoel dat hij geen anders keuze heeft dan te doen wat er gevraagd wordt. Zelfs werknemers met een hoog beveiligingsbewustzijn worden slachtoffer van dergelijke aanvallen, ook al worden zij van te voren gewaarschuwd voor specifieke bedreigingen.

    2. Lokmails - Phishing
      De kunst van het misleiden
      Een simpele maar vaak doeltreffende methode is om een personeelslid te vragen om een zogenaamd naar de verkeerde afdeling verzonden geheim document door te sturen naar een andere afdeling. De lokmail is zo ingericht dat de hacker het document ontvangt. In het boek van Kevin Mitnick, De kunst van het misleiden worden tal van dergelijke trucs beschreven.
      Hackers versturen e-mails met een tekst die de belangstelling of nieuwsgierigheid van het slachtoffer wekt. Deze techniek wordt onder andere gehanteerd bij phishing. Bij zo’n phishing-aanval worden potentiële slachtoffers met een lokmail verleid om op een authentiek ogende site vertrouwelijke gegevens zoals wachtwoorden, pincodes en creditcardnummers op te geven. Een vertrouwenwekkend, prikkelend of bangmakend lokmailtje moedigt gebruikers aan om iets te doen waardoor ongemerkt een remote access tool (RAT) op hun computer wordt geïnstalleerd. Daarmee kan de aanvaller de besmette computer controleren en voor eigen doeleinden gebruiken, zoals het versturen van spam of het stelen van geheime informatie.

      In lokmails worden worden ontvangers aangemoedigd om op een hyperlink te klikken of een bijlage te openen. Bij de doelwitten wordt onbewust gedrag gestimuleerd waardoor zij doen wat de hacker wil. Dit gebeurt bijvoorbeeld met lokmails waarin staat: “Wij danken u voor uw bestelling. Wij zullen hiervoor 300 euro van uw rekening afschrijven. Ga voor meer informatie naar onze website.” Het idee dat er geld van je rekening wordt afgeschreven terwijl je weet dat je niets hebt besteld, stimuleert een emotionele reactie om direct op de hyperlink te klikken. Eind 2011 slipte een dergelijke mail door de firewall van het ministerie van Defensie [Broos/Vogelaar/Van Fennema 2012:230].

      Chantage en afpersing
      Met lokmails worden mensen verleid om iets te doen wat zij beter kunnen laten. Dit kan ook worden bereikt door te dreigen, bijvoorbeeld met het openbaar maken van vertrouwelijke of gevoelige informatie. Afpersing met behulp van ransomware komt steeds vaker voor [SurfRight 2012; McAfee 2012]. Via e-mails wordt eerst de computer van het slachtoffer geïnfecteerd met ransomware. De ransomware gijzelt vervolgens de computer of bepaalde bestanden en het slachtoffer moet losgeld betalen om de computer en haar bestanden te ‘bevrijden’ [NCSC 2012:27; Webwereld, 5.7.2012]. Het afpersen van personen en instellingen middels ransomware was in 2012 het snelst groeiende gebied van cybercriminaliteit.

      Een minder bekend —door Wikileaks aan het licht gebracht— voorbeeld van datagijzeling is de afpersing van de Amerikaanse staat Virginia op 30 april 2009. Daar verschafte een hacker zich toegang tot een medische databank (Virginia’Prescription Monitoring Program) en stal daar bijna 8,3 miljoen patiëntendossiers en meer dan 35,5 miljoen voorschriften van medicijnen. De staat Virginia ontving een brief waarin losgeld werd gevraagd. Daarin zei de afperser dat hij in het bezit was van de medische gegevens:

        “Ik heb jullie shit in ‘mijn’ bezit. [...] Ik heb een geëncrypteerde backup gemaakt en het origineel vernietigt. [...] Voor $ 10 miljoen ben ik graag bereid het wachtwoord op te sturen.”

      De afperser dreigde dat hij de gegevens op aan de hoogste bieder de vrije markt zou verkopen als hij het losgeld niet zou krijgen. Het is niet helemaal duidelijk of de staat Virginia losgeld heeft betaald. Van de dader(s) ontbreekt nog elk spoor [Washington Post, 4.5.09; Fox News, 7.5.09; CBS, 15.6.10].

      Dit voorval is niet uniek. In meerdere gevallen werd losgeld gevraagd om de gegevens vrij te geven, en in veel gevallen waren eigen werknemers of onderaannemers bij de gijzeling betrokken [PHIprivacy, 25.9.12]. De medische sector is er nog niet in geslaagd om adequate beveiligingsmaatregelen te nemen om inbraken op patiŽntendossiers en andere vertrouwelijke medische informatie te voorkomen of tijdig te detecteren — vooral niet als het inbraken van binnenuit betreft.

      Politievirus — Police ransomware
      In 2011 werd een nieuwe variant van cyberafpersing gedetecteerd: «police ransomware». Het is kwaadaardige software die internetgebruikers bedriegt door betaling te vragen voor nepboetes. Wie daarmee besmet raakt krijg een pop-up scherm te zien dat van politie, justitie of een meestal niet bestaande Afdeling Cybercriminaliteit lijkt te komen [zie voorbeeld]. Om weer toegang te krijgen tot de vergrendelde bestanden op de geïnfecteerde computer moeten de slachtoffers een bepaald bedrag betalen. Uiteraard wordt ook na betaling van de boete de computer niet ontgrendeld totdat de machine is gedesinfecteerd [Europol, 7.5.12; Malware don’t need Coffee, 18.2.13; Security.nl, 11.2.13; Security.nl, 18.2.13].

      Idiotenbelasting
      De crackersgroep Rex Mundi gespecialiseerde zich in het afpersen van personen en instellingen. Zij stelen gevoelige informatie en dreigen deze online te plaatsen als de slachtoffers niet bereid zijn om een «idiotenbelasting» te betalen. Rex Mundi is geen gewone groep van criminele hackers. Zijn claimen ‘ethische’ hackers te zijn die alleen maar doelwitten selecteren die het verdienen om bestolen te worden. Telkens verwijt de groep haar slachtoffers dat zij sjoemelen met de beveiliging van hun klantgegevens of dat zij zelf hun klanten bestelen. Maar toch domineert het winstoogmerk: “we’re in it for the money, which is also pretty awesome.”

      Rex Mundi perste diverse bedrijven af: AmeriCash Advance (klantgegevens van credietnemers), het Nederlandse uitzendbureau Accord, de Belgische kredietverstrekker Elantis, het Belgische uitzendbureau AGO-Interim (database bevat allerlei denigrerende teksten over sollicitanten), het Canadese uitzendbureau Drake International, de Franse kredietverstrekker Credipret en de financieringsinstelling Buy Way.

    3. Rondsnuffelen - Dumpster diving
      Cyberspionnen vergaren vertrouwelijke informatie door rond te snuffelen in vuilnisbakken, containers en prullenbakken of door rond te neuzen bij printers en kopieermachines waar wel eens vertrouwelijke documenten rondslingeren. Onbewaakte of weggegooide cd-roms en USB-sticks kunnen een schat aan informatie opleveren. Soms moet de spion daarvoor insluipen in het gebouw waar die vertrouwelijke gegevens te vinden zijn. Maar vaak is zelfs dat niet nodig als er computers, laptops of harde schijven bij het vuil worden gedumpt zonder dat ze goed zijn schoongeveegd.

      Afvalsnuffelaars
      Civielrechtelijk gezien wordt meestal aangenomen dat deze vorm van afvalinzameling toegestaan is: de eigenaren hebben immers afstand van gedaan van de zaken in de vuilnisbak. In Italië is het snuffelen in afval sinds 2000 legaal. Sommige juristenn stellen echter dat de zaken die bij het vuilnis zijn gezet nog steeds het eigendom van de oorspronkelijke eigenaar zijn, tot en met het ophalen van het vuilnis. Daarna wordt het afvalverwerkingsbedrijf houder voor de eigenaar, met de opdracht voor hergebruik of vernietiging zorg te dragen. Dit geldt in het bijzonder voor vuilniscontainers die zich op prié-terrein bevinden, waarvan het betreden door derden niet is toegestaan.

      Bestuursrechtelijk kan dumpster diving of skipping door de (lokale) overheid verboden worden. In veel Nederlandse gemeenten is dit het geval (zie bijvoorbeeld de Afvalstoffenverordening van de gemeente Haarlemmermeer van 2006 — art. 36.1). Tenzij men over een speciale vergunning (Morgenstervergunning) beschikt. Zo’n bepaling is opgenomen in de model-APV van de Vereniging van Nederlandse Gemeenten (VNG).

    4. Wacht ze op bij de drinkplaats — Watering hole sites

      In spionagecampagnes wordt steeds meer gebruik gemaakt van een aanvalsstrategie die watering hole. Bij een drinkplaats-aanval wordt een website gecompromitteerd die door de groep potentiële slachtoffers uit zichzelf al wordt bezocht. De site wordt van iframes voorzien die de bezoekers doorsturen naar servers waarop een beveiligingslek (zero-day-lek) in de browser wordt geëxploiteerd. Hengelen met lokmails wordt steeds meer vervangen door deze drinkplaatsaanval [Net-Security, 26.9.12 en 24.1.13; Krebsonline, 12.9.12; Networkworld, 9.10.12; Security Affairs, 31.12.12].

      Soms wordt bij deze aanvallen de geinstalleerde malware de op de webpagina beschikbaar is versleuteld via XOR. Wanneer de exploit succesvol is, dan wordt er naar een speciale marker in het geheugen gezocht. Zodra deze marker wordt gevonden, wordt de lijst met bytes ontsleuteld en blijft er een binair bestand over. Deze malware wordt vervolgens op het systeem uitgevoerd [Websense, 12.3.13; Security.nl, 13.3.13].

    Index


    Hengeltechnieken
    De grootste risicofactor voor de computernetwerken van bedrijven en instellingen zijn de mensen, de personeelsleden. Veel cyberaanvallen zijn gebaseerd op of beginnen bij het manipuleren en misleiden van werknemers van de doelorganisatie. Via lokmails en contacten op hun sociale netwerken worden zij in de luren gelegd om kwaadwillende indringers toegang te bieden tot het computernetwerk van hun bedrijf.

    Hengelen
    Hengelen is het zoeken naar willekeurige slachtoffers.
    Deze misleiding kan gericht of ongericht zijn. Phishing (hengelen) is een ongerichte poging tot misleiding: grote groepen mensen ontvangen lokmails waarin gevraagd wordt om op een link te klikken of om informatie te geven over wachtwoorden of nummer van creditcards en bankrekeningen [Norton]. Men vist met een net met grote mazen. Het net wordt uitgegooid in de hoop dat er vissen zijn die in dat net verstrikt raken. Bij een cyberaanval op een netwerk van een organisatie worden ongericht alle werknemers door met lokmails benaderd om wachtwoorden af te staan of op bijlagen te klikken met schijnbaar bedrijfsinterne documenten of grappige afbeeldingen.

    Speervissen Spearphishing (speervissen) is een doelgerichte, gepersonaliseerde vorm van hengelen. De aanval richt zich op een klein aantal zorgvuldig geselecteerde high value doelwitten. Het zijn targets of choice die worden benaderd omdat ze over informatie of andere bronnen beschikken waarin de aanvallers zijn geïnteresseerd [Fox-IT]. Meestal zijn dit mensen die goed geïnformeerd zijn over de architectuur van het informatiesysteem. Door wat te grasduinen in LinkedIn en Facebook is vaak al snel te achterhalen wie er bij een bepaalde bedrijfsafdeling werkt waar de gewenste informatie zich bevindt [Webwereld, 5.8.2012].

    Speervissers gebruiken op maat gesneden lokmails om de ontvanger te verleiden om gevoelige informatie zoals wachtwoorden te ontfutselen of om te klikken op een bijlage of op een nep-url die hen naar websites brengt die door de aanvallers zijn ingericht (de ‘drinkplaats’ waar de code-injectie plaats vindt). Slechts één verkeerde klik is nodig om een virus, worm of Trojaans paard te downloaden of andere malware waardoor achterdeurtjes worden geopend die door indringers worden gebruikt om verder in het doelnetwerk binnen te dringen en gevoelige informatie te stelen. Aanvallen van speervissers kunnen maanden duren zonder dat de doelwitten enig idee hebben wat er aan de hand is. Als de aanval uiteindelijk toch worden ontdekt, dan is het erg moeilijk om vast te stellen wat de omvang is van de schade.

    Snoepgoed en relatiegeschenken
    Cyberspionnen gebruiken in principe alle middelen om informatie los te krijgen van hun doelwitten of om hen te verleiden handelingen te verrichten die de geheimen van hun organisatie in gevaar brengen. Inspelend op de nieuwsgierigheid van mensen wordt bijvoorbeeld een besmette usb-stick, laptop of tablet achtergelaten op een plaats die door het doelwit gemakkelijk gevonden zal worden. Uiteindelijk wordt zo’n apparaat vaak verbonden met het informatiesysteem waarop de aanvaller wil inbreken. De usb-stick, laptop of tablet zijn snoepgoed dat men bewust in de nabijheid van een kind laat slingeren. Hackers noemen het daarom een candy drop.

    Het is gebruikelijk dat zakenmensen die beurzen bezoeken relatiegeschenken krijgen aangeboden. Vaak zijn dat usb-sticks. Cyberspionnen maken van deze gewoonte gebruik om besmette usb-sticks uit te delen waarmee zij toegang te krijgen tot bedrijfsgeheimen. In een uitgelekt rapport van de Britse geheime dienst MI5 wordt geschetst hoe Chinese inlichtingendiensten door het uitdelen van usb-sticks of digitale camera’s Trojaanse paarden verspreiden die hen toegang geven tot de computer van de gebruiker [Sunday Times, 31.1.10; Trouw, 31.1.10].

    Doelgerichte aanvallen zijn moeilijk om af te slaan en kunnen grote schade aanrichten. Het volume van de speervisaanval is klein omdat deze gericht is op specifieke personen of een relatief beperkte groep. Speervissers maken meestal over een langere periode gebruik van dezelfde malware om de beoogde informatie binnen te krijgen. Daarom zijn speervisaanvallen weliswaar duurder, maar ze zijn ook lucratiever.

    Het hengelen naar waardevolle digitale bronnen heeft zich in de loop der jaren steeds verder ontwikkeld en geprofessionaliseerd. De evolutie van deze vorm van cyberspionage staat nog in haar kinderschoenen. Er zijn inmiddels wel technologische middelen beschikbaar om speervissen te bestrijden [Contos 2011]. Maar zelfs de beste technologie faalt als ze niet wordt aangevuld door best practices van beveiliging.

    No one best way...
    Er is niet één product dat je kunt gebruiken om speervissen te voorkomen, gevoelige informatie te beschermen, malware af te stoten en kwaadaardige intrusies te stoppen. Er zijn diverse oplossingen die tegelijkertijd gebruikt zouden moeten worden.
    1. Eindpunt controle: een combinatie van technieken zoals blacklisting en dynamische whitelisting om bekende en onbekende malware buiten de deur te houden;
    2. Netwerk controle: gericht op het detecteren van APT’s — Advanced Persistent Threats [McAfee];
    3. Data controle: systemen die potentiële inbreuk op data tijdig melden en voorkomen [Data Loss Prevention], en
    4. Management controle: het verspreiden van reputationele informatie zodat kwaadaardige IP’s, URL’s, e-mails, bestanden etc geïdentificeerd en geblokkeerd kunnen worden voordat ze het netwerk binnendingen.

    De meest voor de hand liggende maatregelen voor beveiliging tegen speervissen en andere vormen van persoonsgerichte cyberspionage liggen op het vlak van opleiding, beleid en reactieplan.

    • Opleiding: In de opleiding moeten personeelsleden leren hoe tactieken van speervissen werken. Door praktische speervisoefeningen kunnen zij ervaren hoe makkelijk ze zelf voor de gek gehouden kunnen worden (kijk in de spiegel). Via trainingen kunnen werknemers oneigenlijk gebruik van informatie- en communicatiesystemen beter leren herkennen. Ze moeten leren welke maatregelen er genomen moeten worden als vermoed wordt dat ze het doelwit van speervissers zijn. Al deze activiteiten zijn gericht op het verhogen van het beveiligingsbewustzijn (security awareness).
    • Beleid: Maak in eigen beleid duidelijk dat er door directies, leidinggevenden, hulpdiensten of systeembeheerders nooit gebruikersnamen, wachtwoorden of andere toegangscodes worden gevraagd via telefoontjes, sms-jes, e-mails of via bijlagen of hyperlinks in e-mails. Voor telefooncontact kan een uitzondering worden gemaakt wanneer men de beller persoonlijk kent of een telefoontje kan retourneren op een bekend bedrijfsnummer. Beleidsmatig moet worden vastgelegd welke typen informatie absoluut nooit via persoonlijk e-mails, sms’jes, blogs, tweets of andere sociale netwerken verspreid mogen worden.
    • Reactieplan: Stel een gedetailleerd plan op waarin wordt beschreven hoe er gereageerd moet worden op een spionage incident en welke specifieke acties er na zo’n incident ondernomen moeten worden om de omvang van de aanval te bepalen en de schade te beperken. Daarbij hoort ook een goede registratie van incidenten voor forensische doeleinden.

    Index


    Cyberspionage in Nederland
    Ook op het Nederlandse internet opereren buitenlandse spionagenetwerken die inlichtingen verzamelen. Zij concentreren zich volgens de AIVD vooral op de gebieden van economisch welzijn & wetenschappelijk potentieel en openbaar bestuur & vitale infrastructuur. Uiteraard is daarbij speciale belangstelling voor militaire aangelegenheden.

      “Inlichtingenactiviteiten door buitenlandse inlichtingendiensten zorgen niet alleen voor de aantasting van de soevereiniteit van Nederland; ze veroorzaken ook grote economische schade. Buitenlandse inlichtingendiensten verrichten in Nederland in het geheim activiteiten om de geopolitieke en economische positie van hun eigen land te versterken. Ze proberen gevoelige en waardevolle informatie te vergaren om bijvoorbeeld vooraf inzicht te verkrijgen in het standpunt van Nederland in onderhandelingen met een ander land. Ook toekomstig beleid van internationale samenwerkingsverbanden waar Nederland deel van uitmaakt, zoals de Europese Unie, de Verenigde Naties of de NAVO, heeft hun belangstelling” [AIVD, Jaarverslag 2012].

    Vanwege zijn kennisintensieve en internationaal georiënteerde economie vormt Nederland een aantrekkelijk doelwit voor statelijke actoren. Onmdat Nederland een knooppunt is in de internationale infrastructuur wordt digitale spionage niet alleen gebruikt tegen personen en instellingen in ons land, maar ook tegen personen en instanties in het buitenland.

    De AIVD heeft bij diverse digitale aanvallen op Nederlandse doelen sterke aanwijzingen gevonden voor statelijke betrokkenheid en in sommige gevallen ook specifieke aanwijzingen over het land van herkomst. Voor 2012 werden in Nederland spionageaanvallen vastgesteld uit onder meer China, Rusland en Iran. Maar het aantal werkelijke digitale spionage-incidenten is vermoedelijke vele malen hoger.

    GhostNet: van Daila Lama tot NAVO
    In maart 2009 werd bekend dat een NAVO-basis in Nederland doelwit was geworden van een omvangrijk internetspionagenetwerk dat werd aangestuurd met computers die bijna allemaal te herleiden waren tot Chinees grondgebied [IWM 2009; Deibert 2013:21]. Via GhostNet werden 1.295 computers in 103 landen geïnfiltreerd. Tot de doelwitten behoorden ministeries, ambassades en het netwerk van de Dalai Lama. Het spionagenetwerk richtte zich vooral op Zuid- en Zuidoost-Azië, maar besmette ook een computer op het NAVO-hoofdkwartier in Brussel.

      “Via gerichte e-mails met daaraan geïnfecteerde Word- en pdf-bestanden, infecteerden hackers computers van ambassades, ministeries en internationale instellingen. Van de geïnfecteerde computers werd informatie verzameld door documenten te kopiëren en via webcams en microfoons gesprekken af te luisteren“ [AIVD 2010:38].

    Na een onderzoek van tien maanden door de Information Warfare Monitor (IWM) werd het Trojaanse paard (Ghost RAT) ontdekt. IWM voerde dit onderzoek uit op verzoek van de het kantoor van de Dalai Lama. Het vermoeden was dat de computers van zijn Tibetaanse vluchtelingennetwerk was geïnfiltreerd. Na installatie van de malware konden de hackers de controle over de gecompromitteerde computers overnemen en geclassificeerde gegeven versturen en ontvangen. Het Trojaanse paard gaf de aanvallers ook de mogelijkheid om elke toetsaanslag van de geïnfecteerde computers vast te leggen en alle wachtwoorden en geëncrypteerde communicaties op te vangen. Bovendien konden zij vanaf afstand de audio en video functies van deze computers aanzetten [BBC News, 29.3.09; The Guardian, 30.3.09: The Times, 30.3.09; New York Times, 28.3.09; Nagaraja/Anderson 2009; NOS, 29.3.09; Wikipedia: GhostNet].

    Later bleek dat degenen die voor het GhostNet spionagenetwerk zeer waarschijnlijk ook verantwoordelijk waren voor de hack van het beveiligingsbedrijf RSA [Security.nl, 3.3.12].

    Tegenwoordig kan iedereen die dat wil van het internet spionagesoftware downloaden die dezelfde afluistermogelijkheden biedt als de Ghost RAT. “Met vrij beschikbare en gemakkelijk te hanteren instrumenten als Ghost RAT zijn we het tijdperk van de doe-het-zelf cyberspionage binnen getreden” [Deibert 2013:25].

    Grote cyberaanval verzwegen
    De Citadel-malware is gebaseerd op een exemplaar dat op 6 september 2012 via de website van De Telegraaf werd verspreid, waardoor de pc’s van bezoekers van deze site werden aangevallen [NCSC, 7.9.12].
    Medio februari 2013 werd bekend dat duizenden bedrijven en overheidsinstellingen in het najaar van 2012 slachtoffer waren van cybercriminelen. Daarbij zijn computerbestanden van ministeries, gemeenten, recherche, rechtbanken, waterschappen, energieproducenten, waterleidingsmaatschappijen, mediabedrijven, ziekenhuizen, universiteiten, luchtvaartmaatschappijen en andere bedrijven in handen gekomen van Oosteuropese criminelen. Zo’n 150.000 computers werden met het Citadel-virus besmet en in totaal 750 gigabite aan data werd gestolen [Surfright; NOS, 14.2.13; Webwereld, 14.2.12]. Alle vitale sectoren van de Nederlandse samenleving waren besmet met het virus (behalve de nucleaire energie).

    Het meest verontrustend was dat het Nationaal Security Centrum (NCSC) al sinds september 2012 precies wist welke organisaties slachtoffer waren van het aan Citadel verbonden Pobelka-botnet, maar slechts 40 á 50 daarvan had gewaarschuwd.

    Toen verslaggever Jeroen Wollaars lucht kreeg van het spionageverhaal ontdekte hij al snel dat ook de NOS zelf slachtoffer was van de cybercriminelen. Veertien computers van de NOS waren besmet en de wachtwoorden van 35 medewerkers waren gelekt.

    Een woordvoerder van het ministerie van Veiligheid en Justititie beweerde met grote stelligheid dat er geen computers van de rijksoverheid waren besmet. In werkelijkheid waren er 57 computers van acht verschillende ministeries —waaronder die van Veiligheid & Justitie— door het virus getroffen. Nadat dit bekend werd, probeerde Minister Opstelten van Veiligheid en Justitie de burgers gerust te stellen: “Natuurlijk schrikken we daar van, maar we nemen ook de maatregelen die genomen moeten worden. Wij weten wat we dan moeten doen”. Hij vond het zelfs “plezierig” dat het NCSC zo “adequaat” had opgetreden [Vrij Nederland, 8.3.13]. Maar dat was nu precies wat het NCSC niét had gedaan: adequaat optreden. Ook bij de NCSC zelf drong dit besef langzamerhand door. Een paar dagen later kondige het NCSC aan dat zij samen met de opsporings- en inlichtingenorganisaties (HCTU, AIVD en MIVD) een onderzoek zou instellen naar deze spionagecampagne.

    Met de informatie die gestolen werd van bijna alle Nederlandse bedrijven zouden alle vitale infrastructuren op eenvoudige wijze kunnen worden gecyboteerd en zou het maatschappelijk verkeer bijna volledig kunnen worden stilgelegd.

    TeamViewer - TeamSpy
    Een van de meest populaire programma's om op afstand op computers in te loggen is TeamViewer. Dit programma brengt binnen enkele seconden over de hele wereld een verbinding tot stand met elke pc of server. Meer dan 100 miljoen gebruikers vertrouwen op TeamViewer. Het wordt vooral gebruikt door systeembeheerders die op afstand de controle over computers van cliënten kunnen overnemen om problemen op te lossen.

    In 2013 bleek dat TeamViewer al tien jaar lang misbruikt wordt om bedrijven, overheidsinstellingen en activisten te bespioneren [CrySyS,20.3.13]. Dit gebeurt met de malware toolkit TeamSpy. De cyberaanvallers kunnen via TeamViewer in real time meekijken wat er op de geïcteerde computer gebeurt. TeamViewer werd gebruikt om bestanden te stelen en om andere kwaadaardige software te installeren [Security.nl, 21.3.13].

    In haar jaarverslag over 2012 constateerde de AIVD dat er steeds vaker cyberaanvallen worden uitgevoerd die een dreiging voor de nationale veiligheid vormen.

      “De bedreigingen voor de nationale veiligheid hebben steeds vaker een digitale component. Internettechnologie wordt op diverse manieren gebruikt om de nationale veiligheid te ondermijnen. Kwetsbaarheden in computersystemen worden uitgebuit. Digitale aanvallen nemen in aantal, complexiteit en impact toe.”

    Door de technologische ontwikkelingen veranderen die dreigingen razendsnel en zijn daarom ook steeds lastiger voorspelbaar.
    “Nieuwe technologie vormt een belangrijke drijvende kracht achter dreigingen. We zien daarnaast ook een toenemende verwevenheid van dreigingen met een sterk binnenlandse component en dreigingen met een buitenlandse oorsprong” [Rob Bertholee, hoofd van de AIVD].
    Voorlopig manifesteert de dreiging zich vooral in cyberspionage door andere landen, zoals China, Rusland en Iran. Deze cyberaanvallen worden steeds complexer en ingenieuzer. De cyberspionnen zijn vooral geïnteresseerd in de Nederlandse kenniseconomie.

    De conclusie van de AIVD is klip en klaar en goed onderbouwd: “Het versterken van de digitale veiligheid in ons land is een van de grootste uitdagingen waar overheid en bedrijfsleven op dit moment voor staan. Cybersecurity, digitale veiligheid, is essentieel om de Nederlandse samenleving en economie draaiend te kunnen houden” [Jaarverslag 2012].

    Index


    Toekomst van cyberspionage
    In de loop der jaren heeft zich een kruisbestuiving voltrokken tussen cyber≠spion≠nen en cyber≠criminelen. Speervissen is een favoriete tactiek van oplichters die toegang zoeken tot een bankrekening van een organisatie. Cyberspionnen gebruiken het wanneer hun doelwit in staat is om zich succesvol te verdedigen tegen verleidelijke bijlagen in e-mails, sms-jes of tweeds [Stewart 2012].

    Cyberspionage door inlichtingen- en veiligheidsdiensten is slechts het begin. Overheden raken steeds meer betrokken in cyberspionage. In opdracht van overheden wordt cyberspionage soms uitgevoerd door particuliere beveiligingsbedrijven. Offensief hacken wordt uitbesteed aan aannemers die met speervissen achterdeurtjes openbreken om bedrijven en instellingen te bespioneren.

    Elektronische spionage verschilt in een opzicht nogal sterk van de spionage uit het pre-internet tijdperk. Spionage is niet meer het passief afluisteren van een conversatie of het monitoren van een communicatiekanaal. Cyberspionage betekent dat er actief wordt ingebroken op een computernetwerk van een tegenstander en het installeren van kwaadaardige software die ontworpen is om de controle over dat netwerk over te nemen. “Cyberspionage is een vorm van cyberaanval. Het is een offensieve actie. Het schendt de soevereiniteit van een ander land” [Schneier, 6.3.14]. In cyberspace is de scheidslijn tussen spionage en geheime militaire operaties zeer vaag [Mueller 2012:8]. Er zou in ieder geval een duidelijk grens getrokken moeten worden tussen cyberoperaties die alleen maar clandestien informatie opvangen zonder het functioneren van computers en netwerken te verstoren, en operaties die het gepenetreerde netwerk zodanig veranderen dat zij hun functionaliteit veranderen of blokkeren [Hathaway e.a. 2012; Lin 2012].

    Begrippen Cyberaanval Cyberexploitatie
    Benadering & intentie Degraderen, ontregelen en vernietigen van aangevallen infrastructuur en systemen/netwerken Kleinste interventie om gewenste informatie te verwerven
    Definitie Opzettelijke acties en operaties gericht op het veranderen, ontregelen, misleiden, degraderen of vernietigen van computersystemen of netwerken van de tegenstander of van programma’s en informatie die zich daarop bevinden of via deze systemen or netwerken worden getransporteerd Opzettelijke acties en operaties gericht op het verkrijgen van informatie die anders vertrouwelijk zou worden gehouden en die zich bevindt op of getransporteerd wordt via computersystemen of netwerken van de tegenstander.
    Neven-effecten Een cyberaanval probeert de computersystemen en netwerken van de tegenstander onbruikbaar of onbetrouwbaar te maken. Dit kan indirecte gevolgen hebben voor andere systemen die daaraan gekoppeld zijn of die daarvan afhankelijk zijn. Cyberexploitaties zijn meestal klandestien en worden uitgevoerd met de kleinst mogelijke interventie die het toch nog mogelijk maakt om de gewenste informatie te verkrijgen. Cyberexploitaties zijn er niet op gericht om het normale functioneren van een computersysteem of netwerk te verstoren. De beste cyberexploitatie is er een die door een gebruiker nooit wordt opgemerkt.

    Digitale handpoppen
    In juni 2010 zocht de Amerikaanse luchtmacht (USAF) een leverancier voor Persona Management Software. Het systeem moest het mogelijk maken om een tiental nepidentiteiten op het net te onderhouden zonder dat deze digitale handpoppen door een ‘ervaren tegenstander’ als vals onderkend zou kunnen worden. Digitale handpoppen worden meestal gebruik voor het verspreiden van propaganda, desinformatie, het beïnvloeden van discussies en als een surveillance-methode om van een menselijk doelwit details te achterhalen via sociale interactie [Guardian 17.3.11; Guardian, 29.9.11].

    De nepidentiteiten worden aangemaakt door speciale bots die ervoor zorgen dat er in sociale netwerken geschikte profielen worden aangemaakt zodat de indruk ontstaat dat de fictieve personen echt bestaan. Op die manier kan bijvoorbeeld in hackersgroepen worden geïnfiltreerd waarbij men met de ene identiteit de gebruikte software manipuleert. Met een andere identiteit onthult men vervolgens deze boosaardige manipulatie, identificeert de vermeende verrader en wint zo het vertrouwen van de echte leden.

    De militaire handpop-software is een van de instrumenten voor online psychologische operaties en meer in het bijzonder op de manipulatie van sociale media.

    Cyberspionage wordt steeds subtieler en duurzamer. De ‘Turla’-hackers zijn hiervan een duidelijk voorbeeld. Zij infiltreerden jarenlang in de communicatie- en internetsystemen van ministeries, ambassades, handelsmissies, militaire producenten en farmaceutische bedrijven van een groot aantal landen [The Guardian, 7.8.14]. De technische vaardigheden van deze hackers zijn imposant. Zij maken gebruik van kwetsbaarheden in de software die nog niet bekend waren (zero-day vulnerabilities). Het zijn softwarelekken die alleen maar ontdekt kunnen worden wanneer zeer competente hackers er heel veel moeite voor doen om ze te ontdekken. De malware die de Turla-hackers gebruiken is bijzonder zeldzaam en complex en stelt hen in staat om netwerken te bespioneren zonder zelf ontdekt te worden. Of de aanvallers Russisch zijn of alleen maar gebruik maken van Russische identiteiten is nog onbekend [Reuters, 7.8.14].

    Index Economische en politieke bedrijfsspionage
    Economische cyberoperaties
    Economische operaties zijn militaire interventies in de economieën van andere landen om daarmee politieke doelen van het eigen land te bevorderen. Deze operaties omvatten manipulaties van het financiële stelsel, het bespioneren en saboteren van productiebedrijven en energievoorzieningen, het blokkeren van of handelsroutes. Soms zijn ze specifiek gericht op het verzwakken van bepaalde industrietakken, zoals de olieproductie of de kernenergiesector.

    Economische operaties speelden vroeger een meer ondergeschikte rol in de oorlogsvoering. Directe sabotage en manipulatieve inmenging in de economie van een andere natie waren ingewikkelde operaties. Tegenwoordig is dat anders omdat moderne economieën in alle vezels zijn verankerd in informatietechnologie en computernetwerken. Voor hackers is dit een zegening. Aanvallen op de economie van een andere staat zijn niet alleen aanzienlijk eenvoudiger, maar ook rendabeler geworden. Economische cyberoperaties (ECO’s) richten zich op de controle over industriële productiebedrijven, op het verwerven van inzicht in onderzoek, ontwikkeling en innovaties in andere staten, of op de ontregeling van hun financiële instellingen.

    Zeer veel bedrijven zijn het doelwit van spionageactiviteiten, maar daarbij is lang niet altijd duidelijk wie daartoe opdracht hebben gegeven en wie daarvan op welke manier profiteert.

    Bedrijfsspionage gebeurt zowel om politiek-strategische redenen als om commerciŽle redenen. In het eerste geval worden bedrijven die in het ene land gevestigd zijn bespioneerd door overheidsinstellingen van andere landen. In het tweede geval bespioneren nationaal of internationaal concurrerende ondernemingen elkaar om bedrijfsgeheimen (offertes, recepten, patenten, productinnovaties of productiemethoden) van elkaar te stelen, om aanbestedingstrajecten te ondermijnen, en om onderhandelingen, fusies en overnames te manipuleren.

    Het is moelijk om de schade die door bedrijfsspionage wordt veroorzaakt enigszins nauwkeurig te schatten. De meestal zeer voorzichtige AIVD suggereerde in haar jaarverslag 2013 “dat de wereldwijde schade honderden miljarden euro’s bedraagt als gevolg van inkomstenderving, verlies aan concurrentiepositie en banen, en door de kosten voor beveiligings- en herstelmaatregelen.” Zolang dit soort suggesties niet worden onderbouwd, blijft het gissen. De data die voor dergelijke schattingen worden gebruikt zijn gebrekkig, al is het alleen maar doordat er lang niet altijd melding wordt gemaakt van digitale inbraken.

    Lastige calculaties
    Het is lastig om een enigszins nauwkeurige schatting te maken van de kosten van cybercriminaliteit. Een van de variabelen die zich moeilijk laat kwantificeren is de diefstal van intellectueel eigendom. Landen waarin het creëren van intellectueel eigendom belangrijk is voor economische progressie verliezen door cybercriminaliteit meer handelscontracten, banen en inkomen. Dit type cyberspionage heeft echter ook aanzienlijke gevolgen voor de nationale veiligheid. Diefstal van militaire geheimen kost een bestolen natie aanzienlijk meer dan de monetaire waarde van deze militaire technologie. Hetzelfde geldt voor het stelen van vertrouwelijke bedrijfsinformatie zoals informatie over investeringen, voorgenomen fusies of overnames, onderzoeksdata, en gevoelige informatie over zakelijke onderhandelingen. Professionele cybercriminelen verkopen dergelijke informatie aan concurrerende ondernemingen, maar gebruiken ze ook voor moeilijk te traceren manipulaties van de aandelenmarkt.

    Onder de schade van cybercriminaliteit vallen ook de 'opportunity costs' en de 'recovery costs'.

    • Opportunity costs /alternatieve kosten - waarde van 'forgone activities' / gemiste kansen. Er zijn drie soorten opportunity costs: gereduceerde investering in onderzoek en ontwikkeling (R&D), risicomijdend gedrag door ondernemingen en consumenten, en verhoogde kosten van netwerkverdediging.

    • Recovery costs - kosten van afzonderlijke ondernemingen om te herstellen van cyberfraude of datadiefstal. Criminelen zijn niet in staat om alle informatie die zij stelen te monetariseren. Maar de bestolen onderneming moet maatregelen nemen om elk mogelijk misbruik van de gestolen informatie te bestrijden. De totale herstelkosten zijn vaak aanzienlijk groter dan de winst voor cybercriminelen.

    Het Center for Strategic and International Studies (CSIS) en het computerbeveiligingsbedrijf McAfee berekenden in 2014 dat criminele hackers de internationale economie jaarlijks zo’n 445 miljard dollar schade berokkent (met een minimum van $375 miljard en een maximum van $575 miljard).

    In Nederland wordt jaarlijks 1,5% van het nationaal inkomen door digitale manipulaties verduisterd. Dat komt neer op 8,8 miljard euro. Deze schade valt uiteen in drie categoriën: diefstal van octrooien, diefstal van andere bedrijfsgeheimen en fraude met creditkaarten, bankgegevens en andere persoonlijke data [Net Losses: Estimating the Global Cost of Cybercrime, 2014].

    De schade die de Nederlandse economie oploopt als gevolg van digitale diefstal is relatief hoog. Dat hebben we vooral te danken aan onze goede digitale infrastructuur en het open karakter als handelsnatie [VK 10.6.14].

    Index


    Economische bedrijfsspionage
    Een van de onderdelen van economische cyberoperaties is de economische of bedrijfsspionage. Commercieel geïnspireerde bedrijfsspionage wordt ingezet om concurrenten dwars te zitten. Het is de voortzetting van ondernemerschap met illegale resp. criminele middelen.

    Bedrijfsspionage is de duistere onderbuik van de globale economie. Er wordt gebruik gemaakt van zeer geavanceerde technologie en van eeuwenoude technieken van misleiding en manipulatie. “Zelfs al blijft het grotendeels een verborgen industrie, het particuliere spionagebedrijf is een integraal onderdeel geworden van de manier waarop ondernemingen hun zaken in de wereld doen” [Javers 2010:xxi]. Volgens een studie van Campus Wien heeft meer dan een derde van de ondernemingen te maken hadden met bedrijfsspionage [Shea 2010]. In 29% van deze gevallen ging het om spionage van een binnenlandse concurrent [Gaycken 2012:110]. Volgens Dave Merkel van het beveiligingsbedrijf FireEye in zelfs 97 procent van de bedrijven geïnfilteerd door cybercriminelen.

    Het door de NCSC gepubliceerde Cybersecuritybeeld [juni 2012] laat zien dat ook in Nederland het aantal incidenten met spionage bij overheid en bedrijven toeneemt. In een brief van minister Opstelten wordt in maart 2013 zelfs geconstateerd dat de ontwikkelingen op het gebied van cyberspace zo snel gaan en feitelijke informatie over omvang, daders en dadergroepen ontbreekt, dat cyberspionage de komende jaren een witte vlek zal zijn.

    Soms zijn het ontevreden of gefrustreerde werknemers van de doelonderneming die de gevoelige informatie stelen en verkopen. Maar zeer vaak geven bedrijven ook hun eigen informatici opdracht om concurrent te bespioneren, of huren ze hierin gespecialiseerde detectivebureaus in. Soms wordt er gespioneerd door particuliere ondernemingen die uit andere markten komen en die door hun nationale inlichtingen- en veiligheidsdiensten worden ondersteund. In dit geval spelen politiek-strategische belangen een belangrijke rol en neemt bedrijfsspionage de vorm aan van een «koude cyberoorlog».

    Vals spel
    Ondernemingen kunnen ook meer drastische maatregelen nemen om hun concurrenten of publieke tegenstanders aan te vallen. Een voorbeeld daarvan is de Nederlandse internetprovider Cyberbunker tegen de spambestrijder Spamhaus. Deze in Zwitserland (Geneve) en Engeland (Londen) gevestigde Europese vrijwilligersorganisatie had Cyberbunker op de zwarte lijst gezet. Op deze lijst staan de internetadressen van spammers en van criminelen die met lokmails proberen om mensen geld af te troggelen of hun computers met kwaadaardige software te besmetten. Spamhaus beschermt internetters door deze adressen door te spelen naar netwerkbeheerders, die vervolgens alle e-mails afkomstig van die adressen automatisch blokkeren.

    Dat was niet naar de zin van de Zeeuwse provider die zijn bullet proof servers aan iedereen verhuurt die er belang bij heeft anoniem te blijven. Zijn clièntele heeft er groot belang bij dat hun actieradius op het internet niet wordt beperkt door detectiesystemen die spam, fraude en malware buiten de deur houden. In maart 2013 sloeg Cyberbunker —waarschijnlijk in samenwerking met klanten uit Rusland en China— terug met felle en massieve DDoS-aanvallen op Spamhaus. Om de effectiviteit van de DDoS-aanval te versterken richtten de cyberaanvallers hun pijlen op het Domain Name System (DNS).

    Door deze DNS-amplificatie aanval werden vanuit servers over de hele wereld omvangrijke datapakketten naar het slachtoffer verstuurd (met een vuurkracht van 300 miljard bites per seconde). De aanvallen waren zo groot dat ze voor het gehele internet ontwrichtend waren. Miljoenen internetgebruikers merkten dat het internet langzamer werkte en dat sommige diensten (zoals de Amerikaanse tv-aanbieder Netflix) tijdelijk helemaal niet bereikbaar waren. Ook het Nederlandse Surfnet, dat onderdak biedt aan enkele servers van Spamhaus, werd getroffen. De aanvallen waren moeilijk te blokkeren, om dat die DNS-servers niet afgesloten kunnen worden zonder het internet te blokkeren [Cloudflare, 20.3.13; Ars Technica, 31.3.13; Automatiseringsgids, 27.3.13].

    Kern van probleem is dat veel grote internetproviders hun netwerken niet zo hebben opgezet dat zij er zeker van zijn dat het verkeer dat hun netwerken verlaat daadwerkelijk van hun eigen gebruikers komt. Dit beveiligingslek is al langer bekend, maar het is pas recent geëxploiteerd op een wijze die de infrastructuur van het internet bedreigt.

    Cyberbunker De eigenaar en woordvoerder van Cyberbunker, Sven Olof Kamphuis, verklaarde trots dat dit de grootste DDoS-aanval was die de wereld tot nu toe gezien heeft [New York Times, 26.3.13]. Een dag later kwam Kamphuis —die ook opereert onder de naam cb3rob— tot andere gedachten: hij ontkende elke betrokkenheid van Cyberbunker bij deze grootste cyberaanval ooit [BNR, 27.3.13]. Volgens Spamhaus is de aanval door Cyberbunker georganiseerd in samenwerking met criminele bendes uit Oost-Europa en Rusland.

    Op haar website pocht Cyberbunker dat het al eerder doelwit van justitie is geweest. “De Nederlandse autoriteiten en de politie hebben meerdere pogingen ondernomen om met geweld in de bunker te komen. Maar geen van deze pogingen waren succesvol”. Cyberbunker is gevestigd in de oude NAVO-bunker in Kloetinge (Zeeland). De nucleaire bunker werd vanaf 1955 gebruikt voor lokale spionage en contraspionage. Achter de vijf meter dikke betonnen muren bevind zich een complex van vier etages. In 1996 werd de bunker verkocht en werd in 1998 omgebouwd tot een veilige data haven met de naam Cyberbunker.

    Volgens Arbord Networks, een bedrijf dat gespecialiseerd is in bescherming tegen DDoS-aanvallen is de aanval van Cyberbunker de grootste aanval die zij ooit gezien hebben. “De grootste DDos-aanval die we eerder gezien hebben was in 2010, met 100 Gbps (Gigabites per seconde). De sprong van 100 naar 300 is natuurlijk behoorlijk massief” [Dan Holden, BBC, 27.3.13].

    Het Openbaar Ministerie (OM) startte een strafrechtelijk onderzoek naar de massale aanvallen die vanuit de Nederlandse Cyberbunker zouden worden uitgevoerd [ISPam, 27.3.13]. Het onderzoek wordt uitgevoerd door Team High Tech Crime (THTC) van de landelijke politie. In Engeland werden vijf nationale afdelingen van de cyberpolitie ingeschakeld om de aanvallen te onderzoeken [BBC, 27.3.13].

    Dreiging met ‘grootste aanval ooit’

    Sven Olof Kamphuis
    Tegen Sven Kamphuis werd een Europees aanhoudingsbevel uitgegeven. Op 25 april werd hij in Spanje gearresteerd [OM, 26.4.13]. Hij opereerde daar vanuit een bunker en vanuit een busje dat was uitgerust met verschillende antennes om frequenties te scannen. Met zijn mobiele computerkantoor kon hij inbreken in netwerken op allerlei locaties. Tegenover de Spaanse autoriteiten presenteerde Kamphuis zichzelf als ‘Minister van Telecommunicatie en Buitenlandse Zaken van de Republiek Cyberbunker’ [AP, 28.4.13]. Volgens het Openbaar Ministerie zijn er aanwijzingen dat Kamphuis niet alleen verantwoordelijk is voor de cyberaanvallen op Spamhaus, maar ook op de later ingezette aanvallen op diverse Nederlandse banken, iDeal, KLM en DigiD.

    Na zijn arrestatie eiste de groep freecb3rob de vrijlating van Kamphuis. Zij dreigde ‘de grootste aanval ooit’ in te zetten tegen Nederland als hij niet zou worden vrijgelaten [Pastebin, 26.4.13]. De groep verklaarde dat zij al getest hadden hoe zwak de huidige veiligheid in Nederland is. Zij pochen dat zij erin zijn geslaagd om binnen enkele minuten banken, luchthavens en zelfd DigiD plat te leggen. “You have been warned”.

    Een dag later publiceerde freecbrob een lijst met 10 primaire doelwitten die zij in Nederland wil aanvallen.

    Tegenmaatregelen
    De DDoS-aanvallen die tussen 23 april en 11 mei op informatiesystemen van de overheid werden uitgevoerd stimuleerde de Nederlandse regering om meer geld te investeren in het tegengaan van DDoS-aanvallen op vitale netwerken. Minister Opstelten van Veiligheid en Justitie verklaarde dat het van groot belang is om “de weerbaarheid tegen het het herstelvermogen na geslaagde DDoS-aanvallen te versterken” [MV&J, 14.5.13]. Het ministerie constateert nuchter dat DDoS-aanvallen een wereldwijd probleem vormen en dat iedereen die diensten aanbiedt op het internhet hiervan slachtoffer kan worden. Ook de nationale overheid staat dagelijks bloot aan grotere of kleinere cyberaanvallen die de bereikbaarheid van informatie en diensten blokkeert.
      “Dergelijke storingen door digitale verkeersopstoppingen zijn nu en in de toekomst niet te vermijden. Het is echter wel mogelijk en van groot belang om maatregelen te treffen om de impact te beperken. Op dit vlak is het nodig de weerbaarheid tegen DDoS-aanvallen te verhogen. Het belang hiervan is des te groter waar het vitale sectoren, instellingen of voorzieningen betreft die een essentiŽle rol in de samenleving vervullen.”
    Er wordt vooral geïnvesteerd in het plaatsen van extra servercapaciteit en het versterken van de alertheid op nieuwe cyberaanvallen. Het vergroten van de capaciteit van de diensten is een eerste logische stap op DDoS-aanvallen minder effectief te maken. Bovendien worden er selectiemechanismen in de servers worden ingebouwd waardoor het verkeer vanuit een DDoS-aanval gescheiden kan worden van regulier verkeer. In noodgevallen zal bijvoorbeeld DigiD voor gebruikers in het buitenland tijdelijk worden afgesloten. Als ook dat onvoldoende is zal de dienst preventief uit de lucht worden gehaald.

    Om de veiligheid van vitale voorzieningen in de dienstverlening te waarborgen, moet er ook geïnvesteerd worden in de beveiliging van ICT en alternatieve kanalen en infrastructuren voor de dienstverlening. De verantwoordelijkheid voor het verbeteren van die infrastructuur ligt echter bij die particuliere dienstverleners zelf. De verantwoordelijkheid van het Ministerie wordt geconcretiseerd in het aanstellen van een officier die een schakel vormt tussen het Nationaal Cyber Security Centrum (NCSC) en de Nederlandse banken.

    Om de cyberveiligheid van Nederland te versterken werd het Nationaal Detectie en Response Netwerk versneld opgebouwd. Een van de prioriteiten is een effectieve aanpak van de botnet warmee DDoS-aanvallen worden uitgevoerd.

    Bedrijfsleiders van de meerderheid van de grote ondernemingen die een functie vervullen in de kritische infrastructuren denken dat zij worden aangevallen of bespioneerd door politiek gemotiveerde aanvallers [Symantic, CIP survey]. Bij bedrijfsspionage die door overheden wordt georganiseerd, spelen strategische belangen een cruciale rol en kunnen zeer omvangrijke aanvalsbronnen worden gemobiliseerd en ingezet. Het is het altijd lastig en meestal onmogelijk om te achterhalen wélke overheid verantwoordelijk is voor welke vorm van cyberspionage. Daarom is het in de regel onmogelijk om informatiediefstal toe te schrijven aan een bepaalde nationale staat.

    Dat is het probleem met de beruchte cyberspionage uit China. Voor bedrijfsspionnen is het makkelijk om een server in een ander land te huren of om daarin ongemerkt in te breken om deze server als tussenschakel (proxy) te gebruiken. Chinese computers zijn vaak slecht beveiligd omdat er vaak gewerkt wordt met gekraakte kopieën van reguliere software (zoals Windows) waarbij alle updatefuncties zijn uitgeschakeld omdat anders illegaal gebruik kan worden vastgesteld. Zonder deze updates vertoont de software allerlei beveiliginglekken die gemakkelijk benut kunnen worden. De Chinese overheid ontkent —zoals gebruikelijk— elke verantwoordelijkheid voor de cyberspionage op militaire en commerciële netwerken in de VS en in Europa. Haar stelling is dat een derde van alle cyberspionage uit de VS komt en niet uit China.

    Spionage
    Cyberspionnen stelen geheimen en identiteiten, zij zijn behendig en wissen hun digitale sporen.
    Wie er schuil gaat achter transnationale spionage-incidenten kan bijna nooit eenduidig worden vastgesteld. Natuurlijk heeft China er belang bij om via bedrijfsspionage de opbouw van het eigen land zo snel mogelijk vooruit te drijven, maar dit geldt voor zeer veel landen. Om te overleven op de wereldwijde markten zijn onderzoek en productontwikkeling steeds belangrijker geworden. Onderzoek en ontwikkeling vereisen echter enorme bronnen: geschoold talent, dure apparatuur en dus zeer veel geld. Voor naties en bedrijfssectoren die een gebrek aan middelen hebben en toch op de wereldmarkt goed willen concurreren is bedrijfsspionage een realistische optie. Economische cyberspionage is daarvoor de meest haalbare, effectieve en goedkoopste variant om deze strategische doelen te realiseren.

    De cyberwapenrace op het gebied van bedrijfsspionage is in de afgelopen jaren op stoom geraakt. In de hele wereld klinken de alarmbellen. In de hele wereld klinken alarmbellen. De grootste alarmbel werd geluid door Generaal Keith B. Alexander (hoofd van de NSA en van het U.S. Cyber Command). Hij typeert de diefstal van intellectueel eigendom in cyberspace als “de grootste overdracht van rijkdom in de geschiedenis”. Zijn schatting is dat alleen al de V.S. bedrijven en instellingen honderden miljarden dollars hebben verloren als gevolg van bedrijfsspionage [FP, 9.7.2012]. Cyberspionage is waarschijnlijk de meest rendabele operatie die men via internet kan uitvoeren.

    Het aantal incidenten van bedrijfsspionage via internet is enorm. De meest geavanceerde voorbeelden van politiek-economisch gemotiveerde cyberspionage zijn Titan Rain, ShadyRat en Operation Aurora. Het zijn slechts drie voorbeelden van een Advanced Persistent Threat (APT).

    • Titan Rain — Invasie van Chinese cyberspionnen?
      Deze naam werd gegeven aan een serie gecoördineerde en duurzame aanvallen op Amerikaanse computersystemen van militaire en bewapeningsbedrijven: Lockheed Martin, Sandia National Laboratories, Redstone Arsenal en NASA. De cyberspionage begon in 2003 en duurde minstens drie jaar. Van de 79.000 pogingen waren er 1.300 succesvol.

      De cyberspionnen gingen snel, efficiënt en doelgericht te werk. Ze slaagden erin om verborgen secties van harde schijven te bereiken, kopiëerden daarvan alle bestanden en verplaatsten deze zo snel mogelijk naar servers in Zuid-Korea, Hong Kong of Taiwan voordat ze naar China werden verstuurd. De aanvallen werden gelanceerd vanuit drie Chinese routers die fungeerden als het eerste verbindingspunt van een lokaal netwerk naar het internet.

      De hackende spionnen verstonden de kunst van het ongezien ontsnappen. Zij veegden hun elektronische vingerafdrukken weg en lieten een bijna niet te vinden baken achter waarmee zij desgewenst weer in de computers konden inbreken. De hele aanval duurde tussen de 10 en 30 minuten. De meeste hackers die een overheidsnetwerk binnendringen worden opgewonden en maken fouten. “Maar dat gebeurde niet bij deze gasten. Zij sloegen nooit een verkeerde toets aan” [Time, 29.8.05].

      Spionage Pearl Harbor?
      De Amerikaanse autoriteiten beschouwden Titan Rain als een ‘spionnage Pearl Harbor’. “Een onbekende buitenlandse mogendheid, en we weten echt niet wie dat is, brak in het ministerie van Defensie, in het ministerie van Buitenlandse Zaken, het ministerie van Handel en waarschijnlijk in het ministerie van Energie, waarschijnlijk NASA. Zij braken in op alle hightech instellingen en alle militaire instellingen en downloaden terabites aan informatie. We verloren in 2007 dus waarschijnlijk overheidsinformatie ter waarde van het equivalent van een Library of Congress” [Jim Lewis, directeur van het Center for Strategic and International Studies].
      De Amerikaanse autoriteiten hielden hun kaken op elkaar over Titan Rain en drongen erop aan dat alle details van de spionageaanval geheim moesten blijven. Zij beseften dat het hier om een serieuze vorm van cyberspionage ging en de FBI werd hard aan het werk gezet om de identiteit van de aanvallers te achterhalen. Maar ook de FBI was niet in staat om vast te stellen of de Chinese overheid achter de aanvallen zat of dat het een initiatief was vanuit de particuliere sector of van andere, mogelijk criminele actoren. De Chinese regering werkte niet mee aan het onderzoek naar Titan Rain. Zij verklaarde dat de beschuldigingen over cyberspionage totaal ongegrond en onverantwoordelijk waren en te onwaardig om te weerleggen.

      Feit was dat onbevoegde buitenstanders in staat waren om zeer vitale informatie te vervreemden van organisaties, instellingen en bedrijven die meenden zeer goed beveiligd te zijn tegen inbraken op de eigen computersystemen en netwerken. Maar juist bij die zo schijnbaar goed beschermde systemen konden de hackers strategisch belangrijke informatie stelen, zoals de software die het Amerikaanse leger gebruikt voor vluchtplanning.

      Spionagenetwerken opereren vaak op brede schaal, in meerdere bedrijfstakken en vaak ook in meerdere nationale staten. Zo’n brede inlichtingenoperatie op internet vergroot natuurlijk het risico dat de kwaadaardige spyware wordt gedetecteerd en op andere plekken onbruikbaar wordt. De meest recente spyware opereert veel kleinschaliger, specifieker en selecteert zorgvuldig uitgekozen doelwitten. Daardoor wordt ook de pakkans kleiner.

    • ShadyRat — Extreem geavanceerde spyware
      ShadyRat is een spionagenetwerk dat tussen 2006 en 2011 volkomen onopgemerkt meer dan 72 grote internationale ondernemingen bespioneerde. Dat waren de grote wapenproducenten, Google, Morgan Stanley, de beveiligingsgigant RSA, de Verenigde Naties en het Internationaal Olympisch Comité.
      Goed gekozen
      RSA is de beveiligingsafdeling van de hightech firma EMC. Het produceert beveiligde computernetwerken voor het Witte Huis, de CIA, de NSA, het Pentagon en het Department of Homeland Security (DHS), de grootste wapenproducenten en overheidsleveranciers (Lockheed Martin, Northrop Grumman en L-3 Communications) en de meerderheid van de Fortune 500 ondernemingen. De reputatie van de populaire beveiligingsdienst SecurID van RSA liep daarmee een gevoelige deuk op.
      Veel computerdeskundigen en bloggers vonden bewijzen dat de aanvallen uit China waren gekomen. Zij beschuldigen China van het grootschalig stelen van intellectueel eigendom van Amerikaanse ondernemingen en van de overheid van de VS [Gross 2010; McAfee 2011; Gacken 2012:112].

      Via de e-mail werd het virus verzonden dat deze operatie uitvoerde. Medewerkers van de doelorganisatie kregen een lokmail van een schijnbare collega met een vertrouwd thema als onderwerp (‘Recruitment Plan’). Zodra zij op dit bericht klikten, werd het aangehechte Excel bestand gedownload. De spyware die daarin verborgen was, stelde de hackers in staat om het geïnfecteerde computernetwerk te plunderen.

      Zero-day lek
      Een zero-day lek is een kwetsbaarheid in de softwarecode die onbekend is bij de ontwikkelaars van het programma en die nog niet gebruikt is in eerdere aanvallen. Zero-day lekken komen veel vaker voor dan gedacht en worden soms jarenlang actief misbruikt voordat ze officieel bekend worden. Pas daarna worden zij gebruikt voor massale aanvallen, totdat er een patch (een digitale pleister) wordt verspreid om het lek te dichten [Bilge/Dumitras 2012; Washiongton Post - Special report: Zero Day].

      Als bij een cyberaanval daadwerkelijk gebruik gemaakt wordt van een gat in de beveiliging spreekt men van een zero-day exploit. Een «nuldagenaanval» start op of vóór de eerste dag waarop de ontwikkkelaar zich bewust is van het beveiligingslek.

      De cyberspionnen gebruikten een zero-day lek in Adobe Flash Player (verpakt in een Excel-bestand) om een extreem gewone downloader te installeren: Poison Ivy. Dit programma downloadt stiekem malware op de geïnfecteerde systemen. Met behulp van deze malware konden de hackers het kroonjuweel van de RSA, de SecurID kraken. Jarenlang was deze beveiligingssleutel gebruikt door de meeste Amerikaanse inlichtingendiensten, militaire eenheden, wapenleveranciers, ambtenaren van het Witte Huis en Fortune 500 directeuren. Al deze instellingen waren door RSA voorzien van de tot dan toe beste vorm van beveiliging. In totaal circuleerden er 25 miljoen van deze beveiligingssleutels en 70 procent van de meest vitale instellingen waren met SecurID beveiligd.

      De schrik was groot toen RSA in maart 2011 in een open brief aan haar klanten aankondigde dat het beveiligingssysteem van het bedrijf te maken had met “een extreem geavanceerde cyberaanval” die ertoe geleid had dat er informatie was gestolen van RSA-systemen.

      Gezien de investeringen en de tijd die de aanval heeft gekost, meent RSA dat de aanval van een land afkomstig moet zijn. De president van RSA, Thomas Heiser, verklaarde: “Het was uitstekend gepland, met lange voorbereidingstijd en hoge kwaliteit. Ze wisten precies wat ze zochten en waar wat op het netwerk te vinden was.” Volgens Heiser kwam de aanval van een land, maar is niet meer te achterhalen welk land dat was [Webwereld, 12.10.11].

      We hebben gezien dat virtuele aanvallen via servers over de hele wereld kunnen worden georkestreerd en dat het daarom bijna onmogelijk is om een inbraak met zekerheid aan iemand toe te kunnen schrijven. Alle nationale overheden hebben inlichtingendiensten die gebruik maken van programma’s om via het internet vitale instellingen van andere staten te bespioneren.

      Bij cyberspionage weet niemand of een aanval is uitgevoerd op bevel van een vijandige staat, een rebellerende fractie in de eigen staat, een terroristische organisatie of een crimineel syndicaat. Soms voeren politieke en militaire autoriteiten de aanvallen zelf uit. Maar ze kunnen ook oogluikend toezien dat patriottische hackers hun aartsvijanden relatief ongestoord kunnen aanvallen, of ze kunnen dergelijke initiatieven steunen of zelf ensceneren. Al deze opties behoren tegenwoordig tot het standaardrepertoire van de cyberstrategen.

      PoisonIvy te paard
      In 2011 werd een spervuur van cyberaanvallen geopend op tenminste 50 chemiebedrijven. Daarbij werd ook de Franse nucleaire multinational Areva gehackt [Webwereld, 1.12.2011]. De aanval was gericht op het verwerven van bedrijfsgeheimen zoals chemische formules, recepten en documenten over fabricagetechnieken [Symantec].

      Ook in deze gevallen drongen de cyberspionnen de computernetwerken binnen via een e-mail dat schijnbaar afkomstig was van de systeembeheerder, een bekende collega of leidinggevende, maar die met een Trojaans paard geladen was. Het als bijlage toegevoegde PoisonIvy zet op de pc een achterdeur open en legt contact met een command & control server. Met deze techniek werd de rest van het netwerk in kaart gebracht om zo bedrijfsgevoelige informatie te stelen. De aanval werd uitgevoerd door een virtuele private server (VPS) in de V.S. die door iemand uit China was gehuurd. Ook hier wezen de meeste vingers in de richting van China, maar ontkende de regering in Peking krachtig elke vorm betrokkenheid bij deze bedrijfsspionage.

      De aanvallers hadden waarschijnlijk twee jaar lang toegang tot verschillende computers van het France nucleaire concern Areva. Areva is een van de grootste nucleaire ondernemingen ter wereld. Het exploiteert uraniummijnbouw, kerncentrales, opwerkfabrieken en verwerking van kernafval, maar is ook actief op het gebied van hernieuwbare energie.

      Bij vergelijkbare spionageacties in Japan werden defensiegeheimen van Mitsubishi gestolen: ontwerpen van het nieuwste wapentuig, militaire vliegtuigen, onderzeeërs en kerncentrales. Op tien verschillende locaties van Mitshubishi werden maar liefst 45 servers en 38 pc’s gecompromitteerd. Voor deze grootschalige aanvallen werden minstens acht verschillende soorten malware gebruikt [E-week; BBC,20.9.11]. Ook netwerken van ministeries en het parlement, negen Japanse ambassades (waaronder die in Den Haag) werden gecompromitteerd [Webwereld, 26.10.11].

      Ook hier wijzen de vingers naar China [AFP, 25 oktober 2011. Niet alleen bedrijfsgeheimen, maar ook staatsgeheime informatie werd gestolen. Hoewel Mitshubishi beweerde dat er geen vertrouwelijke of gevoelige informatie was weggelekt stelde het Japanse ministerie van Defensie toch een diepgravend onderzoek in [Volkskrant, 20.9.11].

    • Operation Aurora — Google als invalsweg
      Het besef van het belang van cyberspionage werd enorm versterkt toen Google op 12 januari 2010 begon te praten over Operation Aurora. Aurora werd ontdekt door het cyberbeveiligingsbedrijf McAfee.

      In eerste instantie leken de aanvallen op Google [2009-2010] alleen gericht op het opsporen en aftappen van mensenrechten activisten en politieke dissidenten in China. Hun Gmail-accounts werden gehackt en de daaruit resulterende informatie werd gebruikt om dissidenten aan te klagen en te veroordelen. Bij nader inzien bleken de aanvallen op Google onderdeel te zijn van een goed georkestreerd en omvattend gecoördineerd spionageprogramma. De veiligheidslekken in e-mail bijlagen van Gmail werden geëxploiteerd om heimelijk toegang te krijgen tot netwerken van belangrijke financiële, militaire en technologische bedrijven en onderzoeksinstellingen in de Verenigde Staten [Washington Post, 14.01.10]. Daarbij behoorden interessante doelwitten als Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman, Google, Morgan Stanley en Dow Chemical.

      De aanvallers maakten gebruik van een oude en inmiddels bekende krijgslist. De doelwitten ontvangen een lokmail van die afkomstig lijkt te zijn van iemand die zij kennen en waarvan zij geen kwaadaardige virussen of wormen verwachten. Het slachtoffer opent de bijlage die een kwaadaardig programma bevat dat zich in zijn computer nestelt. Vanaf afstand krijgt de aanvaller toegang tot de e-mail van het slachtoffer, kan vertrouwelijke documenten naar een specifiek adres versturen of de webcam of microfoon aanzetten om vast te leggen wat er in de kamer van de gebruiker gebeurt. Die gebruiker heeft geen flauw benul dat hij het doelwit is van een spionage activiteit, van een cyberexploitatie.

      Google Bai Bai
      Na het vertrek van Google uit China legden sympathisanten bloemen neer en brandden kaarsjes op het Chinese hoofdkwartier van het bedrijf. Google verdiende in 2009 naar schatting 300 tot 400 miljoen dollar aan Chinese internetgebruikers.
      [foto: Vincent Thian]
      Deze cyberexploitaties waren complex van opzet, zeer doelgericht en werden goed gecoördineerd, Er werden tegelijkertijd meerdere fouten in verschillende software programma’s geëxploiteerd, en er werden meerdere aanvalstypen ingezet op meerdere doelwitten. De meeste deskundigen beschouwden Operation Aurora als zo geavanceerd dat er wel een staat achter moest zitten. Specialisten op het gebied van computerbeveiliging kijken naar overeenkomsten tussen de malware die gebruikt wordt bij de inbraak en codes die op Chinese hackersfora circuleren. Onderzoek wees uit dat de aanvallen gelanceerd waren vanaf de computers in Lanxiang, een vakschool in de provincie Shandong, en de Jiaotong Universiteit in Shanghai. Maar er kon niet worden aangetoond dat deze activiteiten door de Chinese overheid of door het leger werden gesponsord.

      Ook in dit geval ontkenden de Chinese autoriteiten in alle toonaarden dat zij iets met deze cyberoperaties te maken hadden: “Wij ondersteunen geen hackers en onze cyberoorlogsstrategie is zuiver defensief”. De woordvoerder van het ministerie van Buitenlandse Zaken stapte in de slachtofferrol en benadrukte dat ook Chinese netwerken door hackers werden aangevallen [ChinaDaily, 3.6.11]. Het is weliswaar makkelijk om het IP-adres van de hackers te lokaliseren, maar het is veel lastiger om te bepalen waar de hackers daadwerkelijk vandaan komen. Met ongefundeerde verwijten dat Chinese hackers achter de cyberaanvallen zitten, worden volgens de Chinese overheid alleen maar obstakels opgeworpen voor het versterken van
      Zie voor verdere analyse van Operation Aurora: Wikipedia: Operation Aurora en de video: Operation Aurora (Google vs. China) Explained.
      vertrouwen tussen ‘stakeholders in cyberspace’ en wordt de samenwerking tussen overheden gefrustreerd [ChinaDaily, 4.6.11].

    De voordelen van economische gemotiveerde cyberspionage liggen voor de hand: men kan besparen op zeer omvangrijke investeringen onderzoek en productontwikkeling en men wordt sneller rijp voor de wereldmarkt. Landen met een relatief lage graad van informatisering hebben hierbij veel te winnen, terwijl de hightech landen veel te verliezen hebben [Gacken 2012:112]. In hoeverre nationale staten (regeringen, ministeries, hooggeplaatste politici en ambtenaren) betrokken zijn bij bedrijfsspionage in cyberspace blijft in bijna alle gevallen in het duister.

    Cyberspionnen vinden telkens nieuwe aanvalsmethoden uit via verschillende platforms en technieken en zij zijn steeds beter in staat om hun interventies te verbergen. De geïnjecteerde malware misleid de detectiesystemen die de veiligheid van computersystemen moet bewaken. Als de aangevallen computers eenmaal zijn besmet, wordt er een achterdeur open gezet waardoor zij contact zoeken met een website op een command & control server. Daar krijgen de besmette machines gecodeerde opdrachten van de aanvallers. Door gebruik te maken van bepaalde communicatietechnieken —zoals de micro-bloggingdienst Plurk of Twitter— zorgt de malware ervoor dat het lijkt alsof de besmette machines een veel gebruikte en betrouwbare website bezoeken. In het netwerkverkeer ziet de kwaadaardige software er onschuldig uit: zij gedraagt zich netjes en lijkt alleen vriendelijke sites te bezoeken [Stewart 2012].

    In een nieuwe variant van Zeusbot/SpyEye wordt helemaal geen gebruik meer gemaakt van een command-and-control server, waardoor de botnet nog moeilijker is te bestrijden. De Zeusbot/Spyeye variant maakt gebruik van de architectuur van een peer-to-peer netwerk (P2P). Het P2P-netwerk stelt de botnet in staat om actief te blijven en informatie te verzamelen zelfs als delen van het netwerk afgesloten zijn [Lelli 2012].

    Verzwegen hack: Coca-Cola
    De bedrijfsspionage bij Coca Cola was niet bijzonder door de manier waarop de hack werd uitgevoerd, maar door het feit dat deze zolang werd stilgehouden, uit angst dat ontdekking grote schade zou kunnen toebrengen aan de reputatie en beurskoers van het bedrijf.

    In februari 2009 werd Coca-Cola gehackt door een lokmail te sturen naar vice-president Paul Etchells. De mail leek van de CEO te komen en had als onderwerp ‘Save power is save money’. In een periode dat Coca-Cola veel met energiebesparing bezig was, leek dit een belangwekkend bericht. De link in de lokmail schakelde door naar een malafide website. Etchells klikte op de link waardoor zijn computer werd besmet met spyware: er werd een keylogger op zijn machine geïnstalleerd. De aanvallers konden de e-mails lezen die tussen leidinggevenden werden uitgewisseld en kregen door het stelen van wachtwoorden toegang tot geheime documenten op het bedrijfsnetwerk. Meer dan een maand lang werd het computernetwerk van Coca Cola geïnfiltreerd zonder dat iemand iets in de gaten had. In deze periode werden grote hoeveelheden commercieel gevoelige informatie gestolen.

    Alle belangrijke gegevens over een geplande overname van het Chinese bedrijf Huiyuan Juice Group werden gestolen. Dit zou de grootste overname ooit van een Chinees bedrijf zijn, ter waarde van $2,4 miljard. Drie dagen na de ontdekking van de hack werd de bedrijfsovername afgeblazen. Pas drie jaar later werd dit incident bekend. Het vermoeden is dat deze operatie door de Chinese overheid was uitgevoerd, maar daarvan is geen enkele bewijs [Bloomberg, 5.11.12].

    Het feit dat Coca Cola besloot geen ruchtbaarheid te geven aan deze hack onderstreept nog eens de weerzin die ondernemingen hebben om hun beveiligingsfouten toe te geven. Ondanks het feit dat de Amerikaanse SEC (Securities and Exchange Commission) in haar richtlijnen aangeeft dat het in het belang van de bedrijven is om dit wel te doen.

    Index


    Wie steelt wat en waarom?
    Bij elk incident van bedrijfsspionage is de vraag: wie steelt, wat en waarom? Wie zijn de werkelijke bedenkers en uitvoerders van een cyberspionage campagne? Is het een particuliere onderneming die een andere, binnen- of buitenlandse concurrent wil beroven van haar intellectueel eigendom om daarmee marktvoordelen te behalen? Of zijn daar op een of andere manier ook buitenlandse staten bij betrokken die de gestolen kennis, recepten, patenten en fabricageprocedures doorsluizen aan de eigen, binnenlandse ondernemingen? Die vraag is van groot belang bij cyberspionage in de sector van de wapenproductie. Daarbij ligt de dader meestal op het virtuele kerkhof. Zelden wordt duidelijk wie er precies hebben aangevallen, uit welk land zij komen, of in welke mate hun overheden daarbij betrokken zijn. De enige vuistregel die hierbij gehanteerd kan worden is dat criminelen meestal werken met de kleinst mogelijke inspanningen; meer ingewikkelde, meerzijdige en tijd- en geldkostende aanvallen kunnen een indicatie zijn dat er een staat of overheidsinstelling bij de aanval betrokken is.

    Een vergelijkbaar probleem doet zich voor bij de vraag wát er wordt gestolen. Bij cyberspionage is het vaak lastig om vast te stellen welke informatie er precies is gestolen. De informatie wordt immers niet zomaar gestolen (er verdwijnen geen documenten), maar gekopieerd. De informatie is op de plek van oorsprong niet verdwenen. Zelfs al heeft men een duidelijk idee naar welke gevoelige informatie de hackers op zoek waren, dan weet men na een geslaagde aanval niet precies welke onderdelen daarvan daadwerkelijk vervreemd zijn.

    Zolang het onduidelijk of niet zeker is wie er achter een ontdekt geval van cyberspionage schuil gaan en welke informatie is gestolen, blijft het speculeren over wat het doel van de aanval was. Waarom werd er zoveel energie besteed aan het binnen dringen van het netwerk van die specifieke onderneming?

    Meestal is het echter niet moeilijk om te raden waar cyberspionnen op uit zijn. Vaak zijn dat de bedrijfsgeheimen die een onderneming in staat stellen om succesvol op de wereldmarkt te opereren (gepatenteerde producten, fabricageprocedures, productontwerpen, recepten e.d.). Soms gaat het om specifiek conjuncturele informatie zoals offertes voor zeer grote orders. Heel vaak gaat het om het verwerven van illegale toegang tot de financiële bronnen van een onderneming. In de meest kritieke gevallen gaat het om bedrijfsgeheimen die een grote politiek-strategische waarde hebben, zoals bouwtekenen en constructieplannen voor onderzeeërs, jachtvliegtuigen, raketsystemen en kerncentrales. In de organisatie van cyberspionage op deze gebieden spelen nationale overheden of afzonderlijke overheidsinstellingen bijna altijd een —goed verborgen en altijd publiekelijk ontkende— rol.

    Index


    The China Connection
    Publiekelijk zijn Westerse autoriteiten vaak terughoudend om China aan te wijzen als kwade genius achter cyberaanvallen op bedrijven en overheidsinstellingen. Uit de via Wikileaks uitgelekte ambtsberichten van Amerikaanse diplomaten blijkt dat zij China zonder meer als grote boosdoener van cyberspionage beschouwen [Webwereld, 5.12.10].

    Volgens de Amerikaanse diplomaten in Peking zat het politbureau van de Chinese Communistische Partij achter de cyberaanval op Google in 2009. De aanval zou zijn geïnitieerd door een boze Chinese partijbons, Li Changchun. Hij zou zich zo geërgerd hebben aan wat hij op Google aan kritiek op zichzelf tegenkwam, dat hij alles in het werk stelde om Google te straffen. Dit leidde tot een infiltratie van het netwerk van Google en het uiteindelijke vertrek van het internetbedrijf uit China. De aanval op Google zou onder toezicht van twee leden van het politbureau zijn gecoördineerd [The Guardian, 4.12.10; New York Times, 4.12.10].

    Let’s make it personal
    In juni 2007 werd de computer van de Amerikaanse minister van defensie Robert Gates gekraakt. Deze aanval werd toegeschreven aan het Chinese volksbevrijdingsleger. “It got personal at that point”, schreef Martin Libicki [2009]. Tegelijkertijd begonnen andere Westerse naties openlijk over het geval van Chinese spionageactiviteiten te spreken.

    Merkel en Jiabao.
    Angela Merkel en Wen Jiabao tijdens
    de persconferentie op 27.8.11.
    In augustus 2007 confronteerde de Duitse premier Angela Merkel de Chinese premier Wen Jiabao met het feit dat hackers uit zijn land toegang hadden gekregen tot de computers van haar kantoor en van een aantal cruciale ministeries. De Trojaanse spionageprogramma’s waren verborgen in Word documenten en PowerPoint bestanden. Zodra zij werden geopend nestelden deze zich in de computers [Der Spiegel, 27.8.07]. Merkel riep China op om zich aan de internationale spelregels te houden en het intellectueel eigendom te respecteren. Jiabao verklaarde: “De bestrijding van hackers is een taak waarvoor de wereldgemeenschap gemeenschappelijk staat“ [FAZ, 27.8.07].

    In december 2007 stuurde de algemene directeur van MI5 een vertrouwelijke brief naar 300 directeuren van Britse bedrijven en beveiligingsinstellingen waarin hij hen waarschuwde dat hun computersystemen bespioneerd zouden kunnen worden door organisaties die door Chinese overheid worden gesteund [BBC, 2.12.07; The Register, 3.12.07]. Vijf jaar later werd deze waarschuwing nog eens herhaald. Het hoofd van de Engelse inlichtingendienst, Jonathan Evans, verklaarde dat MI5 strijd voert tegen verbazingwekkend hoge niveaus van cyberaanvallen op de Britse industrie. “De kwetsbaarheden van het internet worden aggressief geëxploiteerd, niet alleen door criminelen, maar ook door staten. (...) Het is een bedreiging voor de integriteit, vertrouwelijkheid en beschikbaarheid van overheidsinformatie, maar ook voor bedrijven en academische instellingen. Wat op het spel staat is zijn niet alleen onze staatgeheimen, maar ook de veiligheid en betrouwbaarheid van onze infrastructuur, het intellectueel eigendom dat ons toekomstige scucces schraagt en commercieel gevoelige informatie” [BBC, 25.6.12].

    In een van de via Wikileaks uitgelekte telegrammen waarschuwt de Cyber Threat Analysis Division (CTAD) van het Amerikaanse ministerie van Buitenlandse Zaken nadrukkelijk voor het Chinese gevaar.

    Sinds 2003 beschikt Peking officieel over een licentie op de broncode van Windows (het kroonjuweel van het intellectueel bedrijfseigendom). Die kennis wordt volgens de CTAD doorgespeeld aan het leger en ingehuurde hackers om cyberaanvallen uit te voeren. Een aantal Chinese beveiligingsbedrijven heeft zeer nauwe banden met de regering en het leger, en beschikt ook officieel over delen van de Windows-broncode. Tegelijkertijd huren deze bedrijven cybercriminelen in om te hacken en malware te schrijven.

    Hei Weidong 
    Hei Weidong is oprichter en directeur van TOPSEC en iTrusChina. Hij erkent dat TOPSEC door de Chinese overheid wordt gesteund. De helft van het opstartkapitaal kwam van de Chinese regering.
    Drie bedrijven beschikken over delen van de broncode Microsoft: TOPSEC, iTrusChina en Venus Tech. Alle drie hebben de status van CNITSEC (China Information Technology Security Center). Dit is een aan de staat gelieerd onderzoeksinstituut op het gebied van computer- en netwerkbeveiliging.

    China kreeg als een van de eerste landen dit privilege. Dat gebeurde tijdens een officiële ceremonie met Microsoft-oprichter Bill Gates en de toenmalige Chinese president Jiang Zemin. In dit Government Security Program geeft Microsoft overheden inzage in belangrijke delen van de broncode van onder meer Windows. Ruim 60 overheden hebben deze speciale status.

    Gates was destijds blij met de overeenkomst: “Als een vertrouwde partij van de overheid, zijn we toegewijd om de Chinese overheid van informatie te voorzien die hen helpt om veilige computerinfrastructuren op te zetten en te beheren. We zien deze overeenkomst als een belangrijke stap vooruit in de relaties tussen Microsoft en de Chinese overheid” [Microsoft News Center, 28.2.03].

    Maar het cybersurveillanceteam (CTAD) van Buitenlandse Zaken in Washington concludeert in 2009 dat deze kennis hoogstwaarschijnlijk is doorgespeeld aan private hackers en legerofficieren om een ondergrondse cyberoorlog te kunnen voeren. De Chinese overheid is nauw verbonden met de topbedrijven van haar ‘particuliere sector’. Zij gebruikt deze ondernemingen om haar doelstellingen van de cyberoorlog te ondersteunen.

    TOPSEC is China’s grootste provider van producten en diensten voor informatiebeveiliging. Het levert diensten en trainingen aan het leger en rekruteert zelf hackers. Zo huurde TOPSEC de bekende Chinese hacker Lin Yong in ten tijde dat het de licentie op de Windows-broncode bemachtigde. Niet lang daarna gaf TOPSEC een uitgebreide training in netwerkbeveiliging aan Yang Hua, een legerofficier die gespecialiseerd in informatievergaring.

    Lin Yong

    Lin Yong
    Oprichter en leider van de Honker Union of China
    Lin Yong (alias «Lion») is oprichter van de hactivistische groep: Honker Union of China. Hij werd door TOPSEC ingehuurd als om leiding te geven aan beveiligingsdiensten en trainingen. Het door Yong bedachte woord honker (letterlijk: rode gast) dook voor het eerst op in 1999 toen de NAVO de Chinese ambassade in Belgrado bombardeerde. De honkers combineerden hun technische hackvaardigheden met patriottisme en nationalisme. Zij lanceerden talloze aanvallen op websites die meestal aan de Amerikaanse overheid waren gelieerd. De Honker Union werd gebruikt als een proxy force wanneer de politieke doeleinden van de Chinese regering samenvallen met het nationalistische sentiment van de groep [Walton 2008].

    Tegenwoordig is de groep gefuseerd met de Red Hacker Alliance. Deze informele groep Chinese hackers is een van de grootste ter wereld. Eind 2000 had de groep bijna 80.000 geregistreerde leden [Xinhuanet, 26.4.05]. Het netwerk van de nationalistische hackers bestaat uit een groot aantal onafhankelijke websites die direct met elkaar verbonden zijn. De individuele sites leren hun leden hoe zij computers kunnen aanvallen en met inbraaktechnieken informatie kunnen verzamelen. Leden van Red Hacker Alliance waren betrokken in een geplande DDoS-aanval op CNN op 19 april 2008 [InformationWeek, 18.4.08; CNN Tech, 18.4.08].

    Opera masker van Jiang Wei Scott Henderson, een militaire analist van Foreign Military Studies Office van het Amerikaanse leger in Fort Leavenworth (Kansas), suggereert dat de ShadyRat-aanval op RSA door leden van de Red Hacker Alliance is gelanceerd [The Dark Visitor].De Red Hacker Alliantie begeleidt haar leden bij het lanceren van gecoördineerde aanvallen tegen buitenlandse regeringen en instellingen om ervaren onrechtvaardigheid jegens hun natie te pareren. Monetaire motivaties zijn tegenwoordig even belangrijk als patriottische passie.

    Een ding lijkt duidelijk: Chinese hackers zijn de meeste actieve en volhardende van de hele wereld op het gebied van economische spionage.

    Venus Tech is een ander bedrijf met CNITSEC-status die beschikte over de Windows-broncode. Het bedrijf maakt gebruik van de diensten van XFocus. Dat is een Chinese hackersgroep die verantwoordelijk was voor de constructie van de beruchte Blaster Worm malware medio 2003 [ComputerWorld, 6.12.10].

    Blaster (2003)
    De Blaster-worm (ook wel bekent als de DCOM worm of Lovsan) verspreide zich in augustus 2003 razendsnel. Binnen een dag waren er meer dan 30.000 computers besmet. In totaal werden er 386.000 tot 1,2 miljoen computers besmet (de schattingen lopen uiteen). De worm maakte gebruik van poort 135 van de kwetsbare systemen Windows XP, NT en 2000 om zich te vermenigvuldigen (voorgaande wormen verspreidden zich via mailprogramma’s).

    De worm was zo geprogrammeerd dat alle besmette computers op 16 augustus 2003 een gecoördineerde denial-of-service aanval zouden uitvoeren op de Windows Update-site. De aanval kon worden afgeslagen door een patch van Microsoft en afweermaatregelen van providers. Maar Microsoft moest wel haar Windowsupdate.com uit de lucht halen en gebruikers naar een ander adres verwijzen. De tijd tussen de eerste besmettingen met Blaster en het moment waarop de DDoS-aanval op het adres Windowsupdate.com begon was (voor de makers van de worm) te lang om succesvol te zijn. In die tijd kon het lek worden gedicht en beschermingsmaatregelen worden genomen.

    Microsoft koos voor een oplossing die in juli 2001 werd toegepast om de Code Red worm onschadelijk te maken. Machines die met Code Red waren geïnfecteerd, zouden op een van tevoren bepaalde datum een DDoS-aanval uitvoeren op het ip-adres van Whitehouse.gov, de officiële site van het Witte Huis. De beheerders van Whitehouse.gov verplaatsten de site naar een ander ip-adres en blokkeerden het oorspronkelijke ip-adres. Op die manier werd de aanval afgeslagen en kon het Witte Huis zonder noemenswaardige problemen online blijven.

    Jeffrey Lee Parson
    Jeffrey Lee Parson
    In januari 2005 werd de Amerikaanse teenager Jeffrey Lee Parson uit Hopkin (Minnesota) veroordeeld tot 18 maanden gevangenisstraf voor het maken van een variant van Blaster: de W32.Blaster-B worm. Een paar dagen na de oorspronkelijke Blaster-aanval besmette zijn worm 48.000 computers. Tijdens zijn verhoor noemde Jeffrey ook XFocus als de groep die een Windows patch gebruikte (met reverse-engineering) om de oorspronkelijke worm te bouwen.

    Toen Jeffrey zijn worm de wereld instuurde was hij 18 jaar oud, woog bij meer dan 150 kilo en had hij al een mentale ziektegeschiedenis achter zich. Hij was een labiele jongen die betrokken raakte in een spel dat veel grotere gevolgen heeft dan hij zich ooit kon voorstellen [NBCNews, 2.9.03]. Het oordeel van de rechter was hard en mateloos overdreven: “Je hebt iets vreselijks gedaan. Afgezien van het feit dat je mensen en hun computers hebt beschadigd, heb je het fundament van de technologie aan het wankelen gebracht” [Infoworld, 28.1.05]. De rechtbank wilde met haar veroordeling een voorbeeld stellen en anderen ontmoedigen om schadelijke software te maken en te verspreiden.

    De conclusie van het Amerikaanse cybersurveillanceteam (CTAD) is duidelijk: “Alhoewel de verwevenheid tussen de Chinese staat en enkele topbedrijven bekend is, illustreren deze gevallen het gebruik van de ‘private sector’ door de staat ter ondersteuning van doelen in de informatie-oorlog, specifiek het vergaren, verwerken en exploiteren van informatie” [The Guardian, 4.12.10].

    Een Chinese woordvoerder van het ministerie van Defensie verklaarde in mei 2011 dat China juist slachtoffer is van cyberaanvallen en dat de cybermilities juist zijn gevormd om “de internetbeveiliging van het leger te bewaken.” Die slachtofferrol werd eveneens gespeeld nadat het land werd beschuldigd van de Google-hack in het begin van 2010.

    In mei 2011 publiceerde het Chinese leger echter ook een rapport in het blad van de Academy of Military Sciences waarin de vorming van een cyberleger werd besproken dat informatie moet stelen, veranderen en wissen op vijandelijke netwerken [Hille 2011].

    In China zijn talloze cybermilitia actief onder de dekmantel van ‘beveiligingsafdeling’ van diverse Chinese technologiebedrijven. Deze hackercellen worden direct of indirect aangestuurd door het leger of andere Chinese overheidsinstellingen [Webwereld, 15.10.11].

    Het Chinese leger verplicht technologie- en telecombedrijven om personeelsleden af te staan voor een cybermilitie. Duizenden bedrijven zouden op die manier personeel leveren dat wordt ingezet voor een cyberspionage en cyberoorlog. Een voorbeeld daarvan is het Chinese bedrijf Nanhou. Volgens Kathrin Hille [Financial Times, 12.10.11] is er in dit bedrijf op bevel van het Chinese leger een eenheid ingericht die wordt ingezet voor de cyberoorlog. Volgens de vicepresident van het bedrijf behoren alle personeelsleden onder de 30 jaar tot deze eenheid. Door het hele land zijn dergelijke cybermilities opgezet. Zij bestaan uit twee groepen: een voor de aanval en een voor de verdediging. De cybereenheden zijn gevormd bij technologiebedrijven (zoals Nanhou) en universiteiten.

    Spionnen in je auto
    In 2012 werd bekend dat Sinds 2007 plaatsen Chinese autoriteiten in Shenzhen “inspection and quarantaine cards” in tienduizenden voertuigen met een dubbel (Chinees en Hong Kong) kenteken om auto’s die de grens passeren te kunnen volgen. Toen dit in 2012 bekend werd, veroorzaakte dit enige opwinding. Volgens de Apple Daily zijn deze apparaten tot veel meer in staat en kunnen ze ook gebruikt kunnen worden voor afluisteren [You Tube: Chinese Spy Device in Hong Kong Cars].

    De Chinese autoriteiten kunnen hierdoor de conversaties van reizigers in Hong Kong afluisteren. Smokkelaars waren de eersten die door kregen dat er iets aan de hand was. Zij vonden het vreemd dat de grensbewakers nauwkeurig in staat waren om auto’s te traceren die gebruikt werden voor het smokkelen van goederen. Een Chinese smokkelaar zei: “For every ten cars we ran we only had [smuggled goods] in three or four to reduce the risk, but the border agents caught all of them. The accuracy was unreal!” [The Epoch Times, 12.6.11].

    De autoriteiten van Shenzhen ontkenden de beschuldigingen, maar reizigers in Hong Kong waren hierdoor niet gerust gesteld. Zij vrezen ook te worden afgeluisterd als zij privézaken bespreken tijdens hun reizen tussen Hong Kong en China [CyberIntelligence Center, 27.6.12].

    Sinds 2004 onderzocht het Amerikaanse beveiligingsbedrijf Mandiant computerinbraken in honderden organisaties over de hele wereld. In januari 2010 concludeerde zij dat de Chinese overheid deze Advanced Persistent Threat (APT) geautoriseerd zou kunnen hebben, maar dat het onmogelijk is om de mate van betrokkenheid vast te stellen. Na een zeer gedetailleerde studie (APT1: Exposing One of China’s Cyber Espionage Units) van honderden incidenten werd in februari 2013 een andere conclusie getrokken: de groepen die deze aanvallen uitoefenen zijn primair gebaseerd in China en de Chinese overheid is zich daarvan bewust.

    De zeer effectieve en wijdverbreide cyberoperaties werden uitgevoerd door een eenheid van het Chinese leger: «Unit 61398». De cyberspionage verloopt langs vier grote netwerken in Shanghai, waarvan er twee direct gelokaliseerd zijn in de Pudong New Area. In dat gebied van Shanghai is ook Unit 61396 gehuisvest in een gebouw van 12 verdiepingen dat begin 2007 werd gebouwd. Het nationale telecombedrijf heeft speciale glasvezelverbinden aangelegd naar dit gebouw in Datongstraat 208.

    Amerikaanse inlichtingendiensten houden de activiteiten van deze Chinese cybereenheid al jaren in de gaten [New York Times, 18.2.13]. De Amerikaanse regering besloot om met internetproviders en antivirus-verkopers informatie te delen over de unieke handtekeningen van de grootste Chinese spionagegroepen. Het gevolg zal zijn dat de computers van de Chinese hackers geen toegang meer krijgen tot Amerikaanse netwerken [New York Times, 19.2.13].


    Cyberattack Scam, van Li Feng
    De —inmiddels tot standaard geworden— reactie van de Chinese overheid was dat alle beschuldigingen “onverantwoordelijk” en “onprofessioneel” zijn. “China is resoluut tegen hacking acties en heeft relevante wetten en regels opgesteld en strafrechtelijke maatregelen genomen tegen online hacking”, verklaarde Hong Lei, woordvoerder van het Chinese Ministerie voor Buitenlandse Zaken [Xinhuanet, 19.2.13; ChinaDaily, 21.2.13]. Militaire woordvoeders ontkenden zelfs dat China militairen heeft die zich met cyberoorlogsvoering bezig houden [ChinaDaily, 28.2.13].

    De Amerikaanse FBI had op 19 mei 2014 voldoende onderzoek gedaan naar diefstal van bedrijfsgeheimen door het Chinese leger om vijf met name genoemde Chinese legerofficieren officieel aan te klagen. Zij werden beschuldigd van economische spionage van vijf Amerikaanse hightech bedrijven op het gebied van nucleaire energie, metalen en zonnepanelen. Alle aangeklaagden waren lid van Unit 61398 van de derde afdeling van het Chinese leger [FBI, 19.5.14; Time, 19.5.14; Bloomberg 19.5.14]. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu en Gu Chunhui opereerden net als alle andere hackers onder prozaïsche schuilnamen: UglyGorilla, Jack Sun, WinXYHappy, hzy_lhx en KandyGoo [Indictment, 1.5.14]. Maar anders dan de meeste hobbyhackers hielden zij zich aan een punctueel werkschema: van ’s ochtends 8 uur tot ’s avonds 6 uur, met een pause van 2 uur. In de weekenden werd zelden gewerkt. De operaties van de Chinese militaire hackers waren duidelijk gestructureerd in termen van kwalificaties en functie. Sommige leden schrijven code en ontwerpen middelen om in netwerken in te breken, anderen identificeren de doelwitten en de informatie waarnaar zij op zoek zijn en weer anderen spelen een strategische rol in het hele proces. Het voetvolk in de frontlinie zijn de operators die de instrumenten en doelwitten gebruiken om in de netwerken in te breken en gegevens te verzamelen [FireEye 20.5.14; Bloomberg 2.5.14].

    De Chinese regering ontkende op enigerlei wijze betrokken te zijn bij deze economische spionage, noemde de beschuldiging ‘absurd’7 en waarschuwde dat de aanklachten de betrekkingen met de Verenigde Staten zouden schaden.

    Index


    Huawei en ZTE
    Op 6 oktober 2012 publiceerden twee invloedrijke Amerikaanse congresleden (de republikein Mike Rogers en de democraat Dutch Ruppersberger) een rapport waarin de groei van Chinese telecombedrijven Huawei en ZTE werd afgeschilderd als een bedreiging voor de veiligheid van telecommunicaties. Deze bedrijven zouden in hun netwerkapparatuur achterdeurtjes hebben ingebouwd voor spionageactiviteiten. De op deze manier verworven vertrouwelijke gegevens zouden naar de Chinese overheid worden doorgespeeld.

    De twee congresleden adviseerden Amerikaanse bedrijven niet meer samen te werken met Chinese netwerkleveranciers die gevaarlijke achterdeurtjes ingebouwen in hun producten [Electronista, 6.10.12]. In het actualiteitenprogramma van de NBC 60 Minutes verklaarde de voorzitter van de inlichtingencommissie Mike Rogers: “Als je het intellectueel eigendom, de privacy van je klanten en de nationale veiligheid van Amerika ter harte gaat, zoek dan een andere leverancier.” President Obama was echter niet overtuigd van van de betrouwbaarheid van de verdenking van spionage [ChinaDaily, 11.5.2011] However, a subsequent White House-ordered review found no concrete evidence to support the House report's espionage allegations.

    Digitaal imperium

    Ren Zhengfei, oprichter van Huawei. Ook wel de Chinese versie van Steve Jobs genoemd.
    Huawei is een wereldreus. Het fabriceert apparaten die de ruggegraad van het internet vormen, het legt onderzeese kabels aan van Azië tot Afrika en is na Samsung en Apple de derde grote producent van mobiele telefoon. Het bedrijf maakt niet alleen smartphones en tablets, maar ook de infrastructuur van mobiele telefonie, WLAN router en glasvezelkabel. Al deze technologie is cruciaal vor de strijd om de datasuprematie. Van haar bijna 150.000 werknemers werkt bij de helft in onderzoek en ontwikkeling [Huawei 2010]. De routers van Huawei worden vooral gebruikt in Azië, Afrika en het Midden Oosten. Maar omdat de routers goedkoop zijn, worden ze in toenemende mate ook in andere werelddelen verkocht.

    De oprichter van Huawei is Ren Zhengfei. In de jaren ’70 begon hij zijn loopbaan als ingenieur in het Chinese leger bij de afdeling informatietechnologie. Hij werd aanvankelijk geweigerd als lid van de Communistische partij, maar werd in 1978 wel geaccepteerd en acteerde als gedelegeerde van het 12e nationale congres. In 1987 startte hij met 3.000 dollar zijn bedrijf en groeide uit tot machtige ondernemer van een digitaal imperium dat veel concurrenten te slim af was. De belangrijkste Amerikaanse concurrent van Huawei is Cisco.

    Zowel Huawei als ZTE ontkenden dat ze heimelijke werkten voor de Chinese overheid. Huawei is een commercieel bedrijf met 70 procent van haar omzet buiten China. “Huawei gaat dat commerciële succes niet in gevaar brengen voor welke overheid dan ook.” Maar voor het Amerikaanse Congres lagen de verdenkingen keihard op tafel (zie voor eerdere beschuldigingen: Xinhuanet, 2.9.10). De Chinese overheid kwalificeerde het rapport van het Huis van Afgevaardigde als een ‘heksenjacht’ op de Chinese bedrijven. Het rapport zou gebaseerd zijn op “subjectieve verdachtmakingen en onjuistheden” [Computerworld, 9.10.12].

    De bedrijven Huawei en ZTE werden nauwkeurig onder de loep genomen [FT, 25.5.12]. Het EU onderzoek naar de Chinese bedrijven wordt niet gesteund door de telecom-giganten in Europa. Zij zijn bang dat dit hun positie in de lucratieve en groeiende Chinese markt ondermijnt.
    Ook in Europa werden deze verdenkingen naar voren gebracht. In 2010 stelde eurocommissaris Karel de Gucht een onderzoek zou in naar vermeende illegale subsidies aan Huawei en ZTE. De Chinese fabrikanten van mobiele apparatuur zouden profiteren van illegale overheidssubsidies en hun producten in de EU onder de kostprijs verkopen. Als blijkt dat deze beschuldigen waar zijn, kan de EU importheffingen opleggen om Europese producenten van mobiele netwerkapparatuur te beschermen. De Chinese overheid is woedend over onderzoek van de EU naar vermeende illegale subsidies aan de twee telecombedrijven en dreigt met sancties tegen de Europese landbouw, telecomsector, autobouwers en producenten van hernieuwbare energie (zonnecellen).

    Het Amerikaanse Congres kritiseert de invloed die de Chinese overheid op de telecombedijven heeft: de Chinese overheid vertelt hen wat ze moeten doen en zij doen het, is de leuze. In de kritiek van de EU ligt de nadruk op de oneerlijke concurrentie: Chinese fabrikanten van mobiele apparatuur profiteren van illegale overheidssubsidies. De EU commissaris voor handel zegt over “erg solide bewijs” te beschikken dat Chinese bedrijven profiteren van illegale overheidssubsidies en dat zij in de EU producten verkopen onder de kostprijs (d.w.z. dumpen).

    150
    Hoofdkwartier van ZTE in Shenzhen in de provincie Guangdong.
    Bron: Reuters/Tyrone Siu.
    Op de wereldmarkt voor smartphones neemt ZTE inmiddels de vijfde plaats in [IDC, 26.6.12]. In haar op Android draaiende smartphone Score (en waarschijnlijk ook in andere modellen zoals Skate) was een achterdeur ingebouwd [Electronista, 18.5.12]. De eerste berichten daarover verschenen in pastebin.com. In de telefoons van ZTE was stiekem een hardwired wachtwoord ingebouwd dat iedereen die daar kennis van heeft in staat stelt om toegang te krijgen tot het apparaat. ZTE erkende dit en beloofde de fout onmiddellijk te corrigeren [Reuters, 18.5.12].

    In reactie op de kritiek uit het Amerikaanse congres besloot ZTE haar bedrijfstak die afluisterapparatuur voor overheden en opsporingsdiensten produceert te verkopen. Daar werden producten gemaakt die aan overheden werden verkocht om wachtwoorden van populaire e-maildiensten (Yahoo! en Google) te detecteren, internetverkeer te filteren, telefoongesprekken te tappen en onderschepte data te ordenen. ZTE leverde aan het grootste telecombedrijf in Iran krachtige surveillancesystemen waarmee vaste, mobiele en internetcommunicaties kunnen worden afgeluisterd [Reuters, 16.10.12]. ZTE beloofde dat het zijn leveringen aan Iran zou minderen.

    In een door het Witte Huis ingesteld onderzoek dat anderhalf jaar in beslag nam werd uiteindelijk geen enkel bewijs gevonden voor de betrokkenheid van Huawei en ZTE bij spionageactiviteiten vanuit China. Wel werd vastgesteld dat de netwerkapparatuur van Huawei slecht geprogrammeerd is, waardoor zij nogal kwetsbaar zijn voor hackers — veel kwetsbaarder dan de routers van Cisco [Reuters, 18.10.12]. Volgens de Duitse onderzoeker Felix Lindner zijn de netwerkrouters van Huawei door een buffer overflow-lek gevaarlijk makkelijk over te nemen — wat beveiliging betreft het slechtste dat hij ooit gezien had [Defcon, 26-29.7.12; Cnet, 30.7.12; Webwereld, 1.8.12]. Wie kan inbreken op een router kan alles controleren: de communicatie tussen mensen kan niet alleen worden afgeluisterd maar ook gemanipuleerd.

    Het Amerikaanse Congres stelde in maart 2013 een aantal maatregelen voor die die moesten voorkomen dat overheidsinstellingen zomaar Chinese hard- en softwareproducten aanschaffen. Informatietechnologie en telecommunicatieapparatuur mag door overheidsinstellingen niet meer worden gekocht van Chinese leveranciers die eigendom zijn, bestuurd worden of financieel ondersteund worden door de Volksrepubliek China. Alleen wanner in overleg met de FBI wordt vastgesteld dat de aanschaf in het nationaal belang van de VS is, mag van deze regel worden afgeweken [Baker, 25.3.13].

    KPN en staatsveiligheid
    Ook in Nederland begonnen politici zich zorgen te maken over de samenwerking tussen KPN en zijn Chinese leveranciers van netwerkapparatuur ZTE en Huawei. Zij vroegen de regering of dit geen gevaar voor de staatsveiligheid was. “Als de Amerikanen waarschuwen voor zo’n bedrijf, moet de Nederlandse overheid hiernaar kijken” [Han ten Broeke, VVD].

    KPN en Huawei
    De bazen van KPN en Huawei tekenen met enig ceremonieel vertoon op 8 juni 2012 het contract.
    KPN gebruikt al enige jaren netwerkapparatuur van Huawei en modems van ZTE. In 2008 liet de KPN haar oog op Huawei vallen als leverancier voor haar UMTS- en DWDM-glasvezelnetwerk. Huawei kreeg de opdracht om de legacysystemen bij haar dochter Telfort te vervangen. In juni 2012 sloot KPN een deal met Huawei waarbij een deel van de verouderde legacysystemen werd vervangen. Via deze systemen worden onder meer post- en prepaiddiensten aan klanten uitgeleverd, maar ook zakelijke diensten.

    De Tweede Kamer kreeg echter nul op rekest. KPN weigert uitspraken te doen over haar implementatie van Huawei-producten. Ze acht zich gehouden, aan een geheimhoudingsverplichting met de netwerkleverancier. Het enige wat KPN los wilde laten wes dat er strikte afspraken waren gemaakt over de beveiliging.

    De Amerikaanse overheid beschuldigde de Chinese telecommunicatiegigant Huawei ervan dat zij achterdeurtjes in haar apparaten inbouwde om bedrijfs- en overheidsgeheimen te stelen. Maar in maart 2014 bleek uit een geheim document dat de NSA zelf sinds 2010 haar eigen achterdeurtjes inbouwde in de netwerken van Huawei [NYT, 23.3.14; Der Spiegel, 23.3.14].

    Een van de doelen van deze operatie —met codenaam «Shotgiant»— was om verbindingen op te sporen tussen Huawei en het Chinese leger. De NSA wist toegang te krijgen tot de servers van het hoofdkwartier van Huawei in Shenshen. Hierdoor kreeg de NSA informatie over de werking van de routers en complexe digitale schakelaars van Huawei, en kon zij de communicatie afluisteren van de topfunctionarissen van het bedrijf. Bovendien kreeg zij inzicht in de geheimde broncode van alle producten van Huawei. Met al deze informatie kon de NSA op de computer- en telefoonnetwerken van Huawai surveilleren en daarop indien nodig offensieve cyberoperaties uitvoeren.

    Omdat veel van haar doelwitten gebruik maken van producten die door Huawei worden geproduceerd, wilde de NSA zich ervan verzekeren dat zij deze producten kon exploiteren. De NSA gebruikte deze inbraak op Huawei-producten om meer dan 20 Chinese hackerscollectieven —waarvan de helft Chinese legereenheden is— op te sporen en te bespioneren.

    De ironie van de situatie is dat de Amerikaanse inlichtingendiensten precies hetzelfde doen als waarvan zij de Chinese overheid al jarenlang beschuldigt. Het gevolg is dat Huawei van de Amerikaanse markt wordt verdreven, met een misplaatst beroep op nationale veiligheid. In eigen land worden telecommunicatiebedrijven als AT&T en Verizon gedwongen om vertrouwelijke informatie over hun netwerken te onthullen om op jacht te gaan naar Chinese cyberspionage.

    Index


    Spioneren in de wolken
    Het midden- en kleinbedrijf is minder goed beveiligd dan grote ondernemingen. Ze hebben te weinig middelen om een degelijke bescherming van computers en bedrijfsnetwerken op te bouwen. Juist daarom zijn kleine en middenbedrijven die zich bezighouden met onderzoek en ontwikkeling uitgelezen doelen voor cyberspionnen. Zij zijn een gemakkelijke prooi waarbij tegen geringe kosten vaak genoeg interessante en bruikbare informatie gestolen kan worden. Kleine en middenbedrijven gebruiken vaak dezelfde computersystemen en bedrijfsnetwerken en dezelfde beveiligingssystemen. Als de zwakheden en achterdeurtjes eenmaal zijn gevonden kan een spionageaanval op veel andere plaatsen worden herhaald.

    Duitse studies hebben laten zien dat meer dan 3/4 van alle cyberspionnen juist dergelijke kleine en middenondernemingen in het vizier hebben en dat de aanvallen ook met vermeende statelijke achtergrond worden opgezet [Gaycken 2012:114]. Zeer vaak worden spionagenetwerken ontdekt die in meerdere bedrijfssectoren en staten op gelijksoortige wijze opereren. Zoals we eerder gezien hebben vergroot dat weer het risico van ontdekking en daarmee de inefficiëntie van hetzelfde aanvalsscenario op andere plekken.


    We zijn in de wolken.
    Een van de mogelijkheden die vooral voor het midden- en kleinbedrijf attractief lijkt is cloud computing. Cloud computing is een nieuwe vorm van uitbesteding van IT. De opslag van gegevens, het gebruik van programma’s, de reken- en netwerkcapaciteiten worden gehuurd bij wolkaanbieders. Door deze uitbesteding hebben ondernemingen geen eigen afdeling meer nodig die verantwoordelijk is voor beheer en beveiliging van informatie- en communicatietechnologie. Of zij kunnen volstaan met een veel kleinere IT-afdeling. Op die manier kunnen arbeidsplaatsen worden bespaard.

    Werken in de wolken
    Cloud computing is een op internet (de ‘wolk’) gebaseerd model van systeemarchitectuur, waarbij vooral gebruik wordt gemaakt van Software as a Service (SaaS), Platform as a Service (PaaS), en Infrastructure as a Service (IaaS). Wolkvoorzieningen zijn een gemeenschappelijk depot van gevirtualiseerde computerdiensten waarmee gebruikers toegang te krijgen tot programma’s en data in een webgebaseerde omgeving. Zolang de gebruiker toegang heeft tot het internet is de wolkdienst altijd beschikbaar — zonder tussenkomst van derden.

    De wolkomgeving groeit mee of krimpt in al naar gelang de behoeften van de gebruiker en is dus volledig schaalbaar. Bovendien wordt alleen betaald voor feitelijk gebruik van de wolkdiensten (pay for use). Door centralisatie van virtuele infrastructuren kan een directe kostenbesparing van 15 tot 20% worden bereikt ten opzicht van traditionele oplossingen. De virtualisatie van de eigen infrastructuren biedt een beveiligde oplossing voor gedistribueerd telewerken.

    Het meest bekende type wolkmodel is de publieke wolk. In dit model biedt de wolkprovider voor bedrijven en particulieren alle applicaties, dataopslag en infrastructuur via het internet aan. De programma’s en data zijn voor personeelsleden vanaf diverse locaties toegankelijk, ongeacht de hardware platforms die zij gebruiken. Alle informatie en alle software staan volledig op de servers van de externe dienstverlener. Voor alle afnemers wordt een generieke functionaliteit aangeboden.

    Het tweede type wolkmodel is de particuliere wolk. In dit model opereert de it-afdeling van een organisatie als de leverancier van diensten voor interne bedrijfsklanten. Alles wordt intern opgeslagen en beheerd, waarbij alleen de backups van data extern worden opgeslagen. Dit model is populair bij bedrijven die meer controle willen houden over hun infrastructuur en die meer vertrouwen hebben in hun interne it-afdelingen dan in een externe voorziening. De verantwoordelijkheid voor het onderhoud van de particuliere wolk ligt bij een professionele leverancier van ict-diensten. De fysieke locatie van de componenten van de ic-infrastructuur kan zowel een wolkleverancier zijn als de organisatie zelf.

    In het derde model, de hybride wolk, convergeren de publieke en de particuliere wolk, terwijl ze tegelijkertijd effectief gescheiden blijven. Daarbij wordt bijvoorbeeld een externe opslagwolk gebruikt voor het archiveren van bestanden die niet meer actief gebruikt worden, terwijl de actuele financiële informatie op een interne wolk wordt opgeslagen waardoor de veiligheid strakker en veiliger beheerd kan worden.

    Een goed beveiligde informatiewolk kan voor ondernemingen een relatief beveiligingsvoordeel opleveren. Grote aanbieders van wolkdiensten bieden vaak een hoogwaardige it-beveiliging die veel ondernemingen zich niet kunnen veroorloven. Vanuit de optiek van cyberspionage kleven er echter ook een paar zwakke punten aan het ‘gewolk’:

    • Ten eerste moeten kleine, midden- en grote ondernemers veel vertrouwen stellen in een specifieke aanbieder van de wolkvoorziening (cloud providers). De meeste directeuren en managers kunnen immers niet echt goed beoordelen hoe sterk en betrouwbaar de beveiligingsmaatregelen van deze aanbieder (die vaak aan de andere kant van de aardbol is gevestigd) werkelijk zijn en of de meer of minder vertrouwelijke informatie ook werkelijk op de aangegeven wijze wordt opgeslagen, beschermd en niet aan derden verkocht.

      Wanneer een wolkleverancier geen gebruik maakt van standaardtechnologieën en -oplossingen dan is het moeilijk vast te stellen of deze wel voldoet aan de gestelde beveiligingseisen. Wolkleveranciers die andere technologieën, strategieën, methoden en oplossingen aanbieden, zijn daarom niet per definitie slechter. De eigenaar van systemen en processen kan zijn verantwoordelijkheden op het gebied van beveiliging delegeren aan de wolkleverancier. Maar uiteindelijk blijft de eigenaar zelf verantwoordelijk voor de beveiliging van zijn ondernemingsbronnen en moet hij/zij in staat zijn om vast te stellen of de gedelegeerde verantwoordelijkheid op adequate wijze is ingevuld [NCSC 2012:27].

      Het uitbesteden van diensten die vertrouwelijke informatie betreffen brengt dus specifieke risico’s met zich mee. Ondernemingen en instellingen die hun ict-infrastructuren virtualiseren, blijven verantwoordelijk voor de beveiliging van vertrouwelijkheid van gegevens over hun medewerkers en klanten/cliënten. Als vertrouwelijke gegevens uitlekken dan worden —conform de Europese regelgeving— de uitbestedende organisaties aansprakelijk gesteld voor eventuele schade. Maar als men gebruik maakt van online wolkdiensten heeft men zelf geen controle meer over de locatie en manier waarop de data wordt opgeslagen en is men afhankelijk van de aanbieder van wolkdiensten.

      Afwegingen maken
      Hoe beslis je of het gebruik van wolkvoorzieningen geschikt is voor een organisatie of onderneming? Bij deze beslissing moet zowel in kaart worden gebracht wat de bedrijfsmatige gevolgen zijn voor arbeids-, organisatie-, communicatie- en beheersprocessen als wat die ondernemingsmatige gevolgen zijn voor monetaire en personele kosten en baten. Een eenmaal doorgevoerde uitbesteding is in de praktijk moeilijk omkeerbaar. Daardoor kunnen problemen ontstaan zoals afhankelijkheid van de dienstverlener, risico van kwaliteitsverlies bij opdrachtnemer, verlies van know how en technologische afhankelijkheid.

      Veel ondernemingen maken de fout om bij de kosten-baten calculatie alleen rekening te houden met de directe kosten van uitbesteding en de aanvullende kosten (en verlies van deskundigheid) op langere termijn buiten beschouwing te laten.

    • Wolkaanbieders hebben een cruciaal belang bij de veiligheid van de data die zij beheren. Zodra een wolkvoorziening gekraakt wordt door kwaadwillende buitenstaanders betekent dit het einde van deze onderneming. Toch zijn ook wolkaanbieders niet bestand tegen fouten in de configuratie van de beveiliging, tegen daders van binnenuit, of tegen zeer goed getrainde en creatieve aanvallers. Voor de gebruikers van de wolkvoorziening is daarbij altijd de vraag of de aanbieders van de dienst wel melding maken van een wolkinbraak.

    Uitbesteding van it-beveiliging door het inhuren van een wolkvoorziening helpt om kleine criminelen buiten de deur te houden, maar is ook een aantrekkelijke uitnodiging voor gekwalificeerde en behendige aanvallers. Zij hoeven niet telkens in verschillende ondernemingen in te breken om een veelvoud van verschillende informaties te verwerven. De aanvaller hoeft slechts één keer in te breken. Professionele cyberspionnen worden hierdoor aangetrokken en hebben goede kansen om zeer waardevolle informatie te stelen. Wie al zijn kroonjuwelen en geheimen toevertrouwd aan een virtuele wolk, behaalt daarmee dus niet zonder meer een beveiligingsvoordeel.

    In haar Jaarverslag 2012 formuleerde de AIVD dit risico als volgt. “Het toenemend gebruik van online-diensten voor de creatie, uitwisseling of opslag van gegevens (in the cloud) vergroot het risico van digitale spionage door andere staten. In korte tijd kunnen zij op veel verschillende plekken binnen de digitale infrastructuur grote hoeveelheden data (laten) onderscheppen”

    Om de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten publiceerde het Nationaal Cyber Security Centrum (NCSC) in januari 2012 haar Whitepaper Cloud Computing. In dit rapport worden niet alleen de mogelijkheden en voordelen van uitbesteding van it-werkzaamheden aan wolkvoorzieningen besproken, maar ook de condities en mogelijke risico’s.

    “Als ik Coca Cola was, zou ik mijn recept niet opslaan in de cloud. Cloud-aanbieders hebben doorgaans de veiligheid goed op orde, maar er zijn potentiŽel grote risicoís verbonden aan het extern opslaan van gegegevens. We zien vooral Oost-Europese en Aziatische misdaadorganisa-ties die het hebben gemunt op bedrijfsgegevens en bijvoorbeeld wachtwoorden. En het zou zelfs kunnen dat sommige overheden zich er schuldig aan maken” [Troels Oerting, Directeur van het European Cybercrime Centra van Europol, in Elsevier, 1.3.13].
    Ook in Nederland zijn buitenlandse spionagediensten actief bezig met het verzamelen van inlichtingen. Uit de kwetsbaarheidsanalyse van de AIVD [2010] blijkt dat gevoelige informatie in systemen kwets-baar wordt door de toenemende verwevenheid en complexiteit van computersystemen en het koppelen van systemen voor opslag van gegevens. Ook het uitbesteden van activiteiten als systeem- en serverbeheer, datawarehousing en gegevensverwerking brengt spionagerisico’s met zich mee. Bij cloudcomputing en datawolken zijn deze risico’s nog veel groter.

    Cloudcomputing maakt de opsporing van misdadigers nog moeilijker. De volgens Europol meer dan 6.000 misdaadgroepen in Europa maken steeds meer gebruik van de meest geavanceerde technologische middelen. Net als hun slachtoffers slaan zij hun data verspreid op in de wolkvoorzieningen [Europol,mrt 2013; Security.nl, 20.3.13]. De technieken van digitale opsporingsdiensten lopen ook op dit punt ver achter.

    Internationale perikelen
    Het virtualiseren en centraliseren van organisationele ict-voorzieningen biedt veel voordelen: schaalbaarheid, elasticiteit, hoge prestatie, veerkracht (herstelvermogen), beveiliging en kostenefficiëntie. We hebben er al op gewezen dat er risico’s verbonden zijn aan het uit handen geven van vertrouwelijke gegevens. De kern van de kwestie is controle. Wanneer de betreffende gegevens niet meer binnen de eigen organisatie worden vastgelegd en beheerd, wordt enerzijds het risico van interne manipulatie, vervreemding of misbruik verminderd. Anderzijds worden door externe opslag juist de risico’s vergroot.

    Data die herleidbaar zijn tot individuen is de privacywetgeving van toepassing. Volgens de wet- en regelgeving in de Europese Unie mogen persoonsgegeven niet buiten Europa worden opgeslagen, tenzij het land waar die data heen gaan hetzelfde niveau van beveiliging heeft. De Europese commissie bepaalt of dit het geval is.


    Het ‘Safe Harbor Certification Mark’ van het Amerikaanse ministerie van Handel. Lang niet alle organisaties die dit logo voeren voldoen daadwerkelijk aan de formele Safe Harbor-eisen. Sommige bedrijven maken gewoon hun eigen zegels van betrouwbaarheid en plaatsen die op hun websites, onderzoeken, emails etc.
    Persoonsgegevens en andere privacygevoelige data mogen bijvoorbeeld niet in de Verenigde Staten worden opgeslagen. Daar geldt immers de Patriot Act die de Amerikaanse overheid toegang geeft tot alle gegevens van alle bedrijven. De enige uitzondering daarop is de Safe Harbor-regeling. Amerikaanse bedrijven kunnen een procedure volgen waarin zij aantonen dat zij zich aan de Europese wetgeving houden. Herhaaldelijk is aangetoond dat Amerikaanse bedrijven claimen lid te zijn van de Safe Harbor terwijl zij dat niet (of niet meer) zijn. Europese burgers, bedrijven en instellingen lopen dus een groot risico dat zij door deze claims worden misleid [Connolly 2008].

    Het College Bescherming Persoonsgegevens (CBP) vindt de garanties die Amerikaanse clouddiensten (zoals Google, Dropbox en Microsoft) ten aanzien van de bescherming van Europese persoonsgegevens bieden nogal dun. Het Safe Harbor-certificaat is een vorm van zelfcertificering die niet garandeert dat de verwerking van de gegevens in de VS zelf voldoet aan Europese richtlijnen. De door de Nederlandse regering gewenste meldplicht voor datalekken in bij clouddiensten is alleen te realiseren als daarover heldere afspraken worden gemaakt met de cloudleverancier en eventuele sub-bewerkers die worden ingeschakeld om bijvoorbeeld opslag of beheer te verzorgen [CBP, Zienswijze over cloud computing; Binnenlandsbestuur, 12.9.12].

    De Patriot Act is gericht op het bestrijden van terrorisme en kent de Amerikaanse overheid vergaande bevoegdheden toe op het gebied van forensisch onderzoek. Amerikaanse organisaties en bedrijven zijn verplicht om toegang te verlenen tot hun servers en netwerken. Ook bedrijfsonderdelen buiten het Amerikaanse grondgebied moeten medewerking verlenen aan dergelijk onderzoek. In de praktijk betekent dit dat Amerikaanse wolkleveranciers nooit kunnen garanderen dat gegevens van Europese bedrijven en instellingen niet door Amerikaanse overheidsdiensten gecontroleerd zullen worden. Op 26 mei 2011 tekende Barack Obama een verlenging voor vier jaar van drie belangrijke onderdelen van de oorspronkelijke Patriot Act.

    Index Cybermanipulatie van financiële markten

    Van digidiefjes tot onregelaars van financiële markten
    Het financiële stelsel van een samenleving is een van de meest kritische infrastructuren van een nationale staat en van de onderlinge verbanden tussen staten. Het geld dat burgers op hun bank hebben staan, mag niet gestolen worden. Zij hebben hun geld aan een bank toevertrouwd in de verwachting dat deze goed op hun centen zal passen. Bij alle transacties tussen particulieren verwacht de koper dat de verkoper levert wat is afgesproken, en de verkoper verwacht dat hij volgens afspraak wordt betaald. Koper en verkoper proberen hun transacties zodanig te regelen dat ‘derden’ geen kans krijgen om van deze waardenruil te profiteren. Dit geldt voor transacties tussen een consumenten en ondernemingen, maar ook voor beurstransacties waarin waardepapieren worden verhandeld.

    Korter dan een oogwenk
    Gedigitaliseerde beurshandel vindt plaats in fracties van een milliseconde. De snelste computerprogramma’s voeren een transactie uit in 0,05 milliseconde — een transactie per 50 miljoenste seconde. In ťťn seconde kunen dus 20.000 transacties plaatsvinden. Door de steeds snellere beurstransacties zijn de transactiekosten sterk gedaald. Zoals we nog zullen zien kleven er ook grote risico’s aan deze jacht naar supersnelheden.
    Op gedigitaliseerde aandelenbeurzen gaan geen waardepapieren meer van hand tot hand. In plaats daarvan gaan er alleen nog maar gedigitaliseerde getallen, rekeningnummers en namen van computer tot computer. In fracties van een milliseconde flitsen aandelen en derivaten over de internationale beurzen. Deze flitshandel gaat zo snel dat het voor toezichthouders van de beurs nauwelijks meer te volgen is. Ook de dagelijkse financiële transacties tussen consumenten enerzijds en producenten en dienstverleners anderzijds verlopen in toenemende mate van computer tot computer via het internet. Voor een steeds meer mensen bestaat de relatie tot ‘hun’ bank of beurs alleen nog maar uit een uitwisseling van informatie via internet of mobiele communicatie.

    De financiële markten zijn het afgelopen decennium in hoog tempo geautomatiseerd. De meeste financiële transacties verlopen volledig geautomatiseerd via computers die via internet aan elkaar verbonden zijn. Financiële markten zijn daarom bij uitstek het terrein waarop criminelen hun slag proberen te slaan. Digidieven stelen geen portemonnees maar de toegangscodes waarmee we internetbankieren. Banken worden niet meer beroofd door gewapende mannen met bivakmutsen, maar door behendige cybercriminelen die vanaf hun toetsenbord in de computer≠systemen van banken weten door te dringen en daar grote sommen geld laten verdwijnen. Georganiseerde cybercriminelen penetreren in internationale beur≠zen. Dubieuze flitshandelaren manipuleren de prijzen van aandelen en derivaten en slagen er in om in fracties van milliseconden enorme kapitalen te laten ‘verdampen’.

    De veiligheid en betrouwbaarheid van de gevirtualiseerde financiŽle transacties worden door diverse actoren bedreigd. Door kleine krabbelaars en zwendelaars die met lokmails wacht≠woorden en andere toegangscodes tot parti≠culiere bank≠rekeningen weten te ontfutselen aan goedgelovige of onoplet≠tende internet≠gebruikers. Door internationaal opererende criminele syndicaten die via internet banken beroven en beurzen manipuleren. Maar ook door cyber≠ter≠ro≠ris≠ten en overheden die vijandige staten proberen te verzwakken door hun hele financiŽle stelsel te ontregelen. Ondanks alle inspanningen van beveiligings≠bedrijven zijn onze financiŽle instellingen en markten nog veel te zwak gepantserd om zich tegen dergelijke aanvallen effectief te weren.

    De methoden en technieken die deze actoren gebruiken zijn verschillend, maar hebben ťťn ding gemeen: zij verhullen altijd hun eigen identiteit om de pakkans te verkleinen. Daarom is het in de praktijk zeer lastig om te bepalen of een bepaalde cyberoperatie wordt uitgevoerd door individuele crackers, criminele syndicaten, terroristische organisaties of door nationale overheden, of door een combinatie van deze elementen.

    Individuele digidieven en georganiseerde cybercriminelen proberen alle sporen te wissen die kunnen leiden tot de identificatie van de daders. Bij politiek gemoti≠veer≠de cyberaanvallen op bank- en beurssystemen gebeurt hetzelfde.

    Index


    Stelende paarden: banking trojans
    Internetbankieren is in Nederland zeer populair: 80% van de bevolking gebruikt inmiddels internet voor bankzaken [CBS, 1.8.12]. Daarmee is Nederland echter ook voor digidieven een lucratief operatiegebied. In 2011 werden 55.000 betaalpassen geskimd en werd daarmee 39 miljoen euro buitgemaakt [Zembla 23.11.12]. De schade die met internetbankieren werd opgelopen bedroeg in datzelfde jaar 35 miljoen euro. In 2012 daalde de totale cybercrimeschade met 11 procent.

    Schade fraude betalingsverkeer in mln €
      2010 2011 2012
    Internetbankieren 9.8 35,1 34,8
    Skimming 19,7 38,9 29
    Overig 27,6 18 18
    Totaal 57,1 92,1 81,8
    De schadebedragen zijn nog steeds imponerend. Maar het aantal transacties waarbij geld verdwijnt, is procentueel erg klein. Per jaar vinden ongeveer drie miljard transacties plaats via internetbankieren, waarbij ongeveer 3,2 biljoen euro wordt overgemaakt. Bij slechts 0,0001 procent van de transacties wordt fraude gepleegd. Volgens de Nederlandse Vereniging van Banken (NVB) is dit het bewijs dat het betalingsverkeer in Nederland veilig is.
    De schade door fraude met internetbankieren daalde in de tweede helft van 2012 aanzienlijk (60%). Het schadebedrag daalde van 24,8 miljoen naar 10 miljoen euro. In de tweede helft van 2012 kostte de diefstal via internetbankieren de Nederlandse 10 miljoen euro. Dat was 52% minder dan in de eerste zes maanden van 2011, toen deze schade 24,7 miljoen bedroeg. Deze daling is het gevolg van het feit dat banken het betalingsverkeer veel nauwlettender in de gaten houden. Hierdoor worden verdachte transacties veel sneller opgemerkt dan voorheen. De daling van de fraude met internetbankieren is deels ook toe te schrijven aan de oprichting in 2011 van de Electronic Crimes Task Force (ECTF), waarin banken samenwerken met het Openbaar Ministerie en politie. (in eerste instantie ondergebracht bij het KLPD, sinds 1 januari 2013 bij de nationale recherche). Bovendien zijn consumenten zich ook meer bewust van de methoden die criminelen gebruiken om te frauderen.

    Ook het skimmen vertoonde in de tweede helft van 2012 een sterke daling (41%). Dit is vooral het gevolg van de invoering van de EMV-chip waarvan de magneetstrip niet meer te kopiëren is (‘het nieuwe pinnen’). Door introductie van het geoblocking kan de pinpas buiten Europa niet worden gebruikt, tenzij de eigenaar van de pas dit expliciet toestaat [NVB,2.4.13].

    Ook uit de cijfers van de NVB blijkt dat de focus van internetfraudeurs verschuift van het hengelen naar vertrouwelijke gegevens (phishing), naar de ontwikkeling van malware waarbij criminelen speciale software schrijven om computers te infiltreren. Voor cybercriminelen is er een ruim aanbod van kwaadaardige software waarmee bankrekeningen geplunderd kunnen worden. Voorbeelden van deze banking trojans zijn: Tatanga, Feodo, Citadel (Dorifel), Mebroot, SpyEye en Zeus.

    Zeus —ook wel bekend onder de naam Zbot— is een Trojaans paard dat bankinformatie steelt. De diverse botnets van Zeus hebben miljoenen computers gecompromitteerd in 196 landen (vooral in Egypte, de VS, Mexico, Saoedi-Arabië en Turkije). In de criminele wereld wordt Zeus verkocht voor $3.000-4.000. Bij criminelen die gespecialiseerd zijn in financiële fraude is Zeus zeer populair.

    Zeus steelt informatie die in http-formulieren wordt ingevoerd, account gegevens die zijn opgeslagen in de Windows Protected Storage, en certificaten van FTP en POP abonnementen. Het modificeert HTML-pagina’s van websites, zoekt naar bestanden en uploadt deze, wijzigt bestanden van lokale gastheren, en vernietigt cruciale registratiesleutels [Secureworks, 11.3.10].

    Zeus is voorzien van een KOS-commando (Kill Operating System) waarmee essentiële computerbestanden worden vernietigd waardoor de computers onbruikbaar worden. De aanvallers verminken de PC met opzet zodat ze meer tijd krijgen om de bankrekeningen te plunderen. De rovers hebben die tijd nodig om met de gestolen inlogggevens de bankrekening te plunderen en het geld naar verschillende katvangers over te maken. Slachtoffers zijn niet meer in staat online hun bankrekening te blokkeren of malafide transacties terug te draaien.

    Zeus is eenvoudig te gebruiken, makkelijk verkrijgbaar en zeer effectief. Ze wordt daarom wel “de koning van de botnets” genoemd. Zeus is een slim geconstrueerd Trojaans paard dat er telkens weer in slaagt om beveiligingsmaatregelen en detectie te omzeilen.

    Aanvankelijk infecteerde Zeus alleen Windows computers die FireFox en Internet Explorer gebruiken als webbrowser. Het criminele paard kan inmiddels ook andere apparaten besmetten.

    Sinds 2011 is er een Zeus-variant die functioneert in het ecosysteem van mobiele apparaten die draaien op Android besturingssysteem. «Zitmo» infecteert Android mobieltjes en onderschept de codes die gebruikt worden om financiële transacties te beveiligen. Zodra een gebruiker van een geïnfecteerde telefoon probeert toegang te krijgen tot een website van zijn bank wordt Zeus geactiveerd. Zeus vraagt om een beveiligingscomponent te downloaden op hun mobiele apparaat om het inlogproces te voltooien. Deze component geeft de fraudeurs controle over het mobiele apparaat. Op naam van de gebruiker wordt vervolgens een frauduleuze transactie uitgevoerd, waarna de bevestigingsbericht van het apparaat wordt verwijderd zodat de gebruiker het niet ziet.

    Door het succes van Zeus verschenen er talloze copycats die Zeus probeerden te imiteren. In concurrenten zoals SpyEye (Eyebots) is een «kill Zeus» optie ingebouwd waardoor Zeus-bots kunnen worden overgenomen. Dit leidde tot een botnetoorlog [eWeek, 17.2.11]. Criminele groepen vechten hun onderlinge strijd uit door het kapen van elkaars botnets.

    Eind 2011 verscheen een geheel nieuw platform voor botnets op de markt dat gebaseerd was op de broncode van Zeus: Citadel. Voor ongeveer € 2.000 is het platform te koop, inclusief handleiding, licentie-overeenkomst, release notes en toegang tot een forum voor ontwikkelaars. Citadel is een open source platform waarbij gebruikers suggesties kunnen doen om functies toe te voegen of te perfectioneren. Met gewone meerderheid wordt gestemd over nieuwe functievoorstellen [Webwereld, 17.2.12; Security.n;l, 10.8.12; Webwereld, 15.08.12].

    Vereenvoudiging van digitale bankroof
    Voorheen verstopten banking Trojans zich in de webbrowser. Middels deze man-in-the-browser-aanval kaapte de malware in real-time de sessie van de gebruiker. Inmiddels herkennen de beveiligingssystemen van banken deze anomalieën tijdens de sessie en kunnen ze de activiteiten van banking Trojans blokkeren.

    Om minder snel op te vallen is de malware inmiddels aangepast en is er voor een eenvoudigere aanpak gekozen. “Zodra de gebruiker op zijn online bankrekening wil inloggen, laat de malware een valse webpagina zien die op de officiële en legitieme bankpagina lijkt. Zodra de gebruiker op deze phishingpagina zijn inloggegevens invult, worden die naar de cybercriminelen achter de malware doorgestuurd. Vervolgens krijgt de gebruiker een foutmelding te zien dat internetbankieren tijdelijk onbereikbaar is” [Security.nl, 11.2.13].

    Met deze tactiek zorgt de malware ervoor dat de gebruiker nooit de inlogpagina van de bank bereikt. Zo wordt voorkomen dat de verdedigingssystemen van de bank de malware detecteren en de fraude identificeren.

    Index


    Banken meervoudig in de klem
    Banken staan bloot aan zeer uiteenlopende cyberaanvallen van een grote en gevarieerde schare aanvallers. Cybercriminelen richten op de individuele klanten van een bank, maar ook op de transactiesystemen van de bank zelf, of op het interbancaire geldverkeer.

    De meest gangbare cyberaanvallen op banken zijn DDoS-aanvallen. Omvangrijke botnets worden gemobiliseerd om de toegang tot de inlogpagina’s voor het telebankieren te versperren. De actoren die zo’n aanval lanceren zijn net zo divers al hun motieven.

    • Vandalistische hackers
      De aanval kan een kwajongensstreek van hobbyistische hackers zijn, een hinderlijke treiteractie van digitale vandalen. Zij veroorzaken een kortstondige pain in the ass, maar richten minimale (maar daarom niet verwaarloosbare) schade aan. Het opzetten van een DDoS-aanval is relatief eenvoudig. Een typische flooding-aanval is vanuit de huiskamer op te zetten.
    • Revanche van ontevredenen
      De aanval kan op touw zijn gezet door een klant die zich door de bank bestolen voelt, of door een ontevreden eigen werknemer. Vaak zijn het de eigen werknemers die de grootste bedreiging vormen. Bovendien zijn juist zij zeer goed op de hoogte van de werking van bancaire computersystemen en dus ook met de kwetsbaarheden daarvan. Ontevreden werknemers en rancuneuze ex-werknemers zijn in staat om een bank substantiële schade te berokkenen.
    • Afleidingsmanoeuvre
      Een DDoS-aanval kan als afleidingsmanoeuvre worden ingezet. Daarbij wordt aan de voordeur van de banksite veel kabaal gemaakt, om vervolgens zo stiekem mogelijk langs een achterdeurtje in het transactiesysteem te penetreren. In dat geval wordt een DDoS-aanval gebruikt om het werkelijke doel (= malafide transacties) te verhullen. Het is ook niet ondenkbaar dat banken zich beroepen op een ‘cyberaanval’ om schadeclaims te ontlopen die door gedupeerde rekeninghouders kunnen indienen omdat de bank zelf onbetrouwbaar of instabiel (storingsgevoelig) is.

      DDoS-aanval + Cyberinbraak
      In Amerika werd een digitale bankroof gepleegd die werd mogelijk gemaakt door een slim opgezette DDoS-aanval. Terwijl de verdediging van de bank concentreerde zich op deze DDoS-aanval gingen de crackers aan de haal met pinpas- en betaalkaartgegevens. Met deze data werden pasjes gekloond waarmee geld uit pinautomaten werd getrokken. Omdat de DDoS-aanval tegelijkertijd het telefoonsysteem van de bank platlegde, konden klanten niet worden benaderd over verdachte transacties op hun rekeningen. De cyberbende sprokkelde zo in 48 uur 9 miljoen dollar bij elkaar.

      Het lamleggen van een banksysteem met een DDoS-aanval levert voor een cyberbende tijd op om rekeningen leeg te trekken. De DDoS-aanval fungeert als een afleidingsmanoevre die ervoor zorgt dat de cyberinval zo lang mogelijk onopgemerkt blijft. “Bij een DDoS-aanval zijn IT-ers druk bezig de site of server in te lucht te houden of te krijgen en hebben dan mogelijk minder aandacht voor andere toegangspoorten in het netwerk” [Webwereld, 22.10.12]. In de beveiligingsgemeenschap zijn nog geen goede scenario’s ontwikkeld voor de verdediging tegen aanvallen die van meerdere kanten tegelijk komen.

    • Voorbereidingsmanoeuvre
      Cyberaanvallen op bancaire systemen worden soms eerst getest (onder druk gezet) om hun kwetsbaarheden te ontdekken. Soms is een DDoS-aanval slechts een opstap voor een vervolgactie. De meest eenvoudige vorm daarvan is deze: (i) blokkeer de toegang tot inlogpagina’s voor internetbankiers met een eenvoudige DDoS-aanval, (ii) misleid vervolgens de verontrustte clientele van de bank met een lokmail die hen ertoe verleid hun inlogcodes af te staan.
    • Afpersing
      Cybercriminelen kunnen de toegang tot banksites blokkkeren of klantgegevens stelen en daarmee banken afpersen. De criminelen beloven dat zij hun acties zullen staken als er losgeld is betaald.
    • Vijandige concullega’s
      Banken kunnen in cyberspace worden aangevallen door andere concurrerende banken. De nationale maar vooral ook steeds meer globale concurrentie tussen bankconsortia wordt door sommige actoren ook gevoerd met andere dan ‘marktconforme’ middelen. De versluierende metafoor van het ‘buiteneconomisch’ geweld neemt hier steeds meer de vorm aan van «digitaal geweld». Digitaal of geweld is weliswaar louter ‘virtueel’ geënsceneerd, maar daarom in zijn gevolgen niet minder effectief en reëel.
    • Politiek activisme
      Soms worden banken aangevallen door politiek gemotiveerde cyberactivisten. Het spectrum van actoren loopt uiteen van (i) humanitair geïnspireerde activisten die protesteren tegen het in hun ogen illegitieme of immorele investeringsbeleid van een bepaalde bank, via (ii) politiek-religieus geïnspireerde terroristische bewegingen die de financiële infrastructuur van hun vijandige staten ontregelen, tot (iii) individuele vaderlandslievende cyberrambo’s die het heft in eigen hand nemen —al dan niet officieel of inofficieel (openlijk of heimelijk) aangemoedigd, gesponsord of getolereerd door de regeringsautoriteiten.
    • Cyberoorlog
      Cyberaanvallen op bancaire systemen worden ook gelanceerd door rivaliserende nationale staten die een strategisch voordeel proberen te behalen door het ontregelen van het financieel verkeer van de conflicttegenstander. De schade die daarmee wordt aangebracht is zeer substantieel en duurzaam.

    Bij cyberaanvallen op banken is het in eerste instantie altijd zeer lastig om vast te stellen met wat voor soort aanvallers men te maken heeft en wat hun precieze intenties zijn. Dat was ook het geval met de grootscheepse DDoS-aanval die vanaf 5 april 2013 werd uitgevoerd op de ING Bank en het betalingssysteem iDeal. De aanvallers belastten de servers van meerdere banken door herhaaldelijk proberen in te loggen met behulp van gekaapte computers van het aanvallende botnet. Het online betalingsverkeer werd een aantal dagen lang gestoord.

    Zoals gebruikelijk werd de aanval niet rechtstreeks vanaf één bron gelanceerd, maar via een veelvoud van gemaskeerde IP-adressen. Om de bron of bronnen te lokaliseren moeten eerst de schakels tussen deze proxies in kaart worden gebracht.

    “Digitaal geld is ondertussen zoín groot deel van ons leven uit gaan maken dat de veiligheid daarvan geborgd moet zijn” [Kamerlid Arnold Merkies, in: SP.nl].
    Het Team High Tech Crime (THTC) van de politie begon in opdracht van het Openbaar Ministerie een onderzoek naar de cyberaanval. Het Nationaal Cyber Security Centrum (NCSC) probeerde om de servers die achter de aanval zaten offline te krijgen [Nu.nl, 6.4.13; NOS, 6.4.13].

    Over de identiteit en intenties van de aanvallers is nog niets bekend. Ook niet of de oplichters die misbruik maakten van de onzekerheid bij ING-klanten door daarop inspelende frauduleuze lokmails te versturen ook verantwoordelijk waren voor de cyberaanval. Niemand claimde de verantwoordelijkheid voor de cyberaanval [NSSC, 9.4.13]. De Nederlandse Vereniging van Banken (NVB) riep op om cyberaanvallen op banken te verheffen tot een zaak van nationale veiligheid. Als dat gebeurt dan heeft de Nederlandse overheid ook de plicht om regels te stellen aan het beveiligingsbeleid van particuliere banken.

    Pas op voor nepmails ING
    Soms zijn DDoS-aanvallen die alleen maar de bandbreedte overbelasten alleen maar bedoeld om de klanten of gebruikers van de aangevallen site of server onzeker te maken. Van die onzekerheid wordt vervolgens direct gebruik gemaakt door lokmails waarin de verontrustte clientèle wordt uitgenodigd om op een bepaalde link te klikken die ervoor zorgt dat je weer veilig bent. Het is een klassieke tactiek van de Italiaanse maffia: je stuurt eerst de harde, dreigende enforcers naar het doelwit, vervolgens stuur je de behulpzame redders in de nood om je daartegen te beschermen. Het uiteindelijk resultaat is dat het slachtoffer een hoge rekening betaald voor zijn protectie — het slachtoffer wordt bestolen.

    Op het internet gaat dit subtieler, maar het resultaat is hetzelfde. Dit was de lokmail waarmee ING-rekeninghouders werden bestookt.

    “Cybercriminelen misbruiken de recente aanval op sites van Nederlandse banken om phishingmails te versturen. Momenteel is er een nepbericht van ING in omloop waarin staat dat door internetfraude uw rekeninggegevens onvoldoende beveiligd zijn. U wordt gevraagd op een link te klikken om uw gegevens te beveiligen. Doe dat niet, maar verwijder het bericht.

    Het bericht is een duidelijk geval van phishing: een vorm van internetfraude, waarmee fraudeurs proberen achter uw bankgegevens te komen. In phishingberichten wordt u gevraagd om persoonlijke gegevens, zoals uw naam, adres, telefoonnummer, rekeningnummer of inloggegevens van uw bank. Of u wordt gevraagd op een link te klikken. Onthoud dat uw bank nooit via e-mail, telefoon of sms om persoonlijke gegevens zal vragen. Ook zal uw bank u nooit via een onpersoonlijk bericht vragen een nieuwe website te testen, de veiligheid van internetbankieren te testen of mee te werken aan een update van internetbankieren. Krijgt u zo'n verzoek? Ga hier dan dus niet op in” [Politie, 9.4.13].

    Index


    Bankroof in de 21ste eeuw
    Bankovervallen worden niet meer gepleegd door gemaskerde criminelen die gewapend een bankfiliaal binnenstormen, maar door cyberboeven die achter computers zitten waarmee zij vanaf veilige afstand inbreken op de computersystemen van een bank of van hun klanten.

    In de eerste helft van 2010 werd alleen al in de Verenigde Staten naar schatting meer dan 100 miljoen dollar gestolen uit banken [CBS, 15.6.10].

    Wat kost ons een cybercrimineel?
    Volgens een verkennend onderzoek van het TNO kost cybercrime de Nederlandse samenleving jaarlijks tenminste tien miljard euro (1,5 tot 2 procent van ons bruto binnenlands product). De onderzoekers van het TNO beschouwen dit getal als een ondergrens. De werkelijke kostenpost zou zelfs een factor twee tot drie hoger kunnen liggen (zie bijvoorbeeld het onderzoek van Ernst & Young). Dit is vooral het gevolg van onze relatief hoge dichtheid in bekabeling, de geavanceerde infrastructuur en de relatief grote hoeveelheid dataverkeer. Volgens Eurostat worden Nederlandse bedrijven vier keer vaker door cybercrime worden getroffen dan Britse (vergelijk ook het onderzoek van Detica in opdracht van het Britse ministerie van Binnenlandse zaken).

    De drie grootste schadeposten die onder de noemer cybercrime vallen, zijn inbreuken op intellectueel eigendom (3,3 miljard euro), industriële spionage (2 miljard) en belasting- en uitkeringsfraude (1,5 miljard). Andere schadeposten bij het bedrijfsleven zijn afpersing en online diefstal van geld en van klantgegevens. Bij de consument gaat het om diefstal van persoonlijke gegevens en om phishing.

    Er zijn aanvallen bekend waarbij 130 banken binnen één dag 10 miljoen dollar verloren. Als dit een traditionele bankroof was geweest, zou het wereldnieuws zijn geworden. Maar in dit geval besloten de bankdirecties om geen ruchtbaarheid te geven aan deze cyberroofoverval uit angst dat dit hun zaken negatief zou beïnvloeden. Verlies van reputatie en klantvertrouwen is de nachtmerrie van elke bankier.

    De criminelen hadden ingebroken op een computernetwerk waar zij informatie stalen van meerdere rekeningen. De PIN-codes werden ontcijferd en met deze gegevens werden witte plastic pasjes gemaakt waarmee via geldautomaten rekeningen werden leeggeroofd. Om deze klus te klaren, kwamen tientallen criminelen tegelijk in actie in 49 steden in Europa, Noord-Amerika, Zuid-Amerika en Azië. Het illustreert de internationalisering van cybercriminaliteit. In totaal werd bij deze Operation High Roller $2,5 miljard gestolen [Business Insider, 28.6.12].

    • Beroving van Citibank
      De eerste grote internationale cyberbankroof vond plaats in 1995. Deze werd uitgevoerd door de Russische student Vladimir Levin. Hij brak in op de servers van de Citibank in Engeland en maakte ongeveer 10,7 miljoen dollar over op diverse rekeningen in de VS, Finland, Nederland, Duitsland en Israël. Levin nam zijn laptop mee naar Londen en wist daar zijn krakershand te leggen op een lijst met klantencodes en wachtwoorden. In de weken daarna logde hij 18 keer in om grote sommen geld over te maken naar zijn eigen rekeningen.

      Vladimir Levin
      Vladimir Levin
      Toen Citibank de diefstal ontdekte, werd de klopjacht op de hacker ingezet. In maart 1995 werd hij op het vliegveld in Londen gearresteerd. Dertig maanden lang vocht hij zijn uitlevering aan, maar werd uiteindelijk in de VS voor het gerecht gebracht. Daar werd hij op 24 februari 1998 veroordeeld tot 3 jaar gevangenisstraf en hij moest $240.015 terugbetalen aan Citibank. Ook vier andere leden van de groep waarmee Levin zijn bankroof had uitgevoerd, werden tot gevangenisstraffen veroordeeld.

      Na zijn arrestatie verspreidden anonieme hackers uit St. Petersburg het bericht dat Levin (die biochemie studeerde op de Tekhnologichesky Universiteit in diezelfde stad) niet over de technische vaardigheden beschikte om in de computersystemen van Citibank in te breken. Zij zouden er zelf wel in geslaagd om diep door te dringen in het netwerk van de bank en zouden de details over deze toegang voor 100 dollar aan Levin hebben verkocht.

    • Datadiefstal bij Internationaal Monetair Fonds
      Banken worden door cybercriminelen beroofd van geld. Internationale financiële instellingen worden door politiek gemotiveerde hackers gekraakt om data te stelen. Medio 2011 bleek dat hackers hadden ingebroken op de computers van het IMF. Het was een geavanceerde inbraak die goed was voorbereid via een speervisactie [BBC, 13.6.11]. Maandenlang slopen de hackers onopgemerkt op de computersystemen van het IMF binnen om daar geleidelijk grote hoeveelheden aan data te stelen met IMF zeer vertrouwelijke informatie over de fiscale condities van veel landen. Vermoedelijk was dit een operatie die door een staat was georganiseerd [New York Times, 11.6.11; Bloomberg, 14.6.11]. Beveiligingsanalisten omschreven het als een «staatskraak». Maar het is altijd makkelijker voor organisaties om zich te verschuilen achter boze buitenlandse regeringen dan om toe te geven dat de beveiliging van de eigen systemen ondeugdelijk is. In ieder geval waren de krakers eerder op inlichtingen uit dan op het ontregelen van het netwerk.

      Het IMF speelt een belangrijke rol in de economische herstelprogramma’s voor Griekenland, Portugal, Spanje en Ierland. De databestanden van het IMF bevatten informatie die markten in een bepaalde richting kunnen duwen en verslagen van onderhandelingen met regeringsleiders over de voorwaarden van internationale financiële steun. Als die informatie in verkeerde handen komt is dat politieke dynamiet.

      Leningen en olie
      Er was al eerder ingebroken in het netwerk van het IMF. Wat voor informatie er werd gestolen bleef onbekend, maar op 7 november 2008 werd het computernetwerk van de IMF een aantal dagen stilgelegd.

      Volgens een voormalige Britse inlichtingenofficier, Nick Day, zat de Chinese regering achter deze aanval. “Waar de Chinezen met name in geïnteresseerd zijn, is welke leningen het IMF aan andere landen gaat geven. De geopolitiek daarvan is dat er een aantal landen zijn die op enorme buitenlandse financiële reserves zitten —Rusland, China, Japan en het Midden-Oosten— en de rest van ons leent van die kredietverschaffers” [Foxnews, 14.11.08; Webwereld, 6.11.08]. Wie vroegtijdig informatie over leningen in handen krijgt, kan andere landen —vooral landen uit de derde wereld met mineralen en olie— benaderen om bij hen een lening af te sluiten, in plaats van bij het IMF.

    • Bank of Musmac - Oman
      Op 19 februari 2013 werd wereldwijd met gehackte creditcards van de Bank of Muscat 30 miljoen euro gepind. De cybercriminelen wisten met een hack betaalpassen te skimmen. De gegevens die daarop stonden werden op magneetstrips gezet, die op andere passen werden gekopieerd. Het geld werd niet van bankklanten gesstolen, maar van rekeningen van banken zelf.

      De eerste roof van bijna 4 miljoen euro vond plaats op 21 december 2012. De hackers infiltreerden het systeem van een Indische creditcerdverwerkingsbedrijf dat handelt in Visa en MasterCard prepaidaccounts. Zij verhoogden de opnamelimieten op prepaid MasterCard debitrekeningen die worden uitgegeven door de Nationale Bank van Ras Al-Khaimah in de Verenigde Arabische Emiraten. Door het verwijderen van de opnamelimieten hadden de criminelen slechts een aantal rekeningnumers nodig om een financiŽle instelling enorme verliezen te bezorgen.

      Bij de tweede roof op 19 februari werd ruim 30 miljoen euro uit geldautomaten getrokken. Daarvoor werden over in 23 landendoor een leger van katvangers 4.500 transacties uitgevoerd. Er werd onder meer gepind in Japan, Rusland, RoemeniŽ, Egypte, Colombia, Sri Lanka en Canada. De criminelen hadden hiervoor ingebroken in het systeem van een Amerikaans creditcardverwerkingsbedrijf en hackten daar twaalf rekeningen. Ook dit keer wisten de criminelen de opnamelimiet van de kaarten te verwijderen en stond er een nog groter leger van katvangers klaar om met de gestolen kaartgegevens geld op te nemen [Security, 10.5.13].

      Twee van de Amerikaanse bankrovers poseren met rond de 40.000 dollar in cash.
      Twee van de Amerikaanse bankrovers poseren met rond de 40.000 dollar in cash.
      [Klik om te vergroten]
      De groep criminelen in New York werd als eerste betrapt. Ze stonden op foto’s terwijl ze door de stad trokken om geld op te nemen en hun rugzakken vulden met cash geld. Acht mensen aangeklaagd voor bankroof [NYT, 9.5.13]. Op 19 februarie trokken de dieven in een tijdsbestek van 10 uur 2.904 pinautomaten leeg. De vermoedelijke bendeleider, Alberto Lajud-PeŮa (25) ontsprong de dans en vluchtte uit Amerika. Op 27 maart 2013 werd dood gevonden in de Dominicaanse Republiek. Twee gemaskerde gangsters bestormden zijn huis waar hij domino zat te spelen en begonnen te schieten [Crimesite, 12.5.13].

      Bij de groep die in Duitsland pinden in de wereldwijde roof die in New York was opgezet, speelden Nederlanders een belanrijke rol. In DŁsseldorf stonden twee Nederlanders terecht voor de miljoenenroof. Zij werden beschuldigd van computerfraude en het vervalsen van creditcards.De Haagse timmerman Eddy Z. (35) en zijn moeder Wilma Z. (56) werden in DŁsseldorf gearresteerd met bijna 168.000 euro cash in de laadruimte van hun bestelbusje.

        ’Om drie uur in de nacht bleven de timmerman en zijn moeder maar geld pinnen in het bankfiliaal aan de Wesfalenstraße in DŁsseldorf.

      Op de mobiele telefoon van Eddy Z. troffen de rechercheurs Nederlandse sms’jes aan van de pinteams in Frankfurt, Duisburg en Bremen. De criminelen elkaar op de hoogte via sms. Er werden berichtjes naar elkaar gestuurd zoals ‘We zijn succesvol’, ‘Het werktt’ en ‘Ik heb weer 2500 euro en rij nu naar huis’. De timmerman en zijn moeder werden veroordeeld tot vier jaar en drie maanden cel [Die Welt, 15.11.13; Telegraaf, 4.2.14].

      Later werden nog zeven andere verdachten uit Nederland geÔdentificeerd en aangehouden.

    • Bankroof ABN Amro & Rabobank - Amsterdam
      Op 18 augustus 2014 veroordeelde de rechtbank in Amsterdam zes mannen tot vier jaar celstraf, wegens het stelen van zo’n 45 miljoen euro bij ABN Amro en de Rabobank. De digitale bankroof vond plaats door de aan- en verkoop van opties en maakten daarbij gebruik van een lek in het computersysteem van de banken. De hoofdverdachte beweerde dat hij toevallig tegen een lek van de bank zou zijn aangelopen, maar de rechtbank veegde dat verhaal van tafel. De bankrovers werden veroordeeld voor oplichting, witwassen en deelname aan een criminele organisatie [OM, 18.8.14; Telegraaf 18.8.14].

    • JPMorgan Chase & Co. (JPM)
      In augustus 2014 werden minstens vijf Amerikaanse banken in de VS aangevallen door Russische hackers. JPM was daar een van. Daar werden gigabytes aan klantgegevens gestolen. De FBI vermoedde dat deze aanval een vergelding was voor de sancties die America aan Rusland had opgelegd vanwege haar aggressieve optreden in de OekraÔne.

      De hackers kregen toegang tot de websites van de bank door een zero-day softwarelek. Vervolgens ploegden zij zich door uitgebreide beveiligingslagen om de data te stelen. Gezien de subtiliteit van de aanval rees het vermoeden dat zij niet zonder overheidssteun kon worden uitgevoerd [Bloomberg, 28.8.14; Bloomberg, 3.9.14; NYT, 27.8.14; Guardian, 28.89.14].

    Index


    EEX — Zwendel met emissiecertificaten in EU
    Overal waar geld een rol speelt, komen criminelen in actie om het te stelen. In januari 2011 sloegen cyberexperts wereldwijd alarm: hackers waren er in geslaagd in te breken bij het handelssysteem voor emissiecertificaten van de Europese Unie (EEX). De hackers hadden certificaten ter waarde van 30 miljoen euro gestolen en enige dagen later weer ongestoord verkocht. De handel moest worden stilgelegd. Wie de cybercriminelen waren, werd nooit ontdekt. Deze aanval demonstreerde dat de handel, de financiële markt intussen ook in het vizier van cyberaanvallers was gekomen.

    Via lokmails hadden de cybercriminelen zich toegang verschaft tot de databanken die officiële informatie bevatten over emissiecertificaten van individuele ondernemingen. De lokmails leken verstuurd te zijn uit naam van de Deutsche Emissionshandelsstelle (DEHSt). Meerdere Europese en een aantal Japanse en Nieuw-Zeelandse ondernemingen ontvingen een bericht waarin zij werden uitgenodigd om door te klikken naar een webpagina om opnieuw hun gebruikersregistratiegegevens in te voeren. De reden die daarvoor werd gegeven was ironisch: het beschermen van het register tegen dreigende aanvallen van hackers.

    Zo kregen de hackers de beschikking over informatie om emissierechten over te dragen naar rekeningen in vooral Denemarken en Groot-Brittannië. Van daaruit werden de rechten vervolgens snel doorverkocht [Financial Times Deutschland, 2.2.10]. Minstens negen van dergelijke manipulaties werden bekend. Een middelgroot industrieel bedrijf zou al rechten ter waarde van 1,5 miljoen euro hebben verloren [FTD, 2.2.10].

    Het is de vraag of de daders lang konden profiteren van hun gestolen certificaten. De emissiecertificaten zijn genummerd en kunnen dus worden geïdentificeerd. Het internationale secretariaat van de UNFCCC kan grensoverschrijdende handel controleren en illegale transacties ongedaan maken. Maar de kans om op deze manier de buit van de cybercriminelen terug te krijgen is zeer klein. Om de schade te beperken, sloten talrijke Europese landen hun certificaatregister een paar dagen af, zodat er even geen transactieboekingen konden worden doorgevoerd.

    Emissiecertificaten
    Emissie is een bepaalde hoeveelheid uitstoot van gassen zoals koolstofdioxide die het klimaat negatief beïnvloeden. Emissiecertificaten zijn een middel om de uitstoot van schadelijke stoffen te beperken. Ze zijn bedoeld om nationale staten en ondernemingen te stimuleren om steeds minder emissies te veroorzaken — bijvoorbeeld door minder fossiele energiedragers te verbranden. Wie minder emissiecertificaten verbruikt dan zijn toegedeeld of werden ingekocht, kan zijn overtollige CO2-certificaten verkopen in een daarvoor speciaal ingericht handelssysteem, de energiebeurs EEX (European Energy Exchange). Nationale staten en ondernemingen die de atmosfeer sterker vervuilen dan hen eigenlijk is toegestaan, moet daarvoor aanvullende certificaten verwerven (en dus extra betalen).

    Het doel van de EU is om de globale opwarming van de aarde te beperken tot 2 graden Celsius boven het pre-industriële niveaus. De EU wil de klimaatverandering beperken en voldoet aan haar verplichtingen onder het Kyoto Protocol. Elke lidstaat verleent haar CO2-uitstotende faciliteiten een bepaalde hoeveelheid emissierechten door middel van een Nationaal Allocatie Plan. Deze rechten kunnen net als andere waren op de markt worden verhandeld.

    In 2009 was de marktprijs van 1 EUA (1 ton CO2) ongeveer € 12,5. In de 27 lidstaten werden meer dan 2 miljard EUA’s verdeeld aan 12.000 instellingen die CO2 uitstoten. De totale waarde van de CO2-markt van de EU wordt geschat op € 90 miljard per jaar.

    Dit was geen incident. Op 9 december 2009 maakte Europol —het Europese samenwerkingsverband van de politiediensten— bekend dat de fraude op de handelsmarkt voor emissies in anderhalf jaar tijd een belastingverlies van € 5 miljard had veroorzaakt, vooral in Engeland, Frankrijk, Spanje, Denemarken en Nederland. Ook ondernemingen, elektriciteitsleveranciers en handelaren leden schade. Om verdere verliezen te voorkomen veranderden Frankrijk, Nederland, het Verenigd Koninkrijk en later ook Spanje hun belastingregels met betrekking tot deze transacties. Nadat deze maatregelen waren genomen daalde het marktvolume van deze landen met 90 procent. De grootschalige georganiseerde criminaliteit tast de geloofwaardigheid van het CO2-handelssysteem aan en leidt tot substantieel verlies van belastinginkomsten voor regeringen [Europol, 9.12.09; The Telegraph, 10.12.09].

    Index


    Europese belastingfraude: de ontbrekende handelaar
    Sinds de grenzen van de EU in 1992 voor vrije handel werden geopend, wordt er veel btw-fraude gepleegd. Het is onmogelijk om de omvang van het inkomstenverlies als gevolg van deze fraude te kwantificeren. De Europese Commissie schatte in 2010 dat de schade als gevolg van btw-fraude voor de lidstaten jaarlijks rond de €60 miljard bedraagt. Het Europese Caroussel Netwerk (Eurocanet, een project van de Europese Commissie in Brussel) schatte dat tussen juni 2005 en juni 2006 de gecombineerde verliezen van de vijf grootste lidstaten —Frankrijk, Duitsland, Italië, Spanje en het Verenigd Koningrijk— bijna €21 miljard bedroegen [Europol Review 2010:33]. Voor 2011 schat Europol de waarde van georganiseerde btw-fraude op €100 miljard per jaar. Het totale verlies van het bedrijfsleven wordt geschat op €750 miljard tot €1 triljoen.

    Criminelen maken gebruik van de techniek van “Missing Trader Intra-Community Fraud” (MTIC). Ze kopen CO2-certificaten elders in Europa op waar de BTW lager is. Daarna worden de certificaten doorverkocht naar landen als Nederland en Engeland waar de BTW hoger is [CO2-krediet carroussel]. De criminelen steken het verschil in hun zak. Deze tactiek wordt vaker toegepast in de handel van mobiele goederen over Europese grenzen, zoals mobiele telefoons, computers, sigaretten en edele metalen.

    De criminelen verspreiden hun activiteiten over meerdere lidstaten tegelijkertijd en zijn daardoor in staat om de verschillende eigenaardigheden en zwaktes van de nationale belastingsystemen te exploiteren en de werkelijke verbindingen tussen deelnemers te verbergen. De criminelen die het scenario opzetten en die verantwoordelijk zijn voor de belastingfraude —de ontbrekende handelaren— opereren slechts korte tijd, voordat zij van het toneel verdwijnen. “De fraudeschema’s zijn gebaseerd op virtuele of reële carroussel transacties waarbij dezelfde ‘goederen’ verschillende keren worden gekocht en verkocht“ [Europol Review 2009:32]. In vakkringen wordt dit btw-carrousselfraude genoemd.

    De enige databank waarin MTIC-gerelateerde criminele informatie wordt opgeslagen is de Europol Analysis Work File on Missing Trader Intra-Community Fraud. Europol houdt de btw-fraude nauwkeurig in de gaten en probeert de daders op te sporen.

    Operatie TulipBox
    In de strijd tegen fraude met emissiecertificaten worden soms kleine successen behaald. Ondersteund door Europol vielen op 19 augustus 2009 agenten de Britse belastingdienst (HMRC) 27 locaties binnen: 24 in het Verenigd Koninkrijk en 3 in Nieuw Zeeland. Daarbij werden 9 mensen gearresteerd en ongeveer €3 miljoen in beslag genomen dat geparkeerd stond op een bank in Nieuw Zeeland. De arrestanten waren lid van een crimineel netwerk dat zich gespecialiseerd had in CO2-kredietfraude. In heel Europa werden in 2010 invallen gedaan in honderd kantoren en werden meer dan 100 mensen gearresteerd [Europol, 9.12.10].

    Cybercriminelen hebben hun activiteiten in snel tempo uitgebreid naar de milieu- en energiemarkten. De fraude met CO2-certificaten (ook wel CO2-kredietfraude genoemd) indiceerde slechts het omslagpunt. De btw-fraude fraude tast niet alleen de financiële belangen van de Europese gemeenschap aan, maar heeft ook gevolgen voor legale ondernemingen die niet op niveau kunnen concurreren in sectoren die door btw-fraude zijn gecorrumpeerd. Zij moeten opereren op een gemanipuleerd speelveld waarin clandestiene en criminele ondernemingen worden bevoordeeld

    Tegen het einde van het eerste decennium van de 21ste eeuw werd cybercriminaliteit een prioriteit op de Europese agenda en dus voor Europol. Met haar High Tech Crime Centre ondersteunt Europol lidstaten in de algemene strijd tegen georganiseerde cybercriminaliteit. In 2009 werd het Europol Cyber Crime Platform (ECCP) opgericht. Dit platform fungeert als meldpunt waar lidstaten internetgerelateerde vormen van criminaliteit kunnen rapporteren: Internet Crime Reporting Online System (i-CROS). Het ECCP probeert cybercriminele groepen te identificeren, op te sporen en te ontmantelen. Via haar forensisch expertise platform (i-FOREX) wordt geïnformeerd over best practices en worden agenten getraind in het rechercheren van cybercriminele activiteiten en het opsporen van daders.

    Bedreiging van veiligheid van EU
    “Grootschalige criminele en terroristische netwerken vormen een significante bedreiging van de interne veiligheid van de EU en van de veiligheid en het levensonderhoud van haar burgers. De grootste veiligheidsdreigingen komen van terrorisme, internationale drugshandel, mensenhandel, vervalsing van euro valuta en betaalkaarten, fraude, corruptie en witwassen van zwart geld alsmede andere activiteiten die verbonden zijn aan de aanwezigheid van georganiseerde criminele groepen in de economie. Er stapelen zich ook nieuwe gevaren op in de vorm van cybercriminaliteit, btw-fraude en andere gewiekste misdaden die moderne technologie misbruiken en de vrijheden die door de internet Europese markt wordt geboden” [Europol Review, 2009].

    Alle typen van georganiseerde criminaliteit gebruikt het internet als communicatiemedium, informatiebron, marktplaats, rekruteringsveld en financiële dienst. Het demografisch profiel van de moderne cybercrimineel is: jong, zeer vaardige individuen die vaak van universiteiten worden gerekruteerd [Europol, OCTA 2011]. Zowel in de virtuele als in de lokale wereld worden de meeste criminele activiteiten geïnitieerd door individuen of kleine groepen. Phil Williams spreekt in dit verband over «disorganized crime».

    Index


    NASDAQ — Beurzen kraken
    In oktober 2010 ontdekte de FBI dat hackers hadden ingebroken op de aandelenbeurs van Nasdaq. Het was een zeer gekwalificeerde inbraak waarbij complexe en verraderlijke malware werd geïnfecteerd in de centrale servers van het bedrijf. Alles wees erop dat dit geen kinderwerk was, maar het werk van een inlichtingendienst van een ander land. De hackers maakten gebruik van twee zero-day lekken waardoor zij gemakkelijk in staat waren om op afstand de controle over een computer over te nemen. In de malware was een aanvalscode ingebouwd die ontworpen was om schade te veroorzaken. Hoewel de malware gebruikt kon worden om gegevens te stelen, was er dus ook een functie ingebouwd om een heel computernetwerk volledig te ontregelen.

    Nasdaq Nasdaq is een typische schermenbeurs: de handel verloopt volledig computergestuurd. Bij een zo belangrijk financieel systeem als de Nasdaq verwacht men dat de computersystemen uiterst nauwkeurig en op het hoogste niveau zijn beveiligd — als een cyber Fort Knox. Onderzoek van de FBI wees echter uit dat de beveiligingspraktijken van Nasdaq OMX Group verbazingwekkend nonchalant waren waardoor de beurs een gemakkelijk doelwit werd voor hackers [Huffington Post, 18.11.11].

    Directors Desk is een programma dat door Nasdaq zelf verkocht wordt aan bedrijfsdirecties. Zij kocht het programma in 2007 van een bedrijf in Washington. Het programma wordt gepresenteerd als uiterst veilig omdat het gebruik zou maken van zeer sterke technologie voor dataprotectie. Het programma is inmiddels ook gratis beschikbaar als IPad app.
    Om vertrouwelijke informatie te delen maakte de directie gebruik van het softwareprogramma Directors Desk. De basisarchitectuur van het computersysteem van Nasdaq was bestendig tegen hackers. Maar sommige computers werkten met verouderde software, met slecht geconfigureerde firewalls en niet geïnstalleerde beveiligingsupdates. Al langer bekende veiligheidslekken die door hackers geëxploiteerd kunnen worden, werden niet gerepareerd [Reuters, 18.11.11].

    Voor dergelijke belangrijke financiële systemen is zo’n gebrek aan cyberhygiëne meer dan opmerkelijk. Nasdaq spendeert jaarlijks bijna een miljard dollar aan informatiebeveiliging. Wereldwijd werken er maar liefst 1.000 mensen aan de informatietechnologie van Nasdaq en 10 bedrijven adviseren haar over beveiligingskwesties, inclusief een belangrijke Amerikaanse defensieaannemer. Maar zij waren samen niet in staat om te achterhalen hoelang de kwaadaardige software al in het netwerk van Nasdaq werkzaam was voordat het werd ontdekt.

    Nasdaq verklaarde dat haar handelsplatforms niet door de hackers waren gecompromitteerd en dat zij alleen het programma Directors Desk waren binnengekomen. Maar door dit programma te infecteren kregen de hackers toegang tot vertrouwelijke documenten en tot de communicatie tussen directieleden. Zij kregen ook toegang tot gegevens van beursgenoteerde bedrijven [Reuters, 20.10.11].

    Het is een voorbeeld van een getrapte aanval (blended attack) waarbij hackers een doelwit infiltreren om toegang tot andere computersystemen te vergemakkelijken. Het is vergelijkbaar met de aanval op de RSA beveiligingsafdeling waarbij digitale beveiligingssleutels werden gestolen die later werden gebruikt om in te breken op de netwerken van militaire eenheden, inlichtingendiensten en wapenproducenten (zoals Lockheed Martin).

    Het feit dat ook de NSA werd ingeschakeld om de cyberaanval op Nasdaq te onderzoeken, wijst erop dat de aanval ernstiger was dan Nasdaq wilde toegeven. Het vermoeden was dat er een nationale staat bij betrokken was of een buitengewoon capabele criminele organisatie. Nader onderzoek liet zien dat er zelfs sporen waren van meerdere uiteenlopende groepen die al jaren lang clandestien in de netwerken van Nasdaq opereerden [Bloomberg, 30.3.11; Wired, 30.3.11].

    In januari 2011 concludeerde de NSA dat de ingebouwde digitale bom in staat was om de hele beurs weg te vagen en dat deze bom geplaatst zou zijn door Russische elitehackers. Maar in tegenstelling tot een bom of een raket kan kwaadaardige software worden hergebruikt. Daarna vond de NSA bewijzen dat de Russische malware gebruikt werd door een hooggekwalificeerde Chinese cyberspion die daarmee zijn identiteit probeerde te verbergen. Toen uiteindelijk ook de CIA zich in het onderzoek mengde werd de theorie van de inbraak nogmaals gewijzigd: het zou een zeer uitgebreide vorm van cybermisdaad zijn die vooral gericht was op het stelen van Nasdaq’s meest kritische technologie [Bloomberg, 17.7.14].

    De financiële dienstensector verliezen jaarlijks honderden miljoenen dollars aan hackers [Reuters, 20.10.11]. De cyberaanvallen op financiële instellingen worden steeds geraffineerder en destructiever. In Amerika spannen FBI en NSA (National Security Agency) zich in om de financiële netwerken tegen verdere cyberaanvallen te beschermen. Maar het is nog steeds een ongelijke strijd. Ondanks alle defensieve inspanningen vertonen de financiële netwerken nog steeds enorme kwetsbaarheden voor een groeiend aantal steeds destructiever cyberaanvallen.

    Digital Tornado, een blokkade-actie
    Op 14.2.2012 werden de websites van technologiebeurs Nasdaq, BATS Stock Exchange en de Miami Stock Exchange aangevallen waardoor zij lange tijd niet toegankelijk waren. De toegang tot de sites werd geblokkeerd door een DDoS-aanval, de aandelenhandel zelf werd niet verstoord [Huffington Post, 14.2.12].

    De DDoS-aanval op de aandelenbeurzen werd opgeëist door hacktivisten (of een hacktivist) die zich de L0NGwave99 Group noemen [The Guardian, 14.2.12]. In een warrige verklaring werd gezegd dat hun operatie Digital Tornado gericht was tegen het gevaarlijke “kapitalisme van de liberale democratie”. De hackers wilden met hun actie de Occupy-beweging ondersteunen.

    Index


    Flitshandel en beursmanipulatie
    Aan de wieg van de huidige kredietcrisis stond de handel in onbegrijpelijke kredietproducten. Hoewel we nog druk bezig zijn om de gevolgen van die crisis te boven te komen, lijkt de volgende crisis al in de maak: een systeemcrisis die veroorzaakt wordt door de geautomatiseerde flitshandel.

    «High frequency traders» zijn handelshuizen die met behulp van computeralgoritmen geautomatiseerd en razendsnel in effecten en derivaten handelen. In Europa maken zij al 50% van de beurshandel uit.
    De flitshandel op de beurs is een bedreiging voor de stabiliteit van de financiële markten en is voor toezichthouders nauwelijks meer te volgen. De high frequency trade (HFT) zou wel eens een nieuwe financiële crisis kunnen veroorzaken. We hebben daarvan al een paar voortekenen gezien.

    • De bekendste door flitshandel veroorzaakte «flashcrash» vond plaats op 6 mei 2010. De beurs van New York ging tijdelijk onderuit door op hol geslagen, geautomatiseerde verkooporders. De flitskrach werd in gang gezet door een grote order van het beleggingsfonds Waddell & Reed. Via een agency algoritme werden binnen 20 minuten 75.000 contracten ter waarde van 4,1 miljard dollar in de markt gezet. Daarop sloeg de markt op hol.
        “De computers van de high frequency traders deden wat ze altijd doen: prijzen in de markt leggen, razendsnel opkopen en direct weer doorverkopen. Maar omdat alle algoritmes hetzelfde begonnen te doen, waren er op gegeven moment geen kopers meer in de markt en ging de beurs fors onderuit” [Menkveld 2012].
      De Amerikaanse toezichthouder SEC had een half jaar nodig om uit te zoeken wat er in een half uurtje beurshandel was gebeurd. De order van Waddell & Reed had een kettingreactie veroorzaakt waarbij computergestuurde programma’s direct op de transacties reageerden. Het voorspelbare gevolg waren enorme koersdalingen.

      Om de beurs uit de spiraal naar beneden te trekken was een noodstop van 30 seconden nodig. Die tijd was nodig om alle algoritmes uit te zetten en met nieuwe informatie opnieuw op te starten. Of het hier een bewuste opdracht betrof of een fout in het systeem bleef onduidelijk. Maar op 6 mei ‘verdampte’ er binnen een paar minuten 862 miljard dollar op de beurs van New York omdat de computerprogramma’s op hol sloegen.

    • Vette vinger kan paniek veroorzaken
      Van een vette vinger fout is sprake als een handelaar per ongeluk een order plaatst om een miljoen aandelen te verkopen in plaats van honderd. Zo’n menselijke fout wordt ook wel een ‘drukfout’ genoemd [Volkskrant, 20.10.12].
      Op 3 oktober 2012 schrapte het bestuur van Nasdaq een reeks verdachte flitstransacties die het aandeel Kraft Foods binnen 1 minuut 29 procent in waarde deden stijgen. De handelaren vermoedde dat er dit keer sprake zou kunnen zijn van een ‘vette vinger’ waarbij een kooporder verkeerd is ingevoerd [Telegraaf, 4.10.12]. Op 1 augustus gebeurde iets soortgelijks met de handel in aandelen van het effectenhuis Knight Capital. De handel werd gestopt nadat de investeringsgroep waarschijnlijk door een softwarefout voor 440 miljoen dollar het schip in was gegaan. Ook software die maandenlang rigoureus was getest bleek toch weer fouten te bevatten die tot een minicrash zouden leiden [BloombergBusinessweek, 3.8.12.

    • Op 5 oktober 2012 crashte de India National Stock Exchange (NSE) na foutief ingevoerde beleggingsopdrachten. De Nifty-index verloor tijdelijk een zesde van zijn waarde. Door een menselijke fout waren er per ongeluk 59 orders geplaatst met een waarde van 125 miljoen dollar [NSE, 5.10.12]. De gecomputeriseerde handelsprogramma’s reageerden onmiddellijk op de neerwaartse druk en voerden automatisch de bijpassende transacties uit, voordat iemand zich realiseerde wat er was gebeurd. Pas nadat de beurshandel 15 minuten automatisch werd stilgelegd, besefte men wat er gebeurd was. De flitscrach vaagde in korte tijd 58 miljoen dollar aan beurswaarde weg van de 50 toonaangevende Indiase bedrijven [BloombergBussinessweek, 6.10.12; FD, 5.10.2012].

    Door de sterke stijging van het aantal beurstransacties is het verschil tussen aan- en verkoopprijs van aandelen en derivaten aanzienlijk kleiner geworden. Flitshandelaren echter zijn niet geïnteresseerd in de waarde van aandelen of derivaten. Zij kopen en verkopen ze immers niet om er een aandelenpositie mee op te bouwen zoals de institutionele beleggers doen. De «belegging» in kredietproducten duurt slechts een paar seconden (en vaak zelfs veel korter). Er wordt alleen maar gehandeld in het minieme verschil tussen de aan- en verkoopprijs. Door dit extreem snel en vaak te doen kunnen gigantische winsten worden gemaakt.

    Ieder zijn eigen algoritme
    Op de beursvloer zien we geen schreeuwende handelaren meer staan die elkaar smoezelige briefjes toestoppen met de hoeveelheid aandelen die zij willen kopen of verkopen. Dat werk is grotendeels overgenomen door computers. De helft van de effectenorders in Europa wordt tegenwoordig door computers uitgevoerd — in de VS is dat al 70%. Flitshandel wordt aangestuurd door supercomputers die bliksemsnel op marktorders reageren nog vóór die orders op andere beeldschermen zichtbaar zijn.

    De kunst is om daarvoor programma’s te schrijven die de concurrentie te slim en vooral te snel af is. Dat zijn programma’s die in fracties van milliseconden allerlei handelsstrategieën op de beurs kunnen doorrekenen. Met behulp van zeer geavanceerde wiskundige formules (algoritmes) maken deze softwarerobots op grond van alle actuele beursinformatie supersnelle beslissingen om aandelen en derivaten te kopen of te verkopen.

    Om optimaal gebruik te kunnen maken van minimale verschillen tussen bied- en laatkoers worden die computers zo dicht mogelijk bij de beurscomputers geplaatst die de transacties verwerken. Hoe langer de glasvezelkabel hoe meer nanoseconden de signalen onderweg zijn. Daarom worden de supercomputers van de flitshandelaren fysiek zo dicht mogelijk bij de beurscomputers geplaatst. ‘Tijd is geld’, In dit geval zijn zelfs fracties van milliseconden— heel veel geld waard.

    Beursalgoritmes zijn in wiskundige formules vastgelegde handelspatronen. De algoritmes die op de computers van flitshandelaren draaien zijn wiskundig zeer complex. Ze zijn niet in real time zichtbaar en zijn moeilijk te ontrafelen.

      “Iedereen op de financiële markt maakt gebruik van computers, maar de wijze waarop de algoritmes worden ingezet verschilt per partij. Institutionele beleggers gebruiken «agency» algoritmes. Ze moeten bepaalde posities innemen en willen dat zo efficiënt en slim mogelijk doen. Dus niet in een keer één grote partij op één beurs aanbieden, maar spreiden in tijd en over meerdere platforms, zodat de beste prijs kan worden bedongen. Het zijn feitelijk geautomatiseerde handelsstrategieŽn. Daarnaast heb je de flitshandel die gebruik maakt van «proprietary» algoritmes. Dan praat je eigenlijk over geautomatiseerde hoekmannen: computers die een prijs in de markt leggen, maar dan met een ongelooflijk hoge snelheid en frequentie. De flitshandel heeft geen natuurlijke interesse in de markt, maar gebruikt de algoritmes om razendsnel in te spelen op extreem kleine prijsverschillen in de markt en zo geld te verdienen” [Menkveld 2012].

    Het risico van flitshandel is dat alle algoritmes op een bepaald moment hetzelfde gaan doen. De algoritmes reageren dan alleen nog maar op elkaar in plaats van op nieuwe relevante informatie over een aardbeving in China, een dreigend failliet van de Griekse overheid of een oorlog met Iran. Bij snel vallende koersen heeft de flitshandel een versterkend effect (het sneeuwbaleffect). Hierdoor kan een flitscrach ontstaan die razendsnel op een regelrechte systeemcrisis kan uitlopen.

    Flitshandelaren kunnen de handel op beurzen manipuleren. Door op het ene moemnt heel veel verkooporders te geven en die een microseconde later weer in te trekken kunnen de aandelenprijzen worden gemanipuleerd. Omdat zo snel gaat is de particuliere belegger per definitie de klos — zij zijn altijd te laat. Institutionele beleggers zoals pensioenfondsen zijn geen partij voor de snelle algoritmen waarmee flitshandelaren de koersbewegingen naar hun hand zetten.

    De onderlinge concurrentie tussen flitshandelaren verschuift steeds meer naar een technologische race wie er op de beurs het snelste kan reageren. Steeds meer inkomsten worden gegenereerd door het verkopen van transactiegegevens aan de algoritmehandelaren.

    Vormen van beursmanipulatie
    De meest elementaire vorm van beursmanipulatie is uitlokking. Een belegger ziet dat er een vraag naar miljoenen goedkope aandelen van een bepaald fonds is en besluit ook te kopen. Als hij dat gedaan heeft worden de grote aankooporders plotseling ingetrokken en de koers zakt weer terug. De particuliere belegger heeft hierdoor te veel betaald.

    Bij de duurdere aandelen gebeurt precies het tegenovergestelde. Orders van particulieren worden eerst overtroefd door kleine aankooporders die milliseconden vóór de particuliere order worden geplaatst. Omdat zijn order niet wordt uitgevoerd besluit de particuliere belegger dat hij wel iets meer wil betalen. Hij verhoogt zijn aankooplimiet en krijgt nu ineens wel zijn aandelen. Door deze manipulatie van de koersvorming wordt de particuliere belegger uitgelokt om zijn verkoopprijs te verhogen en betaald uiteindelijk een te hoge prijs voor zijn aandeel.

    Flitshandelaren kunnen financiële markten manipuleren zonder dat de toezichthouder dit ziet. Marktmisbruik kent vele varianten en de beursbengels dit als een opwindend spelletje. Vlak voor het sluiten van de beurs een order inleggen om een reactie bij een ander algoritme op te roepen om dan binnen een fractie van een seconde de order weer in te trekken: kassa!

    Index


    Beperking van risicoís door snelheidslimieten?
    Nationale overheden en supranationale organen maken zich —terecht— zorgen over de ongecontroleerde macht van het moderne flitskapitaal. Zij beschouwen de flitshandel op de beurzen als een potentiële bedreiging voor de stabiliteit van de financiële markten. De vraag is óf en zo ja hoé dit risico gecontroleerd kan worden.

    Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen. Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te verlagen. Een algemeen speculatieverbod botst frontaal op de kapitalistische logica die de leidraad is voor het politiek handelen van regeringsleiders. En politici die nog wel in staat zijn om een onderscheid te maken tussen de kapitalistische en speculantenlogica zijn dun gezaaid.

    Een verbod op het gebruik van computertechnologie is onzinnig en onuit≠voer≠baar. Het zou alle voordelen van de automatisering (efficiëntere mark≠ten en lagere transactiekosten) teniet doen. Hetzelfde geldt voor voorstellen om de fre≠quen≠tie waarmee prijzen worden vastgesteld te verlagen. Een algemeen specu≠latie≠verbod botst op de kapitalistische logica die de leidraad is voor het politiek handelen van regeringsleiders.

    De populairste remedie is het beperken van de snelheid van de aandelenhandel door het instellen van een snelheidslimiet. Op 24 september 2012 presenteerde de Europese Commissie een aantal maatregelen om de flitshandel op de beurs aan banden te leggen. De belangrijkste maatregel is het beperken van de beurssnelheid tot een halve seconde (500 milliseconde). Ten opzichte van de huidige snelheid (0,05 milliseconde per transactie) zou dit een enorme vertraging betekenen. De transacties op de beurzen zouden door dit voorstel duizend keer trager verlopen dan nu het geval is.

    Het gevolg van dit voorstel zou zijn dat orders minstens een halve seconde in het ‘orderboek’ van de beurs moeten blijven staan voordat ze kunnen worden geannuleerd of gemodificeerd. Voor flitshandelaren als Optiver, IMC en Flow Traders is dit een eeuwigheid. Zij beschouwen dit als een ongehoorde interventie in hun manier van zaken doen. Als zij verplicht zouden worden om hun orders voor 500 milliseconden in te leggen zonder dat zij deze tussentijds mogen veranderen, dan lopen zij enorme risico’s. “Je legt in die tijd als het ware je portemonnee op tafel. Dat willen we niet”, aldus een woordvoerder van de lobbyorganisatie FIA [Volkskrant, 17.10.12].

    Beursbengels en hun lobbyisten

    Michael Douglas als Gordon Gekko in de film Wall Street (1987): “Greed is Good.
    Nederland heeft een aantal flitskapitalisten die in de wereldtop meedraaien. Rijk geworden van hun flitshandel leveren zij steeds meer leden van de Quote-500 club. Optiver is een van de hofleveranciers van deze club: Jan Dobber. Johann Kaemingk, Chris Oomen, Ruud Vlek en Leo van den Berg [Quote, 23.4.12; Quoate, 15.11.10].

    De flitshandelaren hebben hun eigen Europese lobbyclub opgericht. De European Principal Traders Association (EPTA) —dochter van de Amerikaanse lobbyvereniging FIAverweert zich tegen het verwijt dat hun manier van handelen zorgt voor flitscrashes en andere systeemrisico’s. Beursbengels houden niet van regelgeving. Het beperkt hun gokverslaving en roomt hun speculatie-winsten af [Quote, 19.8.11]. Zij voelen zich diep beledigd en verwerpen alle kritiek als ongefundeerde roddelpraat (aldus EPTA-baas Remco Lenteman, voorheen werkzaam bij Goldman Sach).

    Flitshandel is sexy
    Geld stinkt niet (Pecunia non olet), vinden de flitskapitalisten, en hebzucht is goed. Hoe aantrekkelijk het is om flitshandelaar te zijn, maakte Optiver duidelijk in een video waarmee men nieuw personeel probeert te rekruteren. Op het YouTube-kanaal van Optiver is die video inmiddels verdwenen, maar het plaatje maakt duidelijk wat de boodschap was.

    Flitshandelaren stellen alles in het werk om de snelheid van hun beursoperaties nog verder op te voeren. Zij investeren zwaar in de aanleg van nieuwe, nog snellere onderzeese glasvezelkabels die de beurzen van Tokyo, Londen en New York met elkaar verbinden. Hierdoor zal in 2014 de overdracht van een opdracht tussen de beurs van Tokyo en Londen 62 milliseconde korter duren dan de 230 milliseconden die daar nu nog voor nodig zijn. Medio 2011 kondige het in Londen gevestigde bedrijf Fixnetix aan dat zij de allersnelste handelsapplicatie had gemaakt: een microchip die een transactie in 740 miljardste seconde kan uitvoeren. Je kunt niet meer zeggen dat transacties zich in een oogwenk voltrekken: een oogwenk heeft honderden miljoenen nanoseconden nodig. Maar voor sommige flitshandelaren zijn zelfs nanoseconden nog te traag. Zij spreken al over picoseconden — een triljoenste van een seconde [Wall Street Journal, 14.6.11; Gay/Yao/Ye 2012].

    De toezichthouders op de beurzen hebben steeds minder zicht en dus grip op de geautomatiseerde markten van aandelen en derivaten. Ze lopen achter op het gebied van automatisering en moeten steeds meer it-ers aantrekken om een bij te blijven. Ze hebben goede automatische detectie- en analysesystemen nodig die uit alle data opvallende of verdachte orders en koersbewegingen te destilleren [Cooper/Van Vliet 2012]. Toezichthouders moeten niet alleen meer inzicht krijgen in de nieuwe ecologie van de gecomputeriseerde markten, maar ook hun internationale samenwerking te versterken. Het komt niet zelden voor dat flitshandelaren op de ene markt een crash veroorzaken om daarop in een andere markt te speculeren.

    De AFM (Autoriteit Financiële Markten) is de waakhond van de Nederlandse financiële markten. Zij moet toezicht houden op het gedrag van alle partijen die op de financiële markten opereren: financiële dienstverleners, beurzen, bemiddelaars en accountants. De AFM moet erop toezien dat deze partijen correct handelen en hun partners van de juiste informatie voorzien. De vraag is echter of de AFM voldoende is uitgerust om de patronen van de flitshandel te herkennen en bij verdachte koersbewegingen snel genoeg kan ingrijpen.

    De AFM houdt toezicht op alle orderdata van de AEX (Amsterdam Exchange Index). De AEX geeft het beeld van de koersontwikkeling van de 25 aandelen met de grootste marktkapitalisatie op de Amsterdamse effectenbeurs. Technisch gezien is de AFM wel in staat om alle microbewegingen op deze beurs te reconstrueren. Maar zij heeft geen continu beeld van de flitsorders die over de gedigitaliseerde beursvloer vliegen. Als er verdachte koersbewegingen worden geconstateerd, is zij ook niet in staat om de identiteit te achterhalen van de handelaren die de flitsorders hebben geplaatst. De AFM beschikt niet over dezelfde algoritmische technologie als degenen waarop zij toezicht moeten houden. Maar ook de AFM heeft geen behoefte aan het Europese voorstel een tijdslimiet in te voeren om de risico’s die aan de flitshandel verbonden zijn te beteugelen. Sommige critici zeggen dat de AFM een waakhond van de beurs moet blijven en geen schoothondje van flitskapitalisten.

    Snelheidsbeperking en noodrem: hoe effectief?
    Een snelheidsbeperking voor beurstransactie heeft verschillende voor- en nadelen, Op korte termijn zou een snelheidslimiet voor de beurshandel enig soelaas kunnen bieden voor de achterstand die toezichthouders hebben op de zeer moeilijk te controleren machinaties van de flitshandelaren. Maar hogere snelheid betekent een efficiëntere markt en lage transactiekosten. Het instellen van een snelheidslimiet kan ertoe leiden dat de handel zich verplaatst naar alternatieve platforms waarop helemaal geen toezicht wordt gehouden.

    De Europese Unie wil de risico’s van de flitshandel beperken door op de rem te gaan staan. Maar de ziel van het flitskapitaal is juist gelegen in de enorme snelheid waarmee zijn robots op de internationale effectenmarkten opereren. Fast trade en snelheidslimieten zijn onverenigbaar.

    Een andere manier om de ontregelende kracht van het flitskapitaal te beperken is het inbouwen van betere circuit breakers die de handel stilleggen als er problemen worden geconstateerd. Met zo’n noodrem kan de schade worden beperkt, maar niet voorkomen.

    Drukfout
    De ironie wil dat de drukfout waar Google het slachtoffer van werd, gemaakt werd door een drukkerij die de financiële teksten van Google verzorgt.
    Dat bleek toen op 18 oktober 2012 het aandeel van Google op de Nasdaq in 8 minuten 9 procent van haar waarde verloor. Door een fout van de ‘filing agent’ van Google verscheen het kwartaalbericht vroeger dan de bedoeling was op de website van de beursautoriteit SEC (Securities and Exchange Commission). De agent had al voor het sluiten van de beurs op de verzendknop gedrukt. Het was een klassieke drukfout met grote gevolgen. Slechts 360 seconden na deze drukfout was Google tientallen miljarden minder waard geworden. Pas 21 minuten later werd er aan de noodrem getrokken en werd de handel stilgelegd.

    Een aantal grote flitshandelaren hadden zich al een paar minuten vóór de koersval van Google uit de markt teruggetrokken. Hierdoor ontstond een groter verschil tussen aan- en verkoopprijs. De computeralgoritmes reageerden daarop met een snel spervuur van ingetrokken kooporders [Bloomberg, 18.10.12]. Er werd pas aan de noodrem getrokken nadat het flitskapitaal haar schaapjes op het droge had. De algoritmische snelhandel trok aan het langste eind.

    Voor particuliere beleggers is de effectenhandel inmiddels steeds ondoorzichtiger geworden. Maar zelfs voor de AFM is de effectenhandel inmiddels zo ingewikkeld dat het bijna onmogelijk is om daarop goed toezicht te houden. Dat komt niet alleen door de computergestuurde manipulaties van beurskoersen, maar ook omdat er op steeds meer plaatsen wordt gehandeld. Slechts de helft van de gebeurt op ‘gewone beurzen’ zoals Euronext. Inmiddels gaat 40% van de handel naar alternatieve, volledig geautomatiseerde platforms zoals Bats, Chi-X, Turquoise en Tom. Door hun lagere transactiekosten bieden deze platforms uitgelezen winstkansen voor oncontroleerbare flitshandel. Zij bieden tegelijkertijd ideale omstandigheden voor criminele beursmanipulaties.

    Index


    Ontregeling van financiële markten
    De georganiseerde criminaliteit is niet meer beperkt tot een aantal steden en een paar criminele markten. Vandaag de dag zijn criminele ondernemingen niet geënt op het model van de Siciliaanse maffia. Het zijn uiterst kapitaalkrachtige netwerken die opereren in alle haarvaten van de geglobaliseerde samenleving. Zij penetreren in nationale en multinationale ondernemingen, verstoren markten, corrumperen regeringen en persen daarbij enorme rijkdommen af. Zij worden van brandstof voorzien door dezelfde globaliseringskachten die productie en handel, communicatie en informatie wereldwijd hebben uitgebreid. “Criminele syndicaten hebben niet alleen een ongekende invloed op het leven van gewone mensen, maar hebben het concurrentievermogen van multinationale ondernemingen en de veiligheid van overheden wereldwijd ondermijnd” [World Economc Forum 2011].

    Criminele netwerken zijn multinationaal in bereik waardoor hun impact groter is dan ooit te voren. Criminele organisaties zijn de meest ondernemende en lenige elementen van de globale economie. Ze zijn bijzonder behendig is het exploiteren van zwakke instituties en fragiele staten. Zelfs in de meest geavanceerde economieën is hun invloed zeer vergaand. In een verklaring van het World Economic Forum werd dit pijnlijk adequaat onder woorden gebracht.

      “Georganiseerde misdaad penetreert in de financiële markten van Hong Kong, de banken van Japan en de bouwindustrie in New York aan. Georganiseerde misdaad ontmoedigt investeringen in Mexico en Afghanistan, en verstikt de reconstructie van veel post-conflict samenlevingen zoals Sierra Leone en de Democratische Republiek Congo. Het stimuleert corruptie, clandestiene handel en illegale migratie, ondermijnt het milieu en de mensenrechten, en draagt bij aan de uitputting van natuurlijk bronnen. Naarmate de wereld in sterker interdependent wordt, zullen criminele organisaties zich blijven uitbreiden en aanpassen. De opkomst van nieuwe machten zoals China, India en Brazilië stelt het vermogen van de wereld op de proef om de verspreiding van geraffineerde criminele syndicaten te beperken” [World Economc Forum 2011].

    In 2011 waagde de UNODC (United Nations Office on Drugs and Crime) zich aan een eerste globale schatting van transnationaal georganiseerde criminaliteit. Zij schatte de clandestiene stromen die verbonden zijn aan misdaadsyndicaten op $ 125 miljard per jaar. Daarvan wordt 85% toegerekend aan de handel in illegale drugs.

    Natuurlijk zijn dergelijke getallen niet meer dan schattingen. Maar zelfs in de meest conservatieve schattingen zijn de criminele inkomsten gigantisch groot. Bovendien zijn dit alleen nog maar de directe kosten. De indirecte kosten zijn aanzienlijk hoger. Dat zijn kosten in de vorm van instabiliteit, geweld en verwondingen, menselijke gezondheid, schoonmaken van milieu, en een gemanipuleerd speelveld dat clandestiene ondernemingen bevoordeelt.

    Over miljoenen illegale transacties per dag wordt geen belasting geheven. Dat geldt voor illegale banktransacties tot aan het smokkelen van imitatie goederen (schoenen, tassen en medicijnen) en verhandelen van intellectueel eigendom. Overheden die zich inzetten om de sociale voorzieningen nog een beetje overeind te houden verliezen nog eens vele miljarden extra door belastingontduiking en het witwassen van zwart geld. Al deze niet-verkregen belastinginkomsten hebben directe gevolgen voor de belastingbetaler.

    Insiders
    Op 24 januari 2009 maakt de Franse bank Société Général bekend dat het was getroffen door een van de grootste fraudes in de geschiedenis van de banken. De fraude van een van haar handelaren geleid had tot een verlies van € 4,9 miljard.

    Effectenhandelaar Jérôme Kerviel had door ongeoorloofde speculaties op de futuremarkt zijn bank met grote verliezen opgezadeld. Aanvankelijk werkte hij op een controle-afdeling van de bank. Hij maakte misbruik van zijn kennis van de beveiligingssystemen van de bank om zijn sporen te verbergen via een serie fictieve transacties. Door interne controles te ontwijken kon hij zijn zware verliezen lange tijd verbergen.

    De huidige economische crisis stimuleert de verspreiding van georganiseerde criminaliteit. Door stijgende werkloosheid neemt het aantal mensen dat zich van de samenleving voelt uitgesloten toe en worden inspanningen om immigranten en gemarginaliseerde groepen te integreren belemmerd. “Een toenemend aantal werkloze en gefrustreerde jongeren is vatbaar voor rekrutering door straatbendes, georganiseerde misdaadsyndicaten of terroristische groepen” [World Economc Forum 2011]. Mensen die ondanks hun gereduceerde koopkracht hun leefstijl proberen te handhaven, zijn eerder geneigd om gebruik te maken van clandestiene diensten of om gesmokkelde imitatieproducten te kopen. Hierdoor neemt de vraag naar dergelijke illegale producten en diensten verder toe.

    Bovendien maakt de economische crisis bonafide opererende ondernemers meer geneigd (of gedwongen) om compromissen te sluiten, waardoor criminele groepen nog verder in het economisch stelsel kunnen infiltreren.

    De beurzen zijn een eldorado geworden voor individuele en georganiseerde cybercriminelen, maar ook voor cyberterroristen en nationale staten die vijandige staten proberen te verzwakken door hun financiële stelsel met cyberoperaties te ontregelen. De netwerken van de beurzen zijn in steeds sterkere mate afhankelijk geworden van informatietechnologie. Die informatietechnologie wordt door externe ondernemingen ontwikkeld, ondersteund en onderhouden. Maar het is nooit helemaal duidelijk welke achterliggende belangen deze it-bedrijven hebben en hoe daar de eigen beveiliging is geregeld.

    De beveiligingsafdelingen van beurzen en banken worden geconfronteerd met een toenemend aantal hooggekwalificeerde en gerichte cyberaanvallen. De meeste experts zijn het erover eens dat zij daartegen slechts weinig kunnen inbrengen. Dit betekent dat de financiële markten nog lange tijd kwetsbaar zullen zijn voor cyberaanvallen. Sommige cyberaanvallers hebben voldoende expertise in huis om onopvallend in beurzen te penetreren en kunnen daar voor langere tijd ongedetecteerd hun werk doen. Daarbij kunnen met minimale inspanning en verwaarloosbare risico’s fantastische winsten worden behaald.

    Slecht voorbereid
    Het adviesbureau KPMG onderzocht de frequentie van cyberaanvallen op Nederlandse bedrijven en instellingen. Uit de enquête onder ruim 170 bestuurder bleek dat de helft van de Nederlandse bedrijven en instellingen in 2011 het slachtoffer was van een cyberaanval. Bij ruim 60 procent beperkte de schade zich jaarlijks tot een bedrag van 100.000 euro. Bij ruim 10 procent overstijgt de schade een bedrag van 1,5 miljoen euro. Slechts één op de vijf acht zichzelf in staat om zo’n aanval met succes te kunnen afslaan. Daaruit is maar een conclusie te trekken: Nederlandse bedrijven en instellingen zijn slecht voorbereid op cyberaanvallen.

    De financiële sector is het meest populaire doelwit. Hier vindt 75 procent van de cyberaanvallen plaats. Om toegang te krijgen tot computersystemen maken de cybercriminelen vooral gebruik van lokmails (phishing). “Cybermisdaad is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de georganiseerde misdaad. daarbij gaat het niet alleen om geld, maar ook om spionage en verstoring van belangrijke processen (en daarmee van ondernemingen en/of publieke diensten)” [KPMG]

    De werkelijke omvang van cybercriminaliteit is uiteraard moeilijk te achterhalen omdat de detectieprocedures lang niet alles in kaart brengen.

    Voor gekwalificeerde en goed uitgeruste criminelen zijn de beurzen en banken een interessant werkgebied. Maar ook voor nationale staten zijn de financiële markten en instellingen een aantrekkelijk operatieveld. Zij beschikken over voldoende middelen, gekwalificeerde mensen en de lange adem die nodig is om beursmanipulaties op lange termijn geduldig en planmatig te realiseren.

    Bij beursmanipulaties door nationale staten is monetair gewin meestal niet het belangrijkste doel. Door een cyberaanval op beurzen proberen zij de hele economie van een andere staat ernstige schade toe te brengen. Als men weet op welke gevoelige strategische punten een financieel stelsel moet aanvallen en als men op het juiste tijdstip de verkeerde signalen geeft, dan kunnen al wankelende staten en hun economische systemen in diepe afgronden worden gestort.

    “Voor moderne maatschappijen is de manipulatie van de beurzen misschien het grootste probleem van de nieuwe cyberveiligheidssituatie. De beurzen kunnen niet meer als betrouwbaar worden opgevat. Zij moeten als chronisch gecompromitteerd en ondergraven worden gezien” [Gacken 2012:143]. Dan dringt zich de vraag op in hoeverre beurzen nog wel een geschikt instrument zijn voor de internationale handel.

    Een wereld zonder geld?
    Een elektronische diefstal van honderden miljoenen euro’s is natuurlijk geen sinecure. Maar het valt in het niet als men dit vergelijkt met andere mogelijke scenario’s zoals een aanslag op de glasvezel netwerken waarop de financiële instellingen in de wereld draaien. Wat zou er gebeuren als aanvallers erin zouden slagen om de technische infrastructuur van het hele internationale bank- en beurssysteem te ontregelen of te vernietigen?

    Geld is tegenwoordig een digitaal opgeslagen getal dat gekoppeld is aan een digitaal opgeslagen rekeningnummer van een persoon of instelling. Als er geknoeid wordt met die digitale gegevens, of als zij worden vernietigd, dan zou praktisch de gehele (monetaire) rijkdom op aarde verdampen. Niemand zou meer in staat zijn om geld van zijn bank te halen of naar een andere rekening over te schrijven.

    Index


    Specialisering en professionalisering van cybercriminaliteit
    Cybercriminelen zijn louter uit op korte-termijn winst. Ze zijn de parasieten van commerciële systemen en netwerken. Ze proberen op illegale wijze voordeel te halen uit het cybertijdperk zonder hun slachtoffers te doden of te kwetsen. Ze slaan toe waar het geld is, grijpen wat ze kunnen en poetsen zo snel mogelijk de plaat.

    De methodieken die cybercriminelen gebruiken zijn in snel tempo uitgebreid en verfijnd. Ondanks alle investeringen in betere computerbeveiliging slagen cybercriminelen er telkens weer in om in te breken in digitale circuits waarin geld een rol speelt. Zolang de kans op illegale winst groter lijkt dan het risico om gesnapt en bestraft te worden, zullen cybercriminelen steeds creatiever en professioneler worden. Ook cybercriminelen staan onder druk om te innoveren. Wie het meeste geld weet te stelen, heeft ook de middelen om nieuwe inbraak- en oplichtingstechnieken te ontwikkelen, om nieuwe kansen die zich voordoen te benutten, en om nieuwe slachtoffers te vinden.

    Cybercriminaliteit heeft zich inmiddels ontwikkeld tot een geheel nieuwe een bedrijfstak. Er zijn cybercriminele ketens ontstaan van gespecialiseerde bedrijven die samenwerken om grotere en meer lucratieve doelwitten aan te vallen. Op de zwarte markten verhandelen cybercriminelen onderling goederen en diensten waarmee winstgevende doelwitten bestolen kunnen worden: creditcardnummers en gecompromitteerde bankrekeningen, maar ook informatie zoals adressen, telefoonnummers, sociale zekerheidsnummers enz [Interpol 2011]. Het cybercriminele bedrijfsmodel is als volgt opgebouwd.

    • Handel in exploitatiecodes
      Op internet zijn er speciale marktplaatsen waar cybercriminelen exploitatiecodes verkopen en kopen. Daar worden voor zeer hoge bedragen methoden en technieken verhandeld waarmee misbruik gemaakt kan worden van kwetsbaarheden (bugs) in hard- en software. Daarbij gaat het vooral om zwaktes die nog niet publiek bekend zijn (de zgn. Zero Day Exploits - ZDE).

      Een voorbeeld van zo’n marktplaats is WabiSabiLabi. Op het ondergrondse internet (darknet) dat niet geïndexeerd wordt door zoekmachines en waarvan het gebruik geanonimiseerd wordt, worden exploits te koop aangeboden.

      Premium Tools voor cyberdieven
      Op de zwarte internetmarkt schaffen cyberbendes exploitkits aan die gebruik maken van verse lekken die nog niet of nauwelijks zijn gerepareerd. Een voorbeeld daarvan is de Cool Exploit Kit die in 2012 in omloop werd gebracht voor $10.000. De makers van het programma zoeken permanent naar nieuwe kwetsbaarheden en naar verbeteringen van oudere exploits waardoor deze weer bruikbaar zijn. Zij verzamelen in het bijzonder lekken in browser plug-ins [Webwereld 8.1.13].

    • Distributiediensten voor malware
      Cybercriminelen bieden diensten aan waarmee kwaadaardige programma’s over het internet kunnen worden verspreid. Zij laten zich betalen om via hun netwerken van gecompromitteerde websites snel grote aantallen computers te infecteren. De malware distributeur verkoopt in feite webverkeer [Symantec, 27.10.11; Trendmicro, 2011].

      Een botnet kan eenvoudig worden geconstrueerd door het kopen van een software ontwikkelingsprogramma dat op het internet beschikbaar is voor $1.500 tot $3.000. Daarmee kan vervolgens spam worden verstuurd, DDoS-aanvallen worden gelanceerd, clickfraude worden gepleegd, creditcard gegevens worden gestolen of gijzelingspremies worden geïncasseerd.

      Steeds meer worden deze botnetdiensten echter ingehuurd bij gespecialiseerde criminelen die tegen vaste tarieven cyberaanvallen lanceren. De economie van de botnets ziet er ongeveer als volgt uit.
      Aspect Kosten per 10.000 cliënten
      Cliënt acquisitie $400 tot $1.000
      DDoS-aanval (per uur) $100 tot $200
      DDos-afpersing $10.000 per cliënt
      Spam emails $0,50 tot $1,50
      Klikfraude $1,500
      Adware $3.000 tot $15.000

      Bron: The DDoS Threat Spectrum, 2012

      Sinds begin 2013 dalen de prijzen voor botnets aanzienlijk als gevolg van het grote aanbod. De startprijs voor een Amerikaans botnet is gedaald van 200 naar 120 dollar. Volgens een onderzoeker van Webroot is dit een teken dat de markt volwassen is geworden en niet meer is voorbehouden aan experts.

        1.000 5.000 10.000
      World MIX 25 $ 110 $ 200 $
      EU MIX 50 $ 225 $ 400 $
      DE, CA, GB 80 $ 350 $ 600 $
      USA 120 $ 550 $ 1.000 $

      Bron: Dancho Danchef, Webroot, 28.2.13.

      Verhuurders van botnetdiensten voor malafide activiteiten hebben financiële motieven om hun botnets zo groot mogelijk voor te stellen. Om de omvang van hun botnet te demonstreren kunnen zij soms een paar minuten worden geprobeerd: ‘try-before-you-buy’.

      Roterende proxies
      Criminelen gebruiken botnets ook om hun identiteit op internet af te schermen. Er zijn speciale online diensten die cybercriminelen hiervoor kunnen inhuren. De dienst bestaat uit een webinterface waarmee criminelen zelf een manier kunnen kiezen om hun identiteit te verbergen. Daarbij wordt gebruikt gemaakt van besmette computers als proxies. Wanneer meerdere besmette computers aan elkaar worden gekoppeld, wordt het voor opsporingsdiensten nog lastiger om de dader van een cybermisdrijf op te sporen. Criminelen kunnen met behulp van de software op eenvoudige wijze de gebruikte proxies laten wisselen en roteren. Voor het gebruik van 150 proxies per maand betalen cybercriminelen $25. Voor 1.500 proxies per maand kosten iets meer dan $95. De kosten van het anonimiseren van de internetactiviteiten van cybercriminelen worden steeds lager [Dancho Danchev, 20.3.13; Security.nl, 23.3.13]. Een voorbeeld van zo’n proxy verhuurder is het sinds 2004 onder verschillende namen opererende Foxy Proxy. Zie ook de lijst van The Proxy Bay.

    • Verkopers van persoonsgegevens
      Er is een levendige handel in gestolen identiteiten. Deze diensten (zoals 76Team.com) bieden cybercriminelen een platform om een portfolio van gestolen databestanden te kopen, te verkopen en te beheren.

    • Malware in licentie
      Schrijvers van malware hanteren licentiemodellen waardoor andere cybercriminelen hen direct betalen voor het gebruik van hun kwaadaardige software. De malwareschrijvers kunnen hierdoor beschikken over grotere fondsen en andere cybercriminelen kunnen hoogwaardige malware aanschaffen en hoeven deze niet meer zelf te ontwikkelen. Een voorbeeld van deze commerciële malware is Storm Worm. Steeds meer commerciële malware producenten leveren online ondersteuning om betalende cybercriminelen te helpen de instrumenten beter te gebruiken. De risico’s voor malware producenten zijn gering. Hun producten kunnen immers ook voor goede, legale doeleinden worden gebruikt en worden altijd geleverd met de disclaimer dat de software «alleen voor onderzoek» gebruikt mag worden.
      Betaal per installatie
      De distributie van malware wordt gebruik gemaakt van het Pay-Per-Install (PPI) mechanisme. In dit bedrijfsmodel opereert een PPI-site met duizenden geaffilieerde partners die malware verspreiden. De geaffilieerden worden betaald op basis van het aantal malware infecties dat zij produceren. Een voorbeeld daarvan is Pay-Per-Install.org. Deze site fungeert ook als forum en marktplaats waar cybercriminelen kunnen bespreken welke PPI-programma’s de hoogste winsten behalen.

    • Cybercriminele sociale netwerken
      Ook cybercriminelen maken gebruik van sociale netwerken. In de netwerksites verwerven cybercriminelen de reputatie die nodig is om illegale goederen en diensten te verkopen en te kopen, of om partners te vinden om grotere operaties te realiseren.

    Deze keten van gespecialiseerde en geprofessionaliseerde diensten biedt voor cybercriminelen veel voordelen. De elementen van deze keten worden steeds verder verfijnd en beter op elkaar afgestemd. De cybercriminele keten wordt gedifferentieerd in een aantal subketens waardoor ook de pakkans wordt gespreid. Een schrijver van malware hoeft geen data meer te stelen of zelf fraude te plegen om een deel van de buit binnen te halen. Hij verkoopt zijn malware met winst zonder dat hij hoeft deel te nemen aan activiteiten met een hoog risico. Er is geen strikte hierarchie — de online forums bieden een platform voor het uitwisselen van diensten voor de digitale onderwatereconomie. Voor politie en justitie wordt het moeilijker om zicht en greep te krijgen op alle actoren die bij cybercriminele operaties betrokken zijn.

    De huidige generatie cybercriminelen heeft haar operaties in vergaande mate geautomatiseerd om in minder tijd meer productief te zijn. Zij maken gebruik van malware instrumenten en scripttechnieken om de verschillende fases van hun scenario’s uit te voeren. Bij grotere operaties wordt gebruik gemaakt van veelzijdige softwarepakketten die verschillende functies verrichten. Bijvoorbeeld:

    • het maken van een botnet;
    • het stelen van gegevens, certificaten en logo’s van online diensten;
    • het stelen van de beelden van checks van die diensten;
    • het printen van imitatiechecks;
    • het rondneuzen op banensites om e-mail adressen te vinden van baanzoekers;
    • het spammen van die adressen om geldezels (money mules, katvangers) te rekruteren om vervalste checks te inkasseren;
    • het rekruteren van de geldezels om de checks te inkasseren en de fondsen naar de rekeningen van de cybercriminelen te sturen;
    • het versturen van vervalste checks naar de geldezels.

    Cybercriminelen ronselen internetgebruikers om gestolen geld te witwassen. Zij zoeken naar ‘vertegenwoordigers’ die betalingen controleren en documenten versturen. In advertenties worden internetters verleid om op een gemakkelijke manier geld te verdienen. Katvangers of geldezels worden aangetrokken met lokmails zoals:

    • “Help onze doktoren en ontvang daar geld voor.”
    • “Verdien 25 euro per 2 uur door vanuit huis in uw vrije tijd te werken.”
    • “Ik ben bereid om 95 euro per uur aan u te betalen voor maatschappelijk nuttig werk in uw vrije tijd"”
    • “Help zieke mensen in je vrije tijd en verdien 500 euro per week!”
    • “U kunt in uw vrije tijd niet alleen geld verdienen, maar ook mensen in uw stad helpen.”

    Iets goeds doen voor de mensheid er zelf nog geld mee verdienen ook. Dat is te mooi om waar te zijn. In werkelijkheid maken criminelen geld over naar de rekening van de katvanger dat ze van andere rekeningen hebben gestolen. De katvanger moet een deel van het bedrag opnemen en via betalingskantoren zoals Western Union overmaken. Een gedeelte mag de katvanger zelf houden.


    Om jongeren te waarschuwen voor criminele operaties startte de Nederlandse Vereniging van Bankiers de campagne Pasopjepas. “Je bent een geldezel als je je pas en pincode uitleent. Daarmee kunnen criminelen je bankrekening gebruiken om gestolen geld weg te sluizen. Ze beloven je zogenaamd een beloning. Trap er niet in! Want je rekening wordt misbruikt en jij krijgt een strafblad.”
    De werkwijze van de moderne cybercrimineel verloopt in de volgende etappes. De cybercrimineel huurt eerst crackers in om kwaadaardige software. Via gespecialiseerde distributiediensten (phishing services, drive-by-download services) wordt de crimweware verspreid en worden de computers van bankklanten geïnfecteerd. Met de gestolen bankcodes wordt ingebroken op de bankrekeningen. De bankrekeningen worden klaargezet. Op een afgesproken (lees: geprogrammeerd) tijdstip wordt van alle rekeningen geld weggesluisd naar de rekeningen van geldezels. Geldezels sluizen het geld door naar bankrekeningen van de topcrimineel en de geldezels worden afgescheept met een klein percentage van de buit.

    De geldezels zijn meestal het haasje. De pakkans van geldezels is groot. Zij draaien op voor de schade en kunnen strafrechtelijk worden vervolgd [NVB; Security.nl, 24.6.11; Security.nl, 6.4.12].

    Index Cybotage: van disruptie naar destructie

    Saboteren van procescontrolesystemen
    Naast de dreiging van digitale spionage moet serieurs rekening worden gehouden met de dreiging van digitale sabotage, ofwel: cybotage.

    Sabotage is het opzettelijk verzwakken van een vijandelijke positie of voorziening door het belemmeren, verstoren en/of vernietigen van productieve, dienstverlenende of communicatieve processen. Het primaire doel van sabotage is niet het toebrengen van slachtoffers of het aanjagen van angst (zoals bij terrorisme), maar het berokkenen van schade aan fysieke apparatuur, installaties, diensten transport of opslag.

    Subversieve actie met houten en digitale klompen
    Het woord saboteren stamt uit de beginperiode van de industriële revolutie. Steeds meer machines namen het ambachtelijke handwerk over en de eerste generaties van het loonafhankelijk proletariaat werden onderworpen aan een jachtig systeem vele uren moesten werken (vaak meer dan 12 uur per dag), in een tempo dat volledig gedicteerd werd door de snelheid van de nieuwe machinerie.

    Deze “reële onderschikking van de arbeid onder het kapitaal” [Marx, MEW 23:533] was een uitvloeisel van een kapitalistisch systeem waarin alle methoden tot verhoging van de arbeidsproductiviteit worden gebruikt ten koste van de individuele arbeider: “Alle middelen ter ontwikkeling van de productie veranderen in middelen tot overheersing en uitbuiting van de producenten, verminken de arbeider tot een deel-mens, vernederen hem tot een aanhangsel van de machine, vernietigen door de kwelling van de arbeid de inhoud van zijn arbeid, vervreemden hem in dezelfde mate van de geestelijke mogelijkheden van het arbeidsproces als waarin de wetenschap door het arbeidsproces als een zelfstandige kracht wordt ingelijfd. Zij misvormen de voorwaarden waaronder hij zijn arbeid verricht, onderwerpen hem gedurende het arbeidsproces aan een kleingeestig, hatelijk despotisme, maken van zijn levenstijd arbeidstijd, werpen zijn vrouw en kind en het Jaggernaut-wiel van het kapitaal” [Marx, MEW 23:647]. Jaggernaut was de Indische god, onder wiens wagen de gelovigen zich wierpen om verpletterd te worden.

    In het begin van de industriële revolutie probeerden de arbeiders —die veelal nog maar net als boeren waren onteigend— zich te weren tegen de intensieve en extensieve exploitatie van hun arbeidskrachten. Zij beschikten nog niet over vakbonden en protesteerden daarom individueel door hun klomp in het raderwerk van de machine te gooien. Die klomp zorgde ervoor dat de machinerie tijdelijk tot stilstand kwam en dat de arbeiders even extra rust kregen. De klomp werd het symbool van individueel en vaak wanhopig verzet tegen extreme uitbuiting.

    Het Franse woord voor klomp is sabot. Het daarvan afgeleide woord ‘sabotage’ werd voor het eerst omschreven in de Dictionnaire Historique de la langue franÁaise [1808] van Alain Rey: “faire vite et mal” — snel iets kwaads doen.

    In de loop der tijd kreeg saboteren de betekenis van het bewust belemmeren, hinderen en vertragen van een proces door subversieve actie. In de 21ste eeuw gooiden individuele en geassocieerde hackers hun digitale klompen (virussen, wormen en Trojaanse paarden) in de strijd om websites, internetdiensten, servers en materiële productieprocessen plat te leggen. De eenvoudigste vorm van cybotage is het onbereikbaar maken van een internetpagina door een denial-of-service aanval die bezoekers verhinderd om deze pagina te bekijken. De meest geavanceerde vorm van cybotage is het ontregelen van industriële productieprocessen en infrastructurele basisvoorzieningen.

    Voor de moderne cyberaanvallers is een heel arsenaal aan nieuwe zeer geraffineerde cybotagemethodieken ontstaan. Cyboteurs kunnen vanaf grote afstand aanvallen openen op de meest uiteenlopende vitale infrastructuren, zoals productie-, transport- en distributiesystemen, nutvoorzieningen en financiële instellingen.

    In steeds meer ondernemingen en nutvoorzieningen zijn productieprocessen, transportsystemen en distributiekanalen uitgerust met aan elkaar gekoppelde informatie- en communicatietechnologieën. Het zijn intensieve netwerkstructuren van observatie en aanstruring van essentiële fysieke processen. Hierdoor kunnen planning, ontwikkeling, productie, distributie en transport goed met elkaar in contact treden en snel interacteren. Dit brengt echter ook het risico met zich mee dat onbevoegden inbreken in het bedrijfsnetwerk om eigen instructies in de besturingssystemen in te brengen.

    Voor ondernemingen die een substantiële rol vervullen in de continuïteit van kritieke infrastructuren is dit een bijzonder veiligheidsrisico. Het zijn industrieën die van zo’n groot belang zijn voor de economie of samenleving van een natie dat als hun cybernetwerken met succes worden aangevallen en beschadigd dit zou resulteren in een bedreiging van de nationale veiligheid

    Uit onderzoek van het internetbeveiligingsbedrijf Symantic bleek dat in 2010 al 53 procent van de aanbieders van kritieke infrastructuren ervaringen met aanvallen die door hen als politiek gemotiveerd werden gekwalificeerd [Symantic, CIP survey].

    Cybersaboteurs zoeken toegang tot de besturings- en controlesystemen waarmee fabricage- en distributieprocessen worden aangestuurd. Deze besturingssystemen (PCS/SCADA) zijn aanspreekbaar in een algemene standaardtaal. Deze technische standaardtaal is hetzelfde als taal van de internetcommunicatie: TCP/IP (Transmission Control Protocol / Internet Protocol). Het TCP/IP protocol is de lingua franca van het netwerk der netwerken. Maar het is ook in veel kleinere en meer gesloten netwerken sterk verspreid. Dat heeft een goede reden: “TCP/IP functioneert universeel en onafhankelijk voor alle gangbare bedrijfssystemen en voor bijna elke denkbare netwerkverbinding” [Gaycken 2012:133]. Daarom wordt het TCP/IP protocol ook in veel andere sferen benut waarin mensen met mensen of met machines communiceren en interacteren.


    Ontevreden werknemer
    “Ik heb me jarenlang uit de naad gewerkt voor dit bedrijf. En nu ontslaan ze mij...!”
    Cybersaboteurs spreken de standaardtaal van procescontrolesystemen en zijn vaak ook vertrouwd met bijzondere dialecten. Zij proberen eerst de zwakke punten te vinden van een wereldwijd of nationaal bedrijfsnetwerk: een makkelijk toegankelijke internettoegang, een kraakbaar intranet, een slecht beveiligde computer, een makkelijk afluisterbaar telefoonsysteem, een kwetsbare wifi-voorziening, een onbeveiligde arbeidsplaats of een slordige of ontevreden werknemer. Als een onderneming groot genoeg is en intensief gebruik maakt van informatietechnologie is er altijd wel een ingang te vinden die zwak verdedigd is en waarop dus relatief makkelijk kan worden ingebroken. Een cybersaboteur verkent dan eerst het hele netwerk en maakt een blauwdruk van het controlesysteem dat de feitelijke fysieke processen aanstuurt. Vervolgens wordt met automatische spionnen getest op welke punten het monitoring en besturingssysteem kan worden gepenetreerd. Als dit gedaan is kan de cybersaboteur een op maat gesneden aanvalsscenario opstellen om vervolgens zijn toegangspunt exploiteren om het systeem te saboteren. Klaar is cyberkees. Zowel de inspanning, de kosten als risico’s van dergelijke operaties zijn te overzien. Maar de gevolgen daarvan kunnen desastreus zijn en dus in de optiek van cybersaboteurs zeer lucratief.

    Veel woordvoerders van grote ondernemingen beweren dat zo’n cyberaanval op hun geautomatiseerde fabriek, transportsysteem, distributiekanaal of energievoorziening helemaal niet zo eenvoudig is. Zij stellen vertrouwen in de soms zeer omvangrijke afdelingen die verantwoordelijk zijn voor de beveiliging van ict-systemen. Wanneer deze beveiligingstaak is uitbesteed aan gespecialiseerde beveiligingsbedrijven wordt hun vertrouwen gedelegeerd naar deze externe organisaties. De beveiliging van virtuele omgevingen wordt nog steeds gedomineerd door een heleboel ‘marketing-fuzz’: “Behoorlijk wat spelers op de markt claimen een beveiligingsoplossing te hebben voor virtuele omgevingen terwijl vaak niet duidelijk is hoe die beveiliging dan werkt” [Erik van Veen, Symantic Senior Solution Marketing Manager, in: Webwereld, 29.9.2008].

    In de praktijk hebben zeer veel ondernemingen alleen standaardbeveiligingen zoals firewalls en virusscanners ingebouwd in hun computersystemen. Daarnaast wordt —steeds meer— gebruik gemaakt van speciale beveiligingsystemen die anomalieën in gegevensstromen kunnen herkennen en penetratietesters die aanvallen kunnen simuleren om de kwetsbaarheden van het eigen systeem te ontdekken.

    “De continuïteit van onze vitale infrastructuren en de veiligheid van vele andere productie-processen staat of valt met de veiligheid van procescontrolesystemen. Uit analyses en incidenten blijkt dat die voor verbetering vatbaar is” [Mark Frequin, Directeur-generaal Energie en Telecom bij het Ministerie van Economische Zaken].
    De beveiliging van vitale infrastructuren is nog steeds slecht geregeld. Dat blijk niet alleen uit wetenschappelijk onderzoek, maar werd en wordt telkens weer uiterst pijnlijk gedemonstreerd in ‘incidenten’, dat wil zeggen uit succesvolle acties van cybersaboteurs. Dit heeft meerdere oorzaken. De belangrijkste daarvan is dat veel ondernemingen niet gemakkelijk compromissen sluiten die ten koste gaan van de prestatie van de bedrijfssystemen. Alles wat er binnen een onderneming digitaal gebeurd kan in principe permanent gescand worden op signalen van mogelijke vijandige aanvallen: afzonderlijke computers, bedrijfsinterne netwerken, besturings- en controlesystemen, technisch en sociaal verkeer met de omgeving. Men kan bij wijze van spreken achter elke coderegel van een programma en achter elke bit informatie een digitale politieagent zetten. En dan zou men ook nog alle communicaties van werknemers binnen de organisatie en met hun omgeving moeten monitoren.

    Een dergelijke big brother-achtige benadering —of preciezer: een huwelijk tussen big brother en soft sister— zou niet alleen op felle weerstand stuiten van het eigen personeel, maar zou —afgezien van de zeer hoge kosten van deze totale gevangenis— vooral ook zeer negatieve gevolgen hebben voor de prestaties van de productiesystemen zelf. Bij de hedendaagse kapitalistische productie is een hoge productiviteit ongemeen belangrijk. Bij een efficiënte, snelle, sterk gesynchroniseerde productiewijze zijn de winsten in de regel zeer hoog.

    Exploitatie van naïviteit
    Eireann Leverett van Cambridge Universitity gebruikte Shodan om meer dan 10.000 controlecomputers te identificeren die met het internet verbonden waren, waarvan veel met bekende kwetsbaarheden. Hij concludeerde dat veel operateurs geen idee hadden hoe kwetsbaar zij waren. Vaak beseften zij zelfs niet dat hun machines online benaderbaar waren. Deze naïviteit speelt cybersaboteurs in de kaart. Dit kan immers gebruikt worden om vanaf afstand aanvallen op geselecteerde instrumenten te lanceren en om netwerken te identificeren die zich lenen voor verdere verkenning en exploitatie [Leverett 2011].
    Er is nog een tweede belangrijke reden waarom het zo relatief slecht gesteld is met de beveiliging van zelfs de meest kritische infrastructureel relevante bedrijven. Cybersabotage voltrekt zich bijna helemaal buiten het gezichtsveld. De incidenten worden verzwegen en de geleden schade wordt bijna altijd ondergewaardeerd. Ongeveer de helft van de ondernemingen die onderdeel zijn van een kritische infrastructuur erkent dat zij doelwit zijn geweest van aanvallen van cybersaboteurs, de andere helft weet dat nog niet. Natuurlijk is dit enigszins overdreven. Maar een feit blijft dat veel pogingen tot cybersabotage niet worden ontdekt. Als zij wel worden ontdekt dan worden ze vaak verzwegen. En als dat niet meer lukt, dan worden de gevolgen daarvan zo klein en onbenullig mogelijk afgeschilderd.

    Om in het vizier te krijgen hoe cybersaboteurs te werk gaan wordt eerst de werking van industriële controlesystemen onderzocht. Daarna worden een aantal ‘incidenten’ van cybersabotage cybotage (Arquilla) besproken die een beeld geven van de professionaliteit en vernuftigheid van de meest getalenteerde krakers van industriële controlesystemen.

    Index


    Procescontrolesystemen (PCS) en SCADA
    De procescontrolesystemen zijn de werkpaarden van het informatietijdperk. Net als andere computers draaien zij op code en zijn programmeerbaar. Zij kosten slechts een paar duizend dollar tot $50.000 en zijn ingebouwd in eenvoudige metalen dozen met een paar lichtjes of knoppen. De controlesystemen verzamelen gegevens over fysieke processen via elektronische sensoren, analyseren deze en sturen deze naar desktop computers die dienen als de mens-machine interface. Zij stellen managers in staat om fysieke processen van afstand nauwkeurig te controleren. SCADA (Supervisory Control and Data Acquisition) is het meest wijdverbreide en krachtige systeem om fysieke processen te controleren.

    PCS werkt bijna overal
    Een procescontrolesysteem omvat niet alleen het systeem voor automatische monitoring en besturing van fysieke processen (SCADA) en de besturingschip (PLC), maar ook de netwerken waarin de procescontrole plaats vindt en hun fysieke en organisatorische omgevingen.

    SCADA is ontwikkeld door het Duitse bedrijf Siemens. De software wordt in de industrie veel gebruikt om machines aan te sturen, om robots te besturen, om staal te maken, om het verloop van chemische processen te monitoren en om de uitstoot van gevaarlijke stoffen te controleren. SCADA wordt door nutsbedrijven gebruikt om de productie en distributie van elektra, gas, olie en van wind-, water- en zon- en kernenergie te controleren. SCADA wordt zelfs gebruikt om wapensystemen ‘intelligent’ te maken en om militaire installaties te laten functioneren.

    Van autofabricage tot deurbewaking
    In zeer veel en steeds meer sectoren worden PCS gebruikt om zeer uiteenlopende fysieke processen te monitoren en aan te sturen. PCS wordt gebruikt in productie, distributie en transport, maar ook in de energie- en watervoorziening, in het trein- en metrovervoer, en in de bediening van dijksluizen en gemalen. Zij worden ook steeds vaker toegepast in het beheer van gebouwen (regeling van warmte en water, controle van liften, deurbewaking), en voor de controle op de toegang tot vitale objecten.

    SCADA is dus een zeer flexibel, bijna overal inzetbaar systeem voor het management van de meest uiteenlopende fysieke processen. Bijna alle fysieke acties worden met computertechnologie aangestuurd, gemonitord en gecontroleerd. Juist door deze toegenomen flexibiliteit wordt er geen gespecialiseerde SCADA-systemen meer geleverd, maar standaardsystemen die in praktisch alle sectoren en processen kunnen worden ingezet. Ze zijn misschien nog niet universeel, maar wel multifunctioneel inzetbaar.

    Een SCADA-systeem vervult drie basisfuncties.

    • Ten eerste verstuurt het instructies (commando’s) naar fysieke controlesystemen. Via het controlepaneel worden apparaten aan of uit gezet, wordt het toerental van motoren bepaald, worden kleppen open of dicht gezet, wordt de temperatuur van materialen of ruimtes verhoogd of verlaagd, wordt druk in leidingen opgevoerd of verminderd. Voorbeelden daarvan zijn het bedienen van kleppen in gasleidingen, elektronische schakelaars, toerentallen, thermometers en drukmeters.

    • Ten tweede biedt het informatie over metingen van diverse sensoren: meters van druk, temperatuur (thermostaat), luchtvochtigheid (hygrostaat), toerental, gas, zuurgraad, licht, geluid, beweging, afstand, nabijheid(Namur-sensor), richting (elektronisch kompas), hoogte (radar), helling (elektronisch waterpas), gewicht, magnetisch veld, straling enz. Als deze sensoren vormen de elektronische zintuigen van de procescontrolesystemen. Met deze sensoren neemt een PCS de omgeving waar en verzamelt het informatie waarmee fysieke processen bestuurd kunnen worden.

    • Ten derde fungeert het als een alarmsysteem wanneer er iets verkeerd gaat in het fysieke proces. Scada geeft bijvoorbeeld een alarm wanneer een gemeten temperatuur lager wordt dan x graden of hoger dan y graden.

    Op computerschermen in de controleruimte wordt een overzicht getoond van het volledige systeem. Via het controlepaneel kan desgewenst op een specifieke locatie of proces worden ingezoomd, zodat meer details zichtbaar worden.

    SCADA-systemen werden primair gebruikt als op zichzelf staande apparaten die fysieke processen aanstuurden. Aanvankelijk gebeurde dat via een vaste telefoonverbinding, maar tegenwoordig zijn veel SCADA-systemen verbonden met het internet en kunnen zij draadloos (met laptop, tablet of smartphone) worden bediend.

    Een SCADA-systeem is te vergelijken met een thermostaat in je eigen huis. De temperatuurregeling is beschermd zolang je de voordeur dicht houdt: niemand kan binnenkomen om de warmte te veranderen. Als je een draadloos element aan je thermostaat toevoegt, kan het vanaf de eigen computer worden aangestuurd. Maar dan is het ook mogelijk dat vreemden met een laptop of mobieltje in een auto voor mijn huis de warmte regelen.

    PCS van de plank
    Vroeger werd speciale PCS-hardware gebruikt met leverancierspecifieke programmatuur en hardware. Deze technologie was moeilijk van buitenaf beïnvloedbaar. Deze dedicated technologie wordt steeds vaker vervangen door een general purpose technologie die in meerdere omgevingen kan worden toegepast. Het zijn COTS-computersystemen (Commercial Off-The-Shelf) met open besturingssystemen zoals Windows of Linux, een Internetprotocolsuite en toepassingsprogrammatuur (soms zelfs open source SCADA-software).
    SCADA-systemen worden meestal aangestuurd met Windows PC’s. Aanvallers maken daar gebruik van door meerdere bekende lekken†in dit besturingssysteem uit te buiten. Via deze lekken wordt de besturingschip (PLC — programmable logic controller) van het controlesysteem geïnfecteerd. Kwaadaardige wormen uploaden hun eigen code naar een PLC en kunnen daardoor controleren hoe het systeem werkt. De meest geavanceerde wormen —zoals Stuxnet— zijn zelfs in staat om de geïnjecteerde codeblokken op een PLC te verbergen. Wanneer een programmeur alle codeblokken op een besmette PLC te bekijkt, dan ziet deze niet de geïnjecteerde code [Falliere 2010].

    Slim geconstrueerde wormen weten zichzelf volledig onzichtbaar te maken. De hackers stelen bij erkende softwaremakers de encryptiesleutels die gebruikt worden voor het maken van een Certificate of Authenticity (COA). Zij voorzien hiermee hun eigen malware van een signatuur waardoor het lijkt alsof deze door een bekend en betrouwbaar softwarebedrijf is gemaakt. Door dit kenmerk van betrouwbaarheid wordt de malware door virusdetectiesystemen als legitiem gezien en dus ongestoord doorgelaten.

    De beveiliging van SCADA-systemen is een groeiend probleem wereldwijd. Door het hacken van SCADA kunnen vitale infrastructuur ontregeld, ontwricht en zelfs vernietigd worden.

    S7 —Een zwart geverfde schoenendoos
    Siemens S7-221
    Siemens S7-221
    De S7 is een van de door Siemens geproduceerde procescontrolesystemen. Het apparaat zit in een eenvoudige rechthoekige metalen zwart geverfde doos met ventilatoren om warmte af te voeren en een paar kabelingangen. De S7 heeft de omvang van een schoenendoos.

    Op een website van Duitse onderzoekers kan iedereen de broncode opzoeken van de S7. Daarin is bijvoorbeeld te lezen wat het communicatieprotocol is van de machine. Dit protocol is zo ontworpen dat het voor machines makkelijk is om met het internet te communiceren. De beveiliging van deze communicatie staat op de tweede plaats. De communicatie met andere netwerken wordt bijvoorbeeld niet geëncrypteerd. Hierdoor is het voor hackers zeer makkelijk om de wachtwoorden in gewone tekst te lezen.

    De ontwerpers van het protocol zijn ervan uitgegaan dat de machine veilig zou opereren door een luchtsluis tussen de S7 en open netwerken (en door de stenen muren van het gebouw waarin zij stonden opgesteld). Er werd nog geen rekening gehouden met usb-sticks waardoor dergelijke barrières gedicht kunnen worden, zoals bij de Stuxnet aanval gebeurde.

    Bovendien bleek het ook eenvoudig om via een digitale achterdeur het interne geheugen van het apparaat te lezen, inclusief het wachtwoord dat op het apparaat is opgeslagen [Dillan Beresford, in: O’Harrow 2012]

    Inmiddels is er ook een instrument online gezet voor het kraken van wachtwoorden waarmee het verkeer binnen SCADA-omgevingen wordt beveiligd. De communicatie tussen industriële systemen en PLC (programmeerbare logische eenheid), HMI (human-machine interface) en engineering stations verloopt via het Siemens S7-protocol. Met dit protocol worden ook de wachtwoorden vastgelegd om de inhoud van het verkeer te beschermen. Een aanvaller die het TCP/IP-verkeer weet te onderscheppen, kan via dit instrument het gebruikte wachtwoord met brute kracht kraken. Het kraakinstrument werd ontwikkeld door twee Russische beveiligingsexperts: Alexander Timorin en Dmitry Sklyarov van SCADA Strangelove.

    Index


    Meer dan incidenten
    Machines waar miljoenen mensen dagelijks van afhankelijk zijn, worden kwetsbaar voor digitale manipulatie en cybersabotage. De bewijzen dat er via internet op afstand geknoeid kan worden controlesystemen van allerlei apparaten stapelen zich op. Machines, transportsystemen, distributiekanalen en nutsvoorzieningen en communicatiesystemen, zij zijn allemaal kwetsbaar geworden voor cyberoperaties. De volgende incidenten geven een indruk van de huidige stand van zaken.

    • 1981 — Trans-Siberische gaspijpleiding
      Het eerste incident speelt zich af in het begin van de jaren tachtig. Het internet speelde hierin uiteraard nog geen rol. Maar het voorbeeld maakt wel duidelijk wat de gevolgen kunnen zijn van manipulatie met een controlesysteem van een gaspijpleiding.

      Begin ’80 werden er in de Sovjet-Unie plannen gesmeed om in het Westen technologie te stelen om de Transsiberische gaspijplijnen te automatiseren. De bedoeling was om een Canadese ‘front company’ als dekmantel te gebruiken om die technologie heimelijk te verwerven. Maar in 1981 werd dit plan verklapt door een overgelopen KGB-kolonel Vladimir Vetrow —met de codenaam Farewell— die voor Frankrijk spioneerde

      In juli 1981 vertelde de Franse president Mitterand tijdens een conferentie in Ottawa het verhaal aan de Amerikaanse president Reagan, die het op zijn beurt doorspeelde naar de directeur van de CIA. “Why not help the Sovjets with their shopping?” Omdat de CIA nu wist waar de KGB naar op zoek was besloten zij hen een handje te helpen. De CIA zette een mantelbedrijf op om deze technologie aan Rusland te verkopen. Maar voordat dit gebeurde brachten zij een aantal niet te detecteren wijzigingen aan in de computercode. Deze logische bom leidde er uiteindelijk toe dat de transsiberische pijplijn ernstig werd beschadigd [New York Times, 2.2.2004; FWC, 26.4.2004; YouTube, 22.9.12].

      In zijn geschiedenis van de Koude Oorlog beschrijft Thomas Reed —voormalig medewerker van het Pentagon en lid van de National Security Council onder president Ronald Reagen— wat er gebeurde. De geïnjecteerde computercode manipuleerde de snelheden van de pomp en afstellingen van de kleppen die de druk in de pijplijn produceerden. De druk werd opgevoerd tot boven het niveau waartegen de verbindingen en lasnaden van de pijpleiding bestand waren.
      “What the Americans have written is rubbish”
      Zoals bij alle geheime operaties is het altijd lastig om te achterhalen wat er precies gebeurde en wat misleidende desinformatie (mist) is die alleen maar bedoeld is om tegenstanders of de eigen bevolking zand in de ogen te strooien.

      Zo wordt het ‘Amerikaanse’ verhaal over de transsiberische pijpleiding weersproken door een KGB veteraan. Vasily Pchelintsev, het toenmalige hoofd van het KGB kantoor in de Tyumen regio, erkent dat zich in juni 1982 een explosie heeft voorgedaan van de gaspijpleiding. Maar volgens hem was dit het gevolg van het feit dat de pijpleiding slecht ontworpen en slecht geconstrueerd was. Het zou een relatief klein incident zijn geweest dat binnen een dag was hersteld [The Moscow Times, 18.4.2004].

      “Het resultaat was de meest monumentale niet-nucleaire explosie en brand die ooit vanuit de ruimte is gezien” [Reed 2005:269]. De explosie had een kracht van 3 kiloton TNT, maar er vielen geen doden. Behalve kolonel Vladimir Vetrov, die een jaar later werd ontmaskerd en geëxecuteerd. Het is een incident uit de koude oorlog en nog niet uit de cyberoorlog. Maar het transsiberische incident was slechts een voorspel op wat er in het internettijdperk volledig via cyberspace zou gebeuren.

    • 1992 — Oroville dam in Californië
      Oroville dam in Californië
      Oroville Dam in Californië
      De ontwerpers van de Oroville Dam in de Central Valley van Californië hadden in de jaren zestig besloten om —ter bescherming tegen terroristische aanslagen!— alle functies van de dam op afstand te laten controleren in Sacramento. In 1992 brak een jonge hacker die bekend werd onder de naam PhantomDialer of Phantom D in op de computers van het Bureau of Landmanagement (BLM) in Portland. Deze computers verzorgden de systeemverbindingen met de damcontrole in Sacramento die elke dam in noord Californië aanstuurt. Als de hacker de sluizen van de dam had opengezet dan zou de hele omliggende regio zijn overstroomd.

      God = Root
      De Phantom Dialer was er trots op dat hij in staat was om root access te krijgen. Root access stelt netwerkbeheerders in staat om vanuit hun bureau computerproblemen op te lossen zonder dat zij naar de fysieke locatie van die computer hoeven te gaan. Een bekende nerdslogan uit die tijd was: God =root. Iemand die root access weet te bemachtigen kan ongeveer alles doen wat hij of zij wil: bestanden vernietigen, mails lezen, een paar nullen aan bankrekeningen toevoegen, of een damsluis open zetten. Maar de Phantom Dialer heeft met zijn computerinbraken nooit zoiets gedaan.

      In december 1992 klopten agenten van de FBI op de deur van een bungalow in Portland. Daar troffen zij Timothy Bach aan, een sociaal vereenzaamde jonge man van 20 jaar. Hij leefde in zijn slaapkamer van het huis van zijn ouders, vervuild en verwaarloosd, omgeven door rottend voedsel en stinkende kleren. Omdat hij 12 tot 13 uur per dag achter zijn computer zat te typen waren zijn vingers vervormd. Timothy werd niet strafrechtelijk vervolgd. Hij werd als schizofreen gediagnosticeerd en werd verboden om nog in de buurt van een computer te komen [Freedman 1997:94 e.v.; Dundas 2004].

    • 1992 — Raffinaderij van Chevron
      Een ontslagen werknemer hackte in computersystemen van de raffinaderij van Chevron in New York en San Joé in de V.S. Het netwerk voor het noodalarm werd zo gemanipuleerd dat het zou ploffen. Deze cybersabotage werd niet ontdekt, totdat er zich een noodsituatie voordeed in de raffinaderij van Richmond (Californië). Er kwamen giftige stoffen vrij maar het systeem kon niet meer worden gebruikt om de omringende gemeenschap hiervoor te waarschuwen. Het leven van duizenden mensen in 22 staten en zes gebieden in Canada werd op het spel gezet [Denning 2000].

      Het kan nog veel erger
      De beveiligingsexperts van Sandia National Laboratories (een afdeling van het Amerikaanse ministerie van Energie) doen zelf pogingen om in te breken op kritische infrastructuren om te ontdekken wat de beste manier is om ze te saboteren. Zij doen dat met instemming van de betreffende ondernemingen om de kwetsbaarheden van hun systemen te identificeren. In een van die tests simuleerden zij hoe je een olieraffinaderij kunt vernietigen door een instructie te versturen waardoor een cruciaal onderdeel oververhit raakt. Door gelijktijdig het verwarmingselement en de re-circulatiepomp te manipuleren zou een enorme explosie kunnen worden veroorzaakt.

      Vanaf november 2009 tot 2011 werden de computer- en besturingssystemen van minstens vijf olie-, gas- en energiebedrijven gehackt. Het was een systematisch opgezette aanval waarbij eerst de externe server werd gecompromitteerd waarop de bedrijfswebsite van draait. Nadat de hackersinstrumenten op de gecompromitteerde computers waren geplaatst werden deze gebruikt om toegang te krijgen tot internet netwerken. Vervolgens werden gebruikersnamen en wachtwoorden verzameld om verder in het systeem te komen. Daar werden de afstellingen van het interne netwerk zo gemanipuleerd dat de hackers de machines van het bedrijfsnetwerk van afstand konen bedienen. Op die manier kon zeer gevoelige informatie worden gestolen [BBC, 10.2.2011].

      De olie-industrie waarschuwde bij herhaling dat cyberaanvallen enorme schade kunnen veroorzaken en zelfs levens kunnen kosten. Tijdens de World Petroleum Conference in Doha (2011) vertelde Ludolf Luehmann, een IT manager van Shell, dat het bedrijf te maken had met een toenemend aantal aanvallen. Bovendien zijn deze aanvallen steeds sterker gericht op het beschadigen van fysieke machinerie. Via het internet komt men in het gebied waar kleppen open en dicht worden gezet en waar de temperatuur wordt gecontroleerd [BBC, 12.12.2011].

    • 1996: De codebom van Timothy Lloyd

      Timothy Lloyd
      Met slechts 6 regels code slaagde de Amerikaanse hacker Timothy Lloyd erin een logische bom te construeren die hij installeerde op de computersystemen van Omega Engineering Corporation. Dit bedrijf is een primaire leverancier van componenten voor de Amerikaanse marine en de NASA. De logische bom van Lloyd vernietigde ontwerpen en productieprogramma’s van Omega en berokkende een schade van bijna 10 miljoen dollar. De FBI verklaarde dat dit de grootste computersabotage was die ooit door een eigen werknemer was uitgevoerd.


      De code van de logische bom
      Het blijft verbazingwekkend dat het mogelijk is om een logische bom te construeren in slechts zes simpele coderegels. Maar soms schuilt het meest geniale venijn in de meest simpele regeltjes. Vrij vertaald zegt de code: “Als iemand hier op dag x inlogt, vernietig dan alle bestanden op drive F.”
      Lloyd had bijna 11 jaar voor Omega gewerkt als netwerkbeheerder. Op 10 juli 1996 werd hij wegens aanhoudende conflicten met zijn collega’s ontslagen. Hij had de bui al zien hangen en begon in februari van dat jaar zijn softwarebom te testen. Eind mei was hij ervan overtuigd dat zijn codes hun destructieve werk feilloos zouden uitvoeren. In juni centraliseerde hij de meest belangrijke documenten in het bestandssysteem van Omega op een plaats en kreeg hij toegang tot de enige back-up tapes voor die bestanden.

      Voordat hij werd ontslagen nam Lloyd niet alleen apparaten ter waarde van 50.000 doller mee naar huis. Hij vervreemdde ook de back-up bestanden en vernietigde ze. Op 30 juli 1996 explodeerde de bom van Lloyd. Hij had zijn bom zo geconstrueerd dat deze op die dag zou ontploffen als een werknemer van Omega op het systeem zou inloggen. Meer dan duizend ontwerp- en productieprogramma’s werden vernietigd of gecorrumpeerd. Lloyd werd opgespoord, gearresteerd en op 9 mei 2000 veroordeeld tot een gevangenisstraf van 4 jaar en een boete van 2 miljoen dollar [Crackes, 18.11.11].

      De militaire superkraak van Gary McKinnon
      De tot nu toe waarschijnlijk grootste en zeker meest bekende militaire computerkraak in de Amerikaanse geschiedenis staat op naam van Gary McKinnon, codenaam Solo. Met behulp van een gedownload programma zocht hij naar Windows computers die slechts met standaard gebruikersnamen (zoals admin) waren ‘beveiligd’ en geen wachtwoorden gebruikten. Binnen acht minuten had hij 65.000 van dergelijke computers gevonden. Daarop installeerde hij een testversie van het commerciële softwarepakket RemotelyAnywhere waarmee hij de computers op afstand kon bedienen. Het programma werd niet opgemerkt door virusscanners en spyware detectoren.

      Gary McKinnon
      Gary McKinnon - op jacht naar buitenaardse wezens
      In de periode februari 2001 en maart 2002 wist McKinnon binnen te dringen op 97 computers van het Amerikaanse leger en de NASA die bestanden bevatte die als top secret waren aangemerkt. Daarbij maakte hij gebruik van de onderlinge vertrouwensrelaties tussen militaire instellingen. Eenmaal ingebroken op een niet beveiligde computer sprong hij telkens over naar een computernetwerk waarmee deze in vertrouwelijke relatie stond. Zo kon hij penetreren in computers waarop uiterst geheime informatie te vinden was.

      Op die computers probeerde slechts bewijs te vinden voor het bestaan van ufo’s, antizwaartekracht en gratis energie. Hij wilde het bestaan van buitenaardse wezens aantonen en vermoedde dat de Amerikaanse overheid informatie daarover achterhield. Hij was dus niet uit op sabotage. Maar met zijn acties ontregelde hij wel een maand lang het e-mailverkeer van de Amerikaanse marine en legde hij meer dan tweeduizend computers een dag lang plat. Om te demonstreren dat de beveiliging van defensie waardeloos was legde hij kort na 11 september 2001 een aantal systemen plat die pas een maand later weer operationeel gemaakt konden worden. Bovendien verwijderde hij documenten en wiste kritieke systeembestanden. Ook plaatste hij een paar achterdeurtjes om later terug te kunnen. Her en der verspreidde hij spottende boodschappen over de waardeloze beveiliging van de systemen waarop hij inbrak. De totale financiële schade van zijn operaties worden geschat op 700.000 dollar.

      McKinnon werd in 2005 in Londen gearresteerd, maar niet aangeklaagd. Hem werd wel verboden ooit nog gebruik te maken van het internet (virtueel huisarrest). De Amerikaanse regering nam de zaak zeer hoog op en eiste dat McKinnon zou worden uitgeleverd aan de VS voor berechting. Het verzoek tot uitlevering aan de VS —waar hem een maximale gevangenisstraf van 60 jaar boven het hoofd hing— werd met succes aangevochten. Een van de overwegingen daarbij was dat McKinnon lijdt aan het syndroom van Asperger en suïcidale neigingen heeft [Guardian: McKinnon]. De Amerikaanse overheid beschouwde Mckinnon als de grootste militaire hacker aller tijden, maar hij ziet zichzelf als “een complete idioot” [Guardian, 0.7.2005].

      Na meer dan 10 jaar kwam er een eind aan zijn gevecht tegen uitlevering. Op 16 oktober 2012 maakte de Britse minister van Binnenlandse Zaken bekend dat zijn uitleving aan de VS niet doorgaat [BBC, 16.10.2012].

      De uitvinder van de term ‘cyberoorlog’, professor John Arquilla nam het voor McKinnon op. In een interview met The Guardion stelt hij dat als de VS willen domineren in de cyberoorlog zij hackers zoals McKinnon niet moeten vervolgen maar rekruteren [Guardian, 10.7.2012].

    • 1997: Ontregeling van luchtverkeer in Worcester
      Op 10 maart 1997 brak een Amerikaanse teenager met zijn pc en een telefoonverbinding in op het computersysteem van het telefoonbedrijf dat het vliegveld van Worcester (Mass.) bediende. Zes uur lang werd de communicatie met de toren voor de luchtverkeerscontrole afgesloten. Ook de brandweer, de beveiliging en de weerkundigedienst waren van de buitenwereld afgesloten. Zelfs de lichten van de start- en landingsbanen konden niet meer worden aangezet. Er gebeurde geen ongelukken, maar de beheerder van het vluchtcontrolesysteem zei: “Die dag ontweken wij een kogel.”

      De jonge hacker werd gearresteerd en werd in maart 1998 veroordeeld tot twee jaar voorwaardelijke gevangenisstraf, een boete en een aantal uren verplichte gemeenschapsdienst. Ook werd hem twee jaar lang verboden om een computer met modem te gebruiken [CNN, 18.3.1998].

    • 2000: Rioleringsysteem in Australië
      In 2000 werd na een inbraak op besturingscomputer van het rioleringsysteem 1 miljoen liter rioolwater geloosd in de rivier en kustwateren van Maroochydore in Queensland. De hacker had hiervoor een draadloze radio gebruikt en gestolen controle software. De verantwoordelijke hacker, Vitek Boden (49 jaar) werd in 2001 gearresteerd.

      SCADA aangestuurde pompen
      Het Maroochy Water Services Sewerage verwerkt 35 miljoen liter afvalwater per dag. Het wordt aangestuurd door een SCADA systeem dat bestaat uit 142 pompstations met twee controlecomputers die gebruik maken van drie radiofrequenties. Bij elk van die pompstations werden procescontrole systemen (van het type PDC Compact 500) geïnstalleerd die instructies ontvangen van een centraal controlecentrum; zij sturen ook alarmsignalen en andere gegevens naar de centrale computers. Ook de instructies om te beginnen of stoppen met pompen worden via deze procescontrole systemen doorgegeven. Door de manipulaties van Vitek Boden draaiden de pompen niet meer als zij het zouden moeten doen, werden er geen alarmsignalen doorgegeven naar de centrale computer en werd de verbinding tussen de centrale controlecomputer en diverse pompstations verbroken.
      Vitek Boden had tot 2000 gewerkt bij een Australische producent van industriële software. In het voorjaar van 2000 solliciteerde hij op een baan bij de lokale overheid van Marroochy Shire. Hij werd afgewezen en raakte hierover zeer verbitterd. In een periode van 2 maanden brak hij met een radiozender minstens 46 keer op afstand in op het controlesysteem van het rioolwater in Queensland [Weiss 2010]. Hij veranderde de elektronische gegevens voor bepaalde pompstations en ontregelde hun operaties. Hierdoor werd een enorme hoeveelheid rioolwater in de nabijgelegen rivieren en parken geloosd. De milieubeschermingsorganisatie verklaarde: “Alles wat in het water leefde ging dood, het rivier water werd zwart en de en de stank was ondragelijk voor de bewoners.”

    • 2003 — Kerncentrale Davis-Besse
      In januari 2003 besmette de Microsoft SQL Server worm Slammer een particulier computernetwerk op de inactieve David-Besse kerncentrale in Oak Horbor (Ohio). Het systeem dat toeziet op de veiligheid van de reactor werd bijna 5 uur buiten werking gesteld. Bovendien werd de procesbesturingscomputer van de centrale ontregeld en kon pas na 6 uur weer aan de praat worden gekregen [MotherJones, 28.11.2008; Networkworld, 13.09.2010].

      Een makkie
      Beheerders van kerncentrales zeggen altijd dat het onmogelijk is om op hun computersystemen in te breken. Daarom bood Scott Lunsford, onderzoeker van internetbeveiligingssystemen bij IBM, aan om het eens te proberen.
        “Het bleek een van de gemakkelijkste penetratietest die ik ook heb gedaan. Op de eerste dag waren we het netwerk al binnengedrongen. Binnen een week controleerden we een nucleaire centrale” [Forbes, 22.8.2007]

      Het saboteren van de energievoorziening door de kerncentrale was niet moeilijker dan het sluiten van een klep. Hoewel de SCADA computers extern slecht zijn beveiligd, vergt het wel enige deskundigheid om daadwerkelijk de controle over te nemen. Inbreken op kerncentrales is dus geen kinderspel.

    • 2003 — Seinsysteem van treinen: CSX
      In augustus 2003 werd seinsystemen van het treinverkeer in de hele oostkust van de VS stilgelegd door het Sobig virus. Het virus arriveerde in een e-mail met een bijlage. Zodra er op de bijlage werd geklikt werd de computer geïnfecteerd en stuurde het zichzelf verder naar de e-mailadressen in het adressenboek van het slachtoffer. Op deze manier werd het centrale computersysteem van het hoofdkwartier van CSX Corporation in Jacksonville (Florida) besmet. Het virus opende een achterdeur waardoor de hackers ongezien naar binnen kon komen. Daarna werd het seinsysteem van de hele oostkust van de VS buiten werking gesteld. De seinen, de interne communicatie en andere systemen werkten niet meer. Het reguliere treinverkeer werd ontregeld en moest grotendeels worden stilgelegd.

    • 2006 — Verkeerslichten in Los Angeles
      Op 21 augustus 2006 hackten twee werknemers van de stad Los Angeles de computers die de verkeerslichten van de stad controleren. Gabriel Murillo en Kartik Patel werkten beide als ingenieur bij het geautomatiseerde verkeerscentrum van de gemeente. Zij ontregelden de verkeerslichten op vier drukke kruispunten en veroorzaakten grote opstoppingen en vertragingen. Zij manipuleerden het systeem zodanig dat andere beheerders niet in staat waren om de problemen te corrigeren. De aanvallen gingen vooraf aan een aangekondigd protest van werknemers van de stad [Two City Engineers Charged with Allegedly Hacking into City’s Traffic Computer, 5.1.2007].

    • 2006 — Watersysteem in Harrisburg (Pennsylvania)
      In oktober 2006 drong een buitenlandse hacker door het beveiligingssysteem van een waterzuiveringsinstallatie in Harrisburg. Hij brak eerst in op de laptop van een medewerker en gebruikte vervolgens zijn afstandscodes om een virus en spionagesoftware in de computer van de watervoorziening te installeren. De inbreker plaatste kwaadaardige software die in staat was om de waterbehandelingsoperaties van de voorziening te beïnvloeden. Maar deze aanval leek niet direct gericht op het manipuleren van controlesysteem. De inbraak werd gebruikt om een eigen distributiesysteem op te zetten voor e-mails en piratensoftware [InTech, 2.11.2006].

      Het was de vierde cyberinbraak op een watervoorziening van de VS. Bij een van de eerste incidenten gebruikten de hackers een telecombedrijf in Korea om een denial-of-service aanval op een watervoorziening te lanceren. Bij een tweede incident werd doorgedrongen tot het hoogste niveau van datacontrole van een rioolverwerkingsinstallatie. Bij een derde incident werd het computersysteem voorzien van de mededeling: “I enter in your server like you in Iraq.”

      In moderne waterleidingbedrijven is zowel de winning, zuivering als distributie van drinkwater in sterke mate geautomatiseerd. Ook hier zijn procescontrolesystemen (PCS) onmisbaar geworden. Met behulp van PCS/SCADA worden bijvoorbeeld verbruiksprognoses gebruikt voor de aansturing van het productieproces waardoor er veel gelijkmatige geproduceerd kan worden. Bovendien zijn de gegevens over het productie- en distributieproces ook veel sneller beschikbaar, waardoor er sneller gereageerd kan worden op storingen (in veel gevallen gebeurd dit volledig automatisch).

    • 2007: Elektriciteitscentrales in Brazilië
      De grote ironie van het moderne informatietijdperk is dat dezelfde technologie die ons in staat stelt om te creëren en te bouwen ook degenen faciliteert die willen ontregelen en vernietigen. Deze paradox stond centraal in een toespraak over de beveiliging van de cyberinfrastructuur van de Amerikaanse president Barack Obama. Hij merkte daarbij op: “We weten dat cyberinsluipers onze elektriciteitsnetwerk zijn binnengedrongen en dat in andere landen cyberaanvallen hele steden in duisternis hebben gedompeld” [White House, 29.5.09].


      Stroomuitval in Sao Paulo
      Obama refereerde aan een serie cyberaanvallen op elektriciteitscentrales in Brazilië. De eerste vond plaats in januari 2005 en resulteerden in stroomuitval in drie steden ten noorden van Rio de Janeiro en trof tienduizenden mensen. Op 26 september 2007 vond een nog veel grotere stroomuitval plaats in de staat Espirito Santo. Meer dan drie miljoen mensen in tientallen steden zaten twee dagen lang zonder stroom. Dit leidde tot grote consternatie en leverde aanzienlijke schade op. Bij Victoria, de grootste ijzererts producent ter wereld, moesten zeven fabrieken worden gesloten (kosten $7 miljoen).

      In Brazilië wordt stroomuitval meestal toegeschreven aan bijzondere weersomstandigheden, nalatig onderhoud of overbelasting van het systeem. Maar in dit geval waren Amerikaanse overheidsfunctionarissen —Richard Clarke (voormalig adviseur cyberveiligheid onder president Bush, maar nu voorzitter van het beveiligingsadviesbureau Good Harbor, Tom Donahue (CIA) — en president Barack Obama ervan overtuigd dat dit het werk van kwaadaardige hackers was geweest. Niemand was echter in staat te achterhalen wie er voor deze aanval verantwoordelijk was en wat het motief van de aanvallers was [60 Minutes: Cyber War: Sabotaging the System, 6.11.09].


      Hoogspanning isolator
      Achteraf zou blijken dat de stroomuitval van 2007 niet het gevolg was van een aanslag van computerhackers, zoals de Amerikaanse regering beweerde, maar van verwaarloosd onderhoud aan hoogspanningsisolatoren van twee transmissielijnen [Wired, 9.11.09]. Volgens het betrokken bedrijf, Furnas Centrais Eléctricas, werd de stroomuitval veroorzaakt door stof en roetdeeltjes van grote branden in de Campos regio van Espiroto Santa. Deze lezing werd bevestigd door een onafhankelijk onderzoek. Raphael Mandarino (directeur van de afdeling Communicatie en Informatiebeveiliging) verklaarde dat alles was gecontroleerd en dat er geen spoor van hacking was te bekennen [Uol Politica, 8.11.09]. Uiteindelijk werd het bedrijf Furnas veroordeeld tot een boete van $ 3,27 miljoen omdat zij de isolatoren van haar elektramasten niet goed had onderhouden.

    • 2008: Passagiersvliegtuig crasht in Spanje
      Op 20 augustus 2008 crashte op het vliegveld in Madrid een passagiersvliegtuig van Spanair. Daarbij kwamen 154 mensen om het leven [Daily Mail, 21.8.08]. Volgens het dagblad El Pais was dit dramatische ongeluk het gevolg van malware die het centrale computersysteem van het vliegtuig had geïnfecteerd. Het gevolg hiervan was dat er geen alarm afging toen er technische problemen met het vliegtuig waren [The Register, 20.8.10].

      De werkelijke oorzaak van de crash werd uitvoerig onderzocht door het Spanish Civil Aviation Accident and Incident Investigation Commission (CIAIAC). Zowel in het Interim Report als in het Final Report wordt niet gesproken over virussen of malware. De feitelijke oorzaak is prozaïscher: de piloten misten een cruciaal item op hun checklist en vertrokken met de vleugel- en neuskleppen in de verkeerde positie. Er werd wel een Trojaans paard gevonden in een computer van de onderhoudsafdeling van het vliegveld [ZDNet, 24.8.10].

    • 2009: Ziekenhuis in België
      In januari 2009 werd het Imelda-ziekenhuis in Bonheiden (België) zwaar getroffen door het Conficker-virus. Dit virus — dat voluit Win32/Conficker.B heet— was verspreid via een besmette USB-stick. Het virus scant op het netwerk naar andere apparaten en voert een brute kracht-wachtwoordaanval uit op het account van de systeembeheerder. Daarna zet het virus een http-server op die verder gaat met de verspreiding en instructies ophaalt bij andere servers op besmette pc’s. Hierdoor treden aanzienlijke vertragingen op in het netwerkverkeer.

      Het virus taste de apparaten van het ziekenhuis aan en verstoorde de werking daarvan. Operaties konden geen doorgang vinden. Een uur na de infectie lag het computernetwerk volledig plat. De 900 pc’s waren totaal onbruikbaar. De interne communicatie werd grondig verstoord. Niemand kon meer inloggen en doktoren konden geen gegevens meer opvragen. Drie dagen en nachten lag het Imelda-ziekenhuis virtueel plat. Pas toen slaagde men erin het computernetwerk weer operationeel te maken [Panorama, 31.05.2012 - Cyberwar [55:42].

      Vooral bedrijven en grote instellingen waren het slachtoffer van het Conficker-virus. Het virus verspreidde zo snel dat het werleld wijd meer dan 15 miljoen computers overbelaste. Het Fanse leger moest haar straaljagers aan de grond houden omdat de piloten niet meer in staat waren om de vluchtplannen te downloaden [Telegraph, 7.2.09]. In Engeland werden 24 basis van de RAF besmet en 75% van de systemen van de Royal Navy, waardoor duikboten niet meer konden uitvaren. Zelfs het Britse House of Parliament werd geïnfecteerd.

    • 2010: Uraniumverrijkingingsfabrieken in Iran: Stuxnet
      De tot nu toe meest krachtige en ingenieuze cybersabotage van industriële controlesystemen vond plaats in Iran. In de zomer van 2010 werd de internetwereld opgeschrikt door een Amerikaans-Israëlische aanval op de ultracentrifuges van Iran. Het was waarschijnlijk het eerste militaire wapen dat helemaal uit code bestond. De werking en gevolgen van de Stuxnet aanval worden hieronder uitvoerig beschreven.

    • 2011 — Watervoorziening in Houston (Texas)
      Nadat hackers gehoord hadden wat Stuxnet teweeg had gebracht, richtten zij hun aandacht op industriële controlecomputers. Een daarvan was een werkloze 22-jarige Shodan-gebruiker die zichzelf “pr0f” of “@pr0f_srs” noemde. PrOf meende dat onveiligheid van industriële controlesystemen krankzinnig en onverantwoordelijk was.

      Hij programmeerde zijn computer om het internet af te zoeken naar een Siemens S7 controler. De eerste die hij vond was toevallig een S7 in South Houston, een klein stadje duizend mijl en een oceaan weg van waar hij zat. Hij navigeerde naar het internetadres van de machine en kreeg daar het verzoek om zichzelf als beheerder te identificeren. PrOf wist wat hij moest doen: hij had de gebruikershandleiding gelezen. Hij typte het standaard wachtwoord dat in de handleiding werd beschreven: slechts drie eenvoudige cijfers. Even later had hij de controle over de waterinstallatie die 16.000 Texanen bedient.

      Om zijn identiteit te verbergen kondigde hij op 5 november 2011 vanuit een e-mailadres in Roemenië aan dat hij in de watervoorziening van South Houston had ingebroken. Om dit te bewijzen plaatste hij diverse screenshots van het controlesysteem op het internet. “Dit vereist bijna geen enkele vaardigheid” [O’Harrow 2012].

      Pr0f wilde alleen maar demonstreren hoe onveilig dergelijke systemen zijn.

        Geen hersenloos vandalisme
        In een op Pastebin [18.11.11] geplaatst bericht maakt PrOf duidelijk dat hij niets te maken wil hebben met hersenloos vandalisme. “Ik ga de details van het apparaat niet bekend maken. De machinerie is op geen enkele wijze beschadigd. Ik hou helemaal niet van hersenloos vandalisme. Het is stompzinnig en dwaas.”
        “De belangrijkste reden waarom ik deed wat ik gister heb gedaan is in essentie dat ik weet dat ik niet de enige persoon ben die belangstelling heeft voor deze systemen. Ik weet ook dat ik niet de enige persoon ben die deze systemen exploreert. [...] Ik zou graag een paar echte hervormingen zien en discussies tussen de regering, de fabrikanten van procescontrolesystemen en mensen die deze systemen gebruiken. Want er lijkt een enorme kortsluiting te zijn tussen de betrokken partijen.”

      Tijdens een innovatie van de watervoorziening was meer dan tien jaar daarvoor het controlesysteem S7 geïnstalleerd. In die tijd dachten weinig mensen dat deze industriële systemen wel eens het doelwit van cyberaanvallen zouden kunnen worden. Of zoals Joe Soto, de burgemeester van Houston zei: “Niemand dacht er verder over na. Toen het S7 systeem werd geïnstalleerd hadden we nog geen terroristen.”

      De inbraak nam niet meer dan 10 minuten in beslag. De hacker veroorzaakte geen schade, maar legde beelden van het controlesysteem vast als bewijs van hoe gemakkelijk het voor hem was om in te breken.

        De hack op de watervoorziening van Houston was geen daad van een uiterst slimme puber die maanden bezig is om een vernuftige digitale defensie te kraken. Het was in dit geval kinderlijk eenvoudig. PrOf is zich daarvan terdege bewust: “Het was nauwelijks een hack” [Threatpost, 20.11.11]. De meeste computerinbraken die hij had gezien waren “het resultaat van enorme stupiditeit, niet van ongelofelijke technische vaardigheid van de kant van de aanvaller.”
        “Toen ik begon wist ik echt niet wat de machine zou controleren. Maar ik logde in en toen zag ik waar het om ging en nam daar screen shots van. Ik was gewoon verbaasd”

      Verbaasd was ook de burgemeester toen hij op internet de beelden zag van de controlepanelen van de waterinstallatie. Maar hij dacht ook na over de verdere implicaties: “Wij zijn waarschijnlijk niet de enigen die helemaal open staan. De hacker betrapte iedereen met onze broek op de hielen.” De burgemeester drong er net al veel andere autoriteiten op aan dat het beveiligingslek zo snel mogelijk moest worden afgesloten.

      Vals alarm
      Op 8 november 2011 constateerde een werknemer van het waterdistrict van Springfield (Illinois) dat er problemen waren met SCADA systeem dat de watervoorziening aanstuurde. De remote access van Het SCADA systeem vertoonde al 2 tot 3 maanden haperingen. Nu zette het SCADA systeem zomaar de stroom aan en uit waardoor er een waterpomp doorbrandde.

      Bij een eerste inspectie werd vastgesteld dat het systeem van afstand gekraakt vanuit een internetadres in Rusland. In de media verschenen berichten dat dit de eerste buitenlandse cyberaanval was op een publieke utiliteitsvoorziening in de VS [zoals John Weis had gezegd: in Wired]. Bij nadere inspectie bleek het om een technisch mankement te gaan. Een aannemer die voor het waterdistrict van Springfield werkte had tijdens een reisje door Rusland volkomen legitiem op het computersysteem ingelogd [ICS-CERT, 23.11.11; KrebOnSecurity, 22.11.11].

    • 2012: Nederlandse dijken, dammen en gemalen - Veere
      In Nederland zijn nog —afgezien van manipulaties met financiële systemen— nog geen duidelijke voorbeelden van cybersabotage bekend. Maar dat betekent helaas niet dat wij daarvoor immuun zijn. In de lage landen bij de zee vormen dijken, dammen en gemalen een zeer belangrijke vitale infrastructuur. Hoe goed of slecht het gesteld is met de veiligheid van onze waterwerken wordt hieronder aan het voorbeeld van sluizen van de gemeente Veere nader geïllustreerd.

    • 2012: Cybotagevirus Shamoon of Disttrack

      Het plaatje dat Shamoon gebruikt als lokmiddel en als onderdeel van haar kwaadaardige springlading.
      In augustus 2012 verscheen een nieuw modulair virus dat speciaal gericht is op de olie- en energiesectoren. Het virus verspreidt zich naar andere pc’s van het netwerk door gedeelde harde schijven te exploiteren. Het virus vernietigt cruciale Windows bestanden (door ze te overschrijven met een jpeg-bestand van een brandende Amerikaanse vlag) en verminkt de master boot record (MBR) zodat de pc’s niet meer kunnen opstarten zonder een herinstallatie of het terugplaatsen van back-ups [Symantic, 16.8.12; Guardian, 16.8.12].

      Bij geavanceerde malware die gericht is op specifieke doelwitten wordt al het mogelijke gedaan om hun aanwezigheid te verbergen en niet te worden gedetecteerd. Maar Shamoon doet dit niet omdat de belangrijkste opdracht is om het gecompromitteerde systeem te vernietigen. Zelfs haar eigen code is niet geëncrypteerd.

      Het is nog niet precies duidelijk waar het virus op is afgericht: het stelen van informatie (cyspionage) of een indirecte (getrapte) aanval op een pc die niet rechtstreeks aan het internet is gekoppeld via een pc in hetzelfde netwerk die dat wel is [Seculert, 16.8.12].

      Het energiebedrijf Saudi Aramco uit Saudi-Arabië werd als eerste door het virus getroffen. De aanvallers hadden het Shamoon-virus in het netwerk van Aramco weten te verspreiden via een besmette USB-stick. Inclusief een tijdklok die was afgesteld op een belangrijke religieuze dag voor soennitische moslims. Op 15 augustus 2012 werden zo’n 30.000 werkstations en 2.000 servers beschadigd. Op driekwart van de computers van het bedrijf werden alle gegevens gewist en vervangen door een foto van een brandende Amerikaanse vlag. Het bedrijf had een week nodig om haar systemen weer op orde te krijgen. De gas- en olieproductie hadden zelf niet direct onder de aanval te lijden. Door eerdere veiligheidsmaatregelen had Aramco al haar elektronische systemen van de operationele productie van de buitenwereld afgesloten [Cnet, 27.8.12]. Ook de computersystemen van RasGas (die in Qatar vloeibaar natuurlijk gas produceert) werden offline gedrongen door waarschijnlijk hetzelfde virus [Cnet, 30.8.12].

      Saudi Aramco

      Installatie van Saudi Aramco in olievelden van de woestijn van Khurais.
      Saudi Aramco is het nationale olie- en gasbedrijf van Saudi-Arabië dat in Dharan gevestigd is. In 2005 werd de waarde van het bedrijf geschat op $781 miljard en is daarmee de meest waardevolle onderneming ter wereld (twee keer zo groot als Apple of Exxon). Het bedrijf beschikt over 100 olie- en gasvelden in Saudi-Arabië. Met een jaarlijkse productie van 7,9 miljard vaten is het de grootste olieproducent ter wereld.

      In een van de modules van het nieuwe virus geeft een verwijzing naar een module van het Flame-virus [Securelist,16.8.12].

      Ten minste drie verschillende groepen hackers claimden de verantwoordelijkheid voor de aanvallen op 15 augustus op Saudi Aramco. De eerste groep noemt zichzelf Cutting Sword of Justice. In een aantal pastebins motiveerde haar zij aanval op “de grootste financiële bron” voor het Saudische bewind omdat dit misdaden en wreedheden zou begaan tegen burgers in Syrië, Egypte, Libanon en andere buurlanden [Pastebin, 15.8.12; Pastebin 25.8.12]. De tweede groep noemt zichzelf Arab Youth Group. Zij keren zich tegen de “evil” heersers van Saudi-Arabië en de “Al-Saud traitors” die zij als agenten van de VS en Israël beschouwen. Zij refereren specifiek aan Libanon en de Forqan oorlog [Pastebin, 15.8.12]. De derde hackersgroep kondigde een tweede aanval aan op 25 augustus (die niet erg succesvol zou blijken te zijn) [Pastebin, 22.8.12].

      Zoals altijd werd er direct heftig gespeculeerd over wie er werkelijk achter deze aanslagen zat. Geoffrey Carr (directeur van Taia Global) meende dat de aanval door Iran is georkestreerd als vergelding tegen Saudi Aramco omdat dit bedrijf het land niet wilde compenseren voor het verlies aan olie-export als gevolg van het Amerikaans-Europese embargo. Amerikaanse overheidsfunctionarissen concludeerden een paar weken later dat Iran verantwoordelijk was voor de verspreiding van het Shamoon virus. Deze actie nam zoveel bandbreedte in beslag dat zij zonder instemming van de Iraanse overheid niet uitgevoerd had kunnen worden [Middle-East Online, 13.10.2012]. Ook minister van Defensie Leon Panetta wees naar Iran de verantwoordelijke staat voor de aanvallen om Aramco (en voor de DDoS-aanvallen op een aantal Amerikaanse banken). Hij noemde het de meest destructieve cyberaanval op de private sector tot nu toe, en als “een significante escalatie van de cyberdreiging” [Washington Post, 12.10.12].

      Het leek erop dat de Iraniërs sneller dan gedacht de militaire capaciteit hebben opgebouwd om zware cyberaanvallen uit te voeren. Volgens Richard Clarke was de aanval op Aramco een duidelijk signaal van Teheran: “Al je met ons rotzooit, krijg je de volle laag terug.” Maar volgens nadere analyse van het beveiligingbedrijf DefenseIQ was de Shamoon aanval het werk van islamitisch fundamentalisten met anti-Amerikaanse opvattingen.

    • 2014: Wodka in de energiesector - Energetic Bear
      Russische hackers voeren systematisch aanvallen uit op westerse bedrijven in de energiesector. De hackers drongen door tot de controlesystemen van electriciteitsbedrijven en oliepijpleidingen en zouden daarmee de energievoorziening kunnen cyboteren. Maar volgens Symantec is het motief voor de aanvallen waarschijnlijk in de eerste plaats spionage. Het is een cyberspionage campagme met een cybotage optie.

      De aanvallen werden uitgevoerd door een groep die Energetic Bear (a.k.a. DragonFly) wordt genoemd en die over veel hoogwaardige technologisce middelen beschikt. De groep is minstens sinds eind 2010 actief. In eerste instantie richtte deze groep haar aanvallen op defensie- en luchtvaartbedrijven in de VS en Canada. Maar in 2013 verlegden de hackers hun aandacht naar energiebedrijven in de VS (24%) en Europa: met name Spanje (27%), Frankrijk (9%), ItaliŽ (8%), Duitsland (7%), Turkije (6%) en Polen (5%).

      Niet alleen de controlesystemen van electriciteitsbedrijven, oliepijpleidingen, windturbines en biogasinstallaties werden het doelwit, maar ook de netbeheerders zelf. De hackers maken vooral gebruik van remote access tools (RATs). Favoriet instrument is het Trojaanse paard Havex (ook wel Oldrea, of Energetic Bear RAT). Het functioneert als een achterdeur voor de aanvallers op de computers van de slachtoffers waardoor zij data kunnen vervreemden en andere malware kunnen installeren, inclusief modules die penetreren in industriŽle controlesystemen. De initiŽle infectie wordt gerealiseerd door social engineering (spear-phishing en waterholing) en door het compromiteren van updates van ICS/SCADA-software. Er werd ingebroken op de websites van minsten drie verkopers van ICS/SCADA-software waarna het achterdeurtje Havex werdt geÔmplanteerd. Bij het updaten van de software zetten de beheerders van industriŽle controlesystemen ongemerkt zelf de malware op hun computers [F-Secure, 23.6.2014]; VK, 1.7.14; Kaspersky; DarkReading, 31.7.14].

    Index
    Nederland veilig achter de dijken?
    Spuisluizen
    De spui- en stutsluizen van de Afsluitdijk —de Stevinsluizen bij Den Oever en de Lorentssluizen bij Kornwerderzand— spuien het binnenwater van het IJsselmeer en keren het buitenwater van de Waddenzee. In 2006 werd al geconstateerd dat de Afsluitdijk na 75 jaar aan een grote opknapbeurt toe was. Door de stijgende zeespiegel was de dijk te laag geworden, de kruin en het binnentalud waren niet voldoende erosiebestendig en ook de sluizen voldeden niet meer aan de huidige normen. Maar het geld dat daarvoor nodig was (1,8 miljard euro), kon niet worden vrijgemaakt. Pas in 2022 zal daaraan worden begonnen.
    Nederland heeft zich lange tijd veilig gewaand achter haar dijken. Wij waren niet voor niets de beste dijkenbouwers ter wereld. Onze primaire dijken hadden Nederland altijd beschermd tegen oncontroleerbare stijgingen van het zeewater en van de grote rivieren. De secundaire of regionale dijken beschermde ons sinds heugenis tegen het binnenwater in meren, kanalen en boezems. We konden trots zijn op ons fantastische verdedigingssysteem tegen hoogwater uit zee: de Afsluitdijk en de Deltawerken (Zeeuwse waterkering). De Oosterschelde- en de Maeslantkering werden door de American Society of Civil Engineers zelfs tot een van de zeven moderne wereldwonderen verklaard.

    Lange tijd hadden de experts ons verzekerd dat we ons geen zorgen hoefden te maken over de veiligheid van onze dijken, dammen, gemalen en andere waterwerken. Elektronische inbraken op dergelijke infrastructurele voorzieningen zouden bijna onmogelijk zijn. De bediening van dergelijke systemen vereist namelijk een heel gespecialiseerde kennis. Bovendien zouden onze dijken en dammen beschermd worden door diverse niet-gecomputeriseerde beveiligingssystemen. Er was dus geen enkele reden op een nieuwe digitale waterlinie op te bouwen tegen cyberaanvallen op onze waterkeringen.

    Er waren slechts een paar zwartkijkers. Al vanaf 2001 waarschuwde Erik Luijf, de beveiligingsexpert van TNO, voor de kwetsbaarheid van de SCADA-systemen die in Nederland worden gebruikt. Tien jaar later was de stemming omgeslagen. Beveiligingsexperts begonnen de noodklok te luiden over de digitale beveiliging van onze sluizen, bruggen en gemalen. Volgens sommige experts was het voor hackers zelfs kinderlijk eenvoudig om de sluizen thuis via internet te bedienen. In sommige gevallen was het wachtwoord dat toegang gaf tot de bedieningspanelen gemakkelijk te kraken. In andere gevallen was er zelfs helemaal geen wachtwoord nodig om de besturings- en controlesystemen te binnen te dringen.

    Eind december 2011 waarschuwde de Nationaal Coördinator Terrorismebestrijding (NCTb) voor het zelfde gevaar: aanvallen op SCADA-systemen zijn “een ernstige bedreiging voor de nationale veiligheid wanneer zij de vitale infrastructuur (zoals energie, water, financiën) treffen”. Op 12 januari 2012 herhaalde Erik Akerboom deze waarschuwing in zijn toespraak tijdens de opening van het Nationaal Cyber Security Centrum (NCSC). Twee dagen later publiceerde het NCSC een factsheet waarin de kwetsbaarheden van procesbesturingssystemen in kaart werden gebracht en aanbevelingen werden gedaan om deze systemen beter te beveiligen: Beveiligingsrisico’s van on-line SCADA systemen.

    Het bleek al snel hoe kwetsbaar de PCS/SCADA systemen zijn die in Nederland worden gebruikt om sluizen, gemalen en rioleringspompen te bedienen. De controle over de gemalen en rioleringspompen van de gemeente Veere kon op zeer eenvoudige wijze via internet worden overgenomen. Het wachtwoord waarmee toegang wordt verkregen tot het bedieningspaneel liet zich gemakkelijk raden: “Veere”. Met één druk op de knop konden hackers de polders en rioleringen in Zeeland laten overstromen. Beveiligingsonderzoeker Oscar Koeroo ontdekte het beveiligingslek in het SCADA-systeem van Veere [EenVandaag 14.2.2012].

    De gemeente Veere was door de NCTb geholpen om de beveiliging van haar sluizen op orde te krijgen. Maar dat was slechts een druppel op een gloeiend onveilige plaat. Om het probleem op te lossen nam de gemeente Veere contact op met Xylem, de leverancier van hun SCADA-systeem die verantwoordelijk was voor onderhoud en beheer. Na twee dringende verzoeken aan Xylem kon de gemeente Veere niets anders doen dan de stekker uit het systeem te trekken.

    Xylem Water Solutions
    Xylem is een bedrijf dat zoch specialiseerd in watervraagstukken en dat opereert in meer dan 150 landen. Zij adverteert zichzelf als leverancier van “Innovative Solutions to Global Water Challenges”. Het is een toonaangevend bedrijf op het gebied van watertransport en waterbehandeling en levert producten die worden toegepast bij transport, behandeling en analyse van alle waterapplicaties binnen de totale watercyclus.
    Xylem, de leverancier van het SCADA-systeem in Veere en andere gemeentes vond de ophef overtrokken. “De Xylem SCADA-systemen zijn niet direct met het internet verbonden. Als er toegang via het internet tot het systeem is, dan is die ingericht met een Remote Access voorziening, beveiligd door inlogcodes en wachtwoorden.” Maar in werkelijkheid was het SCADA-systeem wel degelijk voor de buitenwereld toegankelijk.

    Beveiligingsonderzoeker Oscar Koeroo demonstreerde hoe gemakkelijk het was om toegang te krijgen tot de Zyxel router. Zowel de Web- als de telnet-consoles stonden open voor de buitenwereld. Na twee wilde gokken had deze expert het wachtwoord al geraden en kreeg hij toegang tot het hele bedieningspaneel. De Windows Server stond via de router bloot op het internet. De console van de gebruikte SCADA-systemen (de Moxa NPort 5110) was zelfs zonder wachtwoord te benaderen en te bedienen (hoewel er wel een wachtwoordbeveiliging op zit). Een aanvaller kan naar believen een wachtwoord wijzigen waardoor de beheerder zelf niet meer bij het systeem kan. Een aanvaller kan zelfs de bedrijfssoftware van de router vervangen en de pomp afsluiten. Je kunt de pomp nepwaarden laten doorsturen naar de hoofdcomputer waardoor het lijkt alsof de pomp gewoon werkt. Op die manier kunnen hackers hele polders laten onderlopen [Webwereld, 17.2.2012].

    Met PCS/SCADA-systemen worden de waterpeilen in polders en watergangen permanent gemonitord en geregeld. Rijswaterstaat beheert met behulp van PCS/SCADA ook de grote zeekeringen. Bij dreigende situaties worden op basis van wind- en tijverwachtingen de zeekeringen volautomatisch gesloten.

    Het peilen en de aansturing van de pompen en stuwen vind steeds meer op afstand plaats. Soms gebeurt dat via GSM/GPRS, maar ook wel via het internet.

    Net als in veel andere landen was de beveiliging van procesbesturingssystemen (PCS/SCADA) uitermate slecht geregeld. Ondanks alle waarschuwingen waren tienduizenden van die systemen nog steeds direct vanaf het internet toegankelijk. “De praktijk wijst uit dat veel organisaties onwetend zijn over welke van hun systemen direct via internet bereikbaar zijn. Een deel van die onwetendheid komt omdat systemen zijn aangelegd en/of worden beheerd door derden, waarmee geen of onvoldoende afspraken zijn gemaakt over beveiligingseisen” [NCSC - factsheet].

    Op de hackersfora wordt al jarenlang uitgebreid geïnformeerd en gefulmineerd over de kwetsbaarheid van PCS/SCADA-systemen. Er komen steeds meer hackingsinstrumenten op de vrije markt die automatisch zoeken naar kwetsbaarheden (zoals de eerder besproken Shodan, NMAP, Nessus, Metasploit). Sommige van die hackingsinstrumenten zijn gespecialiseerd op het opsporen en exploiteren van lekken in industriële controlesystemen. Elke zichzelf respecterende hacker is hiervan op de hoogte.

    Het blijft een angstige gedachte dat met virtuele instrumenten de controle over de sluizen van een dijk of dam kan worden overgenomen. Voor kwaadwillenden is zou het te gemakkelijk worden om van achter hun computer, laptop, tablet of smartphone overstromingen in gang te zetten die vele mensenlevens en eigendommen kunnen verwoesten.

    Onze dijken en een verwarde terrorist
    Terroristen kunnen een land grote schade berokkenen. Maar Jan Geluk, dijkgraaf van waterschap Hollandse Delta, waarschuwt: “Statistisch gezien is water voor ons een grotere bedreiging dan terrorisme” [AD, 24.9.06]. Voor de dijkgraaf is water de grootste vijand van ons land.

    In 2012 dreigde de Serviër Miroljub Petrović onze dijken op te blazen als Nederland de oorlogsmisdadigers Mladić, Kraděić en äeöelj niet onmidde;lijk zou vrijlaten. Ook het gebouw van het JoegoslaviŽ-tribunaal zou met de grond gelijkgemaakt worden.

    Op 26 februari 2012 plaatste hij een (inmiddels verwijderde) dreigvideo op YouTube waar hij een ultimatum stelt voor de “marionettenregering van Nederlanders, om de Servische helden te bevrijden.” Daarin kwam ook een dijkdeskundige aan het woord —professor Vojislav Petrović— die zei te weten waar de dijken in Nederland het kwetsbaarst zijn [Metro, 13.4.2012]. In een tweede video staat Petrović voor het gebouw van het Joegoslavië-Tribunaal in Den Haag. Hij zegt dat dit een van de laatste bezoeken is aan deze plek omdat deze met “de grond gelijkgemaakt en een woestijn” zou worden.

    De AIVD stelde een opsporingsonderzoek in. Of Petrović serieus genomen moest worden was twijfelachtig. Gezien zijn wiki-pagina is hij behoorlijk in de war.

    Het eerste dreigfilmpje is opgenomen in de duinen. Naar eigen zeggen zo’n 20 kilometer van Amsterdam — waarschijnlijk op de Boulevard Barnaart bij het circuit in Zandvoort. Volgens Petrović zal de dijk waar hij naast staat de lucht in gaan. Volgens Bas Jonkman (TU Delft) zou dit een lastige klus zijn. “Of zo’n «aanslag» succes zal hebben hangt af van de stand van het water en de hoogte van het land. Je moet er veel verstand van hebben om echt schade aan te richten” [RTL, 13.4.2012].

    Index


    Toekomst van cybotage
    Wie verwacht dat alle kwetsbaarheden in procescontrolesystemen inmiddels zijn opgelost komt bedrogen uit. Een onderzoek van zes hackspecialisten toonde (in januari 2012) aan dat zes van de zeven industriële controlesystemen vol zitten met hard- en softwarefouten. Een aantal daarvan waren achterdeurtjes die hackers gebruiken om wachtwoorden te downloaden of die de beveiliging volledig omzeilen. De meeste hackers konden binnen één dag inbreken op de PLC’s. “Het is gewoon te eenvoudig. Als wij het al kunnen, stel je dan eens voor wat een goed uitgeruste buitenlandse mogendheid zou kunnen zoen” [K. Reid Wightman, leider van het Project BaseCamp van Digital Bond].

    Voorbereidingshandelingen
    Als men cruciale infrastructuren —zoals elektriciteitsnetwerken, energiecentrales, olie- en gaspijplijnen— wil saboteren dan moet eerst informatie inwinnen over de precieze werking van de besturingssystemen die daarvoor worden gebruikt. Daarom hebben inlichtingendiensten zoveel belangstelling voor bedrijven die de beheerssoftware leveren voor procesbesturingesystemen.

    In september 2012 bleek dat vermoedelijk Chinese hackers hadden ingebroken op het netwerk van Telvent, een bedrijf dat de beheerssoftware OASyS SCADA levert. Er werden projectbestanden buit gemaakt met gedetailleerde informatie over de infrastructuur van verschillende klanten die OASys gebruiken [KrebsOnSecurity, 26.9.12]. Deze informatie kan worden gebruikt om de geavanceerde «smart grid» technologie van de energiebedrijven te saboteren. Dit gevaar blijft bestaan zolang de gevoelige controlesystemen die energienetwerken reguleren via internet- of telefoonverbindingen benaderbaar zijn.

    De meeste procescontrolesystemen zijn verbonden aan globale netwerken, ook al zijn het vaak indirecte verbindingen. Met een paar uitzondering zijn de bedrijfsnetwerken die door managers worden gebruikt op de een of andere manier met het internet verbonden. Zelfs werknemers die door een fabriek lopen met een draadloze verbinding op een laptop kunnen een tijdelijke dataverbinding maken die de controlesystemen blootstelt aan indringers.

    Lange tijd hielden sceptici ons voor dat de dreiging van cyberaanvallen op de profane wereld van lichamen en machineriën slechts van theoretische aard was. Het aantal incidenten met cybotage nam echter zo sterk toe dat de twijfelaars langzamerhand stil zijn geworden. Toen in de loop van 2010 de contouren van de Stuxnet worm aan het licht kwamen, werd over de hele wereld de bescherming van industriële besturings- en controlesystemen hoog op de veiligheidsagenda van ondernemingen en overheden geplaatst.

    We hebben gezien dat kwaadaardige software een scala nieuwe technieken gebruikt om zich te verspreiden en zichzelf onzichtbaar te maken tijdens hun aanval op machines, transportsystemen, distributiekanalen en nutsvoorzieningen. De complexiteit en vernuftigheid van moderne malware heeft een zodanig vlucht genomen dat er eigenlijk geen apparaten meer zijn die buiten de lange arm van cyboteurs vallen.

    Beveiligingsspecialisten spannen zich in om de verbindingen tussen open netwerken en procescontrolesystemen te beveiligen en betere, meer robuuste verdedigingslinies op te bouwen tegen insluipers. Daarbij worden geen nieuwe slotgrachten gegraven of stenen muren verstevigd. Er worden luchtsluizen gebouwd tussen het internet en de controlesystemen die niet door draadloze verbindingen kunnen worden overbrugd en die door sterkere toegangscodes en -procedures worden beschermd.

    Cybotage wordt niet aan de grote klok gehangen. Ondernemingen en (semi)overheidsinstellingen houden incidenten van sabotage en spionage liever onder de pet. Zij ontkennen vaak dat hun bedrijfssystemen door vijandige krachten zijn gepenetreerd of gesaboteerd, of zij bagatelliseren de gevolgen van een incident. Toch beginnen ondernemingen zich langzamerhand af te vragen of hun kosten-baten berekeningen met betrekking tot hun geglobaliseerde, door IT-gesteunde productie op lange termijn nog opgaan. Hoe lang kun je een werkelijk professionele beveiliging van bedrijfssystemen nog uitstellen of ondergeschikt maken aan het dictaat van de prestatieverhoging? Hoe hoog kun je de schade die je hierdoor leidt nog laten oplopen?

    In de Verenigde Staten worden incidenten met bedreigingen van controlesystemen inmiddels gemeld bij een particuliere industriële groep: North American Electric Reliability Corporation (NERC). Volgens de NERC zijn controlecomputers de met het internet verbonden zijn onveilig geworden vanwege Shodan en andere hackinginstrumenten. Omdat hackers en hackersgroepen deze apparaten kunnen identificeren en ermee kunnen interacteren zijn zij in staat om ze te ontregelen.

    Op jacht met Shodan
    Na Stuxnet werd de jacht op procescontrolesystemen geopend door gebruik te maken van Shodan. De ene hacker vond zonder veel problemen toegang tot de cyclotron (nucleaire deeltjesversneller) van het Lawrence Berkeley National Laboratorium. Een andere hacker vond duizenden onbeveiligde Cisco routers (computersystemen die data over netwerken regelen). Het doel was een dieselmachine van 5.000 pk, het soort machine dat vaak gebruikt wordt als een backup generator voor fabrieken en grote organisaties. Ingenieurs van het Idaho National Laboratory hackten de controlecomputer die in de generator was ingebouwd. Zij creëerden heftige torsietrillingen op de machinerie, die uiteindelijk begon te schudden, roken en zichzelf in stukken scheurde [YouTube-video]. Het is een drastisch bewijs dat men met software hardware kan beschadigen.

    Kwetsbaarheden nauwkeurig in kaart gebracht
    Onderzoekers van de Universiteit van Berlijn brachten begin 2013 een kaart in omloop waarop alle SCADA-systemen in Europa zijn vermeld die toegankelijk zijn via internet en dus kwetsbaar zijn voor cyberaanvallen. De gegevens zijn met Shodan verzameld. Google Earth en Google Maps worden gebruikt om de gegeven de visualiseren [Scadacs.org].

    Er zijn twee simpele redenen waarom cybotage van procescontrolesystemen een steeds grotere dreiging wordt. Ten eerste nemen de opties om dergelijke operaties succesvol te organiseren toe. Ten tweede is zowel de economische, politiek-strategische als militaire opbrengst van cybotage relatief groot en veelzijdig. Het verzwakt tegenstanders, ruÔneert ongewenste producties, en dringt hen weg van bepaalde markten en handelsroutes. Cybotage kan een samenleving volledig ontregelen.

    Index Een cyberoorlog die niet doorging

    Oost-Timor → Timor Leste: van virtuele naar werkelijke onafhankelijkheid
    Oost-Timor werd op 7 december 1975 door Indonesië bezet en een jaar later geannexeerd als de 27e provincie van de natie. In talloze V.N.-resoluties werd de bezetting van Indonesië veroordeeld. Oost-Timor werd decennialang het toneel van bloedige gevechten, executies, martelingen en hongersnood. Dit begon pas goed tot de internationale gemeenschap door te dringen toen op 12 november 1991 het Bloedbad van Santa Cruz werd aangericht. Tijdens een vreedzame demonstratie kwamen ongeveer 250 jongeren om toen Indonesische militairen zonder waarschuwing het vuur openden. De filmbeelden die van dit bloedbad door buitenlandse journalisten waren gemaakt, gingen de hele wereld over.

    De binnenlandse en buitenlandse druk op de Indonesische regering nam toe. In de strijd voor onafhankelijkheid begon ook het internet een rol te spelen. Begin 1997 braken Portugese hackers in op de websites van het Indonesische ministerie van defensie en van buitenlandse zaken. Zij onthoofden deze websites met pro-onafhankelijkheid propaganda.

    In 1998 verklaarde Oost-Timor haar virtuele onafhankelijkheid door het creëren van haar eigen top-level domein: .tp. Het Oost-Timorese domeinproject werd geïnitieerd door de Nobelprijswinnaars Jose Ramos-Horta en bisschop Belo. Top-level domeinen worden normaal alleen aan gevestigde landen gegeven. In dit geval werd het domein feitelijk gerealiseerd door een Ierse internetprovider [Hill/Sen 2005:105].

    De eerste digitale confrontatie tussen de afscheidingsbeweging van de Oost-Timorezen en de bezettingsmacht van Indonesië vond plaats in 1999. De bij de Ierse provider ondergebrachte website voor Oost-Timor (www.freedom.tp) werd in januari 1999 weggevaagd door hackers (E-nazi’s), die in opdracht van de Indonesische overheid zouden hebben gehandeld. De verdedigingslinie van de provider Connect-Ireland brak na achttien simultane aanvallen door robots uit verschillende landen waaronder Australië, Japan, de Verenigde staten en Nederland [Volkskrant 4.9.1999]. Negen maanden lang hadden de hackers de servers van Connect-Ireland getest voordat zij hun simultane aanvallen lanceerden. Nadat zij op de servers waren ingebroken zetten de hackers hun eigen domein op (need.tp) om het te gebruiken voor propaganda over Oost-Timor. De provider werd gedwongen om al haar servers uit te zetten en vervolgens al haar hard- en software te veranderen [ZDNet, 28.1.1999].


    Josť Ramos Horta
    In reactie daarop dreigde de Oost-Timorezen dat ze IndonesiŽ via internet plat zouden gooien. Verzetsleider José Ramos-Horta waarschuwde dat computerhackers het Indonesische banksysteem, financiële instellingen, het leger en de luchtvaart zou saboteren als Jakarta zou weigeren om Oost-Timor te laten stemmen over hun onafhankelijkheid. Een team van 100 hackers uit Europa en Noord-Amerika zou een campagne hebben voorbereid die een economische ontreddering van Indonesië tot gevolg zou hebben. Hiervoor zouden al tientallen virussen zijn ontworpen om de computers te infecteren [BBC, 18.8.1999]. In een persbericht van provider Connect-Ireland werd deze ‘oorlogsverklaring’ veroordeeld: “We do not condone attacks of any kind on the Internet or other similar technologies.”

    De cyberoorlog ging niet door en in augustus 1999 stemde meer dan 78% van de bevolking vóór onafhankelijkheid. In 2002 werd Oost-Timor onafhankelijk en werd het omgedoopt tot Timor Leste.

    Index


    De oorlogsverklaring van The Legions of the Underground
    De Amerikaanse hackersgroep Legions of the Underground (LoU) verklaarde op 29 december 1998 de cyberoorlog aan Irak en China. Ze riep op tot “de volledige vernietiging van alle computersystemen”. Als reden werd gegeven dat de regeringen van deze landen de rechten met voeten treden. Meer in het bijzonder werd verwezen naar de doodstraffen voor twee bankrovers in China en de productie van massavernietigingswapens in Irak. LoU kondigde aan in Irak te beginnen met een geconcentreerde cracking-campagne van een week. Het doel ervan was om de ‘schurkenstaat’ Irak van de wereld te isoleren.

    Een brede coalitie van hackers kwam onmiddellijk in opstand tegen deze oorlogsverklaring. In een gezamenlijke verklaring die op talloze websites werd gepubliceerd, keerden zij zich scherp tegen elke poging de hackersmacht te gebruiken om de informatiestructuur van een land te bedreigen of vernietigen. De verklaring werd ondertekend door de groepen Cult of the Dead Cow, LOpht Heavy Industries, Phrack, Pulhas, Chaos Computer Club en !Hispahack.

    In de verklaring van de hackerscoalitie wordt het initiatief van LoU niet alleen kortzichtig, maar ook contraproductief genoemd. Je verbetert de vrije toegang tot informatie in een natie immers niet door haar informatiesystemen en communicatienetwerken te ontregelen. Bovendien legitimeer je op die manier ongewild de acties van regeringen die proberen cyberspace als gevechtsterrein voor hun conflicten te gebruiken.

      “Een land de oorlog verklaren is het meest onverantwoordelijke wat een hacker kan doen. Dit heeft niets te maken met hacktivisme of hackerethiek en is niet iets waar een hacker trots op kan zijn.”

    Met zo’n oorlogsverklaring worden alle hackers in diskrediet gebracht.

      “Wanneer hackers zichzelf als een wapen gaan vestigen, zal hacking in het algemeen gezien gaan worden als een oorlogshandeling.”

    De LoU gaf direct een persbericht uit waarin de hackersclub zich distantieerde van de cyberoorlogsverklaring. “We hebben geen schadelijke of beschadigende acties tegen Chinese of Irakese netwerken of systemen ondernomen [...] en we zijn dat ook niet van plan.”

    Hackers leveren een constructieve bijdrage aan de beveiliging van het internet. Zij leggen met hun interventies de zwakheden bloot van het gegevensverkeer dat via openbare elektronische netwerken verloopt. Vandalistische hackers, cyberwrekers

    Hacker Rambo
    en criminele hackers (crackers) leveren daarentegen een destructieve bijdrage: zij misbruiken de zwakheden in de beveiliging van de informatiesystemen om anderen schade toe te brengen of zichzelf te verrijken. De patriottistische ‘rambo hackers’ die hun vaardigheden inzetten voor oorlogshandelingen en het oorlogsrecht in eigen hand willen nemen, stuiten in eigen kring op groot verzet.

    De Amerikaanse overheid weet dat oorlogen zich tegenwoordig gedeeltelijk in cyberspace afspelen. Maar zij treedt hard op tegen politiek gemotiveerde cyberaanvallen van patriottische burgers op vijandige doelen, vooral omdat hierdoor het risico van een tegenaanval wordt vergroot. Een willekeurige aanval van een hacker zou wel eens het begin van een cyberoorlog kunnen vormen. De vraag is wie het meest te vrezen heeft van een dergelijke escalatie. Cyberaanvallen van Irak op de Verenigde Staten en zijn bondgenoten zouden niet alleen voor enorme economische schade en maatschappelijke ontwrichting kunnen zorgen, maar zouden zelfs de gevechtscapaciteit kunnen aantasten.

    Index Kosovo: de eerste cyberoorlog?

    Kosovaren en hun internet
    Elke oorlog heeft zijn eigen unieke kenmerken en de media spelen daarbij een belangrijke rol. Korea geldt als de eerste tv-oorlog, Vietnam als eerste kleurentelevisie-oorlog, de Golfoorlog als eerste real time televisieoorlog (CNN) en Kosovo als eerste cyberoorlog tussen staten.

    De Kosovo-oorlog [1998-1999] was een gewapend conflict om de controle over Kosovo, een Servische provincie binnen de Federale Republiek Joegoslavië. Onder aanvoering van president Milošević werd een op gewelddadige wijze een nationalistische politiek van etnische zuiveringen ingezet. In 1998 slaan tienduizenden Albanezen op de vlucht voor het geweld. De VN-Veiligheidsraad eist dat het Servische leger zich terugtrekt uit Kosovo. Er wordt een kort staakt-het-vuren bereikt, maar in 1999 laait de strijd tussen het Servische leger en politie en het Kosovaarse Bevrijdingsleger (UCK) weer in alle hevigheid op. Zonder mandaat van de Veiligheidsraad besluit de NAVO in maart 1999 om militair in te grijpen.

    Brandende Ušće toren
    tijdens het NAVO bombardement
    [21.4.1999]
    Aanvankelijk worden alleen militaire doelen gebombardeerd, maar na enkele weken worden ook burgerdoelen in Servië aangevallen. Naast conventionele bommen worden clusterbommen en raketten met verarmd uranium ingezet. De bombardementen duren twee maanden, voordat Milošević toegeeft aan de eisen van de NAVO en Kosovo door de VN onder internationaal bestuur wordt geplaatst.

    Sinds het begin van de oorlogen die tot de desintegratie van Joegoslavië zouden leiden was internet beschikbaar, ook al was haar bereik nog beperkt. Tijdens de NAVO-interventie in Kosovo waren er in Servië 55.000 internetgebruikers, en minder dan 1.000 in Kosovo. In en om Kosovo vormen de internetgebruikers slechts een kleine maar invloedrijke elite. Maar deze elite wist via internet heftige discussies uit te lokken over de (il)legitimiteit van de NAVO-interventie.

    De groei en betekenis van het internet werd versterkt door een draconische mediawet die in oktober 1998 werd uitgevaardigd. Deze wet —die zonder discussie door het parlement werd aangenomen— verbood de verspreiding van buitenlandse nieuwsverslagen en legde strenge straffen op bij overtredingen. Veel onafhankelijke media legden het loodje of begonnen zelfcensuur toe te passen uit angst om verbannen te worden. Via de alternatieve route via internet kon dit verlies worden gecompenseerd [Bieber 2000].

    In een van die berichten schreef een 20-jarige uit Nibo Sad het volgende: “Terwijl ik dit schrijf werden we juist gebombardeerd. We werden niet door sirenes gewaarschuwd voordat zij ons aanvielen. Ik stond met een paar vrienden in de straat toen de aanvallen begonnen. Er ontstond een vreselijke paniek. Ik was op weg naar huis en was erg bang. Het leek net alsof ik in een film was beland. Er waren enorme explosies” [BBC, 16.4.1999].
    Het traditionele monopolie van oorlogscorrespondenten om over het front te berichten, werd doorbroken door berichten van mensen wier huis zojuist gebombardeerd was of die ooggetuige waren geweest van een bijzonder oorlogsfeit. Het nieuws kwam van gewone mensen die nooit gehoord worden in conflicten die gedomineerd worden door machtige strijdkrachten en regeringen. De berichten werden door burgers zelf op het internet gezet, zonder filter van de media en zonder censuur van de overheid. Meestal was het onmogelijk om de authenticiteit en betrouwbaarheid van dergelijke berichten te controleren. Mede dankzij internet werd de «oorlogsmist» in Kosovo alleen maar dikker [Taylor 2000:200].

    Er werden kleinschalige cyberacties ondernomen. Op de website van de NAVO werd een ‘denial-of-service’ aanval uitgevoerd. Door dit elektronisch bombardement crashte de webserver van de NAVO. Het informatiesysteem van de alliantie werd enkele uren plat gelegd. Vermoedelijk was dit het werk van Servische militairen en niet van onafhankelijke hackers.

    De Servische overheid probeerde om via internet controle uit te oefenen. Nog voor de NAVO haar bommen liet vallen sloten de autoriteiten het bekende onafhankelijke radiostation B93 [www.freeb92.net]. Vervolgens werd de controle overgenomen van de grootste internetprovider, OpenNet. Servische activisten gebruiken het internet om de etnische schoonmaak te rechtvaardigden en de nationalistische politiek van het regime te bejubelen. Internet werd gebruikt om geruchten, halve waarheden en samenzweringstheorieën te verspreiden. Deze desinformatie creëerde een sfeer van angst en agressie [Bieber 2000:128].

    Index


    NAVO is zuinig met cyberwapens
    De Amerikanen riepen ter ondersteuning van hun bombardementen tegen Servië een team van ‘informatiestrijders’ in het leven. Het was voor het eerst dat de staf van de Joint Task Force werd uitgerust met een team voor cyberoperaties. Volgens een intern rapport van Admiraal James Ellis (A View From The Top) was deze ‘information operations’-cel tijdens de Kosovo-oorlog zeer succesvol. Zij ondernam acties om vijandelijke informatiesystemen te beïnvloeden en tegelijkertijd de eigen informatie- en communicatiesystemen te verdedigen. Offensieve acties reiken van het vernietigen van de ict-infrastructuren naar meer traditionele aanvallen met elektronische oorlogsmiddelen, zoals het storen van de vijandelijke radar en het fysiek aanvallen van computernetwerken. In de laatste face van de oorlog bombardeerde de NAVO elektriciteitscentrales en telecommunicatiesystemen. Het gebruik van het internet werd hierdoor moeilijk en onbetrouwbaar [Goff 1999].

    Bombardementen, foutjes en oorlogsrecht
    In totaal vielen er bij de NAVO-bombardementen naar schatting 500 burgerslachtoffers en raakten 900 burgers gewond. Het is omstreden of de NAVO tijdens de bombardementen heeft voldaan aan de verplichtingen van het oorlogsrecht.

    Op 23 april 1999 vielen er bij het bombardement op de Servische staatszender (RTS) 16 doden. Gezien het propagandistische karakter van de uitzendingen beschouwde de NAVO het gebouw van de staatsradio en -televisie een legitiem militair doel.

    Amnesty International wees deze interpretatie van de hand. Zij erkende dat het verstoren van regeringspropaganda helpt om de moraal van de bevolking en de strijdkrachten te ondermijnen. Maar dat rechtvaardigt niet de aanval op een civiele voorzieningen. Radio- en televisiestations zijn volgens het oorlogsrecht geen militair doelen. Daarom stelde Amnesty dat het bombardement van de zender als zodanig een oorlogsmisdaad was.

    Volgens de NAVO waren er slechts “een paar fouten” gemaakt (zoals bij het bombardement op een vluchtelingenkonvooi op 14 april en de aanval op de Chinese ambassade in Belgrado op 7 mei), maar had zij zich nauwkeurig gehouden aan het internationale recht, inclusief het oorlogsrecht [NRC, 7.6.2000; Wereldjournalisten, 1.12.12].

    De NAVO voerde aanvallen uit op Servische computersystemen, maar maakte —volgens de Amerikaanse generaal Henry Shelton— slechts in geringe mate gebruik van haar mogelijkheden. Het Servische defensiesysteem was ‘hard-wired’, zodat het moeilijk was een echte cyberaanval uit te voeren. De cyberoorlog tegen Slobodan Milošević beperkte zich voornamelijk tot het inbreken op computer- en telecommunicatienetwerken om aanhangers van het regime via telefoon en e-mail onder druk te zetten en te intimideren. De cyberoorlog concentreerde zich op de directe politieke omgeving van Milošević om hen te overtuigen hun leider te verlaten. Plannen om virussen te verspreiden en Servische bankcomputers te kraken werden door het Pentagon wel besproken maar niet uitgevoerd.

    Volgens een legerofficier werd er eigenlijk alleen maar een grote berg spam over de Serviërs uitgestort [William Arkin, MSNBC News, 29.8.2001]. Dat is enigszins overdreven, maar er had —volgens de hoogste commandant in Europa, generaal Wesley Clark— zeker meer gedaan kunnen worden om de Joegoslavische president elektronisch te isoleren om hem tot overgave te dwingen zonder bommencampagne.

    De computerhackers van het Pentagon ontwikkelde plannen om de Servische financiële systemen plat te leggen. De top van het ministerie van defensie blies deze plannen echter af, uit angst oorlogsmisdaden te begaan. Het traditionele oorlogsrecht zou immers ook moeten worden toegepast op een militaire cyberaanval. Het inzetten van virussen of logische bommen tegen civiele doelen, zoals banken en universiteiten, zou als een oorlogsmisdaad beschouwd kunnen worden. Langs elektronische weg werd wel ingebroken op Russische, Griekse en Cypriotische banken om de rekeningen van Milošević te saboteren en leeg te zuigen.

    Digitale Dubbelgangers
    In mei 1999, toen de luchtcampagne van de NAVO op zijn hoogtepunt was, publiceerde het Pentagon een boekje van 50 pagina’s met richtlijnen voor het voeren van een cyberoorlog: Assessment of International Legal Issues in Information Operations. Daarin wordt een voorbeeld gegeven van een cyberactie die in strijd is met het oorlogsrecht. “Het is mogelijk om met een programma voor beeldvervorming (morphing) een beeld te creëren van het vijandelijk staatshoofd die zijn troepen informeert dat er een bestand of wapenstilstand is getekend. Als dit vals is, zou dit ook een oorlogsmisdaad zijn.”

    Met geavanceerde software kunnen foto’s en video’s worden gemanipuleerd om beelden te maken gebaseerd op gebeurtenissen en situaties die nooit hebben plaatsgevonden. Inlichtingendiensten kunnen een regeringsleider ervan proberen te overtuigen dat er een grootscheepse invasie dreigt door gemanipuleerde videoclips uit te zenden waarin de aanwezigheid van een grote militaire strijdkracht wordt afgebeeld — veel groter dan feitelijk bestaat.

    Dergelijke offensieve informatie operaties kunnen in bepaalde situaties zeer effectief zijn. Maar zij zijn niet zonder risico’s. Propaganda via internet bereikt immers niet alleen de vijandelijke regeringsleiders en hun bevolking, de gemanipuleerde beelden worden ook door de eigen bevolking gezien.

    De angst om oorlogsmisdaden te begaan was zeker niet het enige motief voor de Amerikaanse regering om terughoudend te zijn met de inzet van cyberwapens. De Amerikaanse generaals waren vooral bevreesd om hun technologische voorsprong te verliezen als zij open kaart zouden spelen in een veld waarin de vijanden van Amerika hen snel en tegen geringe kosten zouden kunnen inhalen [The Guardian 9.11.1999].

    De Amerikaanse plaatsvervangend minister van defensie John Hamre bestempelde de Kosovo-oorlog als eerste cyberoorlog. De activiteiten op het internet beperkten zich echter nog hoofdzakelijk tot het wederzijds hacken van internetsites en verstoringen van de Joegoslavische luchtafweer met elektromagnetische wapens. Het centrale telefoon- en elektriciteitsnet werd uitsluitend met conventionele wapens aangevallen. Hoewel lang niet alle strijdmiddelen uit het cyberrepertoire werden ingezet, markeren de operaties in Kosovo toch een nieuwe fase in de evolutie van de cyberoorlog.

    De verantwoordelijke politici en militairen hadden goede reden om terughoudend te zijn met het lanceren van cyberaanvallen vanuit staatsapparaten. De cyberoorlog is immers ook een ‘oorlog van de kleine luyden’, die in theorie door iedere hacker vanuit zijn eigen laptop gevoerd kan worden. Militaire commandanten beseffen dat een offensief op het gebied van de cyberoorlog een zeer groot aantal kleine tegenreacties kan losmaken die moeilijk beheerst kunnen worden.

    Het grootste risico van het uitbreken van een cyberoorlog is dat de wapens zeer geschikt zijn om door regionale tegenstanders te worden gebruikt in asymmetrische strategieën. Dat zijn strategieën waarin men de directe militaire confrontatie met een overmachtige tegenstander uit de weg gaat en zelf op andere terreinen met volledig andere middelen aanvalt.

    De cyberoorlog rond Kosovo nam internationale proporties aan nadat per abuis de Chinese ambassade in Belgrado met vijf precisiebommen werd vernietigd (3 doden). Chinese regering meende dat het een opzettelijke aanval was en reageerde furieus. In het hele land werden protesten en demonstraties georganiseerd tegen het ‘barbaarse’ en ‘criminele’ gedrag van de NAVO. Chinese hackers lanceerden grootscheepse aanvallen op Amerikaanse websites. Door aanhoudende DDoS-aanvallen werd zelfs de website van het Witte Huis (www.whitehouse.gov) die dagen gesloten [CNN, 12.5.99].

    Digitale graffiti: It ain’t much without the Dutch
    Ook enkele Nederlandse hackers mengden zich in de cyberconfrontaties rond de oorlog in Kosovo. De twee leden van de groep Dutchthreat kraakten een Joegoslavische webserver waarop de NAVO als een bende misdadigers en nazis was afgeschilderd. «Xoloth1» en «Meestervervalser» vervingen de anti-Navo pagina met een eigen “Help Kosovo” pagina: “NATO does not rape innocent women. NATO is not out for blood, but for peace.”

    Index Oorlog in het heilige cyberland

    Virtueel Zionisme vs. CyberJihad
    De regionale strijd tussen Israëliërs en Palestijnen wordt met fysiek geweld, maar ook op internet uitgevochten. Daarbij wordt gebruik gemaakt van een grote verscheidenheid aan tactieken, zoals het onthoofden van websites, het penetreren in het systeem van de tegenstander, desinformatie campagnes en het gebruik van virussen en Trojaanse paarden. Het conflict breidde zich uit naar het internet nadat op 6 oktober 2000 een pro-IsraŽlische hacker de site Wizel.com in de lucht had gebracht waar vanuit aanvallen werden gelanceerd tegen diverse sites van Hezbollah (zoals Hamas) en andere Palestijnse informatiesites. De pro-Palestijnse tegenaanval — «e-jihad» of «cyberjihad» — liet niet lang op zich wachten en richtte zich tegen Wizel.com en diverse andere IsraŽlische sites, zoals die van het Ministerie van Defensie, het parlement, de IsraŽlische Bank en de Beurs van Tel Aviv (TASE).

    Israëliërs en Palestijnen vallen elkaar over en weer aan in cyberspace. Zij gebruiken telkens nieuwe middelen en methoden om de sites van hun tegenstanders te vernietigen of veranderen. Vaak maken zij daarbij gebruik van dezelfde inbraakprogrammaís en methodieken.

    Israëlische hackersgroepen (zoals a.israforce.com, SmallMistake en Hizballa) onthoofden diverse belangrijke Palestijnse sites, inclusief de site van de Palestijnse Nationale Authoriteit. Er ontstond een coalitie van anonieme online activisten en veiligheidsexperts van Israëlische technologiebedrijven.

    In 1996 vormde de 16-jarige Ehud Tenenbaum samen met een paar andere Israëlische teenagers de Israeli Internet Underground (IIU). Zij noemden zichzelf ook wel de Enforcers. De IIU zette een website op om informatie te verspreiden over de oorlogsvoering in cyberspace.

      “Wij zijn de Israëlische Internet Ondergrondse, wij zijn de goede hackers (white-hats). Wij zijn toegewijd aan de Israëlische zaak en hebben ons verenigd om Israël op het internet te verdedigen tegen elk soort aanval van kwaadaardig hackende groepen” [IIU site].

    De IIU bood eigenaars van Israëlische sites aan om een veiligheidstest door te voeren om de kwetsbaarheden van hun sites op te sporen. Hiervoor werd speciale software ontwikkeld die niet alleen waarschuwt voor een aanval, maar die ook indringers opspoort. De bron van een cyberaanval is altijd moeilijk te lokaliseren omdat de aanvallers opereren via een keten van internetadressen voordat zij hun doel bereiken. Met de technologie van het door Ehud Tenenbaum opgerichte bedrijf 2XS kom het digitale spoor naar de oorsprong worden gevold. De servers van waaruit een aanval wordt geopend konden onmiddellijk worden afgesloten, zonder de providers in intermediaire landen in de cyberveldslag te betrekken.

    Ongelijke risio’s
    Tenenbaum zelf was overigens van mening dat het conflict tussen Palestijnen en IsraŽliërs niet op het internet moest worden overgedragen: “Het is veel te gevaarlijk. Wanneer je daarmee eenmaal begint, met het internet, realiseer je je dat alles kwetsbaar is. Elk bedrijf dat met het internet verbonden is kan worden aangevallen: banken, elektronicabedrijven, alles” Hij besef dat Israël in de strijd op het internet meer te verliezen heeft dan te winnen. “Ons land en onze bedrijven zijn afhankelijk van het internet, en in de toekomst zal dat nog meer het geval zijn” [Galvin 2001]

    Index


    Ehud Tenenbaum: internetbandiet en volksheld
    Ehud Tenenbaum die opereerde onder de naam ‘the Analyzer’, spande zich niet alleen in om Israël te beschermen tegen cyberaanvallen. Samen met zijn vrienden kraakte hij ook een groot aantal Amerikaanse en Israëlische militaire sites en werd daarna zelf doelwit van een wereldwijde speurtocht van diverse inlichtingendiensten.

    Op zijn 18e hackte Ehud Tenenbaum met een kleine groep hackers de computers van de NASA, het Pentagon, de Amerikaanse luchtmacht en marine, MIT en andere Amerikaanse universiteiten. In Israël kraakte hij de computers van het parlement, van de Israëlische president Ezer Weizman en probeerde ook te infiltreren in geheime bestanden van het Israëlische leger. Tegelijkertijd kraakte hij de computers van Palestijnse militante groepen en vernietigde hij de website van Hamas. In totaal kraakte hij over de hele wereld 700 sites [Los Angeles Times, 27.4.98].

    Het Amerikaanse leger kwalificeerde de hackpraktijken van Tenenbaum als “de meest georganiseerde en systematische aanval tot nu toe” op militaire systemen van de VS. Zij vermoedden dat het een zeer geavanceerde cyberaanval betrof uit Irak, omdat in die periode (tussen 1 en 26 februari 1998) al voorbereidingen werden getroffen voor een militaire interventie in Irak [GlobalSecurity].

    Er waarde een spook door de computersystemen van de militaire instellingen van supermacht Amerika. Alles werd uit de kast getrokken om dit ongrijpbare spook te vangen: de FBI, de CIA, de NASA, het ministerie van Defensie en Justitie en de NASA. Zelfs de president van de VS werd in stelling gebracht [BBC, 3.7.2000]. Maar uiteindelijk werden er geen cyberstrijders uit Irak gevonden, maar twee teenagers uit Californië («Mac» en «Stimpy») en iets later ook Tenenbaum zelf.

    Solar Sunrise
    In een trainingsvideo van de FBI werd de klopjacht van de verzamelde inlichtingendiensten op Tenenbaum in beeld gebracht. De jacht op de pubers wordt in 18 minuten op dramatische wijze gereconstrueerd: Solar Sunrise: Dawn of a New Threat. Het is een nogal opgeblazen verhaal over de recreatieve activiteiten van een paar ondeugende pubers.

    Echt geavanceerd waren de cyberaanvallen van Tenenbaum en zijn Californische pupillen nauwelijks te noemen. Zij gebruikten een standaard packet sniffer voor netwerkanalyse en een standaard Trojaans paard om op computers in te breken. Zij exploiteerden een al langer bekende kwetsbaarheid in het Solaris besturingssysteem dat nog niet gerepareerd was.

    Echte schade had Tenenbaum overigens niet of nauwelijks aangericht. Hij hackte de computers en bladerde door de bestanden zonder hun inhoud te wijzigen. Vaak zochten zij alleen naar wachtwoorden waarmee zij toegang konden krijgen tot weer andere sites. Maar de beheerders van de gehackte computersystemen waren wel in hun hemd gezet. Zij werden gedwongen om hun al hun bestanden te controleren en om hun beveiligingmechanismen te herzien.

    Ehud Tenenbaum, gevangenisfoto 1969 Nadat de Israëlische politie van de Amerikanen bewijzen van Tenenbaum’s hackactiviteiten hadden ontvangen, werd hij in 1969 gearresteerd. De Amerikanen beschouwden hem als «de kanker van het internet» en zelfs als «cyberterrorist». Maar premier Benjamin Netanyahu sprak zijn bewondering uit voor Tenenbaum en zwaaide hem alle lof toe. Hij prees zijn hackersvaardigheden als “damn good”, maar voegde daar wel aan toe dat hij ook erg gevaarlijk was. Tenenbaum werd een volkheld. In Israël werd hij gevierd als een populaire internetbandiet die het als kleine Israëli had durven opnemen tegen de grote jongens van het Pentagon.

    Voordat Tenenbaum veroordeeld werd, diende hij vanaf maart 1969 kort in het Israëlische leger. Zijn advocaat suggereerde dat het leger gebruik zou willen maken van zijn hacktalent om in te breken in de systemen van de Syrische inlichtingendienst. Nadat hij betrokken was geweest bij een verkeersongeluk werd hij uit het leger ontslagen.

    Ehud Tenenbaum als volksheld. Pas in 2001 moest Tenenbaum zich voor de rechter verantwoorden. Hij verklaarde zich schuldig, maar zei dat hij niet in de computersystemen had ingebroken om geheimen te stelen, maar om aan te tonen dat die systemen zeer slecht beveiligd waren. Hij werd veroordeeld tot anderhalf jaar gevangenisstraf, waarvan hij slechts acht maanden uitzat. Nadat hij uit de gevangenis was ontslagen, richtte Tenenbaum in 2003 zijn eigen informatiebeveiligingsbedrijf op: 2XS. De voormalige internetbandiet leek een nieuwe carrière te beginnen als adviseur computerbeveiliging.

    Vijf jaar later zochten de Canadese politie en de veiligheiddienst van de VS dertien maanden lang naar de daders van een serie inbraken op financiële instellingen waarbij nummers van creditcards werden gestolen. Zij noemden het een «internationale samenzwering». In september 2008 hadden zij succes. De politie van Calgary arresteerde Ehud Tenenbaum en drie van zijn medeplichtigen: Priscilla Mastrangelo (30), Francoic Ralph (28) en Spyros Exnoulis (33). De Amerikaanse veiligheidsdienst was onaangenaam verrast dat zij deze oude bekende (Ehud was inmiddels 29 jaar) weer tegen het lijf liepen.

    Werkwijze
    Tenenbaum ging als volgt te werk. Een aantal mensen kochten 37 pre-paid debitcards met een klein debiet (meestal $15). Tenenbaum traceerde de data die in de magnetische strip aan de achterkant van de kaart is gecodeerd. Die data bevatten het rekeningnummer en de PIN-code van de klant waarmee de kaarthouder geld van de rekening kan halen. Daarna werd ingebroken op de server van Direct Cash met behulp van een SQL-injectie. Daar werden de limieten op de kaarten verwijderd of verhoogd.

    De gegevens van de kaart werden vervolgens doorgegeven of verkocht aan andere mensen die lege kaarten codeerden met de data en deze gebruikten om cash geld van de rekeningen af te schrijven.

    Tenenbaum werd geconfronteerd met zes aanklachten wegens creditcard fraude ter waarde van 1,5 miljoen dollar. Tenenbaum zou onderdeel zijn van een zwendel waarbij de hackers financiële instellingen in de hele wereld penetreerden om creditcardnummers te stelen. Deze nummers werden vervolgens doorverkocht aan andere mensen die ze gebruikten om grootschalige creditcard fraude te plegen [Wired, 5.9.2008]. Het Canadese hof in Calgary liet Tenenbaum op borgtocht vrij [Wired, 29.9.2008]. Maar Tenenbaum werd uitgeleverd aan de Amerikaanse justitie. Hij zat daar meer dan een jaar in hechtenis en werd uiteindelijk aangeklaagd voor creditcardfraude van 10 miljoen dollar bij diverse banken [Wired, 24.3.2009]. In maart 2010 werd hij op borgtocht vrijgelaten nadat hij had toegezegd schuld te bekennen Wired, 25.8.2009].

    In juli 2012 bekende Tenenbaum zich schuldig aan één bankfraude in ruil voor strafvermindering. Hij werd veroordeeld tot de tijd die hij al in de gevangenis had gezeten en kreeg een boete opgelegd van $ 503.000 en drie jaar voorwaardelijk [Wired, 5.7.2012].

    Index


    Palestijns cyberverzet: cyberjihad
    Van Palestijnse kant wordt de cyberjihad gevoerd door hacktivistische groepen met verbindingen met Hezbollah en andere terroristische groepen. Een van die extremistische moslimgroepen is Unity, welke waarschijnlijk verantwoordelijk is voor de aanval op de Beurs van Tel Aviv.

    Unity kondigde aan dat zij de cyberjihad in vier fasen wil laten verlopen. De eerste fase is geconcentreerd op het ontregelen van officiële sites van de IsraŽlische overheid. De tweede fase richt zich op de Bank van Israël, en de derde op de Israëlische informationele infrastructuur en de providers. In de vierde en laatste fase zouden niet alleen de commerciële websites in Israël vernietigd moeten worden, maar alle “Zionistische en pro-Zionistische e-commerce sites”. Wanneer er islamistische, Arabische of antizionistische websites worden aangevallen, wordt gedreigd het Midden-Oosten conflict op wereldschaal uit te vechten.

    Unity probeerde systematisch en planmatig een complex en gecoördineerde cyberaanval voor te bereiden en uit te voeren die tot grootschalige ontregeling kan leiden van de doelwitten. De grootste schade werd echter niet door de gecoördineerde aanvallen van Unity veroorzaakt, maar door min of meer hobbyistische freelance hackers.

    SuÔcidale Cyberaanslagen
    Hackers die aanslagen plegen in cyberspace spannen zich meestal erg in om hun anonimiteit te bewaren. Dat hoeft echter niet altijd het geval te zijn. In een interview met Global Profile kondigt een lid van de Iron Guards aan dat bij een eventuele oorlog van Amerika tegen Irak ook suïcidale cyberaanslagen te verwachten zijn, waarbij de nadruk ligt op de aanval zelf, en niet op de ontsnapping.
    De verzamelbeweging van Unity rekruteerde een groep IT-specialisten (‘Iron Guards’) die in staat moesten worden geacht om zeer geavanceerde aanvallen te initiëren en eigen voorzieningen te beschermen. De derde fase wordt uitgevoerd in de vorm van een denial-of-service campagne die grotendeels via de Ďhoort-zegt-het-voortí methodiek werd opgezet. Palestijnen en Pro-Palestijnen uit de hele wereld werden via chat rooms van hackers en versleutelde e-mail berichten verwezen naar een website van Unity. Wanneer zij daar aankwamen werden zij automatisch doorgestuurd naar een andere site waar zij begroet werden met de oproep: ďBe one of the defenders of Resistanceís Web sites.Ē Bezoekers konden vervolgens op een van de drie links klikken waardoor zij direct en zonder inspanning een FloodNet aanval in DoS-stijl lanceerden vanaf hun computer tegen 11 IsraŽlische overheidsgroepen en bedrijven. Deze aanval beperkte zich echter niet tot het Midden-Oosten. Doelwit nummer 12 was het bedrijf Lucent Technologies in New Jersey, USA.

    De aanvallen van Unity en andere Palestijnse groepen werden zo intensief dat zij erin slaagden om de grootste provider van IsraŽl, NetVision, plat te leggen. Omdat NetVision zoín 70 procent van de IsraŽlische markt bedient kondigde het Ministerie van Defensie aan dat zij AT&T als een backup provider zou gaan gebruiken. Via de chat rooms werd dit bericht onmiddellijk over de hele wereld verspreid en begonnen de aanvallen op de servers van AT&T. Het liet zien hoeveel IsraŽl te verliezen heeft in een geïntensiveerde cyberoorlog.

    Defacement: je gezicht verliezen
    Een bekend voorbeeld van onthoofding van websites is die van Jerusalembooks.com, een van de grootste Joodse boekverkopers op het web. In 2000 werd door Arabische hackers de openingspagina van deze site vervangen door het in vlammende letters geschreven woord ‘Palestine’. In de tekst werden Israëliërs gevraagd of de Bijbel hen leert om onschuldige kinderen te vermoorden en vrouwen te verkrachten. Deze aanval werd opgeëist door de groep GForce Pakistan.
    De eerste fase van het Palestijns-IsraŽlische hackersconflict begon in 1999 en duurde tot 2002. Eind januari 2001 waren er al meer dan 160 Israëlische en 35 Palestijnse sites aangevallen. Vanaf juli 1999 tot medio april 2002 werden 548 Israëlische websites onthoofd, van de 1.295 onthoofdingen in het Midden-Oosten. Veel andere sites werden platgelegd door denial of service aanvallen [Allen/Demchak 2003].

    De cybercampagnes van zowel Israëlische als Palestijnse kant laten zien dat regionale conflicten zich steeds meer op een globaal theater afspelen. Het is een guerrillaoorlog met zeer uiteenlopende actoren waarin praktisch elke website, informatiesysteem, server en backbone een potentieel doelwit is. Alle eerder genoemde kenmerken van de cyberoorlog zijn in meer of minder ontwikkelde vorm aanwezig in dit Israëlisch-Palestijns conflict.

    Er tekende zich steeds scherper een nieuwe wapenrace af waarin alle partijen proberen hun feitelijke of potentiŽle vijanden een stap voor te blijven. De partij waarvan de samenleving het meest afhankelijk is van informationele en communicatieve infrastructuren, is hierdoor het meest kwetsbaar en heeft er daarom geen belang bij om alle offensieve middelen en methodieken ook daadwerkelijk in het virtuele strijdperk te brengen. Juist van relatief zwakkere partijen in gewapende conflicten is te verwachten dat zij de oorlog op het internet proberen te intensiveren en op een globale schaal te laten escaleren.

    Index


    Onvolkomen bescherming
    In de jaren negentig van de vorige eeuw realiseerde de Israëlische leiders zich al dat internet zich snel in een nieuw militair strijdperk zou ontwikkelen. Sinds die tijd trok de overheid veel goed gekwalificeerde mensen aan om eenheden voor cyberoorlog op te bouwen [StrategyPage 7.8.12].

    Begin 2010 verklaarde Maj. Gen Amos Yadlin, hoofd van de militaire inlichtingendienst dat Israël zich net zoals de Verenigde Staten en Groot-Britannië dat Israël haar eigen soldaten en officieren heeft die werken in een internetoorlogsteam dat verantwoordelijk is voor de cyberveiligheid. Hij benadrukte dat het vermogen om informatie te verzamelen en cyberaanvallen te lanceren kleine landen, terreurgroepen en zelfs individuen de macht geeft om serieuze schade aan te richten aan grote naties. Israël moet zich teweer stellen tegen zo’n 1000 cyberaanvallen per minuut.

    Het veld van de cyberoorlogsvoering past volgens de generaal heel goed in de defensiedoctrine van Israël. Bovendien opereert de Israëlische hightech industrie in de voorhoede van de computer en software ontwikkeling, vooral in de gebieden van veiligheid en communicatie.

    De voorhoede van Israëls inspanningen op het gebied van cyberoorlog zijn gericht op het blokkeren van Iran’s nucleaire ambities [Eshel 2010]. De geschiedenis van het Stuxnet-virus liet zien dat dit geen loze belofte is. In 2012 werd het budget voor cyberdefensie verhoogd met 50% ten opzichte van het voorgaande jaar (tot 78 miljoen dollar). Dit budget is bedoeld om de kritische infrastructuur van handel en industrie te beschermen, maar ook om aanvallende capaciteiten te ontwikkelen. Het geld wordt beheerd door het National Cyber Directorate (NCD) dat in augustus 2011 werd opgericht. Het NCD coördineert de ontwikkelingen in het leger, de academische wereld en de industrie [Ventre 2012].

    Lof van Hamas
    De cyberaanvallen op de Israëlische beurs en banken werd toegejuicht door de woordvoerde van Hamas in Gaza, Sami Abu Zuhri. Hij noemde ze “een teken van de creativiteit van de Arabische jeugd in het uitvinden van nieuwe vormen van Arabisch en islamitisch verzet tegen de bezetting door Israël. Hamas prijst de Arabische hackers en roept de Arabische jeugd op om hun rol te spelen in cyberspace tegenover de misdaden van Israël” [Aljazeera, 17.1.12].
    In januari 2012 werden heftige cyberaanvallen gelanceerd op Israëlische financiële instellingen. De Tel Aviv Stock Exchange (TASE), First International Bank of Israel (Fibi), Massad bank en Otsar Ha-Hayal bank werden gedwongen om hun sites tijdelijk te sluiten. In reactie hierop besloten Fibi en Israel Discount Bank om de toegang tot hun sites te blokkeren naar de IP’s van Saoedi-Arabië, Iran en Algerije. Deze incidenten laten zien hoe kwetsbaar de informatiesystemen zijn en in het bijzonder van financiële instellingen en beurzen. De kritieke commerciële infrastructuur van Israël kan niet volledig worden beschermd.

    Index Chinezen bereiden zich voor: een digitale tijger

      “Vechten en veroveren in al je veldslagen is niet superieur zijn, superieur zijn is het verzet van de vijand breken zonder te vechten ” [Sun Tzu, The Art of War].
    Een asymmetrisch perspectief
    Internet in ChinaHet Chinese Volksbevrijdingsleger heeft een aparte afdeling die zich helemaal concentreert op cyberoorlog. De militaire strategen in China onderkennen dat de sterke afhankelijkheid van informatiesystemen een potentiële zwakte is. Het basisidee is dat door het lanceren van snelle aanvallen met gespecialiseerde eenheden die zich richten op de potentiële zwakheden van de vijand een symmetrische vijandelijke aanval met asymmetrische methoden bestreden kan worden. Door de combinatie van informatieoorlog met irreguliere speciale en guerrilla operaties zou China in staat zijn om de aanvalssystemen van de vijand te vernietigen, terwijl een omvangrijke directe confrontatie met militaire hardware wordt vermeden [U.S. Department of Defense: juni 2000; Krekel 2009; Clarke/Knake 2010:49-62; Mulvenon 2013].

    Computer Network Warfare
    Cyberoorlog wordt in Chinese militaire kringen wordt Computer Network Warfare genoemd. De officiŽle definitie daarvan is: “The general term for all sorts of information offense and defense actions in which computers and computer networks are the main targets, in which advanced information technology is a basic means, and which take place throughout the space occupied by networks. The core of computer network warfare is to disrupt the layers in which information is processed, with the objective of seizing and maintaining control of the network space” [Mulvenon 2013].
    Voor China zouden aanvallen op computernetwerken (network warfare] dus een aantal belangrijke asymmetische voordelen hebben tegenover tegenstanders met superieure technologie. Dit perspectief is onder andere uitgewerkt door twee Chinese officieren van de strategieafdeling van de Academie voor Militaire Wetenschappen in Beijing:

      “In de 21ste eeuw is het primaire strijddoel de vernietiging van de vijandige command & control en wapensystemen door een combinatie van contra-informatie en vuurkracht en niet de vernietiging van vijandige strijdkrachten” [Xiao Jiangmin/Bao Bin, 21st Centrury Land Operations].

    De Chinese overheid scherpt haar vaardigheden om een cyberoorlog te voeren aan en beschouwt een ongecontroleerd internet als een bedreiging voor de staatsveiligheid. Kolonel Ye Zheng en Zhao Baoxian schreven in China Youth Daily:

      “Net zoals de nucleaire oorlogsvoering de strategische oorlog van het industriële tijdperk was, is cyberoorlog de strategische oorlog van het informatietijdperk geworden. Cyberoorlog is een vorm van strijd geworden die massief destructief is en het leven en dood van naties raakt. Cyberoorlog is een volledig nieuwe strijdwijze die onzichtbaar en stil is, en zij is niet alleen actief in oorlogen en conflicten, maar ontvlamt ook in de alledaagse politieke, economische, militaire, culturele en wetenschappelijke activiteiten” [Reuters, 3.6.11].

    Vroeger werden vijandelijke transport- en aanvoersystemen vernietigd om betere condities te scheppen voor de vernietiging van vijandelijke eenheden. Met digitale technologieën kunnen strijdkrachten tegenwoordig direct vijandelijke commandosystemen aanvallen en de coördinatie van vijandelijke krachten vernietigen.

    Superioriteit in informatie wordt het cruciale punt op het slagveld. Een superieure militaire kracht zonder informationele dominantie zal verliezen, terwijl een inferieure militaire kracht die informationele dominantie verwerft in staat is om te winnen. In een cyberoorlog streven beide partijen ernaar op het slagveld het initiatief te houden door het controleren van de informatie- en inlichtingenstroom [Pufeng 1995; Liang/Xiangsui 1999; Thomas 2000].

    De patriottische hackersgemeenschap in China liet voor het eerst van zich horen in mei 1998. De anti-Chinese rellen in Indonesië leidden tot grote nationale verontwaardiging. Naar schatting 3.000 hackers organiseerden zichzelf en lanceerden als protest aanvallen tegen Indonesische overheidssites. Een jaar later, bombardeerde een NAVO-vliegtuig per ongeluk de Chinese ambassade in Belgrado. In minder dan 12 uur formeerde zich de Chinese Red Hacker Alliantie en begon een serie aanslagen tegen honderden Amerikaanse overheidssites.
    De informatieoorlog was al begonnen. In ieder geval sinds april 2001 toen het Amerikaanse spionage vliegtuig EP-3E —met codenaam Peter Rabbit— na een botsing gedwongen was te landen op het Chinese eiland Hainan. Het Pentagon verklaarde onmiddellijk dat het om een gewone observatievlucht ging gericht op het toezicht houden op de telefonische communicaties en radarsignalen. De sensoren van het vliegtuig waren echter ook in staat om een nieuwe vorm van data code te verzamelen: Proforma. Met deze nieuwe bron van elektronische inlichtingen vervagen de traditionele scheidslijnen tussen toezicht houden en voorbereidingen voor oorlogsvoering. De gegevens die in computernetwerken worden verstuurd worden aaneengeregen met een kiestoon van protocollen en verbindingen die de paden en snelheden van de transmissie bepalen. Deze kiestoon staat bekend als Proforma. Ze kan gebruikt worden om de geavanceerde computers waarvan militairen gebruik maken te manipuleren, te misleiden of buiten werking te stellen. De heftige Chinese reactie op het incident met de EP-3E liet zien hoe belangrijk informatieoorlog voor China was geworden.

    De Chinese overheid verklaarde de 1ste mei van 2001 als startpunt voor een serie aanvallen op Amerikaanse websites. De aanvallen van deze “zesde online nationale defensieoorlog” waren een vergelding voor de aanvallen van Amerikaanse hackers op hun websites naar aanleiding van het incident met het EP-3 vliegtuig. Op de officiële website van Beijing werden de Chinese hackers voorgesteld als moedige helden die intelligentie met patriottisme weten te combineren &$151; geen amateurs die met hacker software spelen, maar goed opgeleide specialisten in de computerwetenschap.

    De 1ste mei aanval was de tweede georkestreerde aanval van Chinese hackers tegen Amerikaanse websites. Meer dan 80.000 hackers deden mee aan een defensieve cyberoorlog tegen wat zij zagen als een daad van Amerikaanse agressie. De Chinese hackers lanceerden de wormen Code Red en Code Red II en besmette daarmee meer dan 600.000 computers. De wormen creëerden substantiële vertragingen in het internetverkeer, haalden websites en netwerken offline, en onthoofden websites met de frase: “Hacked by Chinese”. De totale schade werd geschat op 2 miljard dollar [Fritz 2008:52].

    De Honker Union of China riep tien dagen na het begin van de acties op om de online oorlog met Amerikaanse internetgebruikers te staken. Zij verklaarde dat haar doel was bereikt en riep op tot een wapenstilstand [BBC, 10.5.01].

    De algemene strategische impact van deze cyberaanvallen van patriottische hackers was relatief klein. Zij waren eerder irritant dan dat zij een bedreiging vormde voor andere nationale staten [Mulvenon 2013:256].

    Aanvankelijk moedigde de Chinese overheid de acties van de hackersgemeenschap aan. Maar sinds medio 2002 veranderde deze houding. In officiële media werden commentaren gepubliceerd waarin verdere online massa-acties werden ontmoedigd. Hacking in andere landen werd illegaal verklaard en zou niet langer worden getolereerd. In de partijkrant werden de acties van patriottische hackers als «webterrorisme» afgeschilderd. In februari 2009 werd een strenge anti-hacking wet aangenomen. Met een serie arrestaties van prominente hackers en strenge straffen maakte de Chinese overheid duidelijk dat het haar ernst was [Krekel 2009:39; Fletcher 2009]. Het maken en verspreiden van kwaadaardige software werd strikt verboden [Fletcher 2010].

      Black Hawk
      Een van de grootste trainingssite voor hackers in China was het Black Hawk Safety Net. In ruil voor een kleine maandelijkse donatie verschafte de site meer dan 12.000 leden van software. De jaarlijkse inkomsten worden op 1 miljoen dollar geschat. Meer dan 170.000 mensen lieten zich als onbetaalde leden registreren. Vanuit de website werden trainingen georganiseerd waarin de cursisten leren hoe zij met behulp van Trojaanse paarden computer kunnen kraken en rekeningen konden plunderen. Ook was de website betrokken bij het afpersen van internetcafé door middel van een botnet voor DDoS-acties. Het hoofdkwartier van de in 2005 door Li Qiang en Zhang Lei opgerichte organisatie lag in de stad Xuchang in de provincie Henan.

      In november 2009 werd de site (3800hk.com) door de Chinese autoriteiten gesloten en werden drie sitebeheerders gearresteerd. Behalve een Honda Accord werden meer dan 1,7 miljoen Yuan (250.000 dollar), negen webservers en vijf computers in beslag genomen [Xinhuanet, 8.2.10, China Daily, 8.2.10]. De sitebeheerders werden gearresteerd voor het aanbieden van online inbraakinstrumenten (wat een jaar eerder wettelijk werd verboden).

      Toa Wan

      Tao Wan
      Volgens Toa Wan, een voormalige Chinese hacker, verdwijnt het nationalistische doel van de Chinese hackers steeds meer naar de achtergrond. Hackers laten zich minder makkelijk voor het karretje van de overheid spannen. “Het beeld dat hij schetst is niet dat van een goed geoliede machine waarin talentvolle hackers door de Chinese overheid worden binnengehaald en snel worden geïntegreerd in kwaadaardige campagnes” [Networkworld, 9.11.12]. Werken voor de overheid vinden de meeste hackers maar saai en zij zijn sociaal niet geschikt voor overheidswerk. Veel hackers keren zich af van de duistere kant van het beveiligingsdomein en zoeken in plaats daarvan naar mogelijkheden om legitieme ondernemingen op te bouwen.

    Voor de Chinese militairen is informatieoorlog sinds 1995 een serieuze optie geworden. Veel Westerse China-specialisten zich daarom meer zorgen over de snelheid van informatieoorlog dan de groei van de Chinese nucleaire wapens en de modernisering van het conventionele wapentuig. Waartoe de Chinezen in staat zijn, bleek tijdens een oefening die in oktober 1998 werd uitgevoerd in Lanzhou. Er werd een elektronische confrontatie gesimuleerd met verkenningen van, interventies op en destructie van computernetwerken. Bovendien werd er geëxperimenteerd met het op lange afstanden draadloos inplanten van virussen in vijandelijke computersystemen.

    Index


    Veroveringsoorlog in cyberspace?
    De Chinese autoriteiten bereiden zich voor op een veroveringsoorlog in cyberspace. In de officiële krant van het Chinese leger, werd op 11.9.1999 een artikel gepubliceerd waarin het aanvalsplan als volgt wordt omschreven:
      “Het is essentieel om een alles-veroverende offensieve technologie te hebben en om software en technologie te ontwikkelen voor netwerkaanvallen teneinde in staat te zijn om aanvallen en contramaatregelen te ondernemen op het net, inclusief software voor informatieverlamming, informatieblokkering, en informatiemisleiding” [Liberation Army Daily. Bron: NewsMax].

    Winnen zonder te vechten?
    De Chinese leiders geloven dat zij de huidige militaire superioriteit van de Amerikanen kunnen doorbreken. De favoriete strategische optie is de combinatie van (i) het vermogen om Amerikaanse militaire satellieten uit de lucht te halen met (ii) een gelijktijdige lancering van cyberaanvallen gericht op Amerikaanse —militaire, politieke en industriële— internet-activiteiten. Op die manier zou de Amerikaanse militaire kracht die op China is gericht verlamd kunnen worden. Het is de toepassing van de ‘indirecte benadering’ van de klassieke Chinese strateeg Sun Tzu: oorlogen winnen zonder al te veel fysiek te vechten. “Via een aanval op computernetwerken moeten we een bericht naar de vijand sturen die hen dwingt zonder gevecht op te geven” [Wang/Xingye 2000].
    Het wordt mogelijk geacht om een maskerade technologie te ontwikkelen waarmee de internet commandomacht kan worden gestolen. Die technologie bevat ook instrumenten waarmee het net gescand kan worden, inclusief “het breken van codes, het stelen van gegevens en het nemen van antifollow-up maatregelen.” Cyberoorlog kan een grote rol spelen wanneer deze wordt gecombineerd met andere gevechtsacties. “Moderne hightech oorlogsvoering kan niet winnen zonder het internet, maar het kan ook niet alleen op het internet gewonnen worden.” Aanvallen op vijandige computernetwerken worden door de Chinese militairen geien als een onconventioneel wapen dat vooral in de openingsfase van het conflict gebruikt kan worden, maar niet als een versterker van strijdkrachten die tijdens elke fase van een oorlog gebruikt kan worden.

    Met name de Amerikaanse regering maakt zich daarover geen geringe zorgen. Het vermogen van China om een informatieoorlog te voeren is immers niet alleen een bedreiging voor de militaire dominantie van de Verenigde Staten in hightech oorlogsvoering, maar ook voor haar civiele infrastructuren. Bovendien is China inmiddels in staat om alle Chinese netwerken te ontkoppelen van het globale internet, waardoor het zichzelf kan beschermen tegen cyberaanvallen vanuit de V.S. En tenslotte stimuleert de Chinese overheid op meer dan vijftig universiteiten onderzoek naar de ontwikkeling van cyberwapens. Daarbij gaat het niet alleen programma’s voor internetgerelateerde spionage in vredestijd, maar ook om de ontwikkeling van systemen die al voor een formele oorlogsverklaring het logistieke en bevelsvermogen van de vijand kunnen uitschakelen.

    The Great Chinise Firewall
    The Great Firewall
    De Chinese partij- en staatsleiding vecht haar informatieoorlog uit op twee fronten. Zij vecht een digitale wapenwedloop uit met potentieel bedreigende andere staten en zij voert tegelijkertijd een interne informatieoorlog om haar eigen burgers de kritische informatie te onthouden die door Chinese opposanten, dissidenten en buitenlandse instellingen via het internet worden verspreid. Deze laatste strijd wordt beschreven in Gevechten om de digitale Chinese muur.

    Wereldwijd worden er cyberaanvallen georganiseerd tegen computernetwerken van regeringen en commerciŽle instellingen. Volgens het Amerikaanse ministerie van defensie worden deze aanvallen vanuit China geïnitieerd. In haar annual report (2008) aan het Amerikaanse congres werd geconcludeerd dat al in 2007 diverse computernetwerken van de overheid vanuit China zijn gepenetreerd. De vaardigheden die nodig zijn om bij deze netwerken in te breken, zijn goed genoeg om een eventuele cyberaanval te lanceren.

    • In 1998 publiceerde een denktank van het Pentagon een paper over Dangerous Chinese Misperceptions waarin werd gewezen op de Chinese hoop om ‘haasje-over’ te spelen met de technologische superioriteit van de Amerikaanse strijdkrachten. In hetzelfde jaar waarschuwde de directeur van de CIA, George Tenet, voor het Chinese gevaar op internet. Diverse naties zijn bezig om capaciteiten op te bouwen voor een cyberoorlog. Zij weten dat zij geen kans hebben in een conventionele militaire confrontatie met de VS. Om het speelveld gelijk te maken in een gewapend conflict met de VS kiezen zij daarom voor de asymmetrische optie. Tenet citeerde uit een artikel uit een officiële Chinese krant: “Een tegenstander die de VS wil vernietigen hoeft slechts met hightech middelen met de computersystemen van haar banken te knoeien,” Dit zou de hele Amerikaanse economie kkunnen ontregelen en vernietigen [Wired, 24.6.98].

    • Sinds 2003 circuleren er steeds meer berichten over Chinese of Chinees geïnspireerde inbraken op Amerikaanse computersystemen en netwerken. Zij zijn vooral gericht op het vervreemden van Amerikaanse knowhow. De beveiligde netwerken van de militaire basis Redstone Arsenal, de NASA en de WereldBank behoren tot de favoriete doelwitten.

    • In 2005 verschenen de eerste rapportages over grootschalige netwerkgebaseerde ‘data exfiltration’. In Time magazine beschreef Nathan Thornburgh een cyberexploitatie waarin militaire computers op vier Amerikaanse sites —Fort Huachuca (Arizona), Arlington (Virginia), San Diego (Californië) en Huntsville (Alabama)— binnen 6,5 uur werden gescand en grote aantallen gevoelige bestanden werden gestolen. Dit materiaal werd vervolgens naar Taiwan, Hong Kong en Zuid-Korea verscheept, en daarna naar de zuidelijke Chinese provincie Goangdong [Time Magazine, 29.8.05]. Deze cyberexploitatie werd bekend onder de codenaam Titan Rain

    • Sindsdien verschenen er diverse rapporten over vergelijkbare cyberexploitaties, waarin de intrusiemethode steeds verfijnder werden [Krekel 2009]. De veelbesproken aanval op Google in 2009-2010 volgde hetzelfde patroon [NRC 2010:30].

    • BIOS
      BIOS (Basic Input Output System) is een verzameling basisinstructies voor de communicatie tussen tussen het besturingssysteem en de hardware. BIOS is essentieel voor de werking van de computer — het is de eerste software die bij het opstarten draait. Wanneer een computer wordt gestart, wordt eerst de Power-On Self Test (POST) in het BIOS doorlopen.
      Een van de meest recente vermeende Chinese aanvallen is de zgn. “BIOS Plot”. Volgens NSA-directeur Keith Alexander zou een buitenlandse natie BIOS-malware ontwikkelen waarmee het de meest uiteenlopende computersystemen in de VS zou kunnen uitschakelen [CBS 60 Minutes, 15.12.13]. Volgens de generaal had deze operatie “catastrofaal” voor de VS kunnen zijn. De hoofdverantwoordelijke bij de NSA voor cyberdefensie, Debora Plunkett, verklaarde: “Het had de Amerikaanse economie in elkaar kunnen laten storten”. Zij benadrukte dat er landen zijn die niet alleen beschikken over deze capaciteiten, maar dat zij ook de intentie hebben om ze te gebruiken.

    Index


    Cyberspace als domein van samenwerking
    Daar staat tegenover dat China inmiddels het grootste slachtoffer is van cyberaanvallen. Volgens een rapport van het National Computer Network Energency Response Coordination Center of Chinaeen werden er in 2011 8,9 miljoen computers in China aangevallen en gecontroleerd door 47.000 buitenlandse IP-adressen. De meeste van die IP-adressen van de aanvallers komen uit Japan, de Verenigde Staten en Zuid-Korea. Alleen al in de eerste vijf maanden van 2014 kaapten 13.408 buitenlande trojaanse paarden en door bots gecontroleerde servers ongeveer 5,63 miljoen mainframes in China. Het merendeel van deze aanvallen kwam vanuit de Verenigde Staten. In diezelfde periode werden de websites van 249 belangrijkte Chinese organisaties —inclusief overheidsinstemmigen, cruciale informatiesystemen en onderzoeksinstellingen— voorzien van achterdeurprogramma’s [Chinadaily, 5.6.13].

    De cyberaanvallen op de Chinese ditale wereld vertonen een grote diversiteit: vernietiging van servers, verdraaiing van website content, diefstal van persoonsgegevens van internetgebruikers en diefstal van vertrouwelijke informatie uit overheidsnetwerken. Bij een van deze aanvallen werd de inhoud van meer dan duizend Chinese websites veranderd, inclusief 400 overheidssites.

    Veel hackers zijn op zoek naar interne (gevoelige en geheime) informatie over economie, politiek en leger. Vooral het militaire informatienetwerk is een belangrijk doelwit voor hackers. Toen het Chinese ministerie van nationale verdediging in augustus 2009 haar officiële website —www.mod.gov.cn— opende, trok deze al in haar proefperiode elke dag duizenden inbraakpogingen uit het buitenland aan. In de eerste maand kreeg de website meer dan 2,3 miljoen aanvallen te verwerken. De hackers probeerden in de webservers van de site te komen en zij probeerden de homepage te wijzigen. Hoewel alle interne computers van het Chinese leger geïsoleerd zijn van andere netwerken, zijn er nieuwe technische instrumenten waarmee spionnen draadloos in een elektronisch apparaat of faciliteit kunnen penetreren.


    De Amerikaanse minister van defensie Leon Panetta en de Chinese minister van defensie Liang Gunanglie tijdens de welkomstceremonie op het Pentagon, 7 mei 2012.
    Nadat zij er jarenlang van beschuldigd werd om cyberaanvallen en -exploitaties op de VS uit te voeren, is China dus zelf ook slachtoffer van cyberaanvallen. In 2011 werden daarom al twee gezamenlijke cyberdefensie-oefeningen georganiseerd [Guardian, 16.4.12]. In mei 2012 ging de Chinese defensieminister Liang Guanglie op bezoek bij zijn Amerikaanse collega Leon Panetta. De beide ministers kondigden aan dat zij in de toekomst zouden samenwerken bij kwesties van cyberveiligheid en dat hierdoor misverstanden uit de weg geruimd moesten worden die tot toekomstige crises zouden kunnen leiden.

      “But because the United States and China have developed technological capabilities in this arena, it’s extremely important that we work together to develop ways to avoid any miscalculation or misperception that could lead to crisis in this area” [Leon Panette, in: ChinaDaily, 9.5.12].

    De Chinese autoriteiten hebben zich publiekelijk altijd verzet tegen de beschuldigingen dat zij cyberoperaties op Amerikaanse doelwitten zouden uitvoeren. De verklaring van Panetta werd geïnterpreteerd als een meer redelijke houding. ”Cyberspace zou een domein van samenwerking moeten zijn voor de twee naties, niet van strijd” [Luo Yuan, China Association of Military Science].

    Index Noord-Korea: gemilitariseerd internet

    Leren voor de cyberoorlog
    In Noord-Korea wordt de cyberoorlog uiterst serieus genomen. Net als de atleten die zich op de volgende Olympische spelen voorbereiden worden in Noord-Korea leerlingen al vroeg gestimuleerd om hun hackersvaardig-heden te ontwikkelen. De leerlingen worden getraind in programmeren en computer hardware. Daarna doorlopen zij een speciale afdeling van de Universiteit van Pyongyang, waar zij leren hoe er ingebroken kan worden in vijandige netwerksystemen. Meer dan 700 studenten zijn hier inmiddels voor gerekruteerd. Elk jaar studeren er ongeveer 120 studenten af in elektronische oorlogsvoering [DailyNK, 9.5.11].

    De afdeling cyberoorlog van het Koreaanse Volksleger (Unit 121) telt meer dan 600 hackers. De afdeling voor cyberpsychologische oorlogsvoering (Unit 204) telt 100 hackers. De inlichtingenafdeling van de Centrale Partij (Unit 35) is nog kleiner en is gespecialiseerd in interne veiligheid en cyberaanvallen tegen buitenlandse vijanden. Deze afdeling richt zich primair op het ontregelen van Zuid-Koreaanse militaire communicatie-, commando- en controlenetwerken [Clarke/Knake 2010:27].

    Het in februari 2009 opgerichte Reconnaissance General Bureau geeft leiding aan cybotage campagnes tegen het Zuiden. Zij heeft zo’n 3.000 hackers in dienst [PCWorld, 1.6.11]. Een deel van de hackers worden via Noord-Koreaanse bedrijven in China gerekruteerd.

    Om het hoofd te bieden aan cyberaanvallen vanuit Noord-Korea wordt er in Zuid-Korea eveneens gebouwd aan een cyberleger. Op 28 juni 2011 tekenden de universiteit van Seoul en het Zuid-Koreaanse leger een overeenkomst over de opbouw van een nieuwe vierjarige majoropleiding voor cyberdefensie. Op deze afdeling worden de experts opgeleid die gespecialiseerd zijn in cyberoorlog. Er werd bescheiden begonnen met een klas van 30 studenten. De studenten krijgen les in it-technologie, het breken van codes en cyberpsychologie. Daarnaast krijgen zij een volledige militaire opleiding [Korea Joongang Daily, 29.5.11].

    Index


    Een vileine testcase
    In juli 2009 werd een massieve cyberaanslag gepleegd op de servers van het Amerikaanse ministerie van financiën, de inlichtingendiensten en de federale commissie voor handel en het ministerie voor transport. Ook de sites van NASDAQ, de Beurs van New York en de Washington Post werden aangevallen. Bij deze aanslag werden er Trojaanse paarden (‘trapdoors’) geplaatst die mogelijk maken om later in deze netwerken te penetreren.

    De aanvalsgolven richtten zich ook op cruciale servers in Zuid-Korea. Tienduizenden computers die met een specifiek virus waren geïnfecteerd werden ingezet om Zuid-Koreaanse overheidssites, banken, kranten en internetbeveiligingsbedrijven plat te leggen. Daaronder waren ook de site van de president (het ‘Blauwe Huis’), van het ministerie van Defensie, van het ministerie van Binnenlandse Zaken en Veiligheid en die van het parlement. Dagenlang merken de Zuid-Koreanen dat hun anders zo snelle internetverbindingen zeer traag verliepen.

    Op 10 juli werden de Zuid-Koreanen opgeroepen om hun computers die dag op te starten in de veilige modus, zodat die enkel de hoogst noodzakelijke programma’s laadde. Ze moesten hun computerklok een volledige maand terugdraaien en een gratis anti-virusprogramma downloaden. Op die manier konden ze voorkomen dat om middernacht kwaadaardige software de besmette harde schijven wiste.

    Maanlopen is besmettelijk
    Op 25 juni 2009 stierf de King of Pop, Michael Jackson, aan een hartstilstand. De Belgische jongerenzender Studio Brussel organiseerde een eerbetoon: de Eternal Moonwalk. Iedereen kon van zichzelf (of van zijn vrienden of huisdier) een fimplje downloaden waarop de moonwalk werd gedanst. Al die filmpjes werden aan elkaar gesmeed tot een video van een uur. Het werd een groot succes. Meer dan 3,9 miljoen mensen bezochten de website waarop de video stond: Eternalmoonwalk.com. Het reclamebureau Mortierbrigade, dat het idee bedacht had, kreeg hiervoor zelfs een Gouden Leeuw in Cannes.

    Eternalmoonwalk.com was echter een besmette site. Op de computers van de bezoekers van de site werd malware geplaatst, via een lek in Adobe Flash dat vaak gebruikt wordt om video’s af te spelen. Volgens Symantec kregen Noord-Koreaanse overheidshackers via deze besmetting de controle over computers die vervolgens werden gebruikt voor hun cyberaanval op Zuid-Korea [De Standaard, 30.3.13].

    MyDoom
    De computerworm die werd gebruikt (W32.Dozer) is van een variant van MyDoom. De worm bevat lijsten van de sites die aangevallen moeten worden, maar compromitteren ook de geïnfecteerde computer. In de viruscode werden 13 Zuid-Koreaanse en 23 Amerikaanse computer- netwerken opgenomen. Iedereen kon hier willekeurige nieuwe doelwitten aan toevoegen. Rond de 60.000 gekaapte computers namen deel aan de DDoS-aanval op Amerikaanse en Zuid-Koreaanse doelwitten. De aanvallen werden vooral via Duitsland, Oostenrijk, Georgië, de VS en Zuid-Korea zelf uitgevoerd.

    Hoewel de Noord-Koreaanse DDoS-aanvallen wat grof van aard waren, bevatte de hele operatie toch een aantal geavanceerde kenmerken. Volgens de onderzoekers van McAfee was de malware waarmee de computers van het botnet werden besmet ontworpen om slechts tien dagen te werken. Daarna liet het de geïnfecteerde computer zodanig crashen dat een volledige herprogrammering noodzakelijk was. Zowel het besturingssysteem, de applicaties als de gebruikersdata moesten volledig worden overgeschreven. Omdat alle aanvalsvoertuigen waren vernietigd werd het forensisch onderzoek (‘backtracking’) sterk bemoeilijkt. De meeste moderne malware houdt de gasten van het botnet in stand voor toekomstig gebruik.

    Bovendien maakte de Noord-Koreaanse aanvalsworm een grote diversiteit van moeilijke encrypties waardoor verdere analyse van de architectuur en werking van de malware werd verhinderd. En tenslotte was de structuur van de worm uit meerdere lagen opgebouwd. Zo’n gelaagde architectuur van de botnet is aanzienlijk moeilijker te bestrijden en heeft een grote operationele veerkracht (herstelvermogen).

    Al deze kenmerken duiden erop dat het niet ging om een basale DDoS-aanval, maar om een geraffineerde leeroefening.

    De uiteindelijke schade was beperkt [Clarke/Knake 2010:25]. De aanval was niet gericht op het overnemen van controle op overheidssystemen en ook niet op het ontregelen van essentiële diensten. Vermoedelijk was het doel van de aanval om er achter te komen welk niveau van botnet activiteiten voldoende zou zijn om Zuid-Korea af te sluiten van elke internetverbinding met de rest van de wereld. Volgens de onderzoekers van McAfee was de hele operatie slechts bedoeld om de eigen cyberwapens te testen en de defensiemechanismen te verkennen.

    Attributie probleem
    Het is een blijft omstreden wie precies verantwoordelijk was voor de cyberaanvallen op Zuid-Koreaanse en Amerikaanse doelwitten. Sommige experts suggereren dat het misschien toch Zuid-Koreanen waren die een cyberaanval vanuit Noord-Korea wilden suggereren om de politieke tegenstellingen tussen de VS en Noord-Korea aan te scherpen [TechNews, 5.7.10]. Soms is de schuldtoewijzing gevaarlijker dan de aanval zelf.

    Index


    Noord versus Zuid
    Inmiddels bereid Zuid-Korea zich voor op een complete cyberoorlog met het Noorden. Maar voor cyberstrijders is het moeilijk om in Noord-Korea aanvalsdoelen te identificeren. Noord-Korea beschikt nauwelijks over een elektriciteitsnetwerk en is bijna volledig van de virtuele wereld afgesloten. Er zijn enkele tientallen websites voor externe communicatie die vooral propaganda verspreiden. De lucky few die op het interne netwerk zijn aangesloten kunnen alleen de site van de grote roerganger bezoeken. Voor de buitenwereld zijn er ongeveer 30 Noord-Koreaanse websites beschikbaar — allemaal beheerd door de overheid.

    Buiten de huizen van officieren die in de gunst van de grote leider staan en een select aantal onderwijsinstellingen in Pyongyang, zijn er geen computers in Noord-Korea. Wie het geluk heeft te mogen wonen in een streek waar elektriciteit bestaat, kan via radio en televisie uitzendingen van de overheid volgen. Mobiele telefoons werden wel even ingevoerd, maar later weer verbannen. Er is wel een internetverbinding met de rest van de wereld, via een satellietverbinding met Duitsland. Deze verbinding mag echter alleen door bezoekers en overheidsinstellingen worden gebruikt en is uitaard ook zwaar gecensureerd [ExtremeTech, 19.12.11]. Noord-Korea wordt niet voor niets “the world’s worst internet black hole” genoemd.

    Gelokaliseerd en genationaliseerd internet
    De internetgemeenschap in Noord-Korea neemt weliswaar in omvang toe, maar het is een strak gereguleerde gemeenschap. Om controle op het internet te houden ontwikkelde Noord-Korea sinds 2002 een eigen besturingssysteem dat gebaseerd is op Unix: Red Star. Het lijkt erg op Microsoft Windows XP, maar heeft een eigen browser met de naam My Country. Deze browser maakt alleen gebruik van een lokale zoekmachine (My Country BBS), waarmee gebruikers alleen het Noord-Koreaanse intranet (Kwangmyong) kunnen doorzoeken. Red Star is alleen verkrijgbaar in de Koreaanse taal en is gelokaliseerd met Noord-Koreaanse terminologie en spelling.

    Noord-Korea investeert niet veel in de ontwikkeling van de infrastructuur van het internet, maar des te meer in het kapot maken van het internet in andere landen.

    In de lente van 2012 slaagde de Noord-Koreaanse Reconnaissance General Bureau erin om de GPS signalen te verstoren in het hele Koreaanse schiereiland. Van 28 april tot 13 mei werden GPS-signalen verstoord waardoor het verkeer van 553 vliegtuigen en 122 schepen werd ontregeld [Korea Herald, 8.5.12; Stars & Stripes, 7.6.12]. Deze aanval leidde weliswaar niet tot grote rampen, maar was wel een demonstratie van de steeds geavanceerdere mogelijkheden om cyberaanvallen uit te voeren [Radasky 2014]. Het manipuleren van lokalisatiesignalen vervult een sleutelrol in de asymmetrische oorlog op het moderne slagveld.

    Op 3 juni 2012 arresteerde de politie van Zuid-Korea een man uit Seoul die ervan verdacht werd samen te werken met Noord-Korea om videogames te ontwikkelen die geïnfecteerd waren met spyware. De 39-jarige speldistributeur Cho had hiermee de nationale veiligheid van Zuid-Korea geschonden. Samen met Noord-Koreaanse spionnen had Cho een hacking basis opgezet die vermomd was als handelsfirma. In China zou hij in contact zijn gekomen met leden van het Noord-Koreaanse Reconnaissance General Bureau. Zij vroegen hem om videospelen te ontwikkelen die hij in Zuid-Korea kon verspreiden. Hij kocht tientallen computerspelletjes voor een derde van de gewone prijs en wist dat deze waren besmet. Cho werd ook beschuldigd van het opzetten van een server in Zuid-Korea die de Noord-Koreanen konden gebruiken om DDoS-aanvallen op Zuid-Koreaanse netwerken te lanceren [Korea Times, 4.6.12; Danchev 2012; Korea Joongang Daily, 5.6.12].

    Sommige computerexperts in Zuid-Korea verwachten dat Noord-Korea zal proberen om de infrastructuur van het Zuiden te vernietigen die verbonden is met verkeer, elektriciteit, energiecentrales en watervoorzieningen. Ook daar is men inmiddels vertrouwd met de kracht van de Stuxnet-worm. Volgens de overheid waren in januari 2011 al 7.300 computers in Zuid-Korea besmet met Stuxnet.

    Zuid-Korea was een vroege pionier in het stimuleren van goedkope en zeer snelle internetverbinden. In 2000 had 40 procent van de Zuid-Koreanen toegang tot het internet; tien jaar later was dit gestegen tot 81 procent. In 2005 had meer dan 95 procent van de Zuid-Koreanen mobiele telefoons met toegang tot internet; in 2006 had meer dan de helft van de internetgebruikers thuis een snelle breedbandverbinding. Tegenwoordig hebben alle Zuid-Koreaanse internetgebruikers internetverbindingen met de hoogste snelheden ter wereld.
    Zuid-Korea is uitermate kwetsbaar voor cyberaanvallen. Op het gebied van informatie- en communicatietechnologie is zij zelfs het meest geavanceerd in de hele wereld. De Zuid-Koreanen hebben relatief de meeste telefoons, de meeste en snelste breedbandverbindingen en de laagste prijzen [Technology Data]. Noord-Korea is een van de minst gevirtualiseerde landen in de wereld, maar heeft een van de meest geavanceerde programma’s voor cyberoorlog [Clarke/Knake 2010].

    De capaciteiten van Noord-Korea om een vernietigende cyberoorlog te ontketenen lopen uiteraard nog achter op die van de Verenigde Staten, Rusland en China (er zijn zelfs experts die Noord-Korea op de derde plaats zetten). Toch weten de cybermilitairen uit Noord-Korea redelijk succesvolle aanvallen door te voeren op Zuid-Koreanse digitale verbindingen. Noord-Korea maakt systematisch gebruik van hackers om de militaire informatiesystemen van het Zuiden te infiltreren, om militaire geheimen te stelen en om het informatiesysteem van defensie te ontregelen.

    De Noord-Koreaanse overheid hecht grote waarde aan het voeren van een cyberoorlog. Zij kan niet concurreren met Zuid-Korea of de VS in de opbouw van een conventioneel leger, vloot en luchtmacht. De opbouw van cybermilitaire eenheden is veel goedkoper en kosteneffectiever. Bovendien biedt cyberoorlog heeft Noord-Korea asymmetrische voordelen. In Noord-Korea is geen enkele server verbonden met het internet. Zij is dus zelf praktisch immuun voor cyberaanvallen. Daar staat tegenover dat Zuid-Korea en haar bondgenoten juist zeer afhankelijk en dus kwetsbaar zijn in hun digitale infrastructuren en computernetwerken [Aljazeera, 20.6.11].

    In maart 2013 werden drie grote Zuid-Koreaanse banken, diverse televisie- en telecommaatschappijen en internetproviders het doelwit van een cyberaanval waarbij de harde schijf van servers werd gewist. Internetbankieren was niet meer mogelijk en verschillende communicatienetwerken werden buiten werking gesteld. Een aantal websites werden onthoofd, waarbij de voorpagina voorzien was van de mededeling dat de site gehackt was door het Whois team [New York Times, 20.3.13].

    Het bijzondere van deze aanval was niet zozeer de omvang —meer dan 30.000 computers werden verlamd—de methode die werd gebruikt. De malware —die door Symantec [20.03.13] wordt aangeduid als de Jokra Trojan, maar die ook wel DarkSeoul wordt genoemd— schakelt de beveiligingssoftware uit en overschrijft vervolgens de Master Boot Record (MBR) van de harde schijf. Hierdoor kan het besturingssysteem niet meer worden gestart [Reuters, 20.3.13]. Deze cyberaanval was niet zo geavanceerd als die waarmee Amerikaanse computers vanuit China worden bestookt en zeker niet zo geraffineerd als de Ameriaans-Israëlische cyberaanval op de nucleaire installaties van Iran. Maar het was wel veel complexer dan een DDoS-aanval. Het was een van de zwaarte cyberaanvallen die we tot nu toe hebben gezien.

    Wie er achte deze aanvallen zat en hoe de aanvallers toegang kregen tot de servers is nog onbekend. Speculaties waren er zoals meestal in overvloed. Hoewel de aanvalsservers vanaf een Chinees IP-adres werden gelanceerd, is het gebruikelijk dat dergelijke operaties onder valse vlag worden uitgevoerd.

    Achteraf werd duidelijk dat deze aanval al vanaf 2007 was opgebouwd, ontworpen om militaire computers en programma’s te infecteren, bestanden te downloaden en tenslotte tienduizenden computers tegelijk volledig te wissen [ND, 12.4.14].

    Index Nieuwe wapenrace

      “The people I’m most scared of over the next few years will be the computer engineer in the suburbs who can’t pay his mortgage anymore and freaks out” [Hammersley 2012].

    Wie zijn de schurken?
    Hacker aan het werk.Twee soorten computerkrakers zijn in staat om in te breken in strategisch relevante ict-infrastructuren: amateurs en professionals. Acties van de amateuristische of hobbyistische hackers krijgen veel publiciteit wanneer zij er weer eens in geslaagd zijn in te breken op populaire websites en gevoelige informatiesystemen. De acties van cybervandalen zijn vaak irritant en netacttivisten slagen er vaak in om door middels van spectaculaire ‘hacks’ de zwaktes van de digitale systemen aan de kaak te stellen. De echte bedreiging komt van it-specialisten die werken voor criminele, terroristische of militaire organisaties.

    Veel hooggekwalificeerde profis hebben ervaringen hebben opgedaan in het leger of bij andere overheidsinstellingen waarmee zij op de vrije markt hun inkomen willen verdienen. Zij verhuren hun vaardigheden aan criminele en terroristische organisaties. De Colombiaanse drugskartels namen cyberhuurlingen in dienst om een geavanceerd beveiligd communicatiesysteem te bouwen en beheren. Amsterdamse bendes —zoals de drugsbende van Etienne U.— gebruikten professionele hackers om de communicatie- en informatiesystemen van surveillance teams van de politie af te luisteren en te verstoren [Volkskrant, 11.11.97].

    Hackers te huur
    Voor veel hackers is het inbreken op computersystemen voornamelijk een spannend spel of een sport. Volgens de Russische hacker Dr. Linnux zijn er ook andere mogelijkheden: “Als iemand mij veel geld zou aanbieden om het systeem van iemand anders te kraken, zou ik dat serieus overwegen” [Moscow Times, 11.10.10].

    Hackers bieden hun vaardigheden tegen betaling aan. Voor $249 belooft de Russian Hacker Association (RHA) dat zij jouw webvijand zal vernietigen. Je koopt daarmee een robot die een specifiek doelwit kan bombarderen met tienduizenden e-mails per dag. Dergelijke destructieve diensten worden openlijk op het internet aangeboden. Er worden geen vragen gesteld en geen namen uitgewisseld. De vragende partij die betaalt voor een cyberaanval blijft anoniem. De partij die het vuile werk voor hen opknapt weet zelfs niet wie hun rekening betaalt.

    Huurlinghackers zoeken vaak hun toevlucht tot landen waar de autoriteiten niet de juridische middelen hebben, of niet geneigd zijn om hen effectief te vervolgen.

    Amateur hackers hebben weinig reden om veel rond te reizen. Professionele hackers zijn vaak zeer mobiel omdat zij verbindingen moeten onderhouden met criminele of terroristische groepen, of met hun nationale overheden. In landen van de voormalige Sovjet-Unie worden op grote schaal hackers, crackers en wapens voor de internetoorlog geproduceerd. Bulgarije is een notoire virus fabriek. Draagbare ‘gerichte-energiewapens’, waarmee men onbeschermde elektronische circuits kan frituren, worden in de Baltische staten openlijk op de (zwarte) markt verhandeld. Het was een Russische hacker —Vladimir Levin— die in 1994 elektronisch inbrak in de CitiBank om daar 10 miljoen dollar te verduisteren.

    De militaire computers van het Pentagon krijgen dagelijks 60 tot 80 aanvallen te verwerken van hackers en crackers. Een deel daarvan wordt gelanceerd vanuit of via Rusland. De hackerscultuur is in Rusland zeer verspreid. Straatventers verkopen software die speciaal voor hackers is gemaakt. Programma’s zoals Superhacker 99, waarmee je op eenvoudige wijze nieuwe virussen kunt maken of nummers van creditcards kunt genereren, kosten nauwelijks meer dan $3.

    Rekruteren van hackers
    Bijna elke staat probeert een zo groot mogelijk contingent hackers aan zich te binden. In Rusland en de Verenigde Staten worden al jarenlang wedstrijden voor hackers georganiseerd om uit te vinden welke jongeren eventueel geschikt zijn voor een latere militaire dienst.

    Voor overheden is het niet eenvoudig om de meest capabele beveiligingsexperts in te huren. Veel van hen zijn autodidact of hebben informele trainingsprogramma’s gevolgd. Zij hebben zelden universitaire titels en hebben soms een strafblad (bijvoorbeeld voor hacken of drugs). Omdat zij niet over de juiste diploma’s beschikken en een paar vlekjes op hun currirulum hebben, komen zij niet in aanmerking voor een functie bij de overheid. Zij kunnen hun vaardigheden wel voor veel geld verhuren aan particuliere beveiligingsbedrijven of aan criminele organisaties. Dit is een van de redenen waarom de netwerken van de overheid zo slechts beschermd zijn.

    In het meer geprofessionaliseerde circuit gaat het om andere bedragen. Informatie over fundamentele kwetsbaarheden van systeemsoftware die nog niet bekend zijn. Deze Zero Day Exploits (ZDE) worden op de zwarte markt voor meer dan een kwart miljoen dollar verkocht. Tot voor kort kwam de vraag naar deze ZDEs vooral uit criminele kringen, maar tegenwoordig hebben ook overheden en internetbeveiligingsbedrijven veel over voor informatie over kwetsbare elementen van besturingssystemen en netwerkprotocollen. De Chinese overheid stimuleert patriottische hackers om ZDEs te vinden en deze voor eigen doeleinden (industriële spionage en cyberdefensie) in te zetten. De Europese Unie overweegt een verbod op handel in ZDE’s [Webwereld 11.12.12].

    De best geëquipeerde aanvallers steken grote hoeveelheden tijd en geld in het creëren van kwetsbaarheden in systemen, inclusief systemen die sterk beveiligd zijn.

    Wat is het doel van de hacker?
    Wat is het doel van de hacker: spel, pesten, informatie, winst, toebrengen van schade?
    Het begon als kinderspel met elektronisch belletje trekken. Daarna kwamen er provocaties die zwakheden van digitale informatiestructuren demonstreerden door het kraken van websites en informatiesystemen. Er zijn nu ook criminele, terroristische en militaire actoren die internet gebruiken om destructieve cyberaanvallen uit te voeren op de computersystemen en netwerken van hun slachtoffers of tegenstanders.

    De belangrijkste verandering op het politieke theater van cyberspace is dat nationale staten zich steeds intensiever en praktischer op de informatieoorlog voorbereiden. De professionalisering van de cybermilitairen is hierdoor aanzienlijk versterkt. Individuele hackers kunnen knap lastig zijn. Maar een gecoördineerde cyberaanval door een goed getrainde digitale gevechtseenheid van een andere natie is iets geheel anders.

    Wie de ‘schurken’ zijn en wie de ‘helden’ in cyberoorlog blijft zoals altijd afhankelijk van het perspectief van de spreker. Ook in tijden van cyberoorlog kan niemand onpartijdig zijn.

    Index


    Geen slachtofferloze oorlog
    Een cyberoorlog is een echte oorlog waarin vijandige staten elkaar zoveel mogelijk schade proberen te berokkenen ten einde die oorlog te winnen. Om die oorlog te winnen is het niet nodig om in alle gevechten als overwinnaar uit de bus te komen, maar om het verzet van de vijand te breken zonder te vechten [Sun Tzu].

    De wapens waarmee in een cyberoorlog wordt gestreden zijn niet hard maar zacht. Geen fysieke kogels, granaten, raketten of bommen, maar zachte codes die in digitale taal geschreven is. Het is is de meest letterlijke en figuurlijke zin van het woord software. Het wapen is zacht, digitaal en volkomen virtueel, maar de gevolgen kunnen zeer hard en fysiek uitwerken. Het virtuele internet is steeds onlosmakelijker verbonden met het internet der dingen, d.w.z. met machines, apparaten en fysieke processen.

    De strijd wordt uitgevochten in cyberspace. Dat is een metafoor voor de virtuele en globale ruimte die door het internet is ontstaan naast de fysieke en lokale ruimte waarin we leven. In dit domein vechten geen soldaten met geweren tegen elkaar, maar hackers met kwaadaardige digitale wapens. Dat zijn intelligente programmas waarmee informatie kan worden gestolen, veranderd, vernietigd of ontoegankelijk worden gemaakt. Die programma’s zijn ook in staat om industriële producties, distributie- en transportsystemen plat te leggen.

    Een cyberoorlog is geen slachtofferloze oorlog. Een oorlog die wordt uitgevochten in deze informationele en communicatieve infrastructuur brengt onvermijdelijk reële slachtoffers met zich mee. Het platleggen van strategische informatie- en communicatiesystemen leidt tot economische chaos, maatschappelijke ontwrichting en politieke paniek. Bijna alle essentiële maatschappelijke systemen zijn aangewezen op telecommunicatie- en computertechnologie. Twee weken zonder stroom, geld of telefoon zou elk hoogontwikkeld land in een bloedige catastrofe kunnen storten. Een cyberoorlog is dus in zijn gevolgen een gewelddadige aanval op de burgerbevolking. Het is een virtuele oorlog met echte slachtoffers.

    Het duurde een tijd voordat overheden het door hadden. Maar al snel werd geleerd dat conflicten tegenwoordig ook en soms zelfs vooral in cyberspace afspelen. Een van de eerste hoogste autoriteiten was Richard Clarke, de voormalige tsaar van het antiterrorisme tijdens de regeringen van Bill Clinton en George W. Bush. Volgens hem moest de VS zich voorbereiden op een grootschalige cyberaanval die in minder dan 15 minuten dood en verderf kan zaaien in het hele land. Zijns inziens was dit mogelijk zonder dat er ook maar een terrorist of soldaat voet had gezet op Amerikaanse bodem [Clarke/Knake 2010].

    Index


    Strategische afwegingen
    Regeringen worden zich steeds meer bewust dat hun informatie- en communicatievoorzieningen strategisch kwetsbaar zijn. Zij kunnen weten dat vijandelijke staten, terroristen en criminelen zich inspannen om deze kwetsbaarheden in kaart te brengen en te benutten om hun eigen —politieke of louter crimineel-roofzuchtige— doeleinden te realiseren. Wie belang hecht aan de eigen nationale soevereiniteit doet er goed aan om hen een stap voor te blijven en de wapenrace van de internetoorlog niet te verliezen. Daarbij is het in ieder geval verstandig eerst de eigen computernetwerken en informatiestromen te beveiligen voordat men gaat proberen vreemde firewalls te doorbreken.

    In en rond het Amerikaanse ministerie van defensie wordt al langer gediscussieerd over de vraag of men door moet gaan met het ontwikkelen van offensieve strategieën om vijanden aan te vallen via cyberspace, of dat men hierdoor juist de deur openzet voor toekomstige gecoördineerde en geavanceerde aanvallen door andere landen. De meeste specialisten zijn het erover eens dat het niet in het voordeel van de Verenigde Staten zal zijn wanneer het gebruik van strategische aanvallen op informatiesystemen zich verspreidt.
    Lucratief advies
    Mike McConnel adviseerde de VS om een waarschuwingssysteem voor cyberspace te ontwikkelen waarmee de bron van een aanval gelokaliseerd kan worden. McConnel is vice president van het organisatie-adviesbureau Booz Allen Hamelton. In mei 2010 haalde zijn bedrijf een groot overheidscontract binnen: 400 miljoen dollar.
    In februari 2010 vertelde Mike McConnel, de voormalige directeur van de nationale inlichtingendienst, aan een Senaatscommissie dat “als wij nu in een cyberoorlog zouden zijn, dan zou de Verenigde Staten verliezen” [Washington Post, 28.2.10]. De Amerikaanse economie, politiek en samenleving zijn zozeer afhankelijk geworden van het functioneren van informatie- en communicatiesystemen dat zij langs deze weg veel harder getroffen kunnen worden dan de meeste van hun potentiële tegenstanders. Samenlevingen die sterk afhankelijk zijn van cybersystemen begrijpen ook de risico’s die verbonden zijn aan het initiëren van een cyberoorlog [Libicki 2011b:138].

    De middelen waarmee een cyberoorlog wordt uitgevochten zijn relatief goedkoop en gemakkelijk verkrijgbaar: het zijn bij uitstek zwaarden der zwakkeren. Volgens de legende slingerde de kleine David trefzeker zijn steentje naar het hoofd van zijn grote rivaal Goliath. De kans dat een kleine «schurkenstaat» of intelligent opererende terroristische groepering er daadwerkelijk in zal slagen om een supermacht met cyberwapens op de knieën te krijgen is niet groot, maar de risico’s zijn onmiskenbaar aanwezig. Met cyberwapens kunnen samenlevingen worden gedestabiliseerd en ontwricht. Het zijn dus wapens van massadisruptie.

    Vadsig en kwetsbaar doelwit
    Cyberwapens zouden wel eens het instrument kunnen zijn waarmee zwakkere naties de militaire kracht van sterke naties kunnen weerstaan, of kunnen omzeilen. “Het probleem is dat de Verenigde Staten meer afhankelijk van computers en het internet dan welke andere natie ook. Als wij cybersalvo’s uitwisselen met andere landen, zullen wij daar grotere schade van ondervinden. In de VS zijn de meest eenvoudige handelingen —het verwarmen van je huis, het schrijven van een memo, het bellen met je moeder— sterk afhankelijk van computernetwerken. De meeste van ons kunnen niet meer zonder computers leven, net zo goed als wij niet meer in staat zijn onze eigen boter te maken. Wij zijn zo’n vadsig, kwetsbaar doelwit” [Kevin Maney, USA Today, 2.11.2003].

    Het grote slagveld van het informatietijdperk is gelukkig nog niet volledig geopend. In diverse regio’s van cyberspace worden voortdurend kleinschalige guerrilla’s uitgevochten. De initiatiefnemers van cyberaanslagen waren tot nu toe meestal terroristen of verwarde hacktivisten. We hebben gezien hiervoor dat inmiddels ook een groot aantal staten programma’s hebben opgesteld voor het voeren van een cyberoorlog. De cyberoorlog wordt steeds meer opgenomen in het strategisch repertoire van nationale legers. De digitale messen worden geslepen, de digitale kanonnen worden gericht en de digitale bommen staan op scherp.

    Index


    Internet als terrein en inzet van militaire strijd
    De oorlog in cyberspace is al lang geen speculatieve angstdroom meer. Burgeroorlogen en internationale conflicten tussen staten worden in ieder geval ook op internet uitgevochten. De cyberoorlog lijkt er dus aan te komen. In augustus 2002 kreeg president George W. Bush de wettelijke bevoegdheid om cyberaanvallen uit te voeren tegen Irak. Indien nodig mocht de president zijn aanvallen richten op het totale functioneren van het internet. Net als voor conventionele aanvallen zijn ook voor cyberaanvallen wettelijke regels opgesteld. Aanvallen op computersystemen dienen rekening te houden met het beginsel van proportionaliteit en distinctie. Dat betekent dat alleen doelen die militair relevant zijn mogen worden aangevallen en dat zware aanvallen die niet nodig zijn, ook vermeden moeten worden. Dat neemt niet weg dat de Amerikaanse president ook de bevoegdheid heeft om als laatste redmiddel de stekker uit het internet te halen. Door het internet volledig plat te leggen zou het mogelijke oorlogsterrein van cyberspace in rook opgaan.

    De Amerikaanse regering heeft zichzelf, het bedrijfsleven en haar burgers voorbereid op een langdurige oorlog tegen terroristen en ‘schurkenstaten’. Het Pentagon ontwikkelt krachtige cyberwapens van massadisruptie en ontwerpt aanvalsstrategieën op vijandelijke computernetwerken. Tegelijkertijd wordt een defensie opgebouwd tegen grootschalig cyberaanvallen die tot een ‘elektronisch Pearl Harbor’ kunnen leiden. Daarbij worden bijna alle functies van computerbescherming samengesmolten (verbreding van defensie door frontvorming) en diverse deskundigheden bijeengebracht (versterking door coöperatie). De details van deze defensieve en offensieve programma’s zijn uiterst geheim. En daar eindigt ook de wijsheid van de publieke wetenschap.

    Geen enkele natie heeft ooit de internettechnologie gebruikt om een militaire cyberaanval te lanceren. Maar tientallen landen beschikken al over geavanceerde en agressieve programma’s voor het voeren van een cyberoorlog. Men hoeft geen onheilsprofeet te zijn om te voorspellen dat nieuwe oorlogen zich gedeeltelijk en misschien zelfs primair in cyberspace zullen afspelen. En niemand weet precies wat er kan gebeuren als een cyberoorlog uitbreekt.

    Index


    Cyberoorlog in Actie: 2e Golfoorlog 2003
    Nationale legers worstelen met de nieuwe cyberstrategie en met nieuwe wapens die nog nooit eerder in een oorlog zijn gebruikt. Tijdens de aanloop van de tweede Golfoorlog beproefde het Amerikaanse leger het propagandistische middel van de politieke spam. Als startpunt van een psychologische oorlogscampagne ontvingen duizenden hogere functionarissen van het Irakese bewind een e-mail. Zij werden daarin opgeroepen om massavernietigingswapens onklaar te maken en niet mee te doen als de oorlog zou uitbreken.

    Een cyberoorlog omvat echter veel meer dan het versturen van e-mails en het platleggen van vijandige websites. Een militaire cyberaanval is iets heel anders dan een amateuristische poging om websites te onthoofden of servers plat te leggen door ze te overspoelen met verkeer. In militaire operaties wordt gebruik gemaakt van een veel groter arsenaal aan cyberwapens. Het doel van een militaire cyberaanval is niet alleen ontregeling, maar vernietiging van vitale vijandige netwerken.

    Islamitische Cybermobilisatie
    In de voorbereiding van de tweede Amerikaanse aanval op Irak werden enorme hoeveelheden explosieve hardware en grote aantallen soldaten naar de conflictregio overgebracht. De militaire omsingeling van Irak kon echter niet verhinderen dat het ‘cordon sanitaire’ in cyberspace werd doorbroken. De islamitische crackersgroep Unix Security Guards (USG) eiste de verantwoordelijkheid op voor drie aanvallen op servers van AOLTimeWarner.

    Sinds mei 2002 was diezelfde groep verantwoordelijk voor meer dan 160 aanvallen op Amerikaanse servers. Daarnaast werden ook nog aanzienlijke aantallen Israëlische, Britse en Australische sites gekraakt. Op gekraakte pagina’s werd een boodschap achtergelaten waarin kritiek geuit werd op de geplande Amerikaanse aanval. De Pakistaanse alliantie Anti-India Crew (AIC) voerde sinds november 2002 445 aanvallen uit. De World’s Fantabulous Defacers (WFD) heeft al meer dan 420 aanvallen op haar conto staan.

    Pro-islamistische hackers sloegen de handen ineen om websites in de Verenigde Staten, India en IsraŽl te onthoofden. Volgens Engelse veiligheidsgroep Mi2g hebben de USG, WFD en AIC hun aanvalsstrategieën gecoördineerd op geselecteerde online doelen [Becky Worly in Techlive; Trouw, 19.2.03]. Zij kondigen een nieuw tijdperk van cyberoorlog aan.

    De planners van de cyberoorlog zochten naar wegen en middelen om in te breken op de hoogste niveaus van het Irakese militaire commando- en controlenetwerk. Het probleem daarbij was dat in Irak de militaire en civiele netwerken zeer nauw met elkaar verweven zijn. In de opmars naar de tweede Golfoorlog in 2003 stelde de Amerikaanse luchtmacht een plan op om een cyberaanval te lanceren op het financiële computernetwerk van Irak. In de openingsfase van de luchtmachtcampagne tegen het bewind van Saddam Hoessein zou het bancaire en financiële netwerk worden uitgeschakeld. Bij nader inzien werd dit plan verworpen omdat het Irakese bancaire netwerk nauw verbonden is aan een financieel communicatienetwerk in Frankrijk. Een aanval op het financiële netwerk in Irak had er toe kunnen leiden dat ook banken en pinmachines in Europa werden uitgeschakeld [Harris 2009]. Martin Libicki formuleerde het probleem van de onbedoelde consequenties als volgt:

      “De zekerheid van de voorspelling van de effecten van cyberaanvallen wordt ondergraven door dezelfde complexiteit die cyberaanvallen in eerste instantie mogelijk maakt. Onderzoek kan aantonen dat een bepaald systeem een bijzondere kwetsbaarheid vertoont. Voorspellen wat een aanval kan bewerkstelligen vereist dat men weet hoe het systeem en zijn beheerders zullen reageren op tekenen van disfunctioneren. Het vereist ook dat men op de hoogte is van het gedrag van de processen en systemen die met het aangevallen systeem zijn verbonden” [Libicki 2009].

    Het Amerikaanse leger heeft ook een aantal nieuwe hardware wapens in haar arsenaal. Zij beschikt over e-bommen waarmee computers, communicatieapparatuur en radar kunnen worden uitgeschakeld. De meest krachtige e-bommen stralen in een klap zo’n grote elektromagnetische energie uit dat alle vitale onderdelen van het computer- en communicatiesysteem worden gefrituurd. Het zijn geen dodelijke wapens: zij vernietigen elektronische systemen, geen mensen. De werking van deze wapens wordt besproken in Cyberterrorisme.

    Door de onderlinge verwevenheid van de diverse informatie- en communicatiesystemen is het vaak niet mogelijk om cyberaanvallen te ondernemen die effectief zijn tegen de militairen, maar die geen dramatische gevolgen hebben voor burgers. Volgens het internationale oorlogsrecht mag een militair niet opzettelijk non-combattanten aanvallen. Het gebruik van geweld moet evenredig zijn aan de doelen en er moet een redelijke inspanning worden gedaan om bijkomstige schade (collateral damage) te minimaliseren [US Department of Defence 1999; Lawrence e.a. 2001; Ellis 2001; Ducheine/Voetelink 2011:284].

    De meeste kwetsbare infrastructuren —zoals de elektriciteits- en watervoorziening, het openbaar vervoer, financiële diensten en telecommunicatie— zijn in particuliere handen en zijn als zodanig geen onderdeel van het militaire apparaat. Deze infrastructuren worden in ieder geval ook door niet-strijdende burgers gebruikt. Dit geldt niet alleen voor het telecommunicatiesysteem, maar ook voor de procescontrolesystemen (PCS) zoals SCADA-systemen waarmee rivierdammen, sluizen, kerncentrales, vliegverkeer en verkeerslichten worden gemonitord en gecontroleerd. Cyberaanvallen op dergelijke systemen kunnen dodelijke gevolgen hebben voor grote aantallen burgers. Dit effect wordt nog versterkt door de sterke onderlinge verwevenheid van vitale infrastructuren.

    Cyberoorlog is en blijft echter een asymmetrische oorlog. Minder ontwikkelde militaire krachten hebben er evenveel of zelfs meer baat bij dan militaire supermachten. Dat is waarschijnlijk de belangrijkste reden waarom de Verenigde Staten —die zo sterk afhankelijk zijn van elektronische infrastructuren— zo terughoudend is om een juridisch precedent te scheppen dat oorlogsvoering in cyberspace toestaat. Wie een cyberoorlog begint moet er rekening mee houden dat digitale boemerangs harder terugkomen dan zij geworpen zijn [→ Afschrikking].

    De invasie in Irak was de eerste grote oorlog op het internet. Direct na de eerste bombardementen gebruikten miljoenen mensen het internet om zich op de hoogte te stellen van het laatste nieuws en om e-mails te sturen naar geliefden aan het front. Op de websites van de massamedia werden speciale dossiers over de oorlog in Irak opgebouwd, met actualiteiten, achtergronden, kaarten, foto’s en streaming video. In dat opzicht voldoet het internet ook in oorlogssituaties aan haar informatieve functie.

    Digitale wrekers en patriottische hackers
    Zodra zich ergens een conflict voordoet tussen nationale staten verschijnen ook de patriottische hackers ten tonele. Dat zijn hackers die op eigen gezag aanvallen lanceren op doelwitten die als vijanden van de eigen staat worden gezien.

    In de tweede golfoorlog van 2003 organiseerden patriottische hackers uit Amerika een aanval op de website van de Arabische nieuwsorganisatie Al-Jazeera. Bezoekers van de nieuwsdienst van het Midden-Oosten werden automatisch doorgekoppeld naar een andere site op een server van NetWorld connections. Bezoekers kregen een pagina te zien met een grote Amerikaanse vlag en de leuze: “Let Freedom Ring”. De digitale wrekers beweerden onderdeel te zijn van de Freedom Cyber Force Militia.

    Deze webonthoofding middels een redirect-techniek werd door de service provider snel hersteld. Maar de sites van Al-Jazeera bleven lange tijd onbereikbaar. Zij werden permanent aangevallen door patriottische hackers (of online vandalen) die het nieuwsnetwerk overstroomden met gegevens. De FBI stelde een onderzoek naar deze politiek gemotiveerde webonthoofding.

    De digitale wrekers ergerden zich aan de verslaggeving van de Arabische nieuwsdienst. Zij maakten zich vooral kwaad omdat Al-Jazeera controversiële video’s toonde met beelden van gesneuvelde en gevangengenomen Amerikaanse soldaten.

    Op een gemiddelde werkdag worden er zo’n 350 sites onthoofd. Na de Amerikaans-Britse aanval op het bewind van Saddam Hoessein werden er dagelijks meer dan 2.500 sites onthoofd, door zowel pro-Amerikaanse als pro-Arabische cybermilitanten. Ook de verspreiding van virussen vertoont een sterke stijging. Specialisten waarschuwden met name voor een nieuwe e-mail worm, de Ganda worm. Sommige digitale wormen bevatten satellietfoto’s van Irak en anderen installeren screensavers waarin president Bush op de korrel wordt genomen.

    Toen in de zomer van 2014 de jihadistische strijders van de Islamitische Staat (IS) grote delen van Irak veroverden, werd het gewapende conflict begeleid door een cyberburgeroorlog. De elkaar bestrijdende partijen gebruikten de sociale media om propaganda te verspreiden en aanhangers te winnen. Daarnaast werden hackers ingeschakeld om inlichtingen te verzamelen over vijandige strijdkrachten en onwillige burgers. Dit gebeurde door de verspreiding van kwaadaardige software via sociale media zoals Facebook en YouTube, via politieke webfora en via e-mail.

    Een voorbeeld daarvan is het malware programma njRAT, dat vergelijkbaar is met veel andere remote access tools (RAT), maar dat ontwikkeld is door Arabisch sprekende hackers. Daarom is het zeer populair bij hackers in het Midden Oosten en Noord-Afrika. Er is een grote online gemeenschap die de gebruikers van njRAT ondersteunt met instructies en handleidingen [Symantic, 3.4.14]. njRAT werd op grote schaal door IS-militanten gebruikt om computernetwerken te creëren die zij op afstand konden controleren. De besmette computers konden door de hackers niet alleen worden gemonitord, maar ook volledig gecontroleerd — zoals keylogging, het maken van screenshots en het activeren van de camera [BBC, 22.7.14].

    Index Estland en de NAVO

    In november 2006 zetten de NAVO-staatshoofden en regeringsleiders hun handtekening onder de Alomvattende Politieke Richtlijn. Een van deze richtlijnen betrof de versterking van “het vermogen om voor het Bondgenootschap cruciale informatiesystemen te beschermen tegen cyberaanslagen.” Door het uitwisselen van informatie op NAVO-niveau kan vroegtijdig gewaarschuwd worden voor verdachte activiteiten. Om enig idee te geven van wat cyberoorlog kan betekenen werd een profiel opgesteld van mogelijke cyberaanslagen. Voor veel NAVO-leden was dit een stimulans om zich beter te beschermen tegen cyberaanvallen. In heel Europa werden nationale Computer Emergency Response Teams (CERT’s) opgericht.

    Een half jaar later diende zich de eerste grote testcase aan: Estland. Een land dat grootschalige en aanhoudende cyberaanvallen te verduren kreeg en dat pas sinds kort lid van de NAVO was. Waren dit aanvallen op de onschendbare nationale staten? Was er sprake van gewelddadige actie? En als deze cyberaanvallen als vorm van gewapend geweld worden gezien, wat betekent dit dan voor het NAVO-bondgenootschap?

    Index


    Estland in de vuurlinie

    Het omstreden Russische oorlogsmonument in Tallinn dat gevallen Russische soldaten herdacht. De Esten zagen het standbeeld als een teken van vijftig jaar bezetting, de Russische minderheid in het land zag het als een belediging van de soldaten die waren gestorven in de Tweede Wereldoorlog.
    In april 2007 werd Estland het slachtoffer van een grootschalige aanval via internet. Estland had besloten om een oorlogsmonument uit het Sovjettijdperk te verwijderen uit het centrum van de hoofdstad Tallinn. Dat viel in slechte aarde bij de Russen. De Russische autoriteiten interpreteerden de verplaatsing van het oorlogsmonument als een schending van mensenrechten; zij eisten het aftreden van premier Andrus Ansip. Er werden demonstraties en protesten georganiseerd. Op 26 en 27 april trokken opstandige Russische nationalisten door de straten. Winkels werden geplunderd, auto’s werden in brand gestoken en molotov cocktails vlogen door de lucht. Om de rellen te bedwingen werden waterkanonnen en traangas ingezet. Een persoon kwam daarbij om het leven en meer dan 150 mensen raakten gewond. De Estse ambassadeur in Moskou werd tijdens een persconferentie fysiek aangevallen. De Estse ambassade in Moskou werd dagenlang bezet door strijdlustige Russische activisten — het Kremlin keek de andere kant op en greep niet in [Ruus 2008].

    Vanaf 27 april werden plotseling omvangrijke DDoS-aanvallen gelanceerd waardoor sites van de Estse regering en grote bedrijven uit het land zoveel internetverkeer te verstouwen dat ze crashten [Ars Technica 14.5.07]. Naast de websites van president en parlement, werden bijna alle sites van ministeries en politieke partijen platgelegd. Daarnaast werden de drie grootste nieuwsorganisaties, de twee grootste banken en communicatiebedrijven getroffen. De aanval beperkte zich echter niet tot het blokkeren van belangrijke publieke internetpagina’s. De door de aanvaller aangestuurde zombies verplaatsen hun operatieveld naar internetadressen die de meeste mensen niet kennen. Dat waren de adressen van servers die verantwoordelijk zijn voor delen van het telefoonnetwerk, voor de creditcard verificatie, en de internet adressenbestanden (domeinnaam servers).

    DDoS-aanvallen duren meestal niet lang. Maar in dit geval werden honderden sleutelsites week na week getroffen, zodat zij niet in staat waren weer op te krabbelen. Niet alleen de communicatie werd in heel Estland ontregeld, ook handel kreeg het zwaar te verduren. De grootste bank van het land, Hansapank, begon te wankelen.

    Volgens de Estse autoriteiten waren op het hoogtepunt van het internetoffensief ruim een miljoen computers bij de aanval betrokken, waaronder veel computers in de EU-landen. De DDoS-aanval was de grootste in de geschiedenis van het internet. De aanval kwam des te harder aan, omdat Estland een van de meest geavanceerde landen is wat betreft het gebruik van internettechnologie. Samen met Zuid-Korea is Estland een veel beter bekabelde natie dan de Verenigde Staten. Zowel wat betreft gebruik van breedband als in gebruik van internettoepassingen in het dagelijkse leven. In Estland werd 97 procent van de banktransacties online verricht en in 2007 gebruikte 60 procent van de bevolking dagelijks het internet. Het functioneren van de staatsinstellingen van Estland is zo sterk afhankelijk van het internet dat er gesproken wordt over een ‘papierloze overheid’ (Estland kreeg hierdoor de bijnaam ‘E-stonia’). Juist deze voordelen maakten Estland tot een ideaal doel voor een cyberaanslag [Clarke/Knake 2010:13]. Mede daarom wordt het geval Estland wel “WWI” —Web War I— genoemd.

    Het vermoeden was dat de Russische overheid zelf achter de verstikkingsaanvallen (DDoS-aanvallen) op Estland zat. Westerse computerspecialisten beweerden dat de websites die gebruikt werden om deze aanvallen te lanceren, verbonden waren met het Russische inlichtingenapparaat. Hoewel dit nooit bewezen kon worden, werd wel duidelijk dat de Russische overheid niets ondernam om de aanval te stoppen. De NAVO stuurde een paar van haar beste specialisten op het gebied van cyberterrorisme naar Tallinn om onderzoek te doen en de Estlanders te helpen hun elektronische defensie te versterken.

    De reacties op de cyberaanvallen waren tamelijk doeltreffend. In eerste instantie werden delen van het Estse netwerk afgesloten van een deel van het internationale verkeer. Staten met veel cliënten maar weinig aanvallers werden langzaam weer toegelaten op Estse netwerken. De aanvallen waren gericht op bijzonder kritische sectoren van de Estse cybermaatschappij. Maar de aanvallen veroorzaakten geen serieuze schade vanwege de effectieve tegenmaatregelen van computercrisisteam in Estland [Ruus 2008].

    Index


    Loochenbaarheid van cyberaanvallen
    De Estse regering wees direct met de beschuldigende vinger naar Rusland, maar kon dit niet hard maken. De Russische regering ontkende in alle toonaarden bij deze cyberaanval betrokken te zijn. Het was niet uitgesloten dat boze etnische Russen in Estland zelf verantwoordelijk waren voor deze cyberaanvallen en dat er botnets werden gebruikt waarin ook Russische overheidscomputers als zombie-PC fungeerden.

    Dit bewijst eens te meer hoe gemakkelijk het is om cyberaanvallen te loochenen en dat zij juist daarom ook zo moeilijk zijn te bestraffen. De Estse minister van Defensie, Jaak Aaviksoo, formuleerde dit als volgt: “We weten hoe moeilijk het is om onze land-, lucht- en zeegrenzen te beschermen. Maar het is nog moeilijker in een cyberruimte zonder grenzen, waar je geen wapens en geen vingerafdrukken kunt vinden.” Attributie —het verantwoordelijk stellen van specifieke actoren voor een agressieve daad— is en blijft in cyberspace een uiterst lastige zaak.

    Geen spoor van bewijs
    De Estse minister van buitenlandse zaken Urmas Paet beschuldigde het Kremlin van directe betrokkenheid in de cyberaanvallen.
      “When there are attacks coming from official IP addresses of Russian authorities and they are attacking not only our websites but our mobile phone network and our rescue service network, then it is already very dangerous. It can cost lives. I hope they will stop it but the attacks are continuing. They are sending huge levels of stuff through the networks so that our different servers will crash. The largest part of these attacks are coming from Russia and from official servers of the authorities of Russia” [The Times].
    Paet beweerde dat de cyberaanvallen “have been made from IP addresses of concrete computers and individuals from Russian government organs including the administration of the President of the Russian Federation.” Een aantal van de aanvalscomputer zouden direct aan het Kremlin verbonden zijn.

    Maar op 6 september 2007 gaf de minister van defensie toe dat hij geen bewijs had voor een link tussen de cyberaanvallen en de Russische autoriteiten. Noch de NAVO noch de experts van de Europese Commissie waren in staat om enig bewijs te vinden van een officiële betrokkenheid van de Russische regering.

    Index


    Superbemachtiging
    Later gaf een 20-jarige Estse student, Dmitri Galushkevich, toe dat hij achter de aanslagen op Estse computersystemen zat. Hij had DDoS-aanvallen (op de website van de Estse Hervomingspartij van premier Andrus Ansip) vanuit zijn eigen computer geïnitieerd om te protesteren tegen de beslissing om het oorlogsmonument te verplaatsen. De student, die deel uitmaakt van de Russische minderheid in het land, werd veroordeeld, en moest een boete betalen van 17,500 kronen (1.118 €) [InfoWord, 24.1.08; The Register, 24.01.2008; BBC, 25.1.08].

    De alarmerende conclusie was dat zelfs een enkele student in staat is om zo’n effectieve cyberaanval te organiseren dat hierdoor de conflicten tussen twee naties sterk escaleren. De cyberaanvallen op Estland illustreren hoe het internet super-empowered actoren creëert. “Als een individu die een persoonlijke computer gebruikt een aanval op belangrijke nationale of internationale doelwitten kan uitvoeren, dan worden individuen de gelijken van staten in cyberspace” [Goodman 2010:112].

    Voor staten die proberen om een effectieve afschrikkingstrategie in cyberspace te ontwikkelen is dit een lastig probleem. Het afschrikken van staten is al lastig — het afschrikken van superbemachtigde individuen is bijna onmogelijk.

    Maar ook het verhaal dat slechts één student verantwoordelijk was van de grootschalige cyberaanvallen kan niet voor lief genomen worden. Sergei Markov, lid van de Russische staatsdoema, verklaarde dat een van zijn assistenten verantwoordelijk was voor de orkestratie van de cyberaanvallen [Coalson 2009]. Op 10 maart 2009 claimde Konstantin Goloskokov, een ‘commissaris’ van de door het Kremlin gesteunde ultra-nationalistische jeugdgroep Nashi verantwoordelijkheid voor de aanval [Clover 2009. Hij beschouwt zichzelf als architect en generaal van de cyberaanval op Estland [YouTube, 5.12.12].

    Uit latere reconstructies bleek dat de cyberaanvallen op Estse sites waren voorbereid op russisch-nationalistische webfora [Ruus 2008; Herzog 2011; Gaycken 2012:80]. De aanvalsinstrumenten werden met duidelijke gebruiksinstructies via deze fora beschikbaar gesteld. Het is een werkwijze die door cyberactivisten veel langer in praktijk werd gebracht. Technisch vaardige activisten schrijven een script waarmee websites kunnen worden aangevallen. Andere activisten kunnen deze scripts gebruiken om zelf aan de actie mee te doen. Al deze verspreide aanvallen worden gecoördineerd zodat ze gericht worden op een of meer specifieke adressen. Lijsten met deze adressen werden via de russisch-nationalistische webfora verspreid.

      Opvallend was dat ook vitale systemen waarvan de netwerkadressen niet algemeen bekend zijn werden aangevallen, zoals die van de telefoonmaatschappij en van de finaciële banktransacties [Clarke/Knake 2010]. Dergelijke inspanningen gaan de vaardigheden van individuele activisten en zelfs van de georganiseerde misdaad te boven omdat zij de coöperatie van een staat en een groot telecombedrijf veronderstellen [The Economist, 24.5.07]. Sommige specialisten, zoals James Hendler, kenmerken de aanvallen “meer als een cyberrel dan als een militaire aanval.”

    De globalisering van het internet heeft transnationale groeperingen —zoals de Russische diaspora— in staat gesteld om hun grieven duidelijk te maken door het bedreigen van de soevereiniteit van natiestaten in cyberspace. Politieke hacktivisten, die nauwelijks traceerbaar zijn, zijn in staat om overheidsinstellingen en vitale ondernemingen (zoals banken en telecommunicatie) te ontregelen.

    Index


    Cyberdefensie door NAVO
    Estland is sinds 2004 lid van de NAVO en daarmee kwam de vraag op of een cyberaanval gezien kan worden als een militaire aanval op een bondgenoot. Een gewapende aanval op ťťn NAVO-lid verplicht immers alle andere NAVO-leden om terug te slaan. “Indien de communicatie van een land wordt gebombardeerd, is het een oorlogsdaad. Maar hoe noem je dat indien dezelfde installatie onbruikbaar gemaakt wordt door een cyberaanval?”, vroeg een hoge NAVO-ambtenaar zich af [Economist, 10.5.07]. Dit zette de NAVO aan om het fenomeen van cyberoorlog nauwkeurig onder de loep te nemen. Daarvoor had de NAVO weinig meer gedaan dan een inschatting maken van de risico’s van een cyberaanval.

    Het hoofd van de cyberdefensie van de NAVO, Suleyman Anil, verklaarde tijdens een congres over e-Crime in 2008 dat cyberoorlog even gevaarlijk is als ‘the real thing’. Cyberoorlog wordt een steeds aantrekkelijker strategisch optie omdat er niet alleen weinig risico’s en lage kosten aan verbonden zijn, maar omdat ze ook uiterst effectief en gemakkelijk op wereldschaal toepasbaar is. Het is praktisch onmogelijk om een vastbesloten cyberaanval op de online infrastructuur van een land te stoppen. Daarom moeten de naties zich inspannen om hun vermogen om snel te herstellen te verbeteren, zodat zij na een aanslag weer snel de systemen online kunnen krijgen [ZDNetAustralia 11.3.08].

    In 2008 besloten de 26 lidstaten van de NAVO dat cyberdefensie de topprioriteit moet krijgen. ďEr moet actie ondernomen worden om ervoor te zorgen dat informatiesystemen die van groot belang zijn voor onze alliantie beter beschermd worden tegen cyberaanvallenĒ [James Appathurai, NAVO-woordvoerder]. Op 14 mei 2008 kwamen zeven NAVO-landen (Duitsland, Estland, Litouwen, Spanje, Italië, Spanje en Slowakije) overeen dat zij gaan investeren in een onderzoekscentrum tegen aanvallen met en op computersystemen. Het doel van het centrum, dat in Estland wordt gevestigd, is om strategieën te ontwikkelen om cyberaanvallen af te slaan. Er gaat dus nadrukkelijk niet gewerkt worden aan strategieŽn om het internet ook als aanvalswapen te gebruiken. De Verenigde Staten nemen als waarnemer deel aan het project. De andere NAVO-landen kunnen zich later alsnog meedoen.

    Inlichtingen delen
    In februari 2012 trok de NAVO 58 miljoen Euro uit voor de oprichting van een NATO Cyber Incident Response Capability (NCIRC) dat eind 2012 volledig operationeel was. Mede gericht op verbeteren van het delen van inlichtingen en situationeel bewustzijn [NATO, 13.3.12].
    In 2010 schreef de algemeen secretaris van de NAVO, Anders Fogh Rasmussen, een ontwerp voor een nieuw strategisch concept van de alliantie. De kern daarvan is dat ook aanvallen op computersystemen van een NAVO-staat het bondgenootschap in werking zetten. In artikel 5 van het NAVO-verdrag is vastgelegd dat een gewapende aanval op een lidstaat als aanval op het gehele bondgenootschap wordt beschouwd en gemeenschappelijk wordt afgeweerd. Dit artikel wordt sindsdien ook van toepassing geacht op cyberaanvallen.

    Georgië - 2008
    Na de onafhankelijkheid van GeorgiŽ in 1991 brak een bloedige burgeroorlog uit die leidde tot een verlies van de opstandige regio’s Zuid-Ossetië en Abchazië aan (internationaal niet-erkende) pro-Russische lokale regeringen. Na de Rozenrevolutie van 2003 probeerde de nieuwe leider Micheil Saakasvili het Georgische gezag over de afgescheiden provincies te herstellen. Op 7 augustus 2008 trokken Georgische troepen Zuid-Ossetië binnen bij de stad Tsinvali. Een dag later ver≠plaatste Rusland troepen over de grens. Met tanks en artillerie trokken trokken op naar Tsinvali om de Osseten met de Russische nationaliteit te beschermen. Het Georgische grondgebied werd zwaar gebombardeerd.

    Tegelijkertijd werden grootschalige cyberaanvallen gelanceerd op de websites en netwerkstructuur van Georgië. Met deze aanvallen werd de webgebaseerde communicatie met de buitenwereld uitgeschakeld. De cyberaanvallen waren goed gecoördineerd met wat de Russische troepen op de grond deden [Fulghum 2009; Prince 2009] en werden gebruikt als een versterker van de kracht van kinetische offensieven [Armistead 2008:114-123]. Het was de eerste keer in de geschiedenis dat er een gecoördineerde aanval in cyberspace plaats vond die gesynchroniseerd werd met operaties op de andere domeinen van oorlogsvoering [Hollis 2011].

    De aanvallen vertoonden opmerkelijke gelijkenissen met de cyberaanvallen op Estland een jaar eerder. De websites van de overheid, banken, bedrijven en media kregen de zwaarste klappen. De meeste aanvallen waren DDoS met een beperkt aantal pogingen om netwerken te penetreren. Dit zaaide niet alleen algemene verwarring, maar had ook drastische economische gevolgen. De combinatie van fysieke en cyberaanvallen leidde ertoe dat de aanvoer van brandstof naar Russische pijpleidingen werd verlegd, tegen dubbele kosten. Fysieke aanvallen vernietigden de elektriciteitscentrales van Georgië.

    Georgië was niet erg goed voorbereid om een cyberaanval het hoofd te bieden. Haar internationale partners Estland, Litouwen en Polen boden aan om websites van de Georgische overheid te hosten op hun beter beveiligde systemen. Ook Google boodt assistentie.

    De meeste specialisten zijn het er over eens dat Rusland zelfs in Geogië niet al haar cybercapaciteiten in het strijdperk heeft geworpen. Dit blijkt onder andere uit het feit dat het elektriciteits- en vervoerssysteem van Georgië niet werd aangevallen, terwijl dit wel met cyberwapens grondig ontregeld had kunnen worden.

    Georgië - 2011

    Hayastan Shakarian:
    “Het is niet waar — Ik heb het internet niet gehackt.
    Ik gebruikte een zaag!”
    Op 28 maart 2011 ging het internet in Georgië weer volledig plat. Bijna twaalf uur lang kon geen gebruik worden gemaakt van het internet. Maar deze kweer was de oorzaak geen kwaadaardig virus dat door vijanden van de natie was verspreid. Dit keer was het een 75-jarige vrouw, Hayastan Shakarian. Deze arme vrouw, die geen idee had wat het internet was, struinde langs de spoorlijn op zoek naar brandhout en oud koper. Per ongeluk sneed zij de glasvezelkabel door die parallel liep met de spoorrails. Zij raakte een vitale internetverbinding. Niet alleen het internetverkeer in Georgië werd onderbroken, maar ook in naburige landen zoals Armenië en Azarbeidzjan werd het internetverkeer grotendeels platgelegd [Telegraph, 11.4.2011; YouTube: Sky News].

    Index


    Terugslaan mag: regels voor cyberoorlog
      “Hoewel geen enkele staat soevereiniteit over cyberspace per se mag claimen, mogen staten soeverein controle uitoefenen over elke cyberinfrastructuur die op hun territorium is gelokaliseerd, alsmede over de activiteiten die met deze cyberinfrastructuur zijn verbonden. (...) Een cyberoperatie door een staat gericht tegen cyberinfrastructuur gelokaliseerd in een andere staat kan de soevereiniteit van deze laatste schenden. Dat is zeker het geval als deze operatie schade veroorzaakt” [Tallinn Manual 2013:16].

    Op 15 maart 2013 publiceerde een groep invloedrijke experts in opdracht van de NAVO een handleiding voor waarin 95 richtlijnen zijn uitgewerkt voor de reactie op grootschalige cyberaanvallen. De internationale experts —die waren uitgenodigd door het Cooperative Cyber Defence Centre of Excellence (CCDCOE)— werkten samen met het Internationaal Comité van het Rode Kruis en het United States Cyber Command. Het is de eerste poging om een handleiding te schrijven voor landen die cyberoorlog tegen elkaar voeren. Hoewel het geen officieel NAVO-document is, laat het wel zien hoe het huidige internationale recht toegepast kan worden op cyberaanvallen en aan welke algemene regels de elkaar bestrijdende partijen zich zouden moeten houden.

    De experts onderzochten hoe het recht tot oorlog (jus ad bellum) en het recht tijdens oorlog (jus in bello) in de cybercontext geïnterpreteerd zouden moeten worden. Jus ad bellum is het internationale recht dat bepaalt of het in de gegeven omstandigheden legitiem is om geweld te gebruiken. Jus in bello is het internationaal humanitair recht dat gericht is op het beperken van het oorlogsleed door de slachtoffers te beschermen.
    In de Tallinn Manual on the International Law Applicable to Cyber Warfare worden de regels van de traditionele oorlogsvoering geanalyseerd en wordt gekeken in hoeverre ze toepasbaar zijn bij cyberoorlogen. De belangrijkste regel is dat landen die het slachtoffer zijn van grote cyberaanvallen terug mogen slaan met traditionele en/of cyberwapens. In de handleiding wordt gezegd dat dit alleen maar legitiem is wanneer een cyberaanval mensenlevens kost of massieve schade aan het bezit van een staat toebrengt. Wanneer dat het geval is, zijn ook de hackers die de cyberaanval uitvoeren een legitiem doelwit voor een militaire aanval (ook al zijn die hacktivisten particuliere burgers die uit ideologische, politieke, religieuze of patriottistische motieven een cyberaanval lanceren). Deze regel is ook van toepassing wanneer een nationale staat toestaat dat haar eigen cyberinfrastructuur gebruikt wordt door een terroristische groep om een aanval uit te voeren tegen een andere staat. Die staat blijft verantwoordelijk voor de daden van haar ingezetenen voorzover zij effectieve controle kan uitoefenen over haar eigen burgers.

      Een cyberoperatie die gericht is tegen de fysieke en virtuele cyberinfrastructuur van een ander land schendt de soevereititeit van de aangevallen natie wanneer deze operaties schade veroorzaken. De experts konden geen consensus bereiken over de vraag of het plaatsen van malware die geen fysieke schade veroorzaakt (zoals malware die gebruikt wordt om activiteiten te monitoren of om monetaire systemen te ontregelen) ook een schending van soevereiniteit zijn.

      Een deel van de experts beschouwt een cyberaanval op Wall Street met een meerdaagse uitval van de beurs als een casus belli. De Amerikaanse experts beschouwen een dergelijke aanval als een legitieme reden voor een verdedigingsaanval, maar de Europese experts zijn op dit punt veel terughoudender. In laatste instantie beslist dus elke staat afzonderlijk welke economische schade voldoende is om een oorlog te beginnen. Sommige oorlogsjuristen beschouwen dit als een dambreuk voor het volkenrechtelijke geweldsverbod [Der Spiegel, 30.3.13].

    In artikel 7 van het handboek wordt gezegd dat wanneer een cyberaanval op het regeringsnetwerk teruggevoerd kan worden naar een andere staat, dit niet voldoende is om de betreffende staat verantwoordelijk te stellen voor de aanval. Het is slechts een indicatie dat deze staat iets met de aanvallen te maken kan hebben.

    Een van de belangrijkste regels van het handboek wordt in artikel 80 geformuleerd. In de meeste gevallen is de juiste reactie op een cyberaanval een digitale vergelding. Bij dergelijke tegenaanvallen moeten burgerdoelwitten zoals ziekenhuizen, dammen en nuclaire installaties worden ontzien om het aantal burgerslachtoffers te minimaliseren [Guardian, 18.3.13].

    De NAVO beschouwt de Tallinn-Handleiding als het belangrijkste document van het cybertijdperk. Het meest beslissende punt is de erkenning dat staten het recht hebben om zichzelf tegen cyberaanvallen te verdedigen: cyberaanvallen mogen met fysieke oorlogswapens worden beantwoord. De cruciale vraag blijft hoe groot —‘substantieel’ of ‘katastrofaal’— de schade moet zijn die een cyberaanval veroorzaakt om het recht op een tegenaanval te legitimeren.

    Index Stuxnet: onverklaarde cyberoorlog met Iran

    Ultracentrifuges slaan op hol
    De tot nu toe meest krachtige en ingenieuze cybotage van de industriële controle systemen vond plaats in Iran. In de zomer van 2010 werd de wereld geattendeerd op een van de meest spraakmakende aanvallen op kritische infrastructuren.

    Jarenlang werd in het openbaar gedebatteerd over de vraag of de Verenigde Staten of Israël het nucleaire programma van Iran zouden bombarderen. In werkelijkheid is dit bombardement allang uitgevoerd, maar dan virtueel in cyberspace. De aanvallen in cyberspace gingen veel verder dan het ontregelen of onthoofden van websites of het hacken van gevoelige of geheime informatie. Voor het eerst in de geschiedenis van de moderne oorlogsvoering vochten nationale staten hun militaire conflicten uit via cyberspace gericht op de vernietiging van nucleaire apparatuur.

    De ontwikkeling van het Stuxnet-virus was een taak die werd uitgevoerd door de Clandestine Service’s Counter-Proliferation Division van de CIA. Veel van dit werd werd uitbesteed aan nationale laboratoria, zoals met name Sandia in Albuquerque, New Mexico [Wired, 12.6.13].
    In samenwerking met Israël hebben de V.S. cyberwapens ontwikkeld en gebruikt om een deel van de infrastructuur Iran fysiek te vernietigen. Het primaire aanvalswapen was de Stuxnet-worm. Dat is een even slimme als kwaadaardige worm die zich ingraaft in het door Siemens gefabriceerde Supervisory Control and Data Acquisition (SCADA) systeem. Dat systeem stuurt de ultracentrifuges aan die uranium verrijken voor het nucleaire programma van Iran.

    Onder de codenaam «Olympic Games» begon in 2008 een cybercampagne tegen de ultracentrifuges — onder het regime van de Amerikaanse president George Bush. Om het uraniumverrijkingsprogramma van Iran te vertragen fabriceerde de Verenigde Staten samen met Israël de worm Stuxnet. De eerste variant van Stuxnet werd in 2008 losgelaten op de ultracentrifuges in Natanz.

    In de zomer van 2010 verschenen de eerste berichten over Stuxnet. Door een computerfout ontsnapte de worm aan Iran’s Natanz fabriek en kwam op internet terecht. Zo’n 45.000 computers in de hele wereld werden met het Stuxnet virus besmet. Stuxnet begon zich over de hele wereld te verspreiden. 15 klanten van Siemens hadden het virus in hun installatie ontdekt. Maar de fabrieken van Siemens zelf werd niet geïnfecteerd.

    Iran claimt het recht uranium te verrijken tot 20 procent en heeft ambities om 50.000 ultracentrifuges te bouwen. Het IAEA (International Atomic Energy Agency) vond in mei 2012 sporen van tot 27 procent verrijkt uranium. Dit percentage is te laag voor een atoombom. Daarvoor is uranium nodig dat voor meer dan 90 procent bestaat uit uranium-235.
    Stuxnet vernietigde tussen de 1.000 tot 2.000 van de 8.700 verrijkingsfabrieken in Natanz. Er werden honderden nieuwe machines aangevoerd om de vernietigde machines te vervangen. Meerdere individuen die werkten bij het ultracentrifugeproject werden na de Stuxnet-aanval gearresteerd en beschuldigd van spionage.


    De urariumverrijkingsfabrieken van Natanz. Midden in de woestijn, 250 km ten zuiden van Teheran.

    De Iraanse president Mahmoud Ahmadinejad bezoekt de uraniumverrijkingsfabriek in Natanz, die het doelwit was van Stuxnet (foto van april 2008).

    De Iraanse overheid erkende in september 2010 dat er 30.000 computers met het Stuxnet-virus waren besmet. Zij zag deze virusaanvallen als “onderdeel van de elektronische oorlogsvoering tegen Iran”. President Mahmoud Ahmadinejad bevestigde dat Stuxnet de centrifugefaciliteit had besmet, maar kleineerde de gevolgen van deze aanvallen waar “het Zionistische regime en Westerse regeringen ongetwijfeld bij betrokken waren” in deze aanvallen. Volgens de regering van Iran had Stuxnet geen serieuze schade berokkend aan haar nucleaire programma.

      “Zij slaagden erin problemen te creëren voor een beperkt aantal van onze centrifuges met de software die zij in elektronische onderdelen hadden geïnstalleerd” [The Atlantic, 29.11.10].

    Aanvankelijk werd door de Amerikaanse en Israëlische overheid elke betrokkenheid bij deze cyberaanval. Maar in werkelijkheid had Barack Obama al in de eerste maanden van zijn presidentschap besloten om door te gaan met het door zijn voorganger ingezette beleid. Obama lanceerde in het geheim zeer geavanceerde aanvallen op het computersysteem dat Iran’s belangrijkste nucleaire verrijkingsfaciliteit bestuurt. In mei 2012 werd dit bekend door de publicatie van het boek van David E. Sanger Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power. Daaruit bleek dat de regering van de Verenigde Staten al had besloten tot een significante uitbreiding van de ontwikkeling en het gebruik van de meest verfijnde én destructieve cyberwapens.

    Gesjoemel met credits
    De lezing van Sanger werd tegengesproken door de Israëlische journalist Yossi Melman. Volgens zijn bronnen was de Stuxnetaanval op het Iraanse uraniumproject een Israëlisch en geen Amerikaans idee. De Israëlische inlichtingendienst Mossad was al langer bezig om via het internet aanvallen op Iran’s nucleaire centrales te lanceren. Zij wisten pas later de Amerikaanse inlichtingendiensten te overtuigen om een gezamenlijke cyberoperatie uit te voeren.

    Op 3 juli 2012 gaf de Israëlische overheid voor het eerst toe dat zij cyberspace gebruikt om haar vijanden aan te vallen. De militaire website publiceerde een document dat geschreven was door de Operations Department van het leger. Daarin werden de doelen en methoden van haar cyberoorlog gedetailleerd. Het leger gebruikt cyberspace niet alleen voor het verzamelen van inlichtingen, maar ook voor het uitvoeren van aanvallen en voor clandestiene operaties. Deze cyberactiviteiten worden gebruikt om Israëls militaire superioriteit op haar vijanden te behouden en om hun militaire capaciteiten te verzwakken [SMH, 4.6.12].

    Een paar dagen later verklaarde de minister van Defensie, Ehud Barak, dat Israël een meer actieve rol wil gaan spelen in de cyberoorlog en dat hiervoor zowel offensieve als defensieve capaciteiten worden ontwikkeld. “We noeten overschakelen naar een proactief systeem waarin we niet alleen op aanvallen reageren”, zei Barak. Israël moet zelfs een wereldleider worden in cybercapaciteiten [Financial Times, 6.6.12].

    Dubbelspraak in cyberaffaires
    Bij alle mededelingen van regeringsleiders, ministers, politici en generaals moet er rekening mee worden gehouden dat over militaire operaties in cyberspace nooit de volledige waarheid spreken.

    Soms is de afstand tussen woord en daad schrijnend groot. Dit lijkt het geval met de volgende uitspraak van de Amerikaanse Minister van Buitenlandse Zaken, Hillary Clinton. In haar toespraak over internetvrijheid merkt zij op:

      “Landen of individuen die cyberaanvallen plegen moeten tot de orde worden geroepen en internationaal veroordeeld worden. In een door internet verbonden wereld kan een aanval op de netwerken van één natie een aanval op alle naties zijn. En door deze boodschap kracht bij te zetten kunnen we gedragsnormen tussen staten creëren en respect voor de globale genetwerkte burgers aanmoedigen” [Remarks on Internet Freedom, 21.01.10].

    Het is een oproep om cyberspace te vrijwaren van destructieve operaties en de normen van het globale netwerk te verdedigen. Het probleem is dat de minister geen enkele aandacht besteedt aan het feit dat er juist vanuit de Verenigde Staten zoveel cyberaanvallen worden gelanceerd. Het is met name de VS die op grote schaal heimelijk doet wat Clinton publiekelijk veroordeelt.

    Jarenlang heeft de VS cyberslachtoffer gespeeld. De politieke en militaire autoriteiten vertelden dat ‘anderen’ cyberwapens maken om tegen de VS te gebruiken en dat ‘zij’ industriële en militaire geheimen uit Amerika stelen om daaruit onrechtmatige voordelen te behalen. Stuxnet lijkt aan te tonen dat de VS zelf wel degelijk in staat en bereid is om krachtige cyberwapens te gebruiken.

    Evgenvy Morozov vatte zijn kritiek op de minister van Buitenlandse Zaken als volgt samen: “Terwijl Hillary Clinton graag toespraken houdt waarin zij zichzelf presenteert als de grootste verdediger van ‘internetvrijheid’ ter wereld, is de harde werkelijkheid dat haar eigen regering de grootste vijand is van die vrijheid. Gezien de oneindige stroom van draconische wetten op het gebied van copyright en cyberveiligheid die uit Washington komen wordt het steeds moeilijker om dit feit voor het grote publiek te verbergen. De burgers beginnen zich af te vragen waarom Amerikaanse diplomaten Rusland en China blijven kritiseren maar niets zeggen over de indrukwekkende online spionage-operatie die de National Security Agency (NSA) in Utah aan het bouwen is” [Slate, 23.3.12].

    De National Security Agency (NSA) is een van de meest geheime inlichtingen- en veiligheidsdiensten in de VS. De NSA speelt een centrale rol in het cybercommando. Net als vroeger luistert zij buitenlandse communicaties af en analyseert zij elektronische informatie uit telefonie en internet. Daarnaast is de NSA gespecialiseerd in het ontcijferen van geëncrypteerde informatie. Zij pioniert al jaren op het gebied van cyberspionage en breekt in op buitenlandse computersystemen om inlichtingen te verzamelen.

    Het hoofdkwartier van de NSA is gevestigd in Fort Meade (Maryland), zo’n 150 kilometer van Washington. In een met de strengst mogelijke maatregelen beveiligde stad bevindt zich de grootste concentratie geavanceerde computers ter wereld. Tienduizenden mensen zijn ondergebracht in meer dan 50 gebouwen. De stad —die wordt aangeduid als Site M—heeft zijn eigen postkantoor, brandweer en politie. Het complex is voorzien van een 150-megawat krachtstation en is omgeven met bossen, elektrische hekken en zwaar bewapende bewakers; het wordt beschermd door antitank barrières en wordt door roterende camera’s in de gaten gehouden. Om te voorkomen dat er elektromagnetische signalen uitlekken zijn de binnenmuren van de gebouwen bekleed met beschermende koperlagen.

    Het zwaar beveiligde NSA-datacentrum in Bluffdale (Utah) kostte 2 miljard dollar en omvat meer dan 300.000 m2. De kern wordt gevormd door datahallen waarin eindeloze rijen servers staan opgesteld. Het is het grootste en duurste cybersecurity project. Het Pentagon streeft ernaar dat haar wereldomspannende communicatienetwerk —dat bekend staat als Global Information Grid— in staat is om yottabyes (1024) aan data te verwerken [Wired, 15.3.12; Wired, 20.5.13].

    Index


    Werking van Stuxnet: een briljante worm
    Stuxnet is een briljant geconstrueerde en zeer geavanceerde machinevernietigende worm. Om de ultracentrifugeproject van Iran te ontregelen moest eerst een manier worden gevonden om kwaadaardige software in het besturingssysteem van de ultracentrifuges te injecteren. Tussen het industriële besturingscomputer van Natanz en het internet was een elektronische slotgracht (air gap = luchtsluis) gebouwd.

    De nucleaire faciliteit in Natanz werd geïnfecteerd door een Iraanse dubbelagent die voor Israël werkte. Waarschijnlijk was de agent een lid van een Iraanse dissidente groep [McCaney 2012]. De dubbelagent, Ali Ashtari, gaf later toe dat hij als spion was gerecruteerd door de Israëlische inlichtingendienst Mossad. In juni 2008 werd hij voor het gerecht gebracht en ter dood veroordeeld. Op 17 november kreeg hij in de tuin van de Evin gevangenis in Teheran een strop om zijn nek gelegd. Een hijskraan trok zijn stervende lichaam hoog in de lucht [Wired, 12.6.13].
    Er moest dus eerst een manier worden gevonden om deze slotgracht te overbruggen. Daarvoor werd —heel klassiek— gebruik gemaakt van spionnen en onwetende medeplichtigen die toegang hadden tot de fabriek. In de eerste fase van de aanval werd gebruik gemaakt van usb-sticks waarop het virus was geplaatst. In een later stadium werden ‘meer geavanceerde methodes’ gebruikt — maar daarover is weinig bekend. Het principe is wel duidelijk: er wordt ingebroken via de zwakste schakel in de hele hoogtechnologische keten — de mens. “Er is altijd wel één idioot die het niet zo nauw neemt met de meest vanzelfsprekende beveiligingsmaatregels.” Zelfs de allersterkste ketens hebben per definitie en dus altijd minstens één zwakste schakel.

    In de eerste fase van de Olympic Games werd een baken (beacon) ingevoerd in de besturingscomputers van Siemens om de werking van het hele systeem in kaart te brengen. Na enige weken rapporteerde dit baken hoe de elektronische controles in elkaar zaten en hoe zij met de centrifuges verbonden waren. Daarna werd in 2008 begonnen aan de bouw van een replica van de P-1 centrifuges die Iran gebruikt. Dat was nodig om te testen hoe deze controlesystemen konden worden gemanipuleerd.

    Na enige tijd begon de Stuxnet worm instructies te versturen. Het waren instructies om delicate onderdelen van de ultracentrifuge plotseling te versnellen of juist te vertragen waardoor zij zichzelf vernietigden.

    Een toegewijde worm: rotatiesnelheden manipuleren
    Stuxnet is een gespecialiseerde worm die in staat is om de rotatiesnelheden van ultracentrifuges te manipuleren. Stuxnet grijpt alleen in op machines met een zeer hoog toerental. Pas als de worm omwentelingssnelheden van 807 Hz (48.420 toeren per minuut, rpm) of hoger detecteert, begint het zijn subtiele cybotagewerk.

    Maandenlang schroeft Stuxnet heel af en toe het toerental van de rotoren drastisch omhoog en omlaag: het verhoogt het toerental 15 minuten lang naar 1410Hz en gaat dan 27 dagen slapen; daarna wordt het toerental 50 minuten naar 2Hz teruggebracht en gaat vervolgens weer 27 dagen in de slaapmodus. Dit proces wordt keer op keer herhaald. Hierdoor treden allerhande storingen op in de aangestuurde motoren.

    Op de controlepanelen van de kerncentrales is daar echter niets te zien omdat Stuxnet tevens de feedbackdata vanuit de machines manipuleert, zodat het lijkt of er niets aan de hand is [Langner 2013]. Stuxnet is een destructieve computercode die ontworpen is om te penetreren in de gespecialiseerde computers die de ultracentrifuges besturen [De Haas 2010].

    Stuxnet is een worm die zichzelf op slimme wijze weet te camoufleren. Voordat de worm aanvalt, verstuurt hij berichten naar de controleruimte van Natanz om die aangeven dat het systeem normaal werkt. Stuxnet verandert de feedbackdata vanuit de machines waardoor het lijkt of er niets aan de hand is. Dit is het meest briljante onderdeel van de code.

    Stuxnet neemt de controle over de besturingschips van de centrifuges over en zorgt er tegelijkertijd voor dat het bedienend personeel denkt dat het systeem goed functioneert — en dus niet ingrijpt. Alle controlelichten stonden op groen. Maar toch ontstonden er problemen en moest het bedienend personeel de machines zelf in de centrale in de gaten houden en doorgeven als er problemen waren.

    Dat lukte niet of in ieder geval onvoldoende. Uiteindelijk werd besloten om hele series machines af te voeren en te vervangen in de veronderstelling dat ze stuk waren.

    Met de Stuxnet-worm kon voor het eerst een cyberaanval worden geënsceneerd die gericht is op de fysieke vernietiging van machines, en dus niet alleen het vertragen van computers of het hacken om informatie te stelen. De meest gevaarlijke onderdelen van de Stuxnet-aanval zijn generiek. Zij kunnen ook op alle andere gebieden van procesbesturing en -monitoring worden toegepast. Stuxnet is het prototype van een cyberaanval die in staat is om een groot deel van de industriële productie en nutsvoorzieningen te ontregelen en te vernietigen.

    Manipuleren van een procesbesturingssysteem


    Siemens Simatic S7-300 PLC CPU,
    met een I/O module.
    Stuxnet is een worm die industriële procesbesturingssystemen zoals SCADA kan platleggen. SCADA-systemen worden vaak aangestuurd met Windows PC’s. Stuxnet maakt daar gebruik van door meerdere bekende lekken†in dit besturingssysteem uit te buiten. Uiteindelijk wordt langs deze weg het onderliggende systeem, de besturingschip (PLC — programmable logic controller) van de ultracentrifuges geïnfecteerd. Stuxnet is dus in staat om haar eigen code naar een PLC te uploaden en kan daardoor controleren hoe het systeem werkt. Bovendien is Stuxnet in staat om de geïnjecteerde codeblokken op een PLC te verbergen. Ook al inspecteert een programmeur alle codeblokken op een besmette PLC, dan ziet hij niet de code die door Stuxnet is geïnjecteerd.

    Stuxnet is niet alleen een slim geconstrueerde worm en een zeer kwaadaardige virus, maar weet zichzelf ook nog eens onzichtbaar te maken. Om detectie te vermijden vertoont Stuxnet verschillend gedrag in de aanwezigheid van beveiligingsproducten. Als Stuxnet een computer besmet houdt het er rekening mee dat ze langs antivirus software moet komen. De makers van Stuxnet tekenden digitaal met twee —bij RealTek en Jmicron— gestolen certificaten waardoor het leek of het door een bekend bedrijf was gemaakt. De encriptiesleutels die gebruikt worden voor het maken van een Certificate of Authenticity (COA) werden bij deze twee bedrijven gestolen. Een dergelijke diefstal was uniek in de geschiedenis van computercriminaliteit.

    Stuxnet Videos
    • Stuxnet: Anatomy of a Computer Virus [3:21] - Patrick Clair
      Een infographic waarin de aard en de gevolgen van Stuxnet worden ontleed. Deze video werd geproduceerd voor de Australische tv-programma HungryBeast op ABC1.
    • Het gevaar van Stuxnet [12:20] - Nieuwsuur, 9.10.2010
    • Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapons [10:41]- Ted Talk, maart 2011
      Langner vertelt hoe hij de geheime code van Stuxnet kraakte en legt uit hoe Stuxnet werkt.
    • Stuxnet decoder Ralph Langner speaks about Stuxnet [1:04:36] - CBSNewsOnline
    • Win32.Stuxnet : Part 1 - Introduction, Installation and Infection [16:25]
      Deze demonstratievideo biedt een gedetailleerde kijk op de Stuxnet-worm op een Siemens PCS7 FieldPG host. De demo geeft een kort overzicht van de worm. Het laat zien hoe Stuxnet kwetsbaarheden van Windows exploiteert om zichzelf te installeren op de doelhost, verschillende componenten van Windows en Siemens infecteert en zichzelf vervolgens repliceert voor installatie op andere hosts.
    • Win32.Stuxnet : Part 2 - Using Software Restriction Policy as a Mitigation [16:25]
      Deze tweede demonstratievideo kijkt naar de Stuxnet-worm en hoe het SCADA beïnvloed. Er wordt ingezoomd op een functie die is ingebouwd in de Windows-architectuur: Software Restriction Policy. Dit is een effectieve methode om aanslagen te voorkomen, zoals Stuxnet, en zelfs kan voorkomen dat degenen die zero-day kwetsbaarheden exploiteren procescontrolesystemen kunnen infecteren.
    • Stuxnet - Cyber Warfare [7:34]
    • Stuxnet: Computer worm opens new era of warfare [14:52] - CBSNews, 1.7.2012
    • Dissecting Stuxnet [17:41] - Carey Nachenberg
      De Stuxnet computerworm is tot nu de meest ingewikkelde kwaadaardige software die ooit is gebouwd; ongeveer 50 keer de grootte van de typische computer virus. Het werkt met een scala aan nieuwe technieken om zich te verspreiden en zich te verbergen tijdens de aanval Iraanse nucleaire verrijking centrifuges. Carey Nachenberg (vice-president van Symantec) legt uit hoe de Stuxnet-worm zich verspreide, detectie ontdook en uiteindelijk zijn missie volbracht. Gepresenteerd door: Stanford University: Centrum voor Internationale Veiligheid en Samenwerking.

    Stuxnet 0.5: Evolutie van supermalware
    De supermalware Stuxnet heeft een lange evolutie doorgemaakt. De onderzoekers van Symantic ontdekten dat al tussen 2007 en 2009 een oerversie van Stuxnet was ingezet. Er zijn zelfs aanwijzingen dat deze versie Stuxnet 0.5 of varianten ervan al in 2005 operationeel waren.

    Stuxnet 0.5 werd gebouwd op het Flame-platform en verspreidde zich via het infecteren van Step 7 projecten op USB-sticks. De Step7 is software van Siemens waarmee een PLC geprogrammeerd kan worden. De malware bevat een volledig werkende exploit tegen Siemens 417 PLCs. De code waarmee de 417 werd aangevallen wijzigde de status van de kleppen die worden gebruik om UF6 (uranium hexafluoride gas) in de uraniumverrijkingscentrifuge te brengen. Door deze aanval sluiten zich de kleppen, wat tot vernietiging van centrifuges en gerelateerde systemen kan leiden. Ook deze Stuxnet-versie nam ‘snapshots’ van het systeem toen het nog normaal opereerde en liet deze tijdens de aanval aan de beheerders zien, waardoor zij niet door kregen dat het systeem werd gecyboteerd. Tijdens de aanvalscyclus waren de beheerders niet in staat om de status van de kleppen aan te passen.

    Ook Stuxnet 0.5 was zo geprogrammeerd dat het doelgericht op zoek ging naar de Iraanse uraniumverrijkingscentrale in Natanz en dat de worm zich op 4 juli 2009 zelf uitschakelde [Symantec, 26.02.13 — Stuxnet 0.5: The Missing Link].

    Index


    Potente cyberspion: Flame
    Eind mei 2012 werd een nieuw virus aangetroffen in computers van de Iraanse overheid: Flame. Het National Computer Emergency Response Team van Iran stelde in een verklaring dat na maanden onderzoek het Flame virus was ontdekt dat in staat is om informatie te stelen van geïnfecteerde computers. Flame is een spionagevirus dat zeer waarschijnlijk is ontwikkeld door een veiligheidsdienst van de Verenigde Staten en/of van Israël. De Israëlische overheid gaf —zoals gebruikelijk— niets toe. Maar minister Moshe Yaalon van Strategische Zaken verklaarde dat “het redelijk is dat wie Iran als een grote bedreiging ziet, verschillende maatregelen neemt, zoals deze, om te dwarsbomen.”

    Flame virus Delen van Flame zijn afgeleid van het Stuxnet-virus Het virus doet zich voor als een update voor het besturingssysteem Windows. Om dit mogelijk te maken was een zeer complex beveiligingscertificaat van Microsoft gekraakt [KasperskyLab 2012]. Flame was al meerdere jaren actief zonder gedetecteerd te worden door antivirussoftware. Onderdelen van Flame waren voorzien van een digitale handtekening die afkomstig leek van Microsoft [NCSC 15.06.2012].

    Cryptografische aanvalsvariant van wereldklasse
    Een analyse van de interne werking van Flame laat zien hoe geavanceerd dit supervirus is. Het is het eerste kwaadaardige programma dat gebruik maakt van weinig bekende cryptografische techniek: prefix collision attack [Stevens 2012:102]. Hierdoor is het virus in staat om zich met een vervalste digitale handtekening te verspreiden. Volgens cryptoexpert Marc Stevens van het Centrum voor Wiskunde & Informatica (CWI) in Amsterdam vereist het ontwerp van dit virus cryptoanalyse van wereldklasse. Dit ondersteunt de gedachte dat Flame door een nationale staat gebouwd moet zijn.

    MiniFlame: een precisie instrument
    Medio october 2012 dook een nieuw virus op dat verwantschap vertoonde met Flame. Aanvankelijk leek het een aanvalsmodule van het oorspronkelijke Flame-virus, maar uit nadere analyse bleek het een zelfstandig opererende miniversie van Flame te zijn. De miniFlame is een zeer flexibel spionagevirus. Waarschijnlijk wordt het programma gebruikt voor zeer gerichte spionageactiviteiten. Dit bleek ook uit het geringe aantal besmettingen (50 tot 60), vooral in Libanon, Frankrijk, de VS, Iran en Letland.

    MiniFlame is een chirurgisch aanvalsinstrument dat zelfstandig kan functioneren, maar ook als component binnen Flame en andere malware. MiniFlame werkt als een achterdeur dat aanvallers in staat stelt elk bestand van de geïnfecteerde machine te stelen. [Securelist, 15.10.12]. MiniFlame is slechts 100KB in omvang. Het grootste verschil is dat Flame volledig automatisch is, terwijl MiniFlame altijd vanaf de server wordt aangestuurd. Via miniFlame kijken de aanvallers direct mee met de computer van de slachtoffers.

    De miniFlame is waarschijnlijk in dezelfde cyberwapenfabriek gemaakt als Flame en Gauss. De onderzoekers van Kaspersky Lab denken dat miniFlame is ontworpen om te gebruiken voor een tweede aanvalsgolf op doelwitten die al door Flame of Gauss zijn geraakt. Opvallend was dat het kleine virus vooral nestelde in computersystemen van een aantal Libanese banken, die ervan verdacht worden dat zij geld witwassen voor Iran en Hezbollah.

    Inmiddels zijn er zes verschillende versies van MiniFlame gevonden die allemaal 2010 en 2011 werden gecreëerd [Informationweek, 16.10.12].

    Gauss: nog meer familieleden
    «Gauss» is weer een ander lid van de Flame-familie die spioneert op banktransacties en zoekt naar gevoelige informatie. Het virus is speciaal ontwikkeld om gegevens af te tappen van een aantal grote Libanese banken en van gebruikers van CitiBank en Paypal. De Israëische inlichtingendienst gebruikte Gauss om toezicht te houden op de financiëe activiteiten van Hezbollah. Het virus besmette tienduizenden computers. Gauss begon haar werk in september 2011 en werd in juni 2012 ontdekt [Securelist, 9.8.12].

    Gauss werd ontdekt omdat het zoveel DNA deelt met Flame. Het virus heeft een gelijksoortige architectuur, modulaire structuur en communicatiewijze met command & control servers. Gauss kan op een slimme wijze USB-sticks infecteren (het zet de verzamelde informatie in een verborgen bestand op de stick).

    Volgens Kaspersky is dit virus waarschijnlijk in dezelfde “factory of factories” gefabriceerd als Flame en Stuxnet. Elk cyberwapen dat in het strijdperk wordt geworpen, wordt ontleed en opgenomen in het globale reservoir van cyberwapens. Daarom voltrekt de evolutie van cyberwapens zich in zo’n hoog tempo.

    Red October
    Vijf jaar lang circuleerde de cyberspion «Red October» op het internet voor het werd ontdekt. Het spionagenetwerk werd in oktober 2012 ontdekt door Kaspersky Lab. De spionage beperkte zich niet tot computers; er werd ook informatie gestolen van mobiele telefoons (met speciale modules voor iPhone, Nokia en Windows Mobile). Zodra er een mobieltje was geïnfecteerd zocht de module naar documenten, foto’s, voice mails enz.

    Red October (ook bekend als «Rocra») zet niet alleen de achterdeur van de besmette apparaten open, maar maakt ook gebruik van plugins voor de Accrobat Reader van Adobe en Office van Microsort. De plugins bevatten een kwaadaardige geëncrypteerde code. Zodra een slachtoffer een PDF of Office document opent, wordt de kwaadaardige code ontsleuteld en uitgevoerd.

    De cyberspion steelt alles wat er maar aan relevante informatie op computers en mobiele communicatieapparatuur te vinden is. Het is een multifunctionele digitale spion die alle toetsaanslagen registreert en screenshots maakt, alle e-mails en bijlagen van Microsoft Outlook steelt, alle bestanden van een USB-stick kopieert (inclusief gedelete bestanden). Hij geeft een volledig overzicht van alle bestanden die op het apparaat zijn opgeslagen, van de geïnstalleerde software en de gebruikte hardware, van alle sites die met een browser zijn bezocht en van alle wachtwoorden voor websites, FTP-servers, mail en instant messaging. De spionnen waren in het bijzonder geïnteresseerd in bestanden met de extensie .acid. Dat zijn bestanden die versleuteld zijn met het programma Acid Cryptofiler, dat gebruikt wordt door organisaties zoals de EU en de NAVO. Alle gestolen informatie wordt verzameld, geëncrypteerd en dan pas naar de controleserver verstuurd.

    Volgens Kaspersky Lab heeft Red Oktober sinds 2007 onopgemerkt computernetwerken geïnfiltreerd van diplomatieke diensten, overheidsinstellingen en vakbonden, energiebestrijven, onderzoeksinstellingen en militaire organisaties. Om het netwerk van geïnfecteerde machines te controleren, gebruikten de aanvallers meer dan 60 domeinnamen en diverse C&C-servers in verschillende landen (vooral in Duitsland en Rusland). Het is een keten van servers die als proxies werken en die de locatie van de centrale controleserver (het ’moederschip’) verbergen [Securelist, 14.1.13].

    Flame is een bijzonder complex en uiterst potent spionagevirus. Het is ongeveer 20 megabyte groot. In het virus zijn diverse bibliotheken ingebouwd: bibliotheken voor compressie (zlib, libbz2, ppmd) en voor de manipulatie van databestanden (sqlite3) samen met een Lua virtuele machine. Het virus kan een groot aantal functies verrichten. Flame luistert het netwerkverkeer af van besmette computers, neemt screenshots, legt audio conversaties vast, zet camera en microfoon aan en uit, registreert aanslagen op het toetsenbord, maakt gebruikersaccounts aan, verzamelt GPS-gegevens van foto’s en steelt documenten. Via bluetooth wordt gekeken welke apparaten in de omgeving allemaal toegankelijk zijn. Als het een telefoon heeft gevonden, maakt het contact en download het virus het adresbroek van het apparaat. Tenslotte heeft het niet alleen een mechanisme om zichzelf verder te verspreiden, maar ook een zelfvernietigingsmechanisme (‘shredder’) waarmee de sporen van het virus worden uitgewist. Flame is opgebouwd uit zo’n 20 aparte modulen.

    Wereldwijd heeft Flame minstens 10.000 computers geïnfecteerd. De spionageactiviteiten van Flame worden aangestuurd vanaf 30 command & control-servers.

    Alles wijst erop dat het hier om een wapen gaat in een cyberoorlog tussen landen. Daarom gaven de Verenigde Naties de meest serieuze cyberwaarschuwing ooit. Zij kenmerkte het Flame virus als het meest krachtige spionage-instrument dat gebruikt kan worden om kritische infrastructuren aan te vallen [The Telegraph, 29.5.12].. Het meest verontrustende is dat het virus ongeveer twee jaar actief is geweest zonder dat beveiligingsbedrijven in staat waren het te detecteren.

    Beveiligingsbedrijven
    Al jarenlang gebruiken computerbeveiligingsbedrijven de ontdekking van een nieuw virus of worm om aandacht op zichzelf te vestigen en meer klanten te winnen onder bedrijven die computerbescherming zoeken. Voor Eugene Kaspersky, een Russische expert op het gebied van computerbeveiliging oprichter van het bedrijf Kaspersky Lab, is dat niet anders.


    Eugene Kaspersky
    Maar Kaspersky gebruikt zijn vooraanstaande positie ook om te pleiten voor een internationaal verdrag dat cyberoorlog uitbant. Anti-virusjagers kunnen weliswaar een aantal gevaarlijke virussen en wormen detecteren en onschadelijk maken, maar zolang militairen en inlichtingendiensten virussen blijven maken is dat dweilen met de kraan open. Alleen een verbod op de ontwikkeling van cyberwapens zou hieraan volgens hem een einde kunnen maken.

    Daardoor heeft zijn in Rusland gevestigde bedrijf de verdenking op zich geladen dat het verbonden is met de Russische overheid. Kasperky zelf heeft dit in alle toonaarden en bij herhaling ontkend. Maar deze verdenking blijft een belemmering voor de internationale expansie van het bedrijf [Kramer/Perlroth 2012].

    Kasparsky Lab levert zowel veiligheidsproducten voor individuele gebruikers (voor bijna $ 60 per jaar krijgt men een ‘volledige beschermingsoplossing’) als voor bedrijven en instellingen. Het bedrijf heeft een aandeel van 8 procent in de zakelijke markt voor softwareveiligheid en zet per jaar zo’n $612 miljoen om.

    Op de CeBIT 2012 benadrukte Kaspersky dat cyberoorlog een reëel gevaar is. Vooral omdat regeringen onder verwijzing naar de dreiging van cyberterrorisme en cybercriminaliteit zich steeds meer bewapenen en sterkere capaciteiten voor cyberoorlog ontwikkelen. In plaats van een massieve cyberbewapening, zou volgens Kaspersky op internationaal niveau gewerkt moeten worden aan een gemeenschappelijke beveiligingsstrategie. Hij stelde voor om een International Cyber Security Organisation (ISOC) op te richten. Zo’n internationaal forum zou zich moeten inzetten om het gebruik van cyberwapens te verhinderen en strategieën te ontwikkelen ter bescherming van kritieke infrastructuren tegen bedreigingen.

    Internet zou een gedemilitariseerde zone —een cyber-Antarctica— moeten worden waarbij een soort internationaal atoomagentschap toezicht op de ontwikkeling van cyberwapens zou moeten houden. De wereldvrede is in toenemende mate van internet afhankelijk.

    Index


    Stuxnet als prototype
    Cyberoorlogen zijn geen (dis)utopie meer. Het was slechts een kwestie van tijd wanneer de cyberoorlog zich ook zou uitstrekken tot het industriële domein. Stuxnet is het eerste effectieve virus dat in staat is om industriële machinerie en materiële infrastructuren te vernietigen.

    De autoriteiten en overheidsdiensten die voor de Stuxnet-aanval verantwoordelijk waren, spannen zich in om hun cybermilitaire operaties te verheimelijken. President Obama vreest dat elke Amerikaanse erkenning dat het cyberwapens gebruikt, andere landen, terroristen of hackers in staat stelt hun eigen aanvallen te rechtvaardigen. Maar bij Iran had de VS volgens Obama geen andere keus. De cyberaanvallen op de Iraanse verrijkingsmachinerie moesten verhinderen dat Israël zou besluiten om deze doelen met conventionele of nucleaire bommen te vernietigen [Sanger 2012].

    De Mossad, de Israëlische geheime dienst, beschouwt Stuxnet als een groot succes, vergelijkbaar met het kraken van de Duitse Enigma-coderingsmachine door de Polen en Britten tijdens de 2e Wereldoorlog. Meir Dagan, het voormalige hoofd van de Mossad, verklaarde dat een militaire aanval het nucleaire programma van Iran niet zou stoppen, hoogstens afremmen. Het grote risico’s van een dergelijke aanval is dat het heel het Midden-Oosten in vuur en vlam zou zetten. Daarom was voorstander van alles dat het nucleaire programma van Iran kon afremmen zonder een conventionele oorlog te beginnen [Der Spiegel, 8.8.11]. Na zijn aftreden gaf Dagan een uitzonderlijk interview aan 60 Minutes waarin hij zich uitspreekt tegen een preëmptieve aanval tegen Iran’s nucleaire faciliteiten.

    Onderzoekers constateerden al snel dat Stuxnet een bijzonder geavanceerd virus is, en dat het er sterk op leek dat de worm als deel van een politieke agenda is ontwikkeld. Volgens de experts van Symantec was het virus ontwikkeld door financieel zeer goed uitgeruste deskundigen, die in opdracht van een staat gehandeld hebben of daardoor gefinancierd werden, en die konden beschikken over gedetailleerd materiaal van inlichtingendiensten.

      “Dit is niet een of andere hacker die in de kelder van het huis van zijn ouders zit. Volgens mij duiden de bronnen die nodig zijn om deze aanval te ensceneren naar een nationale staat” [Ralph Langner, hij kraakte de Stuxnet code].

    Stuxnet is slim, complex, effectief, kwaadaardig en moeilijk te identificeren. Op diverse websites kan de Stuxnet-worm inmiddels door iedereen worden gedownload. Alle hackers en experts zijn in staat om alle varianten van Stuxnet en Flame te analyseren en te modificeren. Men hoeft geen pessimist te zijn om te voorspellen dat er binnen niet al te lange tijd nazaten van Stuxnet op de digitale netwerken gaan opereren die nog complexer, nog slimmer, nog effectiever en nog kwaadaardiger zullen zijn dan hun origineel. Stuxnet en ook Flame zijn prototypes voor toekomstige cyberwapens.

    Stuxnet is een machtig instrument voor cybotage. De doos van Pandora is geopend. De vraag is niet zozeer wie deze doos des onheils heeft geopend, maar wie er allemaal varianten van Stuxnet in het cyberstrijdperk zullen brengen. De echte dreiging zou wel eens van aanvallers kunnen komen die niet vanuit een staat opereren en waartegen militaire afschrikking niet werkt. De grote tragedie is dat de naties die verantwoordelijk zijn voor fabricage en het gebruik van de Stuxnetworm zelf niet in staat zijn om om zich tegen dit soort cyber-fysieke aanvallen te verdedigen. De vraag is dus ook of de VS er wel zo verstandig aan gedaan heeft om deze doos van Pandora te openen. “Why attack when we can’t defend?”, vroeg de vroeg de Duitse beveiligingsexpert Ralph Langler zich af [New York Times, 4.6.12].

    Stuxnet betekent een paradigmaverschuiving in cyberoorlog. “Het heeft de manier waarop we denken over cyberoorlog in één klap veranderd. Wat voorheen louter het onderwerp van speculatie was, is nu een feit” [David Lindahl].

    Transformers in cyberspace Cyberspionage en -sabotage programma’s lijken in eerste instantie gewone software, maar ontwikkelen andere functies zodra ze op de plek komen waar ze moeten zijn. Ze lijken steeds meer op de Transformers uit de bekende science fiction film. Ze beschikken over een heel arsenaal aan wapens en een uitgebreid repertoire spionagetechnieken. Er zijn wormen die zichzelf in verschillende stukken breken om zo door de beveiliging heen te komen en die zichzelf aan de andere kant automatisch weer in elkaar zetten — net zoals de smeltende robot T-1000 in de Terminator.

    Stuxnet is een cyberwapen dat zeer doelgericht opereert. Maar de geografische verspreiding van infecties door de Stuxnet worm laat zien hoe moeilijk het is om haar bereik onder controle te houden wanneer deze eenmaal is losgelaten [Gjelten 2010].

    Stuxnet dreigde het imago van het Siemens concern ernstig te beschadigen. Het waren immers hun producten die door de Stuxnet worm op tilt waren geslagen. Maar door snel en efficiënt optreden kon de imagoschade worden beperkt. “Stuxnet was een waarschuwing, sindsdien zijn er geen problemen meer”, verklaarde het hoofd van de onderzoeksafdeling van Siemens, Reinhold Achatz [Werner 2010]. Siemens ziet in de cyberoorlog niet alleen een bedreiging, maar ook een nieuw verdienmodel. Talloze producten van Siemens (zoals gebouwautomatisering, verkeers- en medische techniek) zijn tegenwoordig ingebed in elektronische netwerken. Hun bescherming tegen manipulatie door hackers is voor de klanten van zeer groot belang. Het biedt Siemens een mogelijkheid om zich te differentiëren: “zekerheid is intussen een echt concurrentievoordeel” [idem].

    Duqu
    Een jaar nadat Stuxnet was ontdekt werd een nieuw supervirus, Duqu geïdentificeerd dat informatie verzamelde op grote computernetwerken en kennelijk de voorbode was van een nog bredere aanval op industriële doelen. Duqu werd gebruikt om industriële computersystemen te testen en (via een server in India) informatie te versturen over de werking van die systemen. Alle varianten die van Duqu-worm zijn gevonden, hebben een ding gemeen: zij zijn geprogrammeerd om zichzelf te vernietigen nadat zij 36 dagen in een computer zijn geweest.

    Het Duqu virus werd verspreid via een Word-document dat als bijlage aan een e-mail was toegevoegd. Bij opening van het document werd gebruik gemaakt van een zero-day lek in Windows (een TTF lek in win32k.sys) dat inmiddels met een patch is verholpen.

    Stuxnet en Duqu zijn slechts twee van de vijf cyberwapens die door hetzelfde platform werden gefabriceerd. Al deze kwaadaardige virussen zijn inmiddels uitgebreid geanalyseerd en openlijk besproken door talloze competente programmeurs. Er zijn zeer gedetailleerde beschrijvingen gemaakt van de structuur en werking van deze supermalware. Het voordeel daarvan is dat veiligheidsdeskundigen nu een veel duidelijker idee hebben over de werking van deze cyberwapens en van de manier waarop zij opgespoord en ontmanteld kunnen worden.

    Index


    Tegenvuur uit Iran
    Ook Iran beschikt inmiddels over een militaire cybereenheid. Volgens Brigade Generaal Gholamreza Jalali is het Iraanse leger goed voorbereid om hun vijanden in cyberspace te bestrijden en internetoorlog te voeren.

    Buitengewoon getalenteerd?
    Iraanse hackers zijn bijzonder getalenteerd in het lanceren van cyberaanvallen. Volgens de CEO van Google, Eric Schmidt, zijn de Iraniërs “voor een reden die we nog niet helemaal begrijpen buitengewoon getalenteerd in oorlogsvoering” [CNN, 13.12.11]. Hij ziet de Iraanse hackers als een van de grootste bedreigingen van de cyberveiligheid.

    Het doden van experts
    Iran heeft haar eigen experts voor het bestrijden van cyberaanvallen. Een van de belangrijkste experts voor het bestrijden van de Stuxnet-worm was professor Majid Shahriari, een kwantum-fysicus die hoofd was van het nucleaire programma van Iran. Hij gaf leiding aan het team dat Stuxnet moest bestrijden. Op 29 november 2010 werd hij ondanks zijn bodyguards met een autobom om het leven gebracht door moordenaars op motoren. Het Iraanse staatspersbureau ISNA suggereerde dat de Israëlische, Amerikaanse en Britse inlichtingendiensten achter de moord op deze academicus zaten. In werkelijkheid was dit —naar alle waarschijnlijkheid— een moordaanslag die door de Mossad (Israëls buitenlande geheime dienst) werd uitgevoerd [Time, 30.11.10; Daily Telegraph, 16.2.09]. Sindsdien is geen enkele topwetenschapper in Iran meer veilig.
    Ook daarvoor waren al een aantal aanslagen op Iraanse wetenschappers gepleegd:
    • 15 Januari 2007: de uraniumverrijkingsspecialist Ardeshir Hosseinpourwordt om het leven gebracht door radioactieve vergiftiging.
    • 12 Januari 2010: de atoomgeleerde professor Massud Ali-Mohammadi wordt in Teheran gedood door een op afstand gecontroleerde bom.
    • 23 Juli 2011: de fysicus Dariousch Rezaeinejad —gespecialiseerd in transport van neutronen— wordt vanaf een motorfiets neergeschoten.
    • 11 Januari 2012: de atoomgeleerde Mostafa Ahmadi Roshan wordt bij een bomaanslag in stukken gereten.
    Vanaf 2011 begonnen Iraanse hackers met grote regelmaat Amerikaanse banken aan te vallen als onderdeel van een bredere cybercampagne tegen de VS. De aanvallen op de Bank of America, JPMorgan Chase en Citigroup waren primair denial-of-service campagnes die de websites van de banken en hun bedrijfsnetwerken ontregelden door ze te overstromen met inkomend webverkeer.

    De regering van Iran versterkte haar cybercapaciteiten nadat haar nucleaire programma in 2010 werd beschadigd door de Stuxnet-worm. De regering investeerde in de opbouw van haar eigen cyberleger en moedigde haar burgers aan om doelwitten in Westerse landen te hacken.

    Maar ook bij de aanvallen op de Amerikaanse banken bleef wederom onduidelijk of deze aanvallen door de Iraanse overheid werden gelanceerd, door groeperingen die voor de overheid werken, of door patriottische burgers.

    Senator Joseph Lieberman, voorzitter van het Homeland Security and Governmental Affairs Committee van de Amerikaanse Senaat, verklaarde dat de Iraanse overheid achter de aanvallen zat:

      “Ik denk dat dit werd uitgevoerd door Iran en de Quds strijdkrachten, die haar eigen vermogen heeft om cyberaanvallen uit te voeren. Ik geloof dat het een antwoord was op de in toenemende mate sterke economische sancties die de V.S. en onze Europese bondgenoten hebben opgelegd aan Iraanse financiële instellingen” [Reuters, 21.9.12].

    De Quds strijdkrachten zijn een geheime arm van de Islamitische Revolutionaire Gardes van Iran. Deze eenheid is gespecialiseerd in terreuroperaties in het buitenland en rapporteert rechtstreeks aan de geestelijk leider, de ayatollah Ali Khamenei [Ministerie van Buitenlandse Zaken, Algemeen Amtsbericht Iran, 27.8.2012]. De regering in Teheran ontkende zoals gebruikelijk elke bemoeienis met de aanvallen op de Amerikaanse banken [Reuters, 23.9.12].

    Denial-of-service campagnes vereisen geen bijzondere hackvaardigheden of hooggekwalificeerde computerprogrammeurs — zeker niet in vergelijking met geavanceerde en destructieve wapens zoals Stuxnet. Maar toch kunnen ze hun doelwitten in vergaande mate ontregelen. Als een banksite regelmatig onbereikbaar is, tast dit haar reputatie aan en wordt schade geleden omdat klanten geen rekeningen kunnen openen of geld kunnen overmaken. Soms worden denial-of-service campagnes uitgevoerd om de slachtoffers afleiden van andere, meer destructieve aanvallen of van cyberverkenningen.


    Generaal Ali Fazli
    Generaal Ali Fazli is commandant van de Basij-militie, de paramilitaire tak van de Revolutionaire Garde. In maart 2011 verklaart hij dat Iran een eigen cyberleger heeft opgebouwd als vergelding voor de cyberaanvallen op Iran. Het cyberleger bestaat uit studenten, geestelijken en docenten van universiteiten. De Iraanse overheid wil zich ook in de digitale wereld laten gelden. Iraanse hackers vallen dagelijks websites aan die zij als vijandelijk beschouwen [Volkskrant, 15.3.11]. Volgens generaal Fazli zijn deze aanvallen een vergelding voor vergelijkbare aanvallen op Iran.

    Index


    Het Pentagon escaleert: preparation the cyber battlefield?
    De VS draagt in belangrijke mate bij aan de militarisering van aanvallen in cyberspace en daarmee aan de transitie van disruptieve naar destructieve aanvallen. Sinds begin 2012 is de planning van het Pentagon gericht op de ontwikkeling van nieuwe cyberwapens. Zij wil het Cyber Command in Fort Meade —dat twee jaar eerder werd opgericht— in staat stellen om in sommige gevallen veldwapens tegen specifieke doelen in te zetten binnen enkele dagen [Washington Post, 10.5.2012]. Daarbij worstelen de militairen nog met het opstellen van regels voor cyberoorlog.

    Superioriteit in cyberspace
    Op 17 januari 2012 publiceerde het hoofd van de Amerikaanse krijgsmacht, generaal Martin Dempsey, een document van 70 pagina’s waarin hij argumenteert dat cyberspace als een militair strijdveld behandeld moet worden. Zijn belangrijkste doel is het veroveren en handhaven van superioriteit in cyberspace [Dempsey 2012:12].

    Begin 2013 kondigde het Ministerie van Defensie aan dat zij het aantal cyberkrijgers bij Cyber Command ging vervijfvoudigen [The Washington Post, 27.1.13]. De rethorisch legitimatie van deze uitbreiding is sterk misleidend. Deze massieve nieuwe investering is niet primair gericht op het versterken van de verdediging tegen cyberagressoren. Het belangrijkste doel is om de eigen cybercapaciteiten zo te versterken dat zij andere naties met cyberaanvallen kan vernietigen. “De VS is zelf de grootste cyber-agressor ter wereld” [The Guardian, 28.1.13]. Met de cyberaanval op Iran heeft de VS een gevaarlijke weg ingeslagen in de graduele militariseren van het internet [New York Times, 24.6.12].

    Aan zo’n cyberwapenrace zijn tal van risico’s verbonden. Een daarvan vloeit voort uit het feit dat de ontwikkelingskosten van cyberwapens relatief laag zijn. Voor hogere commandanten en beleidscontrolerende politici is het daarom moeilijk om het normale toezicht te behouden over de ontwikkeling van nieuwe cyberwapens. Zonder enige waarschuwing kunnen de meest innovatieve en desastreuze cyberwapen opeens in het slagveld internet worden geworden. Omgekeerd kunnen zelfs de meest geavanceerde cyberwapens in een paar uur of dagen volledig verouderd en onbruikbaar worden.

    Het externe risico van escalatie is nog veel dramatischer. Andere staten zullen zich bedreigd voelen door deze expansie van cyberwapens. Zij zien dat de Amerikanen een omvattende strategie hebben om de hegemonie van de V.S. te handhaven en ervaren dit als een direct bedreiging [Guardian, 16.4.12]. De Stuxnetaanval op het nucleaire programma van Iran heeft laten zien dat de VS bereid is om op illegale wijze —en in strijd met het Handvest van de Verenigde Naties en de Conventies van Genève— offensief cybergeweld te gebruiken tegen een andere natie [NATO-Manual 2013; Washington Times, 24.3.13].

    China is de enige militaire concurrent voor de hegemonie van de Verenigde Staten. De V.S. zetten China onder druk omdat zij haar beschouwen als hoofdverantwoordelijke voor de diefstal van miljarden dollars aan plannen en intellectueel eigendom van wapenfabrikanten, overheidsinstellingen en particuliere ondernemingen in het centrum van de nationale infrastructuur. Zowel de V.S. als Engeland hebben de Chinese regering bij herhaling gewaarschuwd dat zij op vergeldingsmaatregelen kunnen rekenen als er geen eind gemaakt wordt aan deze agressieve cyberpraktijken. President Barack Obama stimuleerde zijn medewerkers om hardere en vooral meer effectieve sancties te bedenken.

    Amerikaanse en Europese politici en militairen vrezen de cyberaanvalskracht van China. Ze weten ongeveer slechts bij benadering hoe sterk de Chinese cybercapaciteiten zijn. Ze weten dat Chinese cyberstrijders soms jarenlang in hun vitale netwerken weten te penetreren zonder dat zij worden ontdekt. Sommigen pleiten voor een confrontatiestrategie met China, maar volgens zal de logica van de escalatie alleen maar leiden tot een opvoering van de investeringen in cyberwapens van Chinese zijde.

            Iran: dodelijke bedreiging voor de VS?

    Newt Gingrich
    De republikein Newt Gingrich is waarschijnlijk de meest invloedrijke Amerikaanse politicus die oproept tot een cyberoorlog tegen China en Rusland. “Ik denk dat we door staten georganiseerde geheime activiteiten als het equivalent van oorlogsdagen moeten behandelen. En ik denk dat we daarop moeten reageren en een pijnniveau moeten creëren dat mensen leert om dit niet te doen” [Wired, 25.1.12]. Gingrich wil een echte cyberoorlog om het regime in Iran ten val te brengen. Volgens hem is dat de enige manier om Iran ervan te weerhouden dat zij nucleaire wapens in handen krijgt [The Hill, 22.11.11].

    De meeste Amerikaanse politici en beleidsmakers zijn terughoudend om China of Rusland de wacht aan te zeggen in reactie op hun economische spionage. Zij benadrukken dat de VS bezig is om samen met China en Rusland ‘schurkenstaten’ zoals Iran en Noord-Korea in te tomen. De economieën van deze drie landen zijn zo nauw met elkaar verweven dat een online aanval meer schade zou kunnen opleveren dan alleen aan het doelwit. Wie in een digitaal huis woont, moet niet met kwaadaardige software gaan gooien.

    Index


    Plan X
    Generaal Keith Alexander (commandant van US Cyber Command, directeur van de Central Security Service en directeur van de NSA) verklaarde dat zich sinds 2005 zoveel dramatische veranderingen hebben voorgedaan in het cyberdomein dat de rules of engagement voor militaire operaties in cyberspace moeten worden bijgesteld. De pre-autorisatie van defensieve reacties zou tot het laagste niveau verlend moeten worden. De regering moet dus aangeven hoe het Pentagon moet reageren op een cyberaanval [Statement van Alexeander, 27.3.12]
    Sinds de lancering van Stuxnet en andere militaire malware lijkt de geest van een wereldomvattende cyberoorlog uit de fles. Sterk geïnformatiseerde samenlevingen kunnen grootschalige cyberaanvallen van een andere natie alleen maar pareren als zij een strijdplan opstellen met ‘standing rules of engagement’ waarmee zij snel een tegenaanval kunnen lanceren.

    In de VS is hiervoor Plan X opgesteld dat in mei 2012 door DARPA werd gepresenteerd. DARPA (Defense Advanced Research Projects Agency) is een instituut van het Amerikaanse ministerie van defensie dat verantwoordelijk is voor de ontwikkeling van militaire technologie. Plan X moet ervoor zorgen dat de VS een dominante positie in het cyberslagveld verwerft [Wired, 21.10.12].

    Plan X is nadrukkelijk niet gericht op het opsporen van kwetsbaarheden of het ontwikkelen van een nieuwe generatie cyberwapens [Darpa, 17.10.12]. Het doel van het programma is het ontwikkelen van revolutionaire technologieën voor het begrijpen, plannen en aansturen van grootschalige cybermissies in real time. Plan X richt zich op de operationalisering en routinisering van cyberaanvallen. De onderzoek van Plan X richt zich op vier gebieden:

    • Begrijpen van het cyberslagveld
      Er worden geautomatiseerde analysetechnieken ontwikkeld die militairen ondersteunen bij het plannen van cyberoperaties. De nadruk ligt daarbij op het ontwikkelen van instrumenten om computernetwerken te analyseren. Er wordt onderzoek verricht naar de aard van cyberoorlog en naar “fundamentele strategieën en tactieken die nodig zijn om het cyberslagveld te domineren” [Darpa, SN-12-51]. Domineren in cyberspace, dat is de strategische doelstelling van het Amerikaanse leger. “It is in cyberspace that we must use our strategic vision to dominate the information environment” [Keit Alexander].

    • Automatiseren van de uitvoering van cyberoperaties
      Er wordt onderzocht hoe specifieke cyberoperaties automatisch volgens een «missiescript» kunnen worden uitgevoerd (vergelijkbaar met de automatische pilootfunctie in moderne vliegtuigen). Daarbij worden tevens formele methoden uitgewerkt om de potentiële strijd schade van elk van de missieplannen te kwantificeren. Hierdoor kan de impact van specifieke cyberoperaties worden beoordeeld. Commandanten die een missie moeten uitvoeren krijgen hierdoor een volledig pakket van opties voor cyberoperaties waaruit zij kunnen kiezen en waarvan zij begrijpen welke gevolgen dit zal hebben.

    • Versterken van vermogen om in gevaarlijke gebieden te opereren
      Plan X moet bijdragen aan de ontwikkeling van besturingssystemen en platforms die in dynamische, vijandige netwerkomgevingen kunnen opereren. Dit onderdeel is geconcentreerd op het bouwen van geharde «strijdeenheden» die robuust genoeg zijn om in oorlogssituaties te blijven functioneren.

    • Visualisering van en interactie met grootschalige cyberslagvelden
      Het doel van dit onderdeel is het ontwikkelen van een technologie waarmee het volledige slagveld in cyberspace visueel gerepresenteerd kan worden. Met behulp van deze technologie zijn commandanten beter in staat om cyberaanvallen te plannen, te lanceren en te controleren. Zij krijgen de beschikking over een dynamische kaart van het digitale slagveld waarop men ziet hoe het gevecht zich ontwikkeld.

      Op dynamische digitale kaarten is zichtbaar hoe alle netwerkverbindingen zich gedragen, welke routes geschikt zijn om cyberwapens te transporteren en welke alternatieve routes gebruikt kunnen worden als er veranderingen optreden in de verkeersstromen. Met deze informatie zijn commandanten in staat om goede beslissingen te nemen over wat er moet worden aangevallen en hoe dit moet gebeuren. Daarbij houden zij op elk moment zicht op de aanvalspatronen van een vijand.

      Het moeilijkste is het controleren van onbedoelde effecten van cyberaanvallen die bijvoorbeeld de stroomvoorziening van huizen en ziekenhuizen afsnijden. De aanvalsprogrammatuur moet commandanten in staat stellen aan cyberaanval te stoppen of van stootrichting te laten veranderen voordat het systemen beschadigd die geen doelwit zijn (fail-safe mechanisme).

    Plan X moet dus een groot aantal instrumenten opleveren dis in de toekomst een standaardonderdeel gaan uitmaken van de militaire operaties van de VS. Zij moet het Amerikaanse leger in staat stellen om in gevaarlijke gebieden te opereren, om snel potentiële missies van de plank te trekken, en de impact van deze aanvalsmissies te beoordelen. Voor de periode van 2013 tot 2017 is voor Plan X een budget gereserveerd van 1,51 miljard dollar [Washington Post, 30.5.12; Wired, 28.5.13].

    Index


    Presidentieel decreet: oktober 2012
    In juni 2013 lekte het decreet van Obama uit. Het document werd vrijgegeven door Edward Snowden en werd het door The Guardian [7.6.13] gepubliceerd. Het document is 18 pagina’s lang en heeft als titel: Presidential Policy Directive/PPD-20. Het document toont aan dat Snowden gelijk heeft met zijn bewering dat de NSA al jarenlang clandestien penetreert in buitenlandse netwerken: “We hack network backbones —like huge internet routers, basically— that give us access to the communications of hundreds of thousands of computers without having to hack every single one” [The Telegraph, 13.6.13].
    In oktober 2012 gaf president Barack Obama een uiterst geheim bevel aan de leidingen van de nationale veiligheid en de inlichtingendiensten. Zij kregen de opdracht om een lijst potentiële buitenlandse doelwitten op te stellen die geschikt waren voor Amerikaanse cyberaanvallen.

    Het decreet van Obama bevat twee passages die als top secret werden aangemerkt. Het zijn ook de meest gevaarlijke paragraven van het hele document. Beide paragraven gaan over Offensive Cyber Effect Operations, afgekort tot OCEO.

      “OECO kan unieke en onconventionele capaciteiten bieden om nationale doelen van de VS in de hele wereld te bevorderen met weinig of geen waarschuwing voor de tegenstander of het doelwit en met potentiële effecten die lopen van subtiele tot zware beschadiging. De ontwikkeling en het onderhoud van OECO kan echter aanzienlijke tijd en inspanning vereisen wanneer de toegang en de instrumenten voor een specifiek doelwit nog niet bestaan.

      De regering van de VS zal potentiële doelwitten van nationaal belang identificeren waar OCEO een gunstige balans tussen effectiviteit en risico kan bieden in vergelijking met andere nationale machtsinstrumenten; zij zal ook OCEO capaciteiten opbouwen en handhaven die op de juist wijze zijn geïntegreerd met andere Amerikaanse offensieve capaciteiten en zij zal die capaciteiten gebruiken op een wijze die consistent is met de bepalingen van dit bevel [PPD-20: 9].

    Cyberaanvallen kunnen communicatiesystemen ontregelen en nationale infrastructuren kapot maken. Dat kan alleen maar als er eerst offensieve cyberwapens worden ontwikkeld en wanneer deze van te voren worden gericht op specifieke doelen. Daarvoor is het nodig om de unieke configuraties te bestuderen van de computersystemen die zij gebruiken en om de kwetsbaarheden van die systemen in haar te brengen. Als die kwetsbaarheden niet gevonden worden kunnen zij worden gecreëerd door het inbouwen van achterdeurtjes en het plaatsen van logische bommen. Vervolgens moeten er nieuwe cyberwapens worden ontwikkeld die specifiek ontworpen zijn om die systemen aan te vallen. “Net als bij ons nucleair arsenaal tijdens de Koude Oorlog moet ons arsenaal aan cyberwapens op vooraf bepaalde doelen worden gericht en klaar staan om gelanceerd te worden” [Schneier 2013c].

    Terwijl Obama de Chinese overheid publiekelijk kapittelt voor hun steun aan cyberaanvallen op de VS, stelt hij zelf heimelijk een nieuwe —potentieel agressieve— doctrine op voor de cyberoorlog. Het is een doctrine die onvermijdelijk leidt tot een verdere militarisering van cyberspace [Guardian, 7.6.13].

    Het criterium dat Obama formuleert om offensieve cyberoperaties tegen andere landen te ontkenenen is nadrukkelijk niet beperkt tot vergeldingsaanvallen, maar wordt nogal vaag en zeer elastisch geformuleerd als het bevorderen van “Amerikaanse nationale doelen in de hele wereld”. Het is een vrijbrief om in alle netwerken en computersystemen van elke natie in te breken.

    Index


    Onafhankelijk advies
    In januari 2013 publiceerde de Defense Science Board van het Amerikaanse ministerie van Defensie haar rapport Resilient Military Systems and the Advanced Cyber Threat. Daarin werden aanbevelingen gedaan voor het verbeteren van de veerkracht van defensiesystemen ten opzichte van cyberaanvallen.

    De 33 computer- en cyberdeskundigen nemen de cyberdreiging serieus: zij heeft “potentiële gevolgen die in sommige opzichten vergelijkbaar zijn met de nucleaire dreiging van de Koude Oorlog”. Amerika kan er niet op vertrouwen dat haar kritieke informatietechnologische systemen zullen blijven functioneren als zij door een geavanceerde opponent met cybercapaciteiten in combinatie met hun inlichtingen en militaire capaciteiten wordt aangevallen. De Amerikaanse krijgsmacht is niet goed voorbereid op een grootschalig cyberconflict met landen als China of Rusland. Uit de oefeningen die werden doorgevoerd bleek dat een klein aanvalsteam binnen korte tijd in staat was op relatief eenvoudige wijze het VS-leger te verslaan met middelen die op het internet te vinden.

      “Als dit schadeniveau bewerkstelligd kan worden door zo weinig slimme mensen, in een paar dagen, gebruikmakend van instrumenten die voor iedereen beschikbaar zijn, stel je dan voor wat een vastbesloten, geavanceerde tegenstander met grote aantallen mensen, tijd en geld zou kunnen doen” [DSB 2013].

    Tegenover de meest geavanceerde cyberaanvallen kan men zich onmogelijk volledig verdedigen. De cyberdefensie is te gefragmenteerd en de inlichtingenpositie is inadequaat. Het zal nog jaren duren voordat de krijgsmacht een effectief antwoord heeft gevonden op de cyberdreiging. De enige strategie die de risico’s kan reduceren bestaat uit een combinatie van afschrikking, reconcentratie van inlichtingencapaciteiten en verbeterde cyberdefensie.

    Index


    Handschoenen uit
    In maart 2013 vond de eerste openbare confrontatie plaats tussen de VS en China over cyberspionage. De nationale veiligheidsadviseur van president Obama, Tom Doniton, zei dat China moet stoppen met grootschalige diefstal van data vanaf Amerikaanse computers en zich moet houden aan “acceptabele gedragsnormen in cyberspace” [New York Times, 11.3.13]. Hij stelde drie eisen aan de Chinese overheid: (i) Een openbare erkenning van urgentie van problematiek; (ii) De belofte om hackers in China op te sporen, en (iii) de bereidheid om deel te nemen aan dialoog om tot wereldwijde standaarden te komen.

    Vervolgens constateerde de coördinator van de Amerikaanse inlichtingendiensten, James Clapper, dat het dreigingsbeeld voor Amerika gewijzigd is: terroristische aanslagen zijn niet meer het primaire gevaar, maar aanvallen vanuit cyberspace.

    Twee dagen later zette president Obama in een televisie-interview de kroon op deze gewijzigde stellingname. Hij verweet de Chinese regering openlijk dat zij cyberaanvallen ondersteunen. Maar hij benadrukte ook dat er een groot verschil is tussen cyberspionage en cyberoorlog. “You know, there’s big difference between them engaging in cyber espionage or cyber attacks and obviously a hot war” [BBC, 13.3.13]. Daarmee nam Obama afstand van cyberoorlogsretoriek.

    De Chinese regering verklaarde in reactie hierop dat zij zelf het grootste slachtoffer van hackers is en dat zij tegenstander is van internetaanvallen. Maar opvallend was dat de Chinese autoriteiten verklaarde dat zij streven naar een constructieve dialoog met de VS en andere landen over beveiligingsproblemen op internet.

      “Cyberspace heeft geen behoefte aan oorlog, maar regels en samenwerking. Wij zijn er tegen dat cyberspace een nieuw slagveld wordt, en dat het internet gebruikt wordt als een nieuw instrument om te interveniëren in de interne zaken van een ander land” [Yang Jiechi, minister van Buitenlandse Zaken, 12.3.13]

    De Chinese overheid heeft zelf diverse campagnes gelanceerd tegen cyberspionage en kwaadaardige software. Zij beseft heel goed dat de bestrijding van cybercriminaliteit op het grenzeloze internet nauwelijks mogelijk is zonder transnationale samenwerking. De twee grootste economieën zouden hun inspanningen moeten combineren om een veilige virtuele wereld te op te bouwen.

    De onthullingen van Edward Snowden over de omvangrijke online-surveillance programma’s waren koren op de Chinese propagandistische molen. Op diverse manieren werd de hypocrasie van Obama’s regering aan de kaak gesteld. Een woordvoerder van het Chinese ministerie van Defensie, kolonel Yang Yujin, formuleerde het als volgt:

      “De Prismgate affaire is zelf net als een prisma dat het ware gezicht en het hypocriete gedrag met betrekking tot het internet onthult. ... Aan de ene kant misbruikt men van de voordelen in informatietechnologie voor egoïstische doeleinden, terwijl men aan de aandere kant ongefundeerde beschuldigingen uit tegen andere landen. Dit demonstreert dubbele standaarden die de vrede en veiligheid in cyberspace niet ten goede komen” [New York Times, 27.6.13].

    De NSA breekt al jarenlang in op Chinese computers en telecommunicatiesystemen en doet daar alles waarvan de Amerikaanse overheid de Chinezen beschuldigt. Zij steelt wachtwoorden, data en tekstberichten om de zwakheden in de communicatieve infrastructuur te ontdekken die geëxploiteerd kunnen worden door gerichte cyberwapens.

    Index CyberAfschrikking

    Voorkomen is beter dan verdedigen
    We hebben gezien dat conflicten die in cyberspace worden uitgevochten zeer snel kunnen escaleren en internationaliseren en dat er geen noemenswaardige de-escalerende mechanismen bestaan. We hebben ook gezien dat in cyberspace de verdediging altijd structureel en temporeel achterloopt op de aanvaller. Juist vanwege deze asymmetrie van aanval en verdediging discussiëren militaire specialisten al jarenlang over de mogelijkheden en grenzen van cyberafschrikking. Als het zo moeilijk is om zich tegen cyberaanvallen te weren dan moet men proberen om potentiële en/of actuele tegenstanders bij voorbaat af te schrikken. Het voorkomen van een cyberaanval op de eigen computersystemen en netwerken verdient om meerdere redenen de voorkeur boven de verdediging tegen zo’n vijandige cyberaanval. De meeste analisten zijn het er echter over eens dat cyberafschrikking tamelijk lastig is [Derian 1994; Harknett 1996; Blank 2001; Libicki 2009; Todd 2009; Goodman 2010; National Research Council 2010; Libicki 2013].

    Index


    Voorwaarden van afschrikking
    Vergelding
    Vergelding is de offensieve kant van afschrikking. Het idee is simpel: tijdens of na een aanval lanceert de verdediger een tegenaanval die de aanvaller meer kost dan de voordelen deze met de eerste aanval kon behalen. Vergelding vereist dat men zeker weet wie de aanvallers zijn.
    Afschrikking is een preventieve strategie waarbij gepoogd wordt een conflictegenstander van zijn voorgenomen daden af te houden door er de dreiging aan te verbinden van ernstige gevolgen voor de aanvallende partij. Tijdens de Koude Oorlog kwamen beide kampen tot te conclusie dat nucleaire wapens onbruikbaar waren omdat zij geen werkelijk strategisch voordeel konden opleveren en slechts een even destructieve second strike zouden uitlokken. Een dergelijke afschrikking kan alleen maar effectief zijn onder onder vier condities:

    1. Beide kampen moeten toegang hebben tot gelijksoortige informatie over elkaars intenties, capaciteiten en vastberadenheid. “Een continue dialoog in de vorm van reguliere uitwisseling van afschrikkingsberichten is de eerste noodzakelijke voorwaarde om cyberagressie te ontmoedigen” [Goodman 2010:107].
    2. Beide kampen moeten voldoende tijd hebben om de juiste afwegingen te maken. Als een van beide kampen onvoldoende tijd heeft om een ogenschijnlijke aanval te beoordelen, kan in de paniek van better save than sorry een alomvattende tegenaanval worden gelanceerd terwijl het in werkelijkheid een kleine technische storing of een computerfoutje betrof. Dat is het tragikomische scenario waarin een angstige politieagent in een duister portiek iemand dood schiet die onverwacht een pen uit zijn broekzak haalt om op een briefje te schrijven dat hij doof is.
    3. Beide kampen moeten zich ervan bewust zijn dat zij iets van gelijke waarde kunnen verliezen wanneer de afschrikking faalt en dat zij weinig of niets te winnen hebben. Een beslissing om niet agressief te zijn is gebaseerd op twee beoordelingen: (i) of de kosten van agressie opwegen tegen haar voordelen, en (ii) of de voordelen van terughoudendheid opwegen tegen haar kosten.
    4. Het vermogen om met hun eigen systemen en met elkaar te communiceren moet voor beide kampen betrouwbaar blijven zodat zij controle over de crisis kunnen houden en in staat zijn om inkomende informatie accuraat te beoordelen. Afschrikking werkt dus alleen effectief als de informationele capaciteiten van beide kanten intact blijven en niet worden gecompromitteerd.

    Succesvolle afschrikking is dus alleen maar mogelijk als de informatienetwerken en communicatiesystemen van beide kampen betrouwbaar en verifieerbaar zijn [Blank 2001:145-146]. In een cyberoorlog worden deze vier kritische voorwaarden van een effectieve afschrikkingsstrategie stuk voor stuk en tamelijk grondig ter discussie gesteld.

    Afschrikking is alleen maar mogelijk als anderen minstens goede indicaties hebben over waartoe de eigen strijdkrachten in staat zijn. Het demonstreren van het eigen wapenarsenaal —in grootscheepse oefeningen, parades of kernproeven— is een effectieve manier om actuele en potentiële vijanden te waarschuwen. Maar met cybercapaciteiten loopt men niet te koop. Integendeel, niemand weet precies of ook maar bij benadering wat er zou gebeuren als een land het doelwit wordt van een allesomvattende cyberaanval. Cyberstrijdkrachten demonstreren niet hoe sterk zij zijn en organiseren ook geen parades om potentiële vijanden te imponeren. De harde kern van een cyberaanval bestaat uit het gebruik maken van de kwetsbaarheden van vijandige computersystemen. De offensieve cybercapaciteiten van een natie zijn daarom per definitie een streng bewaakt geheim [Libicki 2013].

    Een cyberoorlog concentreert zich op aanvallen tegen de informatienetwerken van de tegenstander en tegen de informationele component van vijandige wapensystemen. Een omvattende aanval op een vijandelijk informatienetwerk maakt het voor het systeem onmogelijk om effectief te vergelden. “In sommige extreme gevallen worden bij een aangevallen staat veel van haar wapens voor een tegenaanval preventief uitgeschakeld” [Goodman 2010:109].

    Operation Orchard
    Een inmiddels bekend voorbeeld is de manier waarop het Israëlische leger op 6 September 2007 een luchtaanval op een nucleaire centrale in Syrië werd uitgevoerd. Deze luchtaanval werd voorbereid door een uitschakeling van de Syrische luchtafweer met behulp van een computerworm. Het uitvallen van de luchtafweer in heel Syrië bood de piloten precies voldoende tijd om de kerncentrale in de Deir-ez-Zor regio te bombarderen. De gebruikte technologie stelt aanvallers in staat om in communicatienetwerken te penetreren, te zien wat vijandige sensors zien en de sensors zo te manipuleren dat een naderend vliegtuig niet wordt opgemerkt [Fulghum 2007a; 2007b, 2007c; Der Spiegel 11.2.2009].

    Strafmaatregelen moeten specifiek gericht, krachtig en direct zijn. Maar als de informatiecapaciteiten van een vijandig kamp voldoende zijn gedegradeerd, is het niet meer mogelijk om te hergroeperen en onmiddellijk een gerichte en effectieve tegenaanval te lanceren. Met andere woorden: cyberoorlog is bijna per definitie gericht tegen de relaties en mechanismen die afschrikking mogelijk en effectief maken. Wie een cyberwapen bouwt, legt de grondslag voor een eerste aanval. Het bouwen van offensieve cybercapaciteiten vereist in de eerste plaats dat men het doelwit in detail kent, inclusief de unieke configuraties van procesbesturingssystemen van water-, energie- en kerncentrales en van sluizen, dammen en communicatiesystemen. Om die doelwitten te leren kennen moet zij eerst worden gepenetreerd en op agressieve wijze worden getest. Het effect daarvan is escalatie, geen afschrikking.

    Bij nucleaire aanvallen is er een waarschuwingstijd van enkele minuten. Daarbij beschikken verantwoordelijke commandanten zowel over tamelijk precieze en betrouwbare informatie over de nucleaire capaciteiten van de vijand als over de omvang van een nucleaire dreiging en het tijdstip van de aanval. In dit scenario beschikken militairen en verantwoordelijke politici over voldoende betrouwbare informatie om een gerichte, effectieve en onmiddellijke tegenaanval te initiëren.

    Inlichtingenvermogen
    Het inlichtingenvermogen van een krijgsmacht is een samenstel van (i) de detectie van aanvallen of van pogingen daartoe, inclusief de omvang daarvan; (ii) de attributie van gedetecteerde aanvallen of pogingen daartoe; (iii) de identificatie van het doel van de aanval, en (iv) de bepaling van de mogelijkheden van een effectieve response.
    Het basisscenario van een cyberoorlog is fundamenteel anders: we kunnen op elk moment zonder waarschuwing vooraf door iedereen vanuit elke plaats op aarde worden aangevallen. In veel gevallen weten we niets eens dat we worden aangevallen, laat staan door wie. In een cyberoorlog is het vroege waarschuwingssysteem van de vijand een van de eerste doelwitten. Bovendien is het zeer lastig om vast te stellen wat de aard, omvang en duurzaamheid van een cyberaanval is. In een informatieoorlog is er een structureel en chronisch gebrek aan strategische inlichtingen om op cyberaanvallen te reageren.

    Militaire commandanten moeten rekening houden en leren omgaan met zeer grote onzekerheden. Zij moeten niet alleen omgaan met de normale mist en fricties van militaire operaties, maar ook met (i) de snelle veranderingen van het strijddomein, (ii) onvoldoende kennis van doelen en dynamieken, en met (iii) onzekerheid over watervaleffecten.

      “De fysieke wereld, altijd gehinderd door frictie, geeft verdedigers een vroege waarschuwing voor aanvallen: radarsignaturen van vliegtuigen of raketten, satellietfoto’s van voorbereidingen voor lanceringen, geconcentreerde tanks bij de grens. Sommige activiteiten in cyberspace, zoals botnet virussen, packet sniffing en netwerkverkenningen, indiceren een of andere soort toekomstige kwaadaardigheid. Maar deze digitale signalen geven niet aan wanneer, hoe, tegen wie en met welk doel netwerkinbraken of andere cyberaanvallen plaatsvinden, terwijl fysieke signalen de meeste of al die informatie wel bieden. Cyberspace biedt geen ondubbelzinnige aanvalstekens zoals die door de fysieke wereld worden geboden” [Goodman 2010:116].

    In een cyberoorlog weten we niet wie precies de vijand is. De vergelding die geïmpliceerd is in de doctrine van afschrikking is daarom aanzienlijk minder effectief. Het identificeren van de werkelijke aanvaller is lastig: cyberaanvallen worden gelanceerd vanaf zombiecomputers en er wordt en wordt vaak onder valse vlag geopereerd. Het onderzoek naar de ware identiteit van de cyberaanvaller neemt relatief veel tijd in beslag. Dit kan zolang duren dat de tegenaanval meer lijkt op agressie dan op vergelding [Libicki 2009:75-90; Clark/Landau 2010:25; OECD 2011:8,59].

      Een bijzondere omstandigheden is de asymmetrie van het strategisch cyberveld. Zelfs als men er in slaag om een cyberaanval toe te schrijven aan een bepaalde actor, dan biedt deze soms niet of nauwelijks doelen in cyberspace die de moeite van een aanval waard zijn. Bovendien worden de servers waarmee de aanval werd ingezet en aangestuurd zo snel mogelijk van het internet ontkoppeld. Mede daarom is het altijd makkelijker, sneller en goedkoper om een vijandig computernetwerk aan te vallen dan om het eigen systeem te beschermen (offensieve dominantie).

    Tenslotte vervalt in een cyberoorlog het onderscheid tussen civiele en militaire doelwitten en tussen combattanten en non-combattanten. Zelfs het onderscheid tussen oorlog en vrede vervaagt: cyberoorlog vindt zowel in vredes- als in oorlogstijd plaats.

    Index


    Mogelijkheden van cyberafschrikking
    Daar staat tegenover dat superieure informationele capaciteiten zouden kunnen voorkomen dat crises exploderen en escaleren. Met andere woorden: beschikking over superieure informatietechnologie en de dreiging van cyberoorlog zouden het gebruik van andere vormen van militaire macht kunnen ontmoedigen. Bovendien blijven cyberoorlog en oorlog op het fysieke domein van conventionele en nucleaire wapens nauw met elkaar verbonden.

      “Cyberafschrikking blijkt in de praktijk gemakkelijker te zijn dan het in theorie lijkt omdat cyberaanvallen uiteindelijk niet te scheiden zijn van het fysieke domein, waar afschrikking al langer een succesverhaal is [Goodman 2010:102].

    Achter de fluwelen handschoen van de cyberafschrikking staat altijd de ijzeren vuist van de conventionele of nucleaire vergelding schuil. Cyberspace is weliswaar een statenloos domein, maar de individuen die informatie manipuleren in cyberspace doen dat toch in een lokale wereld waar zijn onder een staatsgezag ressorteren.

    Het domein van cyberspace stelt in ieder geval unieke eisen aan een effectieve afschrikkingsstrategie. Omdat de voorwaarden voor afschrikking structureel ontbreken, blijft het twijfelachtig hoe effectief een superieur informatie- en communicatietechnologisch potentieel als afschrikking kan fungeren. Internationaal recht en nationaal strafrecht kunnen zodanig worden aangepast dat staten verantwoordelijk worden gehouden voor de cyberaanvallen die vanaf hun grondgebied worden gelanceerd. “Cyberaanvallen bieden de mogelijkheden om staten of infrastructurele providers verantwoordelijk te houden wanneer zij weigeren mee te werken cyberaanvallen toe te schrijven aan de schuldige partijen” [Goodman 2010:113].

    Van effectieve cyberafschrikking kan alleen maar sprake zijn wanneer nationale staten continu met elkaar communiceren over vraagstukken van cyberconflicten. Alleen op die manier kunnen zij er zeker van zijn dat hun ontmoedigende berichten worden ontvangen en begrepen. Staten moeten op geloofwaardige wijze met straffen dreigen. Wanneer staten worden aangevallen moeten zij in staat zijn om de verantwoordelijke staat, staten of niet-statelijke organisaties op de juiste wijze te identificeren. Alleen dan zijn zij in staat tot een directe, gerichte en effectieve tegenaanval. Staten moeten er ook voor zorgen dat zij hun vermogen tot de tegenaanval niet buiten werking wordt gesteld door een overweldigende cyber first strike. De afschrikkende staat moet tenslotte over minstens even sterke informatiewapens beschikken dan haar potentiële tegenstanders om hen van cyberagressie te weerhouden.

    Japan: Search and Destroy
    In Japan is het wettelijk niet toegestaan om offensieve cyberwapens te ontwikkelen waarmee infrastructuren van andere landen kunnen worden ontregeld of vernietigd. Maar dat betekent niet dat er geen initiatieven worden ondernomen om de eigen informationele en communicatieve infrastructuur te verdedigen. En daar zijn ook goede redenen voor: Japanse overheidsinstellingen en bedrijven die wapentuig leveren zijn sinds 2007 bij herhaling doelwit van cyberaanvallen [Osawa 2012].

    In 2008 zette de Japanse overheid een programma in werking dat gericht was op de ontwikkeling van een zeer geavanceerd cyberwapen. Het programma richt zich op het traceren van de routes die door malware worden afgelegd. Het antivirus dat hiervoor werd ontwikkeld identificeert niet alleen de directe bron van de aanval, maar ook alle ‘springplank’ computers die gebruikt worden om een gevaarlijk virus te verspreiden. Hierdoor wordt het niet alleen mogelijk om de afzender aan te vallen, maar kunnen alle computers en netwerken waar de malware langs is gekomen worden uitgeschakeld. Het is een cyberwapen dat primair gericht is op de verdediging van de eigen informationele en communicatieve infrastructuur.

    Het Technische Onderzoeks- en Ontwikkelingsinstituut van het Japanse ministerie van defensie besteedde het project uit aan een particuliere onderneming. Het bedrijf Fujitsu won het contract waardoor 178,5 miljoen yen werd uitgetrokken. Fujitsu heeft het cyberwapen niet alleen ontwikkeld, maar inmiddels ook getest in een gesloten netwerkomgeving [Daily Yomiuri, 3.1.2012. De Japanse overheid zegt dat zij bereid is om haar technologische kennis met betrekking tot verdedigingsmaatregelen in cyberoorlog te delen met andere landen.

    De kracht van het wapen zou gelegen zijn in het kunnen opsporen van de bronnen van DDos-aanvallen. Het is nog onduidelijk of dit wapen ook in staat is om meer ingewikkelde aanvalsprocessen te rechercheren (zoals goed gecamoufleerde spionagevirussen die gericht zijn op het stelen van industriële of militaire informatie). In het post-Stuxnet tijdbperk is het geen verrassing dat overheden proberen nieuwe instrumenten te ontwikkelen om hun digitale grenzen te verdedigen. Toch moeten er vraagtekens worden gesteld bij de manier waarop men dit wil bereiken [Cluley 2012; Bontchev 1993].

    Het risico van dit cyberwapen is dat onschuldige particulieren of bedrijven slachtoffer kunnen worden van een cyberaanval van Japan omdat zij —zonder het te weten— een kwaadaardig virus hebben doorgegeven. Een defensieve strategie met een automatische vergeldingscapaciteit draagt altijd het risico met zich mee dat verkeerde doelen worden getroffen, of dat de reactie buitenproportioneel is [AIV/CAVV 2011:15-6].

    Monitoring the Darknet
    Daedalus-3D-Cyber-Attack-Monitor In 2012 presenteerde het Japanse Nationale Instituut voor Informatie en Communicatie Technologie (NICT) een nieuw alarmsysteem voor cyberaanvallen: Daedalus [video]. Daedalus staat voor Direct Alert Environment for Darknet and Livenet Unified Security. Het is een futuristisch systeem dat alle verdachte activiteiten controleert in een netwerk van computers; het visualiseert het verloop van een aanval terwijl deze door het netwerk beweegt. De ontwikkeling van een cyberaanval wordt driedimensionaal weergegeven en kan vanuit elk perspectief worden bekeken. Naast het normale internet wordt ook het darknet gecontroleerd. Het duistere netwerk van ongebruikte IP-adressen. Cyberaanvallen maken gebruik van deze IP-adressen om virussen te verspreiden en te controleren. Er zijn methoden om het verkeer dat via internet gaat naar deze ongebruikte IP-adressen te identificeren.

    Index Cyberoorlogsrecht

    We hebben gezien dat cyberactiviteiten een steeds grotere rol spelen als potentiële strijdpunten tussen nationale staten. De vraag is hoe het gevaar van een conflict tussen twee of meer staten in cyberspace verkleind kan worden. Is het mogelijk om het gebruik van cyberwapens te controleren of te reguleren? Kan een cyberconflict tussen staten voorkomen worden door bilaterale vertrouwenwekkende maatregelen? Onder welke omstandigheden is überhaupt legitiem om cyberwapens te gebruiken die de vitale infrastructuren van een samenleving ontregelen of vernietigen?

    Voor deze vragen bestaan op dit moment nog geen nationale of internationale wetten en er zijn niet of nauwelijks serieuze beleidsopties om een wettelijke regulaties van militair gebruik van internet te realiseren.

    Index


    Aanknopingspunten voor internationale regulering
    Om deze lacune te dichten zou men eerst kunnen overwegen in hoeverre cyberaanvallen onder het traditionele oorlogsrecht kunnen worden gebracht. Er zijn diverse contractregimes die gebruikt zouden kunnen worden om een internationaal cybercontract te construeren [Shakleford 2009; Carr 2010:32].
    • VN-Handvest
      In het volkenrecht zijn grensoverschrijdende militaire operaties in principe niet toegestaan. Dit geweldsverbod is vastgelegd in artikel 2(4) van het VN-Handvest:

        “In hun internationale betrekkingen onthouden alle Leden zich van bedreiging met of het gebruik van geweld tegen territoriale integriteit of de politieke onafhankelijkheid van een staat, en van elke andere handelwijze die onverenigbaar is met de doelstellingen van de Verenigde Naties.”

      Dit geweldsverbod verbiedt extraterritoriale militaire operaties, en dus ook cyberoperaties voor zover die als geweldgebruik kunnen worden opgevat. Maar de hamvraag is uiteraard of cyberoperaties als ‘gewapend geweld’ gelden en (dus) onder het geweldsverbod vallen [Wingfield 2000:374; Ducheine/Voetelink 2011:280; AIV/CAVV 2011:15,18,38; Boer/Lodder 2012:3].

      Natuurlijk is informatie iets fundamenteel anders dan de traditionele oorlogsinstrumenten: bits en bytes vertonen geen fysieke overeenkomst met kogels en bommen. Een wapen is iets dat schade veroorzaakt. Maar met digitale wapens van massadisruptie kan ook aanzienlijke en duurzame schade worden aangericht. Cyberoperaties die substantiële en duurzame schade aanrichten in een ander land zouden dus in de geest van het Handvest verboden dienen te zijn (tenzij er sprake is van zelfverdediging tegen een gewapende aanval of van een adequaat volkenrechtelijk mandaat door de Verenigde Naties).

      Cyberoorlog scepticus
      Thomas Rid, auteur van het boek Cyber war will not take place keert zich terecht tegen het ongelimiteerd oprekken van het begrip ‘cyberoorlog’. Cyberoorlog moet niet worden geïdentificeerd met cyberspionage: spionage is nog geen oorlog, en cyberspionage is strikt genomen nog geen cyberoorlog —ook al gaat cyberspionage vaak naadloos over in destructieve cyberaanvallen. Zijn stelling is: “If it can’t hurt or kill, it can’t be war” [Rid 2013b]. Maar Rid vat dit criterium wel heel erg beperkt op: zelfs cyberaanvallen die de infrastructuren van een samenleving ontwrichten wil hij per se niet rekenen onder cyberoorlog (“cyber subversion is not cyberwar”). Hij beweert niet dat oorlogen zich niet in cyberspace zullen uitbreiden, maar dat de rol van cyberspace in oorlogsvoering beperkter is dan onheilsprofecten ons willen doen geloven.
      Cyberaanvallen “die meer zijn dan sporadische, geïsoleerde gewapende incidenten en die resulteren in verlies van mensenlevens, letsel, vernietiging of langdurige schade aan fysieke objecten tot gevolg (kunnen) hebben, kunnen worden gekwalificeerd als gewapend conflict in de zin van het humanitair oorlogsrecht” [AIV/CAVV 2011:39]. Cyberaanvallen kunnen immers leiden tot (i) vernietiging of langdurige en ernstige schade aan computersystemen voor het beheer van kritieke militaire of civiele infrastructuur, kunnen (ii) het vermogen van de staat om essentiële overheidsfuncties te vervullen ernstig aantasten, en daarbij (iii) ernstige en langdurige schade toebrengen aan de economische of financiële stabiliteit van de staat en zijn bevolking.

      Als dat daadwerkelijk het geval is kan een nationale staat zich beroepen op de gewoonterechtelijke regel dat ieder land het recht heeft om zichzelf te verdedigen tegen een aanval van een ander land, zoals gecodificeerd in artikel 51 van het Handvest van de Verenigde Naties [Voetelink 2005; Ducheine 2009]. Het Handvest kent het recht op zelfverdediging toe aan naties waartegen geweld is toegepast, ongeacht de wapens die daarbij worden gebruikt [NATO-Manual 2013: 42].

    • Nucleaire non-proliferatieverdragen
      Het verdrag over de non-proliferatie van nucleaire wapens (NPT) trad op 5 maart 1970 in werking. Het verbiedt het gebruik en zelfs het bezit van nucleaire wapens, terwijl het tegelijkertijd legitiem niet-militair gebruik mogelijk maakt. De Chemical Weapons Convention (CWC) trad in april 1997 in werking. De Russische overheid pleit voor een internationaal cyberverdrag langs de lijnen die ontwikkeld zijn voor de non-proliferatie van chemische wapens [Markoff/Kramer 2009; O’Connel 2012:205]. De Amerikaanse regering heeft zich tot nu toe heftig verzet tegen een dergelijk verdrag voor cyberspace.
      Nucleaire non-proliferatieverdragen zijn tot stand gekomen om de verspreiding van nucleaire wapens te beperken in de vroegste stadia van hun ontwikkeling (dus op het niveau van een nucleaire reactor). Deze verdragen zijn effectief omdat de onderdelen voor het maken van een nucleair apparaat uiterst beperkt zijn en nauwkeurig kunnen worden gemonitord.

      Voor de onderdelen van de cyberoorlog ligt dit heel anders. Praktisch alles wat een aanvaller nodig heeft, is op internet wijd verspreid en grotendeels vrij beschikbaar. Cyberwapens zijn gemakkelijk te verbergen en kunnen offensieve capaciteiten heimelijk worden ontwikkeld en getest. Daarom kan een non-proliferatieverdrag voor de componenten van cyberoorlog nooit effectief zijn. Toezicht op het ontwikkelen en verspreiden van cyberwapens valt nauwelijks te reguleren [Denning 2001b; AIV/CAVV 2011:13; Krepinevich 2012]. Een cyberoorlog wordt uitgevochten met de wapens der zwakkeren en door grote massa’s die zowel vrijelijk kunnen beschikken over de hard- en software die nodig zijn om cyberaanvallen uit te oefenen, als over de vaardigheden om deze cyberwapens te hanteren.

      Obstakels voor verificatie
      Er zijn natuurlijk wel instrumenten waarmee sommige cyberwapens kunnen worden opgespoord. Maar deze instrumenten zijn allesbehalve perfect. Cyberwapens worden zo geconstrueerd dat zij de bestaande detectoren kunnen misleiden. De meeste antivirale instrumenten zoeken alleen naar bekende virussen. De meest effectieve virussen en wormen zijn succesvol omdat zij nieuw zijn en aan detectie ontsnappen.

      Cyberwapens worden ontwikkeld zonder speciale fysieke materialen (zoals uranium), productie-installaties (zoals kerncentrales) en zonder opvallende laboratorium faciliteiten. Als cyberwapens eenmaal zijn ontwikkeld, kunnen zij met het grootste gemak, razendsnel en praktisch kosteloos worden gekopieerd en via het internet of usb-sticks worden verspreid naar andere locaties. Bovendien kan het bezit en de verspreiding van cyberwapens met allerlei technieken en methoden worden verborgen.

      Een internationaal verdrag waarin het ontwikkelen, verspreiden of in bezit hebben van (bepaalde) cyberwapens wordt verboden, is daarom eigenlijk niet te controleren. Om te verifiëren of een staat over verboden cyberwapens beschikt, zou men een zo vergaande inbreuk moeten maken op de nationale soevereiniteit dat dit door geen enkel land geaccepteerd zou worden. Om vast te stellen of een overheidsinstelling toegang heeft tot verboden cyberwapens zou men alle computers en opslagapparaten van die instelling moeten scannen, inclusief alle geclassificeerde informatiesystemen. Geen enkele overheid zou daarmee instemmen.

    • Antarctisch verdrag
      Men kan ook overwegen om alle wapens uit het cyberdomein te bannen, zoals dit gebeurt in het Antarctisch verdrag. Volgens dit verdrag zijn alle soorten militaire activiteiten in Antarctica verboden. Antarctica mag alleen voor vreedzame doeleinden worden gebruikt.

      Het probleem is echter dat het onmogelijk is een onderscheid te maken tussen programmacode die gebruikt wordt voor vreedzame doeleinden en code die gebruikt wordt voor kwaadaardige of destructieve doelen. Bovendien bestaan er in cyberspace geen duidelijk afgebakende grenzen.

      Een verbod of regulering van offensieve cyberwapens zou het onderzoek naar digitale veiligheid aanzienlijk beperken. Het is immers onmogelijk om een sterke cyberdefensie op te bouwen zonder dat men weet welke aanvallen mogelijk zijn en welke kwetsbaarheden kunnen worden uitgebuit. Onderzoek naar digitale aanvalsmethoden en technieken is een belangrijk onderdeel van elke strategie van cyberveiligheid. Men weet pas hoe robuust en crisisbestendig de informationele en communicatieve infrastructuur van een land is als men met behulp van hackinstrumenten de zwakheden van systemen en subsystemen heeft getest.

    • Conventie over internationale wateren
      In de VN-conventie over internationale wateren worden de rechten en plichten geregeld voor de interactie op zee. Toepassing van een dergelijke conventie op cyberspace is praktisch onmogelijk omdat dit een regulering van de technologische ontwikkeling met zich mee zou brengen.

    • Wederzijdse juridische bijstandsovereenkomsten
      Er zijn diverse overeenkomsten tussen staten die wederzijdse juridische ondersteuning bieden in geval van opsporing en arrestatie van criminelen, oorlogsmisdadigers en terroristen. Dergelijke bilaterale interstatelijke overeenkomsten zouden ook gesloten kunnen worden om cybercriminelen op te sporen en te vangen.

    Internationaal recht in cyberspace
    In 2011 presenteerde de Amerikaanse president Obama zijn International Strategy for Cyberspace. Daarin wordt opgemerkt “dat de ontwikkeling van normen voor staatsgedrag in cyberspace geen heruitvinding van het geldende internationale recht vereist, noch maakt het bestaande internationale normen achterhaald. Al langer geldende internationale normen die staatsgedrag reguleren —in tijden van vrede en conflict— zijn ook in cyberspace van toepassing.” Maar in het document wordt ook opgemerkt dat de “unieke kenmerken van genetwerkte technologie aanvullend werk vereist om te verduidelijken hoe deze normen moeten worden toegepast en welke aanvullende bepalingen noodzakelijk zijn om ze te vervolledigen.”
    De bestaande internationale verdragen dus niet veel aanknopingspunten voor een regulering van het internet. De meeste internationale overeenkomsten en praktijken van nationale staten die gewapende conflicten reguleren stammen uit het predigitale tijdperk. Het oorlogsrecht kwam tot stand vóórdat er cyberoperaties bestonden [Todd 2009; Ducheine/Voetelink 2011:283]. “De internationale wetten die verbonden zijn met het gebruik van geweld zijn jammerlijk inadequaat wat betreft het adresseren van de dreiging van cyberoorlog” [Addicott 2010]. De meeste experts zijn het er daarom over eens dat het de hoogste tijd is om een nieuw international verdrag tot stand te brengen dat de cyberoorlog reguleert. Maar de weerstanden tegen een internationale regulering van de cyberoorlog zijn enorm [Denning 2001b; Fulghum 2011d, 2011e, 2011f].

    Deze controverse laat zich het best illustreren aan verschillende visies die de Chinese en de Amerikaanse regeringen hebben over een internationale gedragscode die door de Verenigde Naties opgesteld zou kunnen worden.

    De Chinese overheid streeft naar gezamenlijke internationale regels tegen cybercriminaliteit. Daarom diende zij in 2011 samen met Rusland, Tadzijkistan en Oezbekistan bij de Verenigde Naties een voorstel in ‘International Code of Conduct for Information Security’ (ICCIS). In dit voorstel wordt gestreefd naar uniforme internationale regels om de veiligheid in cyberspace te garanderen [Xinhuanet, 29.5.12]. ICCIS benadrukt dat landen het recht en de verplichting hebben om hun informatie systemen en netwerkstructuren in cyberspace te beschermen tegen dreigingen, interventies en sabotageaanvallen. Maar zij hebben niet het recht om ict te gebruiken om ‘vijandig gedrag’ en ‘agressieve handelingen’ te faciliteren of om de internationale vrede en veiligheid te bedreigen.

    Volgens de gedragscode moet “de verspreiding van informatie die aanzet tot terrorisme, separatisme of extremisme of die de politieke, economische en sociale stabiliteit van andere landen ondermijnen” worden verboden. Dergelijke formuleringen zijn koren op de molen van dictatoriale staten. Zij legitimeren hardvochtig optreden tegen elke vorm van kritiek en dissidentie.
    Het venijn schuilt ergens anders. ICCIS geeft elke staat het recht om internationale communicaties te censureren of te blokkeren om welke reden dan ook. De frase over “het ondermijnen van de spirituele en culturele omgeving” kan gebruikt worden om alle opinies die een regering niet bevallen weg te filteren en kan zelfs gebruikt worden voor handelsprotectie in culturele industrieën. “Deze resolutie is dus gewoon weer een volgende armzalige poging om territoriale soevereiniteit op te leggen aan een internet dat daarmee fundamenteel inconsistent is” [Martin Mueller 2011].

    De Amerikaanse overheid steunt dit ontwerpvoorstel niet. Zij is van mening dat individuele naties hun internet zelf moeten controleren en reguleren [TG Daily, 21.10.11; Infowars, 29.5.12]. Dat klinkt redelijk. Maar het venijn van het voorstel van Barack Obama zit
    “Cyberspace is real. And so are the risks that come with it. From now on, our digital infrastructure — the networks and computers we depend on every day— will be treated as they should be, as a strategic national asset” [Barack Obama, 29.5.09].
    in de militarisering van de controle over het internet. Obama claimt het internet als een “strategic national asset”. Bescherming van het internet wordt door Obama vertaald in een prioriteit bij de handhaving van de nationale veiligheid.

    Tot nu toe heeft de VS geweigerd om met China en Rusland te spreken over de regulering van het internet. De Amerikaanse overheid denkt dat elke stap in de richting van een verdrag een ondermijning betekent van haar vermeende superioriteit op het gebied van cyberwapens en robotica [Schneier 2012a]. Zij vreest dat China en Rusland algemene regelingen van militaire activiteiten in cyberspace zal gebruiken om de krachtige instrumenten waarover zij al beschikken om de vrijheid van hun burgers op het internet aan banden te leggen te rechtvaardigen en verder te versterken [New York Times, 24.6.12].

    Index


    Een nieuw internationaal of bilateraal verdrag?
    In de strijd tegen cybercriminaliteit en -terrorisme en vooral in een interstatelijke cyberoorlog moeten belangrijke principes van het internationale recht overeind worden gehouden. De soevereiniteit van nationale staten moet worden gerespecteerd en dat betekent geen inmenging in binnenlandse aangelegenheden van andere staten.

    Politiek gemotiveerde cyberaanvallen die door nationale overheden worden georganiseerd, kunnen in principe als oorlogmisdaden worden aangeduid. Een nationale staat kan ook verantwoordelijk worden gehouden voor het gedrag van particuliere burgers die cyberaanvallen plegen op buitenlandse doelen, voor zover zij effectieve controle kunnen uitoefenen over die burgers.

    Strafrecht vs Internationaal recht
    Sommige auteurs zien geen enkele heil in een internationale regulering van de ontwikkeling, de verspreiding en het bezit van cyberwapens. Zij vinden dat een verdrag dat zich beperkt tot strafrecht de voorkeur verdient boven een verdrag dat het gedrag van natiestaten onder internationaal recht regelt. In haar afweging van de obstakels en opties voor een verdrag dat cyberwapens controleert concludeert Dorothy Denning [2001b]: “De productie, distributie en het bezit van cyberwapens zou niet gecontroleerd moeten worden behalve wanneer de bedoeling is om deze wapens te gebruiken om misdaden te begaan.”
    De meest logische stap om cyberoorlog terug te dringen is via een nieuw internationaal verdrag dat statelijk georganiseerde cyberaanvallen verbiedt of aan zeer strikte voorwaarden verbindt. Daaraan zou een goeduitgeruste waakhondinstelling verbonden moeten worden die toezicht houdt op alle fenomenen die op een cyberaanval duiden, die in staat is om vast te stellen in hoeverre cyberincidenten aan specifieke staten zijn toe te schrijven, en die waarschuwen wanneer er een cyberoorlog oplaait.

    Waarschijnlijk is deze logische stap nu nog een paar bruggen te ver. Er is geen brede internationale steun voor een uitbanning of regulering van cyberwapens. Daarom lijkt de meest praktische stap op korte termijn dat staten bilaterale overeenkomsten sluiten om cyberoorlogen te voorkomen, en dat zij daarover in hun regionale politieke en militaire associaties (EU en NAVO) duidelijke, effectieve en controleerbare afspraken maken.

    Een hoopvolle ontwikkeling is dat China en de Verenigde staten in 2011 twee gezamenlijke cyberdefensie-oefeningen organiseerden en dat daaraan in mei 2012 een vervolg gaven. Tijdens de eerste bijeenkomst gaven beide kanten aan wat zij zouden doen als zij zouden worden aangevallen door een geavanceerd computervirus zoals Stuxnet. In de tweede bijeenkomst gaven zij aan wat hun reactie zou zijn wanneer bekend was dat de aanval van de andere kant was gelanceerd. Het doel van deze oefeningen is om een militaire escalatie van cyberaanvallen te voorkomen. Door dergelijke oefeningen kunnen overheidsfunctionarissen en leden van inlichtingendiensten direct met elkaar in contact komen in een minder formele omgeving [Guardian, 16.4.12].

    Consensus over begrippen
    In april 2011 bereikten de VS en Rusland een akkoord over twintig begrippen (zoals cyberoorlog, cyberterrorisme en cybercrime). Deze consensus over de termen is een belangrijke voorwaarde om tot internationale afspraken te komen over de regels van een cyberconflict. “Het samen definiëren van de termen is de eerste stap om een internationale cybersecurity-overeenkomst te sluiten” [Karl Rauscher, in EastWest Institute, 26.4.11].
    De relaties tussen de VS en Rusland vertonen eenzelfde beeld. In april 2012 werd een overeenkomst gesloten om het veilige nucleaire communicatiesysteem te gebruiken om mogelijke misverstanden in cyberspace tijdig te voorkomen. In 1988 werd het Nuclear Risk Reduction Center (NRRC] opgericht dat gebruikt wordt om elkaar te waarschuwen voor rakettesten en ruimtelanceringen die als agressieve daden zouden kunnen worden opgevat. Dit communicatiesysteem gaat nu ook gebruikt worden om elkaar op de hoogte te houden over cyberaanvallen die ogenschijnlijk vanuit het grondgebied van de ander worden gelanceerd. De overeenkomst was het sluitstuk van onderhandelingen die in februari 2011 waren begonnen. De overeenkomst is erop gericht het gevaar van een conflict in cyberspace te verkleinen en wordt door beide partijen gezien als een eerste stap om cyberspace stabieler te maken. Om een cyberconflict tussen staten te voorkomen worden vertrouwenwekkende maatregelen genomen. Het pleidooi van de Russische regering voor een algemene verbod van cyberwapens (vergelijkbaar met het verbod op gebruik van gifgassen) vindt bij andere staten echter weinig steun [TotalTelecom, 7.9.2012; Xinhuanet, 28.04.2012; White House, 17.6.13; Webwereld, 19.6.13]

    Legitieme cyberaanvallen
    Een van de meest voor de hand liggende voorwaarden van legitieme cyberaanvallen door nationale staten is dat alleen (cyber of kinetische) wapens gebruikt mogen worden die in staat zijn tot distinctie, en dus specifiek gericht kunnen worden tegen legitieme militaire doelen [Koh 2010]. Legitiem militaire doelen zijn “objectieven die door hun aard, ligging, bestemming of gebruik een daadwerkelijke bijdrage tot de krijgsverrichtingen leveren en waarvan de gehele of gedeeltelijke vernietiging, verovering of onbruikbaarmaking onder de omstandigheden van dat moment een duidelijk militair voordeel oplevert“ [Artikel 52, Aanvullend Protocol I bij de Conventies van Genève].

    Elke aanval dient in de eerste plaats door militaire noodzaak te worden gerechtvaardigd. Een object mag echter niet worden aangevallen wanneer de schade aan burgers en civiele objecten excessief zou zijn in vergelijking met dat militaire voordeel (principe van proportionaliteit). Wanneer er twijfels zijn of een normale civiele faciliteit bijdraagt aan militaire actie, wordt het object geacht civiel te zijn.

    • Legitieme militaire doelen: strijdkrachten en personen die deelnemen aan het gevecht; posities of installaties die door strijdkrachten worden bezet en doelen die in de strijd direct omstreden zijn; militaire installaties zoals barakken, oorlogsministeries, opslagplaatsen voor munitie en brandstof, garages van voertuigen, vliegvelden, raketlanceerinstellingen, en marinebases.
    • Legitieme infrastructurele doelen: communicatiekanalen en -middelen, commando- en controlecentra, spoorwegen, wegen, bruggen, tunnels en kanalen die van fundamenteel militair belang zijn.
    • Legitieme communicatiedoelen: radio- en televisiestations, telefoonverbindingen van fundamenteel militair belang.
    • Legitieme militair-industriële doelen: wapenfabrieken, transport- en communicatie-uitrusting voor het leger; metallurgische en chemische industrieën waarvan de aard of doel in essentie militair is; de opslag- en transportinstallaties die dergelijke industrieën steunen.
    • Legitieme militaire onderzoeksdoelen: experimentele onderzoekscentra voor de ontwikkeling van wapens en oorlogsmaterieel.
    • Legitieme energiedoelen: installaties die voornamelijk energie leveren aan nationale defensie, zoals kolen en andere brandstoffen, en bedrijven die hoofdzakelijk gas of elektriciteit produceren voor militaire consumptie. Aanvallen op nucleaire installatie en hydro-elektrische dammen worden in het algemeen, maar niet altijd, verboden door het oorlogsrecht.

    Oorlogsmisdaden zijn aanvallen op niet-legitieme militaire doelen [Crimes of War]. In de praktijk is het echter vaak lastig om een onderscheid te maken tussen militaire doelen en burgerdoelen en tussen combattanten en burgers. Veel van de informationele en communicatieve infrastructuren die bij cyberconflicten inzet van strijd vormen vervullen zowel een militaire als een civiele functie [Ducheine/Voetelink 2011:284; NATO-Manual 2013: art. 51].

    Distinctie en schaalbaarheid
    In de fysieke wereld heeft een aanval een beperkt aantal doelen en daarom zijn de uitkomsten in het algemeen voorspelbaar. Een gebalde vuist, een mes, een tank en een nucleair wapen hebben allemaal specifieke voorspelbare effecten. Maar in cyberspace kan een enkel aanvalswapen een breed spectrum effecten hebben. Daarom is het veel moeilijker om de schaal van een aanval te voorspellen. De schaalbaarheid van cyberaanvallen schept dus problemen voor het handhaven van afschrikkingsdrempels [Goodman 2010:116].

    Index Europese perspectieven: veiligheid en vrijheid

      “De mensen worden steeds afhankelijker van het internet en het wordt dus steeds belangrijker dat het veilig is. Een veilig internet beschermt onze vrijheid, onze rechten en onze mogelijkheden om zaken te doen. Het is tijd om gecoördineerd op te treden; als we niets doen, zijn de kosten veel hoger dan als we actie ondernemen” [Nelie Kroes, vicevoorzitter van de Europese Commissie voor de Digitale agenda].

    Europa reguleert zichzelf
    De ENISA (European Network and information Security Agency) doet aanbevelingen aan de lidstaten over informatiebeveiliging en draagt bij aan de versterking van de veerkracht van de kritieke informationele infrastructuur en netwerken van Europa.

    Legertoetseniers (Olivier Le Queinec)
     
      In oktober 2012 organiseerde ENISA een oefening in cyberoorlog voor meer dan 300 beveiligingsprofessionals in Europa. De deelnemers moesten zich weren tegen diverse cyberaanvallen, inclusief een DDoS-aanval. Het doel van de oefening was om de effectiviteit en schaalbaarheid te testen van de informatievoorziening tussen samenwerkende publieke autoriteiten. Daarbij werd ook de samenwerking tussen publieke en particuliere belanghebbenden getest en de manier waarop grootschalige cyberincidenten effectiever kunnen worden afgehandeld.

    Digitale brandweer
    Sinds kort wordt in plaats van «CERT» ook wel de afkorting «CSIRT» (Computer Security and Incident Response Team) gebruikt. Met deze term wordt het karakter van een brandweer benadrukt, die onder alle omstandigheden in staat is om direct te reageren wanneer zich veiligheidsincidenten voordoen.
    Het belangrijkste instrument om deze kritieke informationele infrastructuur op Europees niveau te beschermen zijn de Computer Emergency Response Teams (CERTs). Deze CERTs moeten primaire beveiligingsdiensten leveren aan overheden en burgers. Zij moeten ook het bewustzijn van veiligheidrisico’s vergroten en mensen leren om met deze risico’s om te gaan.

    Op 7 februari 2013 presenteerde de Europese Commissie haar Cybersecurity Strategie. Deze nieuwe strategie zou de digitale informatiesystemen veerkrachtiger moeten maken, cybercriminaliteit terugdringen en het internatinonale cyberbeveiligingsbebeleid en de cyberdefensie van de EU versterken.

    De lidstaten moeten een strategie vaststellen voor netwerk- en informatiebeveiliging en bevoegde nationale instantie aanwijzenvoor netwerk- en informatiebeveiliging. Er wordt een Europees samenwerkingsverband opgericht om —via een veilige infrastructuur— vroegtijdige waarschuwingen over risico’s en incidenten te delen. De exploitanten van vitale infrastructuur moeten risicobeheersregelingen invoeren en ernstige incidenten met betrekking tot hun kerndiensten melden. Het doel van de strategie is om “de Europese kernwaarden vrijheid en democratie te bevorderen en te waarborgen dat de digitale economie op een veilige manier kan groeien.”

    De lidstaten worden verplicht om één nationale instantie voor technische expertise en internationale samenwerking aan te wijzen. Dat klinkt logisch, maar er zijn ook een aantal bezwaren. Een groot deel van de vitale infrastructuur is immers in handen van particuliere en vaak buitenlandse bedrijven. Een sterk gecentraliseerd en geclassificeerd systeem zou het voor deze partijen wel eens lastiger kunnen maken om mee te doen. “Centralisatie schaadt niet alleen de scheiding der machten die essentieel in elke democratie is, maar schaadt ook operationele effectiviteit” [Ross Anderson].

    Index


    Europees dreigingsbeeld: patronen en trends
    In de Threat Landscape [8.1.13] van ENISA wordt het Europese dreigingsbeeld in kaart gebracht.
    • Drive-by Exploits
      Bij de drinkplaats wachten roofdieren op hun kwetsbare prooien
      Een drive-by exploit werkt als volgt. De aanvaller plaatst exploitcode of een verwijzing hiernaar op een gehackte of kwaadaardige website. Deze code detecteert of bezoekers van de website ontepatchte en kwetsbare software gebruiken. Als dit het geval is kan de exploitcode via een beveiligingslek in bijvoorbeeld Java, Adobe Reader of Flash Player de computer met malware infecteren. Het merendeel van de computers (90%) wordt besmet via Java-lekken in de browser.
      De belangrijkste dreiging op het web is drive-by exploit. Daarbij wordt kwaadaardige code in de HTML-code van websites geïnjecteerd die kwetsbaarheden van browsers misbruikt. Zodra een bezoeker zo’n website bezoekt wordt zijn computer besmet. Kwaadaardige links vormen veruit de grootste dreiging op het internet. Links die leiden naar recent gehackte websites of websites die speciaal gemaakt zijn door malwaremakers, zijn goed voor 91,4 procent [Webwereld, 20.5.13].
    • Wormen en Trojaanse paarden
      Cybercriminelen maken meestal gebruik van trojaanse paarden —zoals Autorun en Conficker— die heimelijk in gebruikerssystemen worden geïnjecteerd. Zij zetten achterdeurtjes open (Remote Access Trojans - RATs) of stelen data en wachtwoorden van gebruikers. Om de wormen en trojaanse paarden te verspreiden wordt steeds meer gebruik gemaakt van de sociale netwerken. Voor de mobiele platforms zijn Trojaanse paarden de belangrijkste bedreiging. De verscheidenheid van deze malware is erg groot: van eenvoudige SMS-Trojans tot aan multifunctionele en meer geavanceerde —informatie stelende— Trojaanse paarden.
    • Code injecterende aanvallen
      Een steeds meer gebruikte aanvalstechniek tegen webapplicaties zijn de SQL-injectie (SQLi), cross-site scripting (XSS), cross-site request forgery (CSRF) en Remote File Influsion (RFI).
    • Exploitatie pakketten
      Exploitatie pakketten (exploit kits) zijn zeer gebruiksvriendelijke softwarepakketten die cybermidaad automatiseren. Zij gebruiken een hele serie kanalen om malware te verspreiden en onoplettende webgebruikers te infecteren. Er is sprake van een toenemende professionalisering en commercialisering van de productie en verspreiding van software voor cybercriminaliteit. De meest gebruikte exploitatie pakket in 2012 was Blackhole (ook wel Blacole).
    • Botnets
      Om de stabiliteit van botnets te vergroten wordt de infrastructuur voor command & control gedecentraliseerd met behulp van peer-to-peer technologieën. Steeds meer botnets zijn multifunctioneel inzetbaar. Botnets kunnen op de vrije internetmarkt worden gehuurd om de eigen malware te verspreiden. In plaats van massieve botnets die veel aandacht trekken van justitie en beveiligingsdiensten wordt steeds meer gebruik gemaakt van kleinere botnets die moeilijke opgespoord en vernietigd kunnen worden.
    • Denial-of-service
      Volgens een onderzoek van Stratecast nemen DDoS-aanvallen jaarlijks tot met 20 tot 45%. DDoS-aanvallen op de applicatielaag stijgen zelfs met drie cijfers.
      DDoS-aanvallen worden steeds geavanceerde en richten zich op steeds meer applicaties (zoals HTTP, DNS en SMTP). De belangrijkste motivaties van DDoS-aanvallen zijn hacktivisme, vandalisme en afpersing. Het aantal DDoS-aanvallen blijft stabiel.

      Ook al nemen DDoS-aanvallen niet meer sterk toe in absolute aantallen, zij gebruiken wel steeds meer brandbreedte. In het eerste kwartaal van 2013 nam de bandbreedte die door DDoS-aanvallen wordt gebruikt toe met 718 procent. Er werd toen 48,25 Gbps aan bandbreedte opgeslokt door deze aanvallen terwel dat in het laatste kwartaal van 2012 nog 5,9 GBps was. Het totale aantal DDoS-aanvallen groeide slechts met 1,75 procent. DDoS-aanvallen maken dus dus gemiddeld steeds meer bandbreedte in beslag en ze duren gemiddeld langer [Prolexic 2013].

    • Hengelen (phishing)
      Hengelaars gebruiken uiteenlopende methoden van misleiding om hun slachtoffers te verleiden om hun wachtwoorden en creditcardnummers af te staan. De hengelpraktijken richten zich vooral op financiële instellingen. Maar er wordt ook gehengeld bij sociale netwerken, providers, non-profit organisaties, besteldiensten en overheidssectoren. Hengelen richt zich op PCs, maar ook steeds meer op mobiele platforms (vooral via SMS-berichten). De frequentie van hengelen blijft stabiel.
    • Compromitteren van vertrouwelijke informatie
      Het aantal datadiefstallen bij gezondheidsorganisaties is sterk toegenomen. De opbouw van grote systemen met patiëntendossiers trekt de aandacht van cybercriminelen. De inbraken op de datasystemen worden meer gericht. Veel diestallen zouden voorkomen kunnen worden als de organisaties wat strenger zouden toezien op het op peil houden van de dataprotectie.
    • Rogueware/Scareware
      Rogueware is een soort nepsoftware waarmee cybercriminelen gebruikers lokken naar plaatsen waar zij besmet worden. Scareware is nepbeveiligingssoftware dat computers infecteert door een vals veiligheidsalarm te geven. De verspreiding van malafide beveiligingssoftware blijft stabiel, maar er is wel een toenemend gebruik van het zgn. politievirus (een variant van afperssoftware).
    • Spam
      Door allerlei maatregelen op nationaal en internationaal niveau is vanaf 2011 de hoeveelheid spam significant kleiner geworden. In 2012 heeft deze trend zich doorgezet. Massieve en aselectieve verspreiding van ongevraagde reklame is afgenomen, maar de aandacht wordt nu gericht op sociale netwerken en meer doelgerichte —regionaal gespecialiseerde— benaderingen.
    • Gerichte aanvallen: speervissen
      Een toenemend aantal cyberaanvallen richt zich op een specifieke organisatie (of afdeling van een organisatie) en strekt zich uit over een langere periode. In de eerste fase wordt alleen maar heimelijk informatie verzameld. In tweede instantie worden geavanceerde exploitatietechnieken gebruikt. Kleinere ondernemingen met minder beveiligingsmaatregelen zijn het gemakkelijkste doelwit. De meeste inbraakpogingen richtten zich op de energiesector. Er is een sterke stijging in het misbruik van kwetsbaarheden van procescontrolesystemen (SCADA-systemen). Cyberwapens zoals Stuxnet, Duqu en Flame zijn zeer geavanceerd en geschikt voor gerichte aanvallen.
    • Fysieke diefstal/Verlies/Schade
      Door het toenemend gebruik van mobiele communicatie neemt de kans toe dat de apparaten zelf (smartphones, tablets, laptops) gestolen worden. Het verliezen of de diefstal van mobiele apparaten wordt een steeds grotere bedreiging voor ondernemingen. Een van de belangrijkste oorzaken van datadiefstal is de fysieke diefstal van apparaten die gevoelige informatie bevatten.
    • Identiteitsdiefstal
      Cybercriminelen hebben een zeer professionele manier om het thuisbankieren te exploiteren. Er worden steeds betere Trojaanse paarden ontwikkeld voor identiteitsdiefstal en identiteitsfraude. Zeus en SpyEye zijn de twee belangrijkste families van banking trojans die gespecialiseerd zijn in het stelen van online bankcredenties. Door de toename van het mobiel bankieren richten criminelen zich steeds meer op het hacken van mobiele telefoons. Ofwel door ze te infecteren met mobiele versies van de bekende Trojaanse paarden, ofwel door het afluisteren van het draadloze wifi-verkeer (met bijvoorbeeld Faceniff of DroidSheep).
    • Misbruik van informatielekken
      Het bewust of onbewust lekken van gevoelige informatie neemt toe. Via de mobiele platforms worden steeds meer gebruikersgegevens en geolocaties verzameld. Aggressieve adverteerders brengen mobiele applicaties op de markt waardoor zij zonder daarvoor toestemming te vragen toegang krijgen tot alle gegevens over de mobiele activiteiten van de gebruikers. Ook in cloudomgevingen zijn er manieren om ongeautoriseerd toegang te krijgen tot de opgeslagen data.
    • Vergiftiging van zoekmachines
      Cyberaanvallen worden ook uitgevoerd door het vergiftigen van zoekmachines. De aanvallers zorgen ervoor dat zij met aantrekkelijke onderwerpen hoog is de resultatenlijst komen te staan. Zodra gebruikers daarop klikken worden zij doorgestuurd naar websites die de software van de bezoekers besmetten met malware. Het gebruik van deze aanvalsvorm blijft stabiel.
    • Vervalste certificaten
      Digitale certificaten zijn een middel om online vertrouwen te versterken. Aanvallers stelen deze certificaten of maken ze na. Daarmee wordt malware ondertekent die niet meer als zodanig herkend kan worden en ontsnappen aan detectiemechanismen. Geavanceerde malware zoals Stuxnet, Duqu en Flame maken zeer creatief gebruik van nepcertificaten om heimelijk hun kwaadaardige werk te kunnen doen.

    De meest algemene trend in patronen van cyberaanvallen is dat zij zich steeds meer richten op mobiele systemen. Alle mobiele communicatie verloopt over slecht beveiligde (GSM) of niet-beveiligde kanalen (wifi). De software waarmee de mobiele apparaten werken is niet of nauwelijks beveiligd. En tenslotte kunnen de mobiele apparaten gemakkelijk worden verloren of gestolen.

    Cyberaanvallen richten zich ook steeds sterker op virtuele sociale netwerken zoals Facebook en LinkedIn. De sociale technologie (met haar grote aantallen gebruikers en sterke onderlinge verwevenheid) is een van de belangrijkste doelwitten van kwaadaardige aanvallen. De sociale netwerken zelf hebben een zeer laag niveau van beveiliging en controle. Aanvallers ontwikkelen steeds verfijnder technieken om misbruik te maken van vertrouwensrelaties binnen de sociale media. De functies van sociale media kunnen gemakkelijk worden misbruikt om misinformatie te verspreiden en om politieke opinies te controleren. De belangrijkste toegangspoorten van sociale netwerken zijn mobiele apparaten.

    De vitale infrastructuren spelen een kritieke rol voor zowel het welzijn van burgers als voor de nationale veiligheid. Veel cyberaanvallen richten zich op deze infrastructuren door misbruik te maken van veiligheidslekken in de onderling verbonden systemen. De aanvalsmethoden zijn zover ontwikkeld dat zij gebruikt kunnen worden voor een cyberoorlog.

    Op het internet wordt institutioneel vertrouwen vooral geschraagd door certificatiesystemen waarmee software wordt geauthentiseerd, en waarmee de online communicatie wordt beveiligd. Aanvallen op deze vertrouwensinfrastructuur —zoals de aanval op Diginotar—hebben zeer grote gevolgen voor de informatieveiligheid en voor de nationale veiligheid.

    De wolkdiensten worden steeds meer gebruikt als instrument om informatie op te slaan en te delen via diverse apparaten en platforms. De concentratie van grote hoeveelheden data in een paar locaties maakt cloud computing een lucratief doelwit voor cybercriminelen. De omvang van dergelijke informatiebergen rechtvaardigt een eveneens grote investering om een aanval uit te voeren. De integratie van de wolkdiensten in mobiele apparaten maakt zo’n aanval nog eenvoudiger. Aanvallers zullen in de toekomst steeds meer kwestbaarheden van mobiele apparaten exploiteren om toegang te krijgen tot wolkdiensten.

    Index Duitsland: een strategische verlichting?

    Eind 2000 ontdekte de Duitse inlichtingendienst (BND) dat toekomstige oorlogen ook op het slagveld-internet zouden kunnen plaatsvinden. Zij concludeerde dat oorlogsvoering op het internet een nieuwe bedreiging was voor alle staten in de wereld en dat cyberwapens in de toekomst een integraal bestandeel zullen worden van interstatelijke confrontaties [Der Spiegel, 25.10.2000].

    De betekenis van cyberterrorisme voor staten werd in het vakblad Soldat und Technik benadrukt: “De gevaren zijn niet meer zoals voorheen beperkt tot verliezen in de strijd, maar kunnen binnen korte tijd een moderne staatsstructuur gestabiliseren of in het extreme geval zelfs vernietigen.”

    In de Tomburg-kazene in Rheinbach bij Bonn is de Abteilung Informations- und Computernetzwerkoperationen van het Kommando Strategische Aufklärung (KSA) gevestigd. Met ca. 7.000 personeelsleden is dit de grootste afdeling van het Duitse leger. De cybereenheid staat onder leiding van brigadegeneraal Friedric Wilhelm Kriesel. De 76 medewerkers van de cybereenheid werden in eerste instantie gerekruteerd uit de afgestudeerden van de vakgroep informatica aan de militaire universiteiten.

    Index


    Militarisering van analoge en digitale ruimte— Vredespolitiek
    Sinds 2008 heeft het Kommando Strategische Aufklärung (KSA) het spionagesysteem SAR-Lupe tot zijn beschikking. Met vijf satellieten kan de SAR-Lupe onafhankelijk van daglicht en weersomstandigheden beelden leveren met een resolutie van minder dan een meter. Bijna elk punt op aarde kan daarmee in kaart worden gebracht. Het verzamelt en evalueert informatie over de militair-politieke situatie in afzonderlijke landen van potentiële of feitelijke tegenstanders en over zijn strijdkrachten.


    SAR-lupe
    Bij de inzet van strijdkrachten is het van cruciaal belang dat men een omvattend en actueel beeld heeft van de specifieke situatie van het operatieveld. Het satellietsysteem bestaat uit een grondstation en vijf satellieten die de aarde op ca. 500 kilometer omcirkelen. In het grondstation worden de satellieten gecontroleerd en worden de gegevens ontvangen en geëvalueerd. Door raderstralen is het systeem in staat om ook ’snachts en slecht weer scherpe en hoogresolutie beelden van elke hoek van de aarde te krijgen. Het grondstation staat in Gelsdorf bij Bonn en is onderdeel van het Kommando Strategische Aufklärung.

    Daarnaast beschikt het Duitse leger over twee communicatiesatellieten ComSatBW-1 en 2. Via het ComSat-systeem worden militaire informaties in de vorm van spraak en data alsmede video- en multimediale toepassingen op veilige wijze overgedragen.

    In het Duitse parlement werd door Die Grünen nadrukkelijk gewezen op het gevaar van een digitale wapenwedloop. Zij willen niet dat het Duitse leger meedoet met de cyberbewapeningsspiraal. Hun voorstel voor vreedzaam gebruik van cyberspace — Virtuelle weiße Fahne— bevat drie elementen: (i) No first use — het Duitse leger mag niet als eerste cyberwapens inzetten. (ii) Een verbod op offensief gebruik van cyberwapens. (iii) Civiele instellingen mogen in eventuele cyberoorlogen geen doelwit worden. Het zijn de drie basiselementen voor een “Cyber-Friedenspolitik”.

    De Piratenpartei pleit voor een nietaanvalspact voor het internet. Omdat de instellingen van het publieke leven bijzonder kwetsbaar zijn via het internet, moet dit op bijzondere wijze worden beschermd: het internet mag niet gebruikt worden voor oorlogshandelingen [Der Spiegel, 6.6.13].

    Piraten tegen cyberoorlog
    “Wij zijn sterk tegen openlijke en heimelijke acties van particuliere, publieke en overheidsorganisaties die cyberspace als conflictdomein benutten en de burgerbevolking in gevaar brengen. Kwaadaardige software, die in staat is mensenlevens in gevaar te brengen door aanvallen op netwerken van maatschappelijke voorzieningen, beschouwen wij als onacceptabel veiligheidsrisico. Wij roepen regeringen, in het bijzonder de Duitse regering, op om maatregelen te nemen die de vrede in stand houden, in overeenstemming met de internationale conventies ter verbetering van het vreedzame menselijke samenleven door techniek op de wereld. De Piratenpartij Duitsland roept alle regeringen van deze aarde op om de globale informatie- en communicatienetwerken gemeenschappelijk te beschermen en te erkennen als een hoog gemeenschappelijk goed van alle mensen” [Programma Piratenpartei].

    Index


    Recht op zelfverdediging
    Net als de Amerikaanse regering behoudt de Duitse overheid zich fundamenteel het recht voor om met wapengeweld te reageren op zware cyberaanvallen. Een cyberaanval kan dus worden opgevat als een gewapende aanval op een staat. Staten zijn daarom bij bepaalde cyberaanvallen gerechtigd “hun natuurlijke recht of individuele of collectieve zelfverdediging uit te oefenen” [Der Spiegel, 12.10.12]. Dit geldt in het bijzonder wanneer de souvereiniteit van de aangevallen staat bedreigd wordt of de werking van cyberaanvallen te vergelijken in met de werking van traditionele wapens.

    De regering acht de kans dat een zwaar cyberoffensief —dat de drempel overschreidt naar een gewapende aanval— tegen Duitsland wordt ondernomen echter als zeer klein. Maar zij ziet ook dat militaire conflicten in de toekomst veel meer via internetaanvallen zullen worden uitgevochten. Vooral in conflictsituatie moet men rekening houden met aanvallen in en via de cyberruimte. Bij militaire confrontaties krijgt de cyberruimte in ieder geval steeds meer operationele betekenis.

    Index


    Van Bundestrojaner naar FinFisher
    De Duitse hackersorganisatie Chaos Computer Club (CCC) analyseerde In Oktober 2011 de spionagesoftware die door de overheid wordt gebruikt: BundesTrojaner [CCC, 8.10.11; Webwereld, 19.12.12]. Het spionageprogramma dat gebruikt werd is een product van de Duitse firma Digitask. Het was een slecht geprogrammeerd programma en miste zelfs de meest elementaire beveiliging.
    Een nieuw recht
    Het hoogste Duitse rechtscollege formuleerde een nieuw recht: een recht op confidentialiteit en integriteit van eigen computersystemen. “Das allgemeine Persönlichkeitsrecht umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” [Bundesverfassungsgericht, 27.2.08; Wikipedia: Grundrecht].
    Belangrijker was echter dat de werking van het spionageprogramma in strijd was met de Duitse wetgeving. Het constitutionele hof bepaalde in 2008 dat surveillance software gericht op het aftappen van telecommunicatie technologisch beperkt moet worden tot een specifieke taak. De CCC ontdekte dat de software van DigiTask de hele computer overnam en dat daarmee van afstand nieuwe elementen konden worden toegevoerd. Dit was een duidelijk een schending van de uitspraak van het hof.

    Sindsdien staakten veel Duitse autoriteiten het gebruik van de spyware van DigiTask en kondigden zij aan hun eigen staatsmalware te gaan fabriceren. Hiervoor werd het Center of Competence for Information Technology Surcveillance (CC ITU) opgericht, met een budget van 3 miljoen euro en dertig personeelsleden. Op 7 december 2012 ontving de financiële commissie van het Duitse parlement een geheim document waarin wordt aangekondigd dat het CC ITU haar werkzaamheden beŽindigt. Op basis van een markonderzoek selecteerde de Duitse politie drie geschikte producten: het commerciŽle product FinFisher van Eleman/Gamma kwam daarbij als beste uit de bus. Eind 2012 werd bekend dat de Duitse overheid FinFisher had aangeschaft als alternatief voor de omstreden Bundestrojaner [Netzpolitik, 16.1.13].

    Ondoorzichtige en dubieuze constructies
    Gamma Group is een bedrijf dat gebruikt maakt van «offshore secrecy» om surveillance software te produceren die vooral door repressieve regimes wordt gebruikt. Het bedrijf is geregistreerd in de Britse Maagdeneilanden (BVI) en heeft sterke verbindingen met militaire en inlichtingendiensten. De buitengaatse verborgenheid van deze firma lijkt niet voor niets.

    Het International Consortium of Investigative Journalist onthulde samen met The Guardian de identiteit van een aantal offshore operators [ICIJ]. De eigenaar van de in 2007 opgerichte Gamma Group is Louthean Nelson. Hij neemt ex-militairen in dienst en verkoopt agressieve afluistertechnologie aan wie er maar voor wil betalen. Zijn spionagesoftware wordt gebruikt tegen dissidenten en is in handen gekomen van de staatsveiligheidsdiensten veel repressieve landen.. Nelson —die lange tijd onkende dat hij iets te maken had met Gamma— houdt vol dat dit per ongeluk is gebeurd.

    Gericht tegen eigen bevolking
    Meest verontrustende is dat de ontdekte C&C-servers staan in landen waar gebruik van dergelijke software over het algemeen gericht is tegen tegenstanders van regimes, of tegen andersdenkenden. Zo werden servers ontdekt in Turkmenistan en lijkt de spyware nu actief te worden ingezet tegen burgerrechtengroepen in EthiopiŽ en Vietnam.

    Er zijn minimaal 36 C&C-servers voor FinSpy. De servers staan in 19 verschillende landen waaronder respectabele landen als Canada, Verenigde Staten, Duitsland, Groot-BrittanniŽ en Nederland, maar ook in Bangladesh, India, Maleisië, Servië en Vietnam.

    Gamma heeft altijd export ontkend
    Leverancier Gamma, met vestigingen in Duitsland en Engeland, heeft altijd ontkent de software te leveren aan discutabele regimes of criminele groepen. Zij beweert dat FinFisher via reverse engineering is nagemaakt, gekopieerd of gestolen. In de Europese Unie groeit het kritische besef dat de export van digitale technologie ten behoeve van “normaal gebruik” ook door repressieve regimes kan worden ingezet tegen de eigen bevolking (packet inspection).

    De Duitse minister van Buitenlandse Zaken, Guido Westerwelle, drong in september 2012 aan op een EU-breed verbod op de export van surveillance software aan totalitaire staten. “Deze regimes zouden niet de technische instrumenten in handen moeten krijgen om hun eigen burgers te bespioneren.” In Engeland is de export van FinFisher aan dubieuze regimes inmiddels onderworpen aan de toestemming van de regering [TSoL, 8.8.12].

    Het gebruik van spyware door de opsoringsdiensten stuit in Duitsland op veel goed beargumenteerde kritiek. Critici vrezen dat de burgerrechten niet afdoende worden gewaarborgd. Er is een veelvoud van kritiek op het gebruik van die spyware door de Duitse opsporingsdiensten. De kern daarvan is dat bij het binnendringen in de computers van verdachten, de burgerrechten onvoldoende worden gewaarborgd.

    Chinese aanvallen op EADS, ThyssenKrupp, Bayer en IBM
    Ook Duitse bedrijven zijn in het vizier van internationale hackers. Zij richten hun peilen onder andere op het lucht- en ruimtevaartbedrijf EADS (European Aeronautic, Defense & Space Company). EADS is een van de meest strategisch belangrijke bedrijven in Europa. Het heeft een omzet van 40 miljar Euro per jaar en heeft bijna 120.000 mensen in dienst. EADS is niet alleen de producent van de Eurofighter en de Airbus, maar ook van drones, spionagesatellieten en zelfs de draagraketten voor Franse nucleaire wapens.

    Vanuit Chinese internetadressen werd medio 2012 ook een massieve cyberaanval uitgevoerd op ThyssenKrupp, Bayer en IBM. In 2012 registreerde de Duitse justitie bijna 1100 digitale aanvallen van buitenlandse inlichtingendiensten op computers van de overheid [Der Spiegel, 24.2.13].

    Index Digitale zwaardmacht in de lage landen

      “Behalve door de lucht en over de grond, moeten we tegenstanders ook via de digitale snelweg kunnen aanpakken” [Generaal-majoor Sander Schnitger van Defensieplanning].

    In Nederland heerst vrede. Ons land is met geen enkel ander land in oorlog en er zijn geen vijandige staten die onze landsgrenzen of nationale soevereiniteit bedreigen. Natuurlijk zijn nog er terroristische dreigingen en regelmatig wordt er door vreemde mogend≠heden geraffineerd ingebroken op computersystemen om toegang te krijgen tot militai≠re of staatsgeheimen, of tot beschermd intellectueel eigendom van onder≠ne≠min≠gen.

    Ook bij de Nederlandse overheid drong langzamerhand het besef door dat de toenemende afhankelijkheid van informatie- en communicatietechnologieën veel risico’s en dreigingen voor de sameleving met zich meebrengt. Het digitale domein wordt in toenemende mate gebruikt voor vandalisme, criminaliteit, terrorisme en oorlogsvoering. Het ontregelen van vitale informationele en communicatieve infrastructuren kan tot grote maatschappelijke ontwrichting leiden. Ook onze nationale defensie is in toenemende mate afhankelijk van betrouwbare, veilige en beschikbare ICT-netwerken. Om de inzetbaarheid van de krijgsmacht te waarborgen zal de digitale weerbaarheid van defensie versterkt moeten worden.

    Index


    Slagkracht door samenwerking
    In februari 2011 stelde de Tweede Kamer de Nationale Cyber Security Strategie vast onder de titel Slagkracht door samenwerking. In deze titel is de kern van de Nederlandse strategie voor cyberveiligheid samengevat: cyberveiligheid is een dermate veelomvattend en ingewikkeld probleem dat samenwerking een absolute vereiste is. Ervaringen met eerdere verstoringen van de cyberveiligheid toonden aan dat een crisis het snelst in de kiem kan worden gesmoord wanneer overheid en bedrijfsleven de krachten bundelen. De overheid moet er voor zorgen dat alle beschikbare kennis wordt gemobiliseerd en samengebracht. Hierdoor werd het Nationaal Cyber Security Centrum (NCSC) in het leven geroepen. Zij moet de weerbaarheid van de Nederlandse samenleving in het digitale domein vergroten.

    Samenwerking van Ministeries
    Minstens vijf ministeries zijn bij het NCSC betrokken:
    • Ministerie van Economische Zaken, Landbouw en Innovatie (ELI): gezien het economisch belang van cyberveiligheid.
    • Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK): onder dit ministerie valt het beheer van de eigen ICT-systemen.
    • Ministerie van Defensie: cyberveiligheid in relatie met dreigingen van cyberspionage en cyberoorlog.
    • Ministerie van Buitenlandse Zaken (BZ): cyberveiligheid houdt niet op bij de landsgrenzen en vereist ook internationale samenwerking en afspraken.
    • De AIVD, het Openbaar Ministerie en het KLPD.
    Het NCSC ging in januari 2012 van start. De basis van het centrum is de samenwerking tussen publieke en private partijen. In eerste instantie worden diverse overheidspartijen bij elkaar gebracht, daarna wordt gestreefd naar aansluiting van steeds meer private partijen en wetenschapsinstellingen. Op dit manier moet het NCSC zich ontwikkelen tot een uniek samenwerkingsplatform en expertisecentrum op het gebied van cyberveiligheid. Het Ministerie van Veiligheid en Justitie is belast met de coördinatie.

    Het doel van de nationale strategie van cyberveiligheid is “het versterken van de veiligheid van de digitale samenleving om daarmee het vertrouwen in het gebruik van ICT door burger, bedrijfsleven en overheid te verhogen.” Door het beschermen van een open en vrije digitale samenleving wordt de economie gestimuleerd en welvaart en welzijn verhoogd. “Een goede rechtsbescherming in het digitale domein wordt gegarandeerd en maatschappelijke ontwrichting wordt voorkomen dan wel er wordt adequaat opgetreden als het toch mis gaat.”

    Om dit doel van NCSC te bereiken is gekozen voor de volgende actielijnen die in een aantal specifieke acties worden geconcretiseerd.

    • Integrale aanpak door publieke en private partijen.
      Om een integrale en samenhangende aanpak van cyberveiligheid te realiseren is een nieuwe netwerkgerichte samenwerkingsvorm nodig. Alle relevante partijen moeten op strategisch niveau zijn vertegenwoordigd. GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid is per 1 januari 2012 opgenomen in het Nationaal Cyber Security Centrum (NCSC).
      GOVCERT richtte zich op versterking van de informatiebeveiliging binnen de Nederlandse overheid. Het team monitorde cyberdreigingen, gaf adviezen over ICT-kwetsbaarheden, waarschuwde bij cyberdreigingen en ondersteunde overheidso