image

Column: De Chinezen komen! Of niet, natuurlijk.

maandag 1 oktober 2007, 10:48 door Redactie, 10 reacties

De laatste periode is er weer een reeks berichten geweest over hackers uit het Chinese leger. Zij zouden aanvallen uitvoeren op kritieke infrastructuren van allerlei westerse overheden en technologiebedrijven. Het Pentagon, Whitehall en de Franse en Duitse overheid geven gelijkluidende signalen. Het is niet nieuw. Dit soort berichten zien we sinds 1999. Volgens de autoriteiten zou China streven naar digitale dominantie rond 2050. Veel indruk maakte het programma Titanenregen in 2003, waarvan menig inlichtingendienst danig gestrest raakte. Via de e-mail kwamen er MS Office-bestanden binnen met trojans aan boord, die niet herkend werden door allerlei virusscanners. Eerder dit jaar hebben we digitale schermutselingen gezien rond Rusland en haar voormalige wingewest Estland en recent meldde China zélf veel last van hackers te hebben. Deze gebeurtenissen voegen een nieuwe dimensie toe aan het verantwoordelijkheidsgebied van security: overheidshackers en nationale veiligheid. Externe bedreigingen dus, terwijl wij nog middenin het paradigma van interne bedreigingen zitten.

Hoe komen dit soort berichten tot stand? Immers, afgezien van allerlei James Bond fantasieën is het onwaarschijnlijk dat er zekerheid bestaat over de identiteit en al helemaal de motivatie van de verspreiders van de trojans. Overheden denken over het algemeen dat succesvolle aanvallen op hun digitale infrastructuur boven de macht van een geïsoleerde script-kiddie gaan - ze besteden immers veel aan beveiliging. De logica is dat als er succesvolle aanvallen plaatsvinden, er dus sprake moet zijn van een grote organisatie, en dat kan alleen een vreemde mogendheid zijn. Om de grote beveiligingsinspanning teniet te doen, is dus een grote aanvalsinspanning nodig. Lt. Gen. Robert Elder, commandant van het US Air Force Cyberspace Command: "To seriously disrupt us, you're not going to be able to do this with a 'teenage hacker' capability." Een succesvolle trojan op de PC van minister Gates of Angela Merkel die niet ergens anders gemeld is, geldt in deze denkwijze dan ook als het bewijs voor een gerichte aanval van een vreemde mogendheid. En als er verkeer richting China gaat, is dat dús in opdracht van het Chinese leger, dat immers zelf zegt bezig te zijn met cyberwar.

Een kenmerkend aspect in cyberwar dat juist militairen bekend voor zou moeten komen, is het asymmetrische ervan. A-symmetrische oorlogsvoering houdt in dat de inspanningen van aanval en verdediging in de verste verte niet op elkaar lijken: om alle zeewegen te beveiligen tegen één terrorist in een rubberbootje heb je nu eenmaal honderden marineschepen en vliegtuigen nodig. Om een groot netwerk te verdedigen houdt je bendes maatregelen en systemen in stand: om het te kraken is één miniscuul gaatje genoeg. Een aanvaller kan dus volstaan met de inspanning die een hobbyist moet doen, ook al krijgt hij zijn opdrachten van officiële agentschappen.

Laten we Ockhams scheermes eens erbij nemen - "entia non sunt multiplicanda praeter necessitatem", vrij vertaald: de eenvoudigste verklaring is meestal de beste. De conclusie dat er andere overheden achter zitten kan maar zo voorbarig zijn. Want dat anderen de aanval niet gevonden hebben kan ook betekenen dat ze gewoon iets minder goed opletten of het niet melden. Als je een trojan aantreft op een machine in je netwerk of in de mailserver, neem je dan de moeite om de code veilig te stellen en uit te zoeken welke het nu precies is? Nee, je AV verwijdert hem gewoon. Stel, je hebt hem toch nog, neem je dan de moeite om dat te melden bij een AV leverancier? Weet je hoe dat allemaal moet? Maakt het voor je organisatie eigenlijk uit welke trojan het precies is? Nee, nee, nee. Een goede beheerder zal een besmette machine gewoon opnieuw inspoelen. Ik denk dat erg weinig mensen buiten de overheid de moeite nemen om Govcert te bellen.

Een paar AV producten sturen de gevonden malware automatisch op voor nadere analyse, maar bij een geringe verspreidingsgraad zullen de AV makers er geen signatures voor ontwikkelen. En dat geldt voor zeer veel trojans. Slechts een enkeling komt in grotere aantallen voor. Een niet gedetecteerde trojan zegt dus niets over de geavanceerdheid ervan. Het zegt eerder iets over de gangbaarheid ervan. De kans is groot dat dit ook bij de trojans op de overheidsmachines het geval is.

Iets slimmere trojans verspreiden zich via sociale netwerken. Als een aangevallen persoon toevallig een netwerk binnen de veiligheidshoek van de overheid heeft, dan zal een aanval automatisch over dat netwerk propageren. Is er dan sprake van een gerichte aanval?

Als je vervolgens leest dat de aangetroffen spyware gebruik maakt van belegen exploits in oudere Windows-software, dan wordt de claim van een 'goedgeorganiseerde militaire operatie' bijna kolderiek. Het zou in ieder geval niet zo best zijn als dit het beste is wat wij van een goedgeorganiseerde militaire operatie mogen verwachten.

Het lijkt erop dat we van deze sfeer van interpretaties en giswerk afhankelijk zullen blijven. Want als je probeert te achterhalen waar een aanvaller écht vandaan komt, zoals de free-lancer bij de Amerikaanse overheid Shawn Carpenter deed bij de titanenregen in 2003/4, die hij traceerde naar een drietal routers in Guangdon, loop je al snel het risico van een diplomatiek incident. Dan krijg je bezoek van mensen in een donkerblauwe Audi met getinte ramen. Meer bewijs dan bovenstaande logica zullen we dan ook niet snel krijgen. We moeten maar leren leven met grote verhalen en onzekerheid. Het is daarbij verstandig ons niet te verliezen in een angstpsychose: als het waar is dat vreemde mogendheden gerichte aanvallen uitvoeren op onze bedrijven en onze overheid is dat zeer ingrijpend voor ons leven en onze maatschappij. Het zouden maar zo de eerste schermutselingen kunnen zijn van een volgende wereldoorlog, nietwaar?

De verdenkingen richting het Chinese volksleger brengt ons bij de klassieke vraag van de casus belli: kan er op enig moment sprake zijn van een oorlogshandeling, waarbij een digitale daad leidt tot een echte oorlog? De VS beschouwen het Internet als Amerikaans grondgebied. Iedere aanval over het Internet zou in het traditionele denken dus een aanval op de VS zijn, zelfs als deze gericht was op een ander land. Het zou prettig zijn te weten of het Internet ook onder het NAVO-verdrag valt - zijn wij gebonden aan het geven van militaire assistentie?

In mijn volgende column gaan we verder met dit onderwerp - het is een beetje te groot voor één aflevering.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

  • Een kwakkelend dossier
  • "Nederland is goed voorbereid"
  • Headhunter incident
  • Ethiek en Security
  • De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  • Over Security Architectuur
  • Best Practices bestaan niet
  • Unified Threat Management: dure mensen, goeie spullen?
  • Security maturity
  • Komt het nog wel goed
  • Geen nieuws is goed nieuws
  • Awareness best belangrijk
  • Een papieren tijger in een zilveren lijstje
  • Een goed idee is niet goed genoeg
  • Uit de loopgraven
  • Waarom beveiligingsbeleid faalt
  • Groot slaat dood
  • Reacties (10)
    01-10-2007, 12:49 door Anoniem
    Waarom, waarom vertaal je in ******naam 'Titan Rain'? Dit is
    toch gewoon een eigennaam?
    01-10-2007, 13:12 door Anoniem
    Hè hè, eindelijk weer een column. Waar was je de afgelopen tijd? Goede
    column trouwens.
    01-10-2007, 13:19 door Anoniem
    Gelukkig heb je meer verstand van verzekeren. :-)
    01-10-2007, 14:23 door Mameomowskwooz
    Door Anoniem
    Waarom, waarom vertaal je in ******naam 'Titan Rain'? Dit is
    toch gewoon een eigennaam?

    Velen hier blijven maar moeite hebben het medium 'column' te begrijpen
    valt me op...
    01-10-2007, 15:27 door Anoniem
    Door Mameomowskwooz
    Door Anoniem
    Waarom, waarom vertaal je in ******naam 'Titan Rain'? Dit is
    toch gewoon een eigennaam?

    Velen hier blijven maar moeite hebben het medium 'column' te begrijpen
    valt me op...

    Maar je mag toch wel een mening geven?
    03-10-2007, 04:47 door Anoniem
    Door Mameomowskwooz
    Door Anoniem
    Waarom, waarom vertaal je in ******naam 'Titan Rain'? Dit is
    toch gewoon een eigennaam?

    Velen hier blijven maar moeite hebben het medium 'column' te
    begrijpen
    valt me op...

    Logisch, want de IT-sector herbergt veel Autisten.
    03-10-2007, 10:59 door Anoniem
    Door Anoniem
    Gelukkig heb je meer verstand van verzekeren. :-)
    Welke verzekering wordt er dan aangeboden, mischien heb ik interesse ;-)
    03-10-2007, 15:47 door Anoniem
    De chinezen zijn er toch al lang... hebben de USA gekocht en
    zijn nu bezig de nieuwe wereld orde het goede voorbeeld te
    geven (Tibet, Birma, etc.)
    10-10-2007, 10:10 door Anoniem
    Peter, je column zit zo ver naast de waarheid, dat ik 'm
    uitgeprint heb en op mijn prikbord heb gehangen als gezonde
    science fiction.
    14-10-2007, 13:38 door Anoniem

    In mijn volgende column gaan we verder met dit onderwerp -
    het is een beetje te groot voor één aflevering.

    Doe maar niet. Deze column is leuk als verhaaltje. Echter ga
    je veel verder, je gaat hier een serieus onderwerp
    aansnijden en komt dan met allerlei aannames die nergens
    gestaaft worden met feiten. Daarnaast ruk je met een paar
    loze (zogenaamd interressente) kreten dingen compleet uit
    hun verband.
    Indien je hier een serieus vervolg op wil schrijven raad ik
    je aan om in de volgende column ook eens aan te geven waar
    je je aannames vandaan haalt. Op deze manier komt het naast
    ongeloofwaardig ook nog eens zeer knullig over, en das toch
    jammer voor een 'Senior Security Consultant bij Traxion'.

    -Jeroen
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.