Expert: domme politici gevaarlijker dan hackers
De Russische regering wil een verdrag over het beperken van cyberwapens, maar dit soort wapens bestaan niet en ook cyberoorlog is fantasie, zegt beveiligingsexpert Robert Graham. De conflicten tussen landen in cyberspace lijken niet op normale oorlogsvoering en de tools die hackers gebruiken, hebben niets met wapens te maken. "Het woord cyber ergens voor zetten is alleen een manier voor mensen om technische concepten te begrijpen", merkt Graham op. De vergelijking gaat echter niet op en is zinloos als het te ver gaat, zoals een "cyberontwapeningsverdrag". Volgens de CEO van Errata Security zijn het helaas de "clueless" mensen die in deze vergelijkingen geloven en het nationale beleid opstellen.
"Ik kan de elektriciteitsvoorziening van de helft van alle landen in de wereld met niets meer dan mijn iPhone uitschakelen." Toch is dit geen cyberwapen. Er zijn wel tools die het uitvoeren van aanvallen eenvoudiger maken. "Maar het is de persoon die de tools gebruikt, en niet de tools, die belangrijk is." Het verschil tussen commando's en de gemiddelde soldaat zijn niet de wapens, maar de training. Dat geldt ook voor hackers.
Vergelijking
"Hacking is erg technisch, dus gebruiken we vergelijkingen om uit te leggen hoe het werkt. Het is belangrijk om te te onthouden dat het slechts vergelijkingen zijn. Conclusies die je aan de hand van een vergelijking trekt kunnen fout zijn", aldus Graham. "Daarom zal het leger nooit cyberspace begrijpen." Volgens de beveiligingsexpert gaat aanvallen en verdedigen bij het leger om brute kracht. Grotere bommen en meer soldaten moeten in veel gevallen het probleem oplossen. "Maar het verslaan van vijanden in cyberspace is anders, je moet ze te slim af zijn, maar het leger doet niet aan slim."
Tevens is het leger erg doelgericht, en willen ze wapens voor een bepaald effect of doel. "Dat is niet hoe hacking werkt", laat Graham weten. Cybersoldaten zouden juist de vrije hand moeten krijgen, maar daardoor is de uitkomst lastig te voorspellen. "Daarom zullen soldaten nooit bij een echte 'cyberoorlog' betrokken zijn. Hacking past gewoon niet in het militaire model."
Politici
Dat is ook de reden waarom China en Rusland de cyberoorlog van de VS winnen, omdat het juist niet hun troepen zijn die de oorlog uitvoeren. "Totalitaire regeringen zoals China, Rusland en Iran moeten hun vuile werk uitvoeren, zonder gepakt te worden." Daarom sponsoren deze overheden nationalistische hackergroepen, die aan de overheid gelieerd zijn. Ze voeren de opdrachten uit die de overheid graag zou willen, zonder dat ze dit verteld wordt. Het concept van hackergroepen gaat er volgens Graham bij het Amerikaanse leger niet in.
"Het idee van landen die met krachtige cyberwapens cyberoorlog met elkaar voeren is completen nonsense. Het is een vergelijking die we gebruiken om sommige dingen te beschrijven, maar het is niet hoe het eraan toe gaat in cyberspace. Toch is het deze fictie die het nationale beleid bepaalt, en dat baart me zorgen", zegt Graham. Volgens hem is de cluelessness van politici en militairen een groter gevaar voor cyberspace dan buitenlandse hackers.
De iPhone, de software, de mens ?
Ik hoop wel dat politici dit soort dingen ook eens lezen*, die zijn in NL ook clueless en vooral als het om IT gaat.
Wel de providers dwingen gegevens op te slaan, maar met een vermanend vingertje naar Google wijzen...
KP denkt men te stoppen door het van Internet te verbergen voor NL.
Het EPD en vele andere overheidszaken hebben de beveiliging niet op orde.
En als laatste dat ergerlijke postbus 51 spotje om mensen te doen laten geloven dat het wisselen van een wachtwoord en kijken naar https betekend dat je identiteitsdiefstal & veiligheid zelf in de hand hebt.
* Zou men dit ook weten ?
http://www.cbsnews.com/video/watch/?id=6412572n&tag=contentMain;contentBody
Waar Graham wel gelijk in heeft is dat een cyberontwapeningsverdrag weinig zin heeft, en dat politici de materie veelal niet begrijpen waardoor zij met dit soort voorstellen komen. De meeste tools die je kunt gebruiken voor cyberwarfare zijn geen wapens, maar gewoon tools die toevallig ook voor dergelijke doeleinden gebruikt kunnen worden. Ik ben dan ook benieuwd wat politici dan precies zouden willen afspreken in zo'n verdrag.
Grappig genoeg staat in ieder geval Sun Tzu wel op de verplichte leeslijst op Westpoint en andere militaire academies. Hier in Nederland ongetwijfeld ook.
Ik vind dat Graham in zijn commentaar de diverse legereenheden wel erg weinig vertrouwen schenkt. De mensen die in -vooral het Amerikaanse- cyber warfare landschap de scepter zwaaien zijn best wel op de hoogte. Richard Clarke (voormalig adviseur voor de President) en Keith Alexander (de eerste "cyber generaal") zijn echt geen dummies. Alexander schijnt iets van 3 PhD's te hebben ofzo. Men spreekt doorgaans met veel lof over hem - in tegenstelling tot Howard Schmidt.
Hoewel veel legers ongetwijfeld moeite hebben om de juiste mentaliteit in militaire doctrine te verweven, hebben ze wel al eerder met dit bijltje gehakt. Oorlog verandert constant, en het doorgaans het snelst aanpassende leger wat de overhand heeft. Amerika loopt wat cyber warfare alvast dik voor op ons (ook al lopen ze zelf waarschijnlijk dik achter op China), en daar gaan we spijt van krijgen.
Indien men zich aan de internationale afspraken houdt m.b.t. oorlogsvoering, dan gaat het ook om proportionaliteit.
Dit houdt in dat een aanval welke via 'cyber' gepleegd kan worden via 'cyber' gepleegd zal moeten worden indien dit minder 'collateral damage' oplevert dan een conventionele aanval met dezelfde doelstelling. Denk daarbij bijvoorbeeld aan het uitschakelen van een energienetwerk via hacking vs. het bombarderen van de energiecentrale om zo de energievoorziening van vijandelijke krachten te saboteren.
Wat dat betreft zullen cyberaanvallen in de toekomst steeds meer gemeengoed worden, en het zou zelfs mogelijk zijn dat landen aangeklaagd worden wanneer ze conventionele wapens gebruiken in plaats van cyberwapens (al zullen dat soort ontwikkelingen nog enige jaren op zich laten wachten).
Indien men zich aan de internationale afspraken houdt m.b.t. oorlogsvoering, dan gaat het ook om proportionaliteit.
Dit houdt in dat een aanval welke via 'cyber' gepleegd kan worden via 'cyber' gepleegd zal moeten worden indien dit minder 'collateral damage' oplevert dan een conventionele aanval met dezelfde doelstelling. Denk daarbij bijvoorbeeld aan het uitschakelen van een energienetwerk via hacking vs. het bombarderen van de energiecentrale om zo de energievoorziening van vijandelijke krachten te saboteren.
Wat dat betreft zullen cyberaanvallen in de toekomst steeds meer gemeengoed worden, en het zou zelfs mogelijk zijn dat landen aangeklaagd worden wanneer ze conventionele wapens gebruiken in plaats van cyberwapens (al zullen dat soort ontwikkelingen nog enige jaren op zich laten wachten).
Dat is een uitstekend punt. Ik ben echter bang dat kinetische wapens echter altijd wel aanwezig zullen blijven, al is het alleen maar omdat het extreem moeilijk is om permanent de overhand te houden in cyberspace. Wanneer je daarentegen middels een digitale aanval fysieke schade weet te genereren aan bijv. moeilijk vervangbare onderdelen (een zorgpunt voor veel overheden momenteel - veel is geproduceerd in China en nergens anders) dan kan een cyberaanval ook wel eens disproportioneel uitpakken.
-privacy wetgeving die de grensoverschrijdende opsporing frustreren
-en het gratis geld dat criminele hacking groepen al jaren makkelijk kunnen oprapen door misbruik te maken van slechte commerciële ICT beveiligings concepten en producten.
Producten die weer ontwikkeld werden/worden door ICTers die denken dat ze iets van beveiliging af weten of zelf benoemd veiligheids experts zijn. Terwijl ze geen enkel idee hebben van de omstandigheden en motivatie waaronder de criminele tegenstanders soms werken en de mogelijkheden die ze hebben. (bijzonder motiverende omstandigheden zoals; ratelende kalasjnikovs of handel in drugs, mensen, moord en doodslag)
Het zijn daarom niet domme politici die gevaarlijker zijn dan hackers, maar dezelfde groep ICTers die verantwoordelijke zijn voor twee generaties aan onveilige producten en beveiligings concepten en het (wellicht bewust) niet vinden van oplossingen om cyber criminaliteit en de groei van hackers groepen een halt toe te roepen, diezelfde groep ICTers die nu politici adviseren.
Politici moeten het nu hebben van die lui, die als de elektriciteit voor langer dan drie dagen uitvalt op de vlucht gaan naar betere oorden, van die lui die op de vraag "werkt deze software goed" antwoorden "er is tot op heden niets mee mis gegaan" (waarna de raket waar ze de sofware voor controleerde, inclusief satelliet van een paar honderd miljoen zichzelf vernietigd) van die lui die zeggen "als U het zegel van de verpakking verbreekt dan gaat U akkoord met de voorwaarden" Van die lui die in de kleine lettertjes stellen dat ze hun best hebben gedaan en blijven doen, maar dat als er iets fout gaat dan is het niet hun schuld. Dat zijn de echt gevaarlijke "experts" die onze politici nu, na twee decennia ICT blunders, dom doen lijken. Dus voorlopig blijft iedereen naar elkaar wijzen:)
Door een audit weet ik dat een grote leverancier control units via internet gebruikt om bakkerijen en andere fabrikanten "helpt" door hun energie behoeften te lezen. Helaas laat het concept ook twee richting verkeer toe. De directie was/is alleen gericht op het administratieve proces wegens een eventuele beursgang. Dat het primaire proces kwetsbaar was/is mocht zelfs niet worden genoemd in mijn rapportage. Struisvogel politiek dus. ik kan zelf half Nederland dus afschakelen met de (matige) kennis die ik heb. De rest vraagt wat meer onderzoek - maar zal waarschijnlijk tot hetzelfde leiden.
Oh ja, "bakkerijen" klinkt ongevaarlijk. Maar wat als je brood niet geleverd kan worden?
Frans.
Oh ja, "bakkerijen" klinkt ongevaarlijk. Maar wat als je brood niet geleverd kan worden?
Frans.
dan komt het volk in opstand...
...Brood & Spelen
Oh ja, "bakkerijen" klinkt ongevaarlijk. Maar wat als je brood niet geleverd kan worden?
Dan eet men toch cake/brioche? ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
