"Cyberwar is bullshit" (1)
Cyberwarfare is "bullshit" en bedrijven die zich hiermee bezighouden zijn geldkloppers, aldus de gerenommeerde beveiligingsexpert Marcus Ranum. Hij sprak tijdens het Govcert Symposium afgelopen maandag in Rotterdam. De organisatie had de vermelding van zijn lezing netjes afgekort tot Cyberwarfare is BS en geen "pepers" gegeven, de technische moeilijkheidsgraad van een lezing. Toch was de lezing van Ranum daardoor niet minder gepeperd.
De CSO van Tenable Network Security moet lachen om ambtenaren en agenten van de FBI die waarschuwen voor tienduizenden Chinese cybersoldaten die continu Amerikaanse overheidsnetwerken zouden aanvallen. In plaats van grappen over het onderwerp te maken, koos Ranum nu een meer academische kant om cyberoorlog onderuit te halen. Profeten van cyberoorlog maken volgens de expert een radicale denkfout door te denken dat als cyberoorlog in theorie mogelijk is, het ook praktisch en zinvol is. Bij alle scenario's en verhalen moeten we continu in ons achterhoofd houden of deze bullshit ergens op slaat, waarschuwde Ranum. "Als deze bullshit ergens op slaat, dan kun je kijken wat er mogelijk gaat gebeuren."
Het belangrijkste argument van Ranum tegen cyberoorlog is dat als het zinvol zou zijn, het continu zou plaatsvinden. Sommige mensen zeggen dan dat het al continu plaatsvindt. "Maar het gebeurt niet continu." Er gebeuren volgens Ranum verschillende dingen, die allemaal onder de noemer cyberoorlog worden geschaard. "Het is hetzelfde als ik tegen een vegetariër zou zeggen dat er drie verschillende voedselgroepen zijn: groente, vlees en pizza en dat ze eigenlijk allemaal hetzelfde zijn."
Geldklopperij
Voorstanders van cyberoorlog pakken de drie onderwerpen misdaad, terrorisme en oorlog, en gooien die voor hun eigen gewin op één hoop. "Wat er gebeurt, is dat er een gigantische hoeveelheid geld van de belastingbetaler in de zakken van de cyberoorlogconsultant verdwijnt. Dat is slechts een toevalligheid." Ranum merkt op dat het belangrijk is om naar de verschillende agenda's te kijken als het gaat om cyberterrorisme, cyberspionage, cybercrime en cyberoorlog. Dat zijn namelijk vier compleet verschillende zaken. "En als iemand tegen je vertelt dat ze hetzelfde zijn, dan liegen ze tegen je. De reden dat ze tegen je liegen, is dat de agenda's van de spelers verschillend is." Niet alleen hebben de betrokken spelers een andere agenda, ze doen ook andere dingen en liggen vaak in elkaars vaarwater.
Cybercriminelen breken in een systeem om geld te stelen, wat haaks staat op de actie van de cyberwarrior. Die wil in belangrijke systemen inbreken om ze op een gegeven moment te laten crashen of ze niet naar behoren te laten functioneren. Dat staat weer haaks op wat een cyberspion doet. Die wil de systemen van de vijand kennen om daar informatie uit te halen. Een aanhanger van cyberoorlog zou dit allemaal kenmerken van een cyberoorlog noemen, maar dat is het niet laat Ranum weten. "Het zijn allemaal verschillende dingen die op elkaars tenen trappen. Dus hoe kunnen we ze hetzelfde noemen? We zouden ze hetzelfde noemen als we consultants zijn die hier geld aan proberen te verdienen."
Cybercrime
De agenda van een cybercrimineel is om geld voor zichzelf te verdienen. Als bijwerking zie je dat cybercriminelen op elkaars tenen trappen. Cybercriminelen hebben er ook geen probleem mee om van elkaar te stelen. De doelen van de cybercrimineel zijn niet strategisch. "Ze doen alleen hit and run, ze pakken het geld en gaan ervandoor." De cybercrimineel heeft later altijd weer de mogelijkheid om opnieuw geld te stelen. Een cybersoldaat die iemand gaat aanvallen, gaat daarbij niet over een nacht ijs. "Je zou stom zijn als je dat zomaar doet." Ten eerste zou het technisch lastig zijn om zomaar uit te voeren. Ten tweede speelt de strategische vraag wie je gaat aanvallen. "Het is gigantisch kostbaar en gewoon heel stom om alle commando centra van alle landen in de wereld aan te vallen. Dat is absurd."
Een cybersoldaat zou dan ook een politieke opdracht van de politieke leiders in het land moeten hebben om te bepalen wie het doelwit voor de cyberoorlog is. En dat is volgens Ranum helemaal niet zo duidelijk. Als het gaat om cyberoorlog worden allerlei belangrijke vragen vergeten. Zoals met wie er een cyberoorlog is en waarom. Vaak lopen de waarschuwingen voor cybercrime en cyberoorlog door elkaar heen. Maar de aanvallen die cybercriminelen uitvoeren, maken het alleen maar lastiger voor cybersoldaten. Door de acties van criminelen beveiligen overheden en bedrijven hun netwerken steeds beter. Daarnaast twijfelt Ranum aan de capaciteiten van alle drieletterige instanties. Hij vermoedt dat de kennis en vaardigheden van het Russian Business Network, een beruchte cybercrime bende, beter zijn dan wat de NSA en andere inlichtingendiensten hebben te bieden. De criminelen verdienen honderdduizenden dollars, terwijl de CIA en NSA slechts overheidscontractanten zijn.
Cyberterrorisme
Is cyberterrorisme mogelijk? "Natuurlijk is het mogelijk", laat Ranum de zaal weten. "Alles is mogelijk. De vraag is, wat gaat er zeer waarschijnlijk gebeuren?" De agenda van een cyberterrorist is om zoveel mogelijk schade te veroorzaken. Cybercriminelen zijn niet ideologisch. "Je kunt ze zelfs omkopen, zolang ze maar hun geld verdienen." De mensen met ideologieën willen je pijn doen, ongeacht of dit winstgevend is of niet. Als deze twee partijen je willen aanvallen, bevind je je in een omgeving waar mensen je gewoon te grazen willen nemen, ongeacht wat je doet. Als je je hier tegen wil verdedigen, wil je je tegen allebei verdedigen, gaat Ranum verder.
"Cyberterroristen willen angst verspreiden. Partijen die voor cyberterrorisme waarschuwen geven als voorbeeld het hacken van reserveringssystemen voor vliegtuigen. "Maar een vulkaan is er veel beter in om het vliegverkeer te ontregelen. En toch zijn we er nog allemaal."
Cybercriminelen vallen alles aan dat geld oplevert, terwijl de cyberterroristen alles in potentie kunnen aanvallen. Er is hier een overlap, maar geen ideologische overlap. De grote paradox met cyberterror is de vraag waarom het nog niet gebeurt. "Het kost mij twee seconden om een nieuwe cyberterreur aanval te verzinnen. Ik kan er zelfs vijf verzinnen, maar ik ga ze niet noemen, omdat ze niet zullen plaatsvinden. Waarom vinden ze niet plaats? Dat weet ik niet. Waarschijnlijk bezoeken de terroristen van de wereld geen beveiligingsconferenties, want er is altijd wel iemand die bij dit soort evenementen zegt hoe je de Amerikaanse infrastructuur kunt platleggen."
Een ander probleem met de 'cyberterror paradox' is dat de grote doelwitten zich ook het beste kunnen verdedigen en op aanvallen reageren. Vaak wordt als voorbeeld van een "cyberoorlog" de aanvallen op Estland genoemd. "Maar dat is geen cyberoorlog" merkt Ranum op. "We kunnen het een cyberterror aanval of iets dergelijks noemen." Estland is een technisch begaafd land en kon snel op de aanval reageren, in plaats dat het op de rug ging liggen en dood speelde.
Cyberspionage
Naast cybercrime en cyberterrorisme is er ook het cyberspionage probleem. Ranum wijst naar de Koude Oorlog, waarbij de KGB bijna alle Amerikaanse inlichtingendiensten had geïnfiltreerd. "De beste manier om kapitalisten te verslaan is met een zak geld. Daarvoor heb je helemaal geen fancy cyber-wat dan ook voor nodig." Een tijd geleden werd bekend dat iemand de plannen voor de JSF had gestolen. Die gegevens zijn niet via FTP buitgemaakt of verstuurd. Het ging om 14 Terabyte aan gegevens. "Hij heeft ze waarschijnlijk op een grote lading harde schijven meegenomen." Als de Amerikaanse overheid het over dit incident heeft, bedoelen ze volgens Ranum dat iemand de informatie op harde schijven meenam en vervolgens ergens online plaatste. "De gegevens waren via het internet te vinden." Dat is een heel ander verhaal.
Spionage is door het internet niet erg veel veranderd en de basisprincipes gelden dan ook nog steeds. De kern van een spionage-operatie is dat de vijand zijn agenten bij het doelwit heeft zitten, omdat die weten welke informatie interessant en belangrijk is. Ze hebben tenslotte toegang tot de gegevens. Een voorbeeld is soldaat Manning die toegang tot veel te veel gegevens had, ze stal en vervolgens aan Wikileaks lekte.
"Als de overheid zegt dat je bang moet zijn voor cyberspionage. Moet je zeggen 'soldaat Manning, jullie zijn idioten'. Het probleem is niet Chinese spionnen die oorlogsplannen stelen, maar een Amerikaanse jongen die ze online zet."
Cybersoldaten
Cybersoldaten hebben als doel het aanvallen en vernietigen of beschadigen van belangrijke systemen. "Het lijkt erop dat de voorstanders van cyberoorlog Die Hard 4 hebben gezien en dachten dat het een documentaire was." Als je cyberoorlog als een militaire kunst beschouwt, zijn er verschillende paradoxen die nergens op slaan. Net als de mensen die over cyberoorlog spreken ben ik een 'armchair general'. "Net als andere armchair generals heb ik Sun Tzu's art of war gelezen."
Wat Ranum het meest beangstigt van mensen die over cyberoorlog spreken, is dat ze de belangrijke aspecten van oorlogsvoering negeren. "Het is alsof je over chirurgie praat zonder je patiënt aan te raken. Op dat niveau worden door voorstanders van cyberoorlog belangrijke onderdelen van the Art of War genegeerd."
Zoals de logistiek. "Als het idioten zijn, dan zeggen ze dat er niemand van het ene naar het andere punt moet, en er dus geen logistieke problemen zijn." Ranum ziet ook niets in cyberoorlog als een zinnige toevoeging aan de oorlogsvoering. "Ik heb mensen horen zeggen dat het een geheel nieuwe vorm van oorlogvoeren is, maar dat is complete bullshit. De mensen die dit beweren zeiden ook dat ze een oorlog alleen met de luchtmacht konden winnen."
Morgen het tweede deel van Marc Ranums visie over cyberoorlog.
Indien Ranum academisch was geweest, dan had hij meer beide kanten van het verhaal belicht.
Hij had zeker een aantal goede punten, maar tegelijkertijd zie je ook dat hij op geen enkel moment refereert naar reeds voorgekomen incidenten die zijn eigen stellingname kunnen verzwakken. Denk aan de cyberconflicten met Estland en Georgie, aan Operation Orchard, waar Israel de Syrische luchtdefensiesystemen saboteerde, en aan meer van dat soort zaken.
Ook roept hij wel heel gemakkelijk dat je de wapens van je tegenstander met een patch kunt uitschakelen. Alsof dit per definitie betekent dat zulke "wapens" niet effectief kunnen zijn. Indien dat het geval was, dan zouden cybercriminelen net zo goed per direct kunnen ophouden met hun activiteiten, omdat er nu eenmaal patches bestaan die wellicht sommige van hun tools zouden kunnen frustreren.
Ranum had een mooie speech, maar iets meer nuance, en een iets meer kritische blik op de eigen stellingname zouden ook niet slecht zijn. Waar ik het wel zonder meer mee eens ben is dat er teveel op een hoop gegooid wordt, en dat er veel commerciele belangen spelen welke het debat vertroebelen.
Ik ben benieuwd waarom cyberoorlog geen zinnige toevoeging zou kunnen zijn voor oorlogsvoering. Eigenlijk worden dit soort technieken namelijk als sinds jaar en dag gebruikt, waarbij tot nog toe de term electronic warfare werd gebruikt. Het kan militair zeer interessant zijn indien je de communicatiekanalen, radarsystemen of electriciteitsvoorziening van vijandelijke troepen buiten werken kan stellen, en dit kan bijvoorbeeld plaatsvinden via het hacken van systemen, waardoor het onder de noemer cyberwarfare zou vallen.
Zou Ranum ontkennen dat het gebruik van cyber in het conflict tussen Rusland en Georgie onzinnig was bij de Russische inval in Zuid-Ossetie om maar een voorbeeld te nemen ? Of zou hij ontkennen dat het Rusland lukte om via cyber de samenleving in Estland tijdelijk te destabiliseren door het lanceren van aanvallen op het land via DDoS attacks, welke niet alleen zorgde voor het platleggen van websites, maar ook voor het verstoren van onder meer het betalingsverkeer in het land ?
Waarbij je je kunt afvragen wat de belangrijkste doelstelling achter Stuxnet was. Ging het vooral om het saboteren van het Iraanse nucleaire programma, of was het doel meer psychologisch - laten zien dat cyberwar een "clear and present danger" is, en dat deze dreiging de investering van miljarden in cyberwarfare efforts rechtvaardigt. Waarbij de vraag hoeveel impact Stuxnet op het Iraanse nucleaire programma secundair van aard is.
en een opgerolt botnet, is slecht van eigenaar verwisselt, in dit geval, naar de overheid toe.
Jammer voor je, maar het gevaar bestaat en is er. Hij heeft kennelijk de laatste virus, Stuxnet, over het hoofd gezien? Kennelijk, want nu de overheid ze ook maakt, wie anders heeft Stuxnet gemaakt, is de cyberoorlog een feit geworden.
Naast cybercrime en cyberterrorisme is er ook het cyberspionage probleem. Ranum wijst naar de Koude Oorlog, waarbij de KGB bijna alle Amerikaanse inlichtingendiensten had geïnfiltreerd. "De beste manier om kapitalisten te verslaan is met een zak geld. Daarvoor heb je helemaal geen fancy cyber-wat dan ook voor nodig." Een tijd geleden werd bekend dat iemand de plannen voor de JSF had gestolen. Die gegevens zijn niet via FTP buitgemaakt of verstuurd. Het ging om 14 Terabyte aan gegevens. "Hij heeft ze waarschijnlijk op een grote lading harde schijven meegenomen." Als de Amerikaanse overheid het over dit incident heeft, bedoelen ze volgens Ranum dat iemand de informatie op harde schijven meenam en vervolgens ergens online plaatste. "De gegevens waren via het internet te vinden." Dat is een heel ander verhaal
Waar dit op slaat weet ik eigenlijk niet. De inbraak waarbij de JSF gegevens werden gestolen is uitvoerig gedocumenteerd in diverse boeken (google Titan Rain) en heeft ab-so-luut geen moer te maken met meenemen van grote ladingen harde schijven. Er is onomstotelijk vastgesteld dat er een enorm (vermoedelijk Chinees) netwerk van systemen bestaat wat systematisch inbreekt bij overheidscontractors en daar onderzoeksdata steelt via het internet. Ranum weet overduidelijk niet waar ie over lult.
Dit verbaast me echt enorm. Ranum kwam mij altijd over als een intelligent iemand met kennis van zaken, maar hier laat ie toch echt een hoop steken vallen.
Overigens ben ik het niet noodzakelijk eens met de assumptie dat Stuxnet onder cyber warfare valt. Zelfs ALS dit inderdaad door een overheid ontwikkeld zou zijn om specifiek kerncentrales in Iran aan te vallen dan is dit nog niet per definitie een oorlogsdaad. Als je het boek van Dick Clarke mag geloven heeft Israel al eens met bommenwerpers een nucleaire faciliteit in Iran gebombardeerd zonder dat dit tot oorlog leidde. Een cyber aanval wordt doorgaans als minder aggressief gezien.
Ranum kan zich beter eens verdiepen in wat militaire geschiedenis. De eerste Irak oorlog is 90% gewonnen door de luchtmacht, dus is die stelling redelijk terecht gedaan destijds. Overigens is die stelling gedaan naar de geest van die tijd, evenals dat cyber warfare iets is naar de geest van DEZE tijd. Er zijn heel wat hoge militairen in diverse landen die cyber warfare als een reeele dreiging zien. Dit is hun vakgebied, en niet die van Ranum. Waar hij dan ook de arrogantie vandaan haalt is me echt een raadsel.
Ik ben benieuwd waarom cyberoorlog geen zinnige toevoeging zou kunnen zijn voor oorlogsvoering.
Cyberwarfare op zich is echter niet rendabel. Onderhoud is kostbaar, het is risicovol en er zijn meer effectieve wapens (zoals de man op de grond die met de data onder zijn arm naar buitenloopt langs de firewall). Uiteindelijk gaat het er ook bij een groot conflict om een land te bezetten, dat lukt je zeker niet per computer (of met alleen een luchtmacht - zie Irak).
In zijn verhaal werd Stuxnet aangehaald als voorbeeld dat een dergelijke actie niet erg rendabel is en zelfs risicovol. En als actie op zich is het geen cyberwarfare.
Sta mij toe even mijn gedachten te ventileren en loop even mee door de geschiedenis:
In de tijd van de Romeinen was je maanden onderweg om alleen al met een leger bij een slagveld te komen.
In de tweede wereld oorlog zijn wij in 3 dagen door de Duitsers bezet en Denemarken in slechts 4 uur (qua grootte niet erg verschillend van Nederland - waarbij ik Groenland even buiten beschouwing laat anders is het meteen het grootste land van Europa) Wel makkelijk die tanks.
Toen kwam de atoombom, erg effectief qua schadeaanrichting maar de bijwerkingen zijn nog al vervelend (het land dat je veroverd hebt kan je enkele 100-en jaren niet meer gebruiken zo niet langer)
Met de (theoretische) Neutronenbom zou het allemaal wat efficiënter worden maar die is er nooit gekomen.
Om in de toekomst wat sterker te staan werden er na de tweede wereldoorlog "vrienden" clubjes opgericht zodat als je mij wat doet dan roep ik mijn vrienden erbij zoals de NAVO, Het Warschaupact en ik neem de vrijheid om de Arabische Liga er ook maar bij te vermelden. Het fysiek en ter plaatse voeren van een oorlog wordt dus steeds moeilijker.
Een van de hoofddoelen is toch het ontkrachtigen van de economie.
Omdat de economie steeds meer afhankelijk is van de automatisering er omheen wordt dat dus het nieuwe doel.
De bijkomende voordelen zijn, je hebt bijna geen woon-werk verkeer naar het "slachtveld" hebt en je bent 's avonds op tijd terug
voor de zuurkool met worst.
Emotioneel zal de impact niet zo groot zijn maar economisch wel.
Iemand die deze tendens niet ziet of wil aanvaarden is natuurlijk het potentiële slachtoffer van morgen.
Oorlogvoeren kost geld. Het "sponsoren" van een oorlog door financieel zwakkere vijanden gebeurt dus vaak met middelen die via criminele wegen zijn betrokken (het doel heiligt de middelen) Grote landen hebben dat ongemak niet want die hebben belastingbetalers.
De nieuwe generatie oorlogen zullen zich dus op een heel ander vlak in een heel andere hoedanigheid plaatsvinden.
Als we ons daar niet van bewust worden geven we de vijand alleen maar een gratis voorsprong.
De "troepen" staan al te wachten voor Routerpoort 0/0/1.
Completum est quod dixi
Daar gaat men vast weer een diploma voor verzinnen, waarbij de mensen zonder diploma het stukken beter zullen weten.
Dat security een loopbaan voor velen heeft gecreerd bewijst alleen maar de uitloop van voormalige politie ambtenaren die na een paar jaar in de infosec vakgebied voor een veelvoud van hun maximaal haalbare salaris bij de politie nu elders werken.
Op zich niets mis mee, maar je moet een industrie wel aan de praat houden, terrorisme en FUD helpt hierbij.
Een marketing verhaal als Korea die een bunker bouwt tegen DDoS is in mijn optiek hilarisch.
De eerste realistische vraag die mij opkomt na bekomen te zijn van het lachen op welke wijze deze "bunker" tegen de negatieve effecten van een atoom bom iets zal uithalen, één van die bij effecten heeft uitwerking is Eletronic Magnetic Pulse, voordeel is meteen dat die bunker onnodig is omdat meeste netwerk apparatuur dit toch al niet overleeft.
Marcus heeft een punt dat de industrie nu is gebaseerd op FUD als Haarlemmerolie om beter geld te kunnen kloppen uit de zakken van overheden.
Dat er direct fysiek slachtoffers gaan vallen door handelingen die online over een afstand is inderdaad zwaar overtrokken.
En indien de belangrijkste onderdeel van elk leger (logistiek) remote gefrustreerd kan worden is dat inderdaad een teken hoe incompetent dat leger is, maar dan zullen er vast ook wel er andere vast meer praktische methodes te vinden zijn om ze te frustreren.
Het enige waar men zich wel druk over moet maken is cyber terrorisme, immers met geld kun je offline alles al bewerkstelligen. Maar in derde wereldlanden hebben ze geen geld, maar wel genoeg tijd en de ontwikkeling op dit moment is al jaren dat de beste programmeurs niet uit het westen meer komen en het aantal programmeurs in de derde wereldlanden die in het westen allang heeft overtroffen.
Je krijgt dus een asymmetrische strijd die wij gezien kwantiteit altijd zullen verliezen.
Voor meer ander beeld over wat ons te wachten staat zie:
http://www.mi2g.com/cgi/mi2g/reports/speeches/300502.pdf
één positief punt voor iedereen die zijn boterham in deze business verdient (welkom overigens!) wij gaan er een nog beter belegde boterham door verdienen.
Lang leve de FUD, lang leve derde derdewereldlanden en lang leve gefrustreerde mensen die zorgen voor de noodzakelijk reuring.
Geen cyberoorlog, rofl. Man man man wat een slap gelul allemaal.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
