Een echte cyberoorlog tussen twee landen zal niet via het internet plaatsvinden, aangezien belangrijke militaire systemen niet op het web zijn aangesloten, dat zegt Mikko Hyppönen in een interview met Security.nl. Volgens de Chief Research Officer van het Finse F-Secure is het een ander verhaal voor geavanceerde aanvallen op overheden en bedrijven. Die komen al jaren via het web voor, maar het is hierbij niet de techniek die Hyppönen doet verbazen. "Technisch zijn ze niet zo geavanceerd, maar de inlichtingen erachter wel."

Het gaat dan om de manier waarop aanvallers hun doelwit weten te vinden, hun doelwit onderzoeken, erachter komen wie de juiste persoon is om te infecteren, wie hij is, waarover hij spreekt en welke talen hij spreekt, wat voor e-mails hij bekijkt en welke bijlagen hij zou openen. "Dat vertelt ons al veel", merkt de Finse expert op. Sommige van de aanvallen worden in dertig verschillende talen uitgevoerd. Sommige van die aanvallen zijn zelfs in perfect Nederlands. "Wie heeft de middelen om het in zoveel talen te doen. Het is behoorlijk zorgwekkend", merkt Hyppönen op.

Definitie
De laatste tijd komt regelmatig het onderwerp "cyberwar" aan bod. Een term die volgens Hyppönen dringend behoefte aan een duidelijke definitie heeft. "Als je met militairen over cyberoorlog spreekt, is het erg verwarrend wat ze ermee bedoelen." Regelmatig wordt Estland als voorbeeld van een cyberoorlog genoemd. "Dat is geen cyberoorlog. Dat waren denial of service aanvallen tegen websites. Dat heeft niets met oorlog te maken."

Zowel in Georgië en Estland werden overheidssites platgelegd, waaronder die van de president. "Maar dat is geen kritieke infrastructuur." Als de website van de Nederlandse regering crasht en voor de rest van het jaar onbereikbaar blijft, dan zal niemand het missen. Maar het zal in het nieuws komen. Dat is wat de aanvallers willen, aandacht."

Oorlog
Een voorbeeld van een echte cyberoorlog is als land A de militaire systemen van land B via het internet aanvalt of uitschakelt. "Dat is duidelijk cyberoorlog, maar dat is nooit voorgekomen. En als dat zou gebeuren, zou dat niet via het internet gaan. Het internet heeft er niets mee te maken." Belangrijke militaire systemen zouden volgens de Finse virusbestrijder niet op het internet zijn aangesloten.

Een echte aanval zou dan ook bestaan uit het loslaten van guerrilla's op vijandelijk gebied die glasvezels opgraven. "Zo zou je het starten, niet van afstand." Kritieke infrastructuur komt wel steeds vaker online en dat baart Hyppönen zorgen. "Als het internet vijf minuten geleden zou zijn gecrasht hadden we het niet gemerkt. Het licht zou het nog steeds doen en ook het water zou nog uit de kraan komen. Maar over tien of vijftien jaar misschien niet. Deze infrastructuur wordt steeds afhankelijker van publieke netwerken."

USB-worm
Belangrijke departementen en militaire instellingen gebruiken meerdere systemen om met elkaar te communiceren. Systemen die bijvoorbeeld niet op het web zijn aangesloten. Om data te versturen moet men het eerst van het ene naar het andere systeem kopiëren. Hyppönen herinnert zich een gerichte aanval op dit soort meerlaagse netwerken. Het ging om een USB-worm die op een systeem de 'Mijn Documenten' map naar een geheime map op de USB-stick kopieerde en vervolgens het systeem infecteerde.

Werd de stick op een andere computer gebruikt, dan werd ook daar de Mijn Documenten map naar de USB-stick gekopieerd, maar werd ook de eerder opgevangen data naar de computer gekopieerd. Zo stonden de documenten van deze organisatie op bijna alle sticks en waren ze ondertussen ook naar alle systemen gekopieerd, wachtend op een moment dat de stick op een computer met internetverbinding werd aangesloten. Zodoende kon de data naar een remote server worden gestuurd.

China
Het aantal gerichte aanvallen neemt volgens Hyppönen niet toe, maar ook niet af. Aan de andere kant krijgen bedrijven als F-Secure slechts een deel van het probleem te zien. Bij de meeste aanvallen wordt altijd China als dader genoemd, maar daar is geen bewijs voor, aldus de virusbestrijder. "Als we aannemen dat het de Chinese regering is, dan is de echte vraag, aangezien we de meeste aanvallen naar één bron kunnen herleiden, waar de aanvallen van de Amerikaanse, Duitse, Israëlische en Nederlandse inlichtingendiensten zijn, omdat we die niet zien." Hyppönen is ervan overtuigd dat ze plaatsvinden. "Of ze zijn te slim zodat wij ze niet opmerken of ze doen zich als China voor."

Hij vermoedt dat China ook betrokken is, maar dat het gaat om hackergroepen die door de machthebbers in Beijing worden getolereerd. Iets wat ook zou blijken uit de gebruikte malware. Toch blijft het vanwege de aard van de aanvallen lastig om hier bescherming tegen te bieden. In één geval hadden de aanvallers speciaal aangepaste malware ontwikkeld die alleen niet door de scanner van F-Secure werd opgemerkt. "De aanvallers wisten welk product er werd gebruikt." Ondanks alle media aandacht en marketing hoeven de meeste bedrijven en instellingen zich geen zorgen te maken. "99,99% van onze klanten is geen doelwit."

Internet 2.0
Soms wordt er een tweede internet als oplossing geopperd, waar overheden meer rechten hebben en dat beter tegen aanvallen bestand is. Volgens de Finse beveiligingsexpert is het geen goed idee om het hele internet te vervangen, omdat TCP/IP bijvoorbeeld wel goed werkt. Aanvallers zullen er dan ook niet in slagen om het gehele internet plat te leggen.

Hyppönen kan zich wel een aanval voorstellen die voor altijd het SMTP protocol uitschakelt. "Dat zou waarschijnlijk een goed iets zijn. Dan kunnen we het vervangen met iets dat encryptie, authenticatie en bescherming tegen sniffing heeft. Dat zou fantastisch zijn. Sommige onderdelen van het internet zijn aan vervanging toe, maar dat mag niet ten koste van de privacy gaan."