“Dat meen je toch niet serieus hè, van die security slobbertruien?” vroeg mijn salescollega bezorgd toen hij mijn vorige column uit had. “Nee”, zei ik. “Nou, een beetje. Natuurlijk ligt het genuanceerder. Maar de security sector is een leger waarin iedereen generaal wil zijn. Daar winnen we de oorlog niet mee. Om de schaarse fronttroepen in het zonnetje te zetten heb ik hun belang een beetje overdreven.”
“Fronttroepen? Kunnen we nog wel geld verdienen met beleid en architectuur?”
“Jawel hoor. De komende jaren is er wel overcapaciteit in die markt, dus ik zou er niet al te veel van verwachten. Maar als je goed bent is er vast wel werk.”
De collega aarzelde. “Maar wat zou jij dan doen?” vroeg hij.
Ik kon het niet laten om weer half serieus te antwoorden en zei: “Ik dacht aan een digitale wapenfabriek. Cyberwar, daar zit toekomst in.”
Of ik nou echt een digitale wapenfabriek wil beginnen, mwoah. Maar ik zie wel serieus een gat in de markt. De NAVO heeft de oorlog verloren in Afghanistan en zoekt haar bestaansreden op het nieuwe strijdtoneel van de digitale dimensie. In Nederland is Cyber het enige krijgsmachtdeel waarop niet bezuinigd wordt, waar zelfs geld bij mag. Zo gaat het overal ter wereld. Dit levert een regelrechte revolutie in ICT security op. Maar dan wel eentje die de meeste mensen nu nog niet in het vizier hebben.
Defensie is er namelijk erg snel achter gekomen dat wij ICT security mensen alleen maar goed zijn in statische egelstellingen: stilzitten en wachten tot de aanvaller komt. Zo win je de oorlog ook niet, natuurlijk. Ze weten bij defensie wel niets van digitaal maar meer dan genoeg van oorlogvoeren. Zitten wachten in een schuttersputje staat gelijk aan zelfmoord. Deze klant wil ook kunnen aanvallen. Deze klant wil cyberwapens. Middelen om macht te projecteren in het domein van de tegenstander. Een digitale bom sturen naar een enge dictator is immers verre te prefereren boven het sturen van een collega van vlees in bloed in een vrijwel afgeschreven straaljager. En deze klant heeft haast, zodanig dat er zelfs een pot subsidie via het Topsectorenbeleid klaar ligt.
Er wordt al volop gedelibereerd over de impact van cyber warfare op oorlogsvoering als zodanig. En over regulering ervan. Toch hebben de meeste mensen geen idee wat wel en wat niet kan. En het ingezette tuig maakt echt wel uit voor het gebruik. Hoewel de principes van oorlog (mits voldoende abstract) gelijk zijn, is een oorlog met vliegdekschepen heel iets anders dan eentje met roeiboten.
Die wapens, die moeten we dus maken. En als de hut goed loopt, verkopen we de boel aan de traditionele wapenindustrie en gaan met een stampvolle portemonnee een sabbatical doen.
De meeste discussies over cyberwapens gaan over het gebruik ervan en welke systemen je zou willen aanvallen. Alsof iedereen weet wat een cyberwapen is.
Sinds Stuxnet is het algemene beeld dat een cyberwapen een virus is of iets dergelijks. Dat klopt maar gedeeltelijk: een hond is inderdaad een zoogdier maar niet ieder zoogdier is een hond. En deze specifieke hond is niet zo’n gezeglijk en betrouwbaar huisdier. De huiver voor cyberwapens is een soort angst voor de golem, die een eigen wil dreigde te krijgen en zich uiteindelijk tegen zijn maker Rabbi Löw keerde.
Virussen worden namelijk geplaagd door het probleem van het mikken – net als gifgas kan de schade aan eigen troepen of aan de bondgenoten knap rottig uitpakken. Een virus is ook niet geschikt voor het concept ‘tegenaanval’ in dezelfde dimensie. Dat zie je goed aan wat Japan nu doet. Zij laat door Fujitsu een tegenaanvalsvirus bouwen. Het volgt de aanvalsketen omgekeerd en schakelt de aanval uit door alle zombies in de keten op te schonen. Dat klinkt wel mooi, maar is niet veel meer dan het aloude concept van een goedaardig virus – dat uiteindelijk de aanvaller alleen stopt maar niet uitschakelt. De waarde is dan ook zeer beperkt. Bovendien, als bekend wordt dat je virussen inzet, beschadig je je imago als morele kruisridder in de digitale dimensie.
Er is een veel breder scala aan cyberwapens nodig en vrijwel niemand heeft echt een helder beeld. De Verenigde Staten nodigen daarom partijen uit via DARPA om met goede ideeën te komen. Er is ruimte voor creativiteit. Veel ruimte.
Er zijn wapens en wapens. Tanks en geweren natuurlijk, maar er is ook zoiets als economische oorlogsvoering. Het bekendste voorbeeld is de Koude Oorlog, die vrijwel zonder wapens werd uitgevochten. Een wapen is dus een rekbaar begrip - iets wordt een wapen door het gebruik. Het gebruik is het dwingen van een andere partij tot iets wat deze niet wil. Zo kan in voorkomende gevallen een kruissleutel een prima wapen zijn, en toch valt het niet onder de wapenwet.
Om de digitale wapenmarkt te bepalen en daar geld mee te verdienen, moet je zo helder mogelijk zijn over wat je levert. Cyberwapens zijn wapens die uniek en onderscheidend moeten zijn van ander wapentuig. Wapens zijn alleen cyber door hun toepassing in elektronische netwerken of die alleen toepasbaar zijn via die dimensie. De essentie is het netwerk - elektronisch dus, en niet per definitie digitaal.
Het blijft wazig, ik zie het aan je blik. Ik zal het toelichten met wat voorbeelden.
Via de radio propaganda verzenden, hoort natuurlijk niet bij cyberwarfare. Via de radio executable code verzenden en activeren wel – hoewel het transport elektronisch is en niet digitaal. Het inbreken op de OTA beheerinterface van de iPhone is tenslotte overduidelijk een cyberwapen.
Via Internet propaganda bedrijven is geen cyberwar – het gebruikt alleen een meer hedendaags medium dan een krant of een strooibiljet. Via Internet inbreken om desinformatie in door de tegenstander betrouwbaar geachte kanalen te injecteren? Dat is dus wel weer cyber warfare. Een nepsite die er levensecht uitziet en met een adres dat ook echt had kunnen zijn, zoals whitehouse.com? Nee, dat is een False Flag operatie zoals de boekaniers in de 17 eeuw. Verkeer middels een spoof naar die nepsite brengen, zodat de bezoeker daadwerkelijk whitehouse.org in de adresbalk ziet? Dat is dan weer wel cyber warfare. Dat iets op Internet gebeurt of ergens door een computer gaat maakt nog het lang het niet cyber. Maar zodra je de cyberruimte een beetje buigt - dán wordt het cyber.
De definities zijn nooit 100% helder, maar dit lijken mij hanteerbare kaders om het bereik van een digitale wapenfabriek te bepalen.
De cyberruimte bijbuigen, dat gaat de meeste Security mensen een stap te ver – aanvallen doe je niet. Je bent juist getraind om de digitale dimensie goed en netjes te laten werken, niet om hem te buigen. De Security bestaat voor het merendeel uit volgzaamheid aan wijze lessen (best practices) en nog verder strekkend moralisme; de strijd tegen afwijkend gedrag en pornokijkend personeel op de werkvloer is immers altijd belangrijker geweest dan de strijd tegen echte aanvallen. Niet voor niets stelt ICT Security het beleid centraal, en niet het optreden. Een beveiligingsincident is het overtreden van een regel, wat vrijwel altijd toch iets heel anders is dan de boel daadwerkelijk in gevaar brengen. Het overgrote deel van de Security mensen is dominee, geen zondaar; ze hebben nooit een zwarte hoed gedragen en geen idee hoe je een systeem moet breken, of wat ermee te doen nadat ze binnen zijn. Dus er zullen weinig aanbieders zijn van digitale wapens. Zoals ik al zei, een gat in de markt.
In het begin zul je in deze nieuwe markt nog een heel eind komen met opgeleukte oude exploits. Immers, als het Flame virus - wat niet meer is dan een opgeleukte Back Orifice - al serieus als state-of-the-art cyberwapen wordt gezien, kun je de eerste jaren nog een aardige boterham verdienen met troep. In deze parade der zotheid loopt de huidige Security industrie met Kaspersky voorop. Kaspersky stelt dat er drie soorten bronnen van aanvallen bestaan: staten, hacktivisten en criminelen. En omdat het Flame-virus niet simpel is, is het geen hacktivisme – want hacktivisten doen alleen maar simpele aanvallen. Omdat Flame geen geld steelt, is het ook geen cybercrime. En dus is Flame door een staat gebouwd en DUS is het een cyberwapen. Nog steeds aldus Kaspersky die blijkbaar nog nooit van hackers gehoord heeft. Nu zal deze clown er nog even mee wegkomen: een klantenkring met weinig kennis en veel geld is een open uitnodiging voor dit soort cowboys.
Maar ik denk dat de wildwestfase toch niet zo lang zal duren. De militairen hebben al door het statisch defensiebeeld heen geprikt die onze sector predikt en al dertig jaar beoefent. Dat deden ze verbijsterend snel. Daar houden ze hoogstwaarschijnlijk niet mee op. Die wapenfabriek moet dus wel goed zijn en over een jaar of twee operationeel. Tijd om door te pakken dus.
Om cyberwapens te ontwikkelen moet je je eerst verdiepen in de anatomie van een aanval.
Een aanval bestaat uit propagatie (er komen) en payload (iets doen), of het nu een hack of een virus betreft. Propagatie is de eerste uitdaging.
Klassiek is het gebruik van kwetsbaarheden. 0-Days geven een aanvaller een tijdelijke kans om door een beschermingslaag te dringen, totdat de patch uitgerold is. Er zit nog een korte kans voor extra slagkracht, tussen het beschikbaar komen van de patch en de daadwerkelijke installatie ervan. Je kunt immers door een patch te reverse engineeren het gat exact vinden. En je weet, het kan even duren voor een patch daadwerkelijk gedraaid is.
Er is nog een andere leuke invalshoek. Waar in een applicatie heb je de grootste kans om een gat te vinden? Als je ooit geprogrammeerd hebt, dan weet je dat: in de backwards compatability. De proggers vinden het oude slecht – vooral als het van een ander is, en besteden er dus minder aandacht aan. De opdrachtgever is er ook niet in geïnteresseerd om het oude te blijven ondersteunen, dus het is nogal een ondergeschoven kindje. Vaak bevat de oude versie überhaupt al minder Security mogelijkheden, dus is het een ingecalculeerd gat. Maar dan een waarvan de koper niets weet.
De cyberwapenmarkt op basis van kwetsbaarheden zal echter dringen zijn, en de houdbaarheid van dergelijke wapens is zeer beperkt. Het zijn enkelschots wapens: als je het één keer serieus gebruikt hebt, zal je tegenstander het gebruikte gat dichten. Het lijkt mij een hele stressvolle toekomst die ook bedrijfsmatig erg onzeker is. Moeten we niet willen, dus.
Gelukkig is dat niet alles. Er is nog een hele wereld te winnen met het uitbuiten van voorspelbare configuratiefouten. Een lek in een stack is minder dodelijk dan een vinkje vergeten, en wordt ook niet gefixed met een patch. Toch focust de Security industrie zich op het lek in de stack – want dat is overal hetzelfde. Een foute config in een router blijft keurig staan, zodat er ook na de patch nog vrolijk gebridged wordt. Dit soort gebruiksfouten zijn standaard en voorspelbaar. Dit is een subsport van social engineering die niet in de boeken staat en die een heel interessant spectrum voor wapensystemen opent.
Bij sommige systemen zitten gebruikersfouten in de GUI ingebakken, bij anderen in de handleiding. En – in de vertaling van de handleiding. Een Rus die een Engelse handleiding leest, zal bepaalde zaken anders interpreteren dan een native speaker. Welke dat zijn, kun je voorspellen, als je een paar vergelijkende taalwetenschappers weet te vinden. En daar maak je dan je wapen van.
Payload is het volgende probleem – en uiteindelijk het grootste. Stel nu dat je door die buitenmuur heen bent gebroken en je hebt een Shell op een SSO-server. Je kunt overal bij. Wat dan? Stel je wilt informatie, hoe ga je die vinden? De meeste medewerkers kunnen al de juiste versie van de juiste documentatie nooit vinden, dus wat kun je dan als hacker? Noem dat maar een uitdaging.
Of stel, je wilt een SCADA-systeem manipuleren – hoe kom je daar en wat tref je aan? Voor payload is informatie verzamelen essentieel. Dus tussen propagatie en payload zit een essentiële schakel: doelinformatie. Denk aan een tank: het heeft geen zin met je antitank kanon (propagatie) een 'high explosive' granaat op de tank af te schieten – je moet Armor Piercing gebruiken (payload). Als je met hetzelfde kanon een huis wil kapot schieten, moet je juist high explosive gebruiken, want die AP zou er dwars doorheen gaan. Om dus een effectief cyberwapen te maken, heb je drie delen nodig: propagatie, doelinformatie en payload.
De uiteindelijke kernvaardigheid is doelinformatie verzamelen. Het aan elkaar plakken van onvolledige informatie tot een plaatje dat bruikbaar is. Daarbij komt zeker evenveel toegepaste psychologie kijken als ICT-kennis. Een cyberwapenfabriek wordt een multidisciplinair intellectueel hoogstandje. Dat zal inderdaad wat gaan kosten, dus het is maar goed dat de klanten van wapentuig gewend zijn aan grote bedragen. Maar leuk wordt het zeker met wetenschappers en programmeurs in één hok. In slobbertruien.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Deze posting is gelocked. Reageren is niet meer mogelijk.