211service.com
Als dit cyberoorlog is, waar zijn dan alle cyberwapens?
Net als de atoombom in de laatste dagen van de Tweede Wereldoorlog, leek het computervirus dat bekend staat als Stuxnet, ontdekt in 2010, een nieuw tijdperk van oorlogvoering in te luiden. In het tijdperk van cyberoorlog waarschuwden experts dat stille, op software gebaseerde aanvallen de plaats zullen innemen van explosieven, tanks en machinegeweren, of op zijn minst het toneel voor hen zullen vormen.
Of misschien niet. Bijna vier jaar nadat het voor het eerst publiekelijk werd geïdentificeerd, is Stuxnet een anomalie: het eerste en enige cyberwapen dat ooit is ingezet. Nu willen sommige experts op het gebied van cyberbeveiliging en kritieke infrastructuur weten waarom. Zijn er minder realistische doelen dan vermoed? Zijn dergelijke wapens moeilijker te bouwen dan gerealiseerd? Of zit de huidige generatie cyberwapens gewoon te goed verstopt?
Dergelijke vragen hielden vorige week tijdens de jaarlijkse S4 conferentie buiten Miami. S4 verzamelt 's werelds beste experts op het gebied van de beveiliging van kernreactoren, elektriciteitsnetten en assemblagelijnen.
Bij S4 was men het er breed over eens dat - lang nadat de naam Stuxnet uit de krantenkoppen was verdwenen - industriële besturingssystemen zoals de Siemens Programmable Logic Controllers nog steeds kwetsbaar zijn.
Eireann Leverett , een beveiligingsonderzoeker bij het bedrijf IOActive , vertelde de aanwezigen op de conferentie dat alledaagse beveiligingspraktijken in de wereld van bedrijfsinformatietechnologie nog steeds ongebruikelijk zijn bij leveranciers die industriële controlesystemen ontwikkelen (zie Stroomnetten beschermen tegen hackers is een enorme uitdaging ). Leverett merkte op dat moderne industriële besturingssystemen, die voor duizenden dollars per eenheid worden verkocht, vaak worden geleverd met software die elementaire beveiligingscontroles mist, zoals gebruikersauthenticatie, code-ondertekening om ongeautoriseerde software-updates te voorkomen, of gebeurtenisregistratie zodat klanten wijzigingen aan het apparaat kunnen volgen. .
Het is ook duidelijk dat in de jaren sinds Stuxnet aan het licht kwam, zowel ontwikkelde als ontwikkelingslanden cyberoperaties hebben aangegrepen als een vruchtbare nieuwe weg voor onderzoek en ontwikkeling (zie Welkom bij het Malware Industrial Complex). Laura Galante, een voormalig inlichtingenanalist van het Amerikaanse ministerie van Defensie die nu voor het bedrijf werkt Mandiant , zei dat de VS niet alleen de activiteiten van landen als Rusland en China volgen, maar ook het favoriete doelwit van Syrië en Stuxnet: Iran. Galante zei dat cyberwapens kleinere, armere landen een manier bieden om asymmetrische kracht te gebruiken tegen veel grotere vijanden.
Toch vereisen echt effectieve cyberwapens buitengewone expertise. Ralph Langner , misschien wel 's werelds hoogste autoriteit op het gebied van de Stuxnet-worm, stelt dat het louter hacken van kritieke systemen niet telt als cyberoorlogsvoering. Stuxnet haalde bijvoorbeeld de krantenkoppen voor het gebruik van vier exploits voor zero day (of eerder onontdekte) gaten in het Windows-besturingssysteem. Maar Langner zei dat de metallurgische expertise die nodig is om de constructie van de Iraanse centrifuges te begrijpen, veel indrukwekkender was. Degenen die Stuxnet hebben gemaakt, moesten de exacte hoeveelheid druk of koppel weten die nodig is om aluminium rotoren erin te beschadigen, waardoor de uraniumverrijkingsoperatie van het land wordt gesaboteerd.
Concentratie op op software gebaseerde tools die fysieke schade kunnen veroorzaken, legt een veel hogere lat voor discussies over cyberwapens, stelt Langner. Volgens die norm was Stuxnet een echt cyberwapen, maar de Shamoon-aanval van 2012 op de oliegigant Saudi Aramco en andere oliemaatschappijen was dat niet, ook al wist het de harde schijven van de computers die het besmette.
Sommigen beweren dat de voorwaarden voor het gebruik van zo'n destructief cyberwapen eenvoudigweg niet meer zijn voorgekomen - en dat waarschijnlijk ook voorlopig niet zal gebeuren. Operaties zoals Stuxnet - stealth-projecten die zijn ontworpen om het verrijkingsvermogen van Iran in de loop van de jaren langzaam af te breken - zijn eerder uitzondering dan regel, zei hij. Thomas Rid van het Department of War Studies aan Kings College in Londen. Er zijn niet veel doelwitten die zich lenen voor een geheime campagne zoals Stuxnet deed, zei Rid.
Rid vertelde de aanwezigen dat de kwaliteit van de informatie die over een bepaald doelwit is verzameld, het verschil maakt tussen een effectief cyberwapen en een flop.
Het is ook mogelijk dat andere cyberwapens zijn gebruikt, maar de omstandigheden rond het gebruik ervan zijn geheim, door overheden opgesloten als geheime informatie of beschermd door strikte geheimhoudingsovereenkomsten.
Langner, die samenwerkt met enkele van 's werelds toonaangevende industriële bedrijven en regeringen, zei inderdaad dat hij nog een andere echte fysieke cyberaanval kent, deze die verband houdt met een criminele groep. Maar hij wilde er niet over praten.
Industriële controleprofessionals en academici klagen dat de informatie die nodig is om toekomstige aanvallen te onderzoeken, buiten het publieke domein wordt gehouden. En openbare nutsbedrijven, industriële bedrijven en eigenaren van kritieke infrastructuur worden zich er nu pas van bewust dat systemen waarvan ze aannamen dat ze waren afgeschermd van het openbare internet, dat vaak niet is.
Ondertussen zorgt technologie voor nog snellere en transformatieve veranderingen als onderdeel van wat het internet der dingen wordt genoemd. Door de alomtegenwoordige internetconnectiviteit in combinatie met goedkope en kleine computers en sensoren kunnen autonome systemen binnenkort rechtstreeks met elkaar communiceren (zie Het slimme huis beveiligen, van broodroosters tot toiletten).
Zonder de juiste beveiligingsfuncties die vanaf het begin in industriële producten zijn ingebouwd, neemt de kans op aanvallen en fysieke schade enorm toe. Als we het probleem blijven negeren, komen we in grote problemen, zei Langner.