Moore's Outlaws





Eugene Kaspersky, CEO van het Russische antivirusbedrijf Kaspersky Lab, geeft toe dat het vorig jaar bij hem opkwam dat hij zou kunnen overlijden bij een vliegtuigongeluk veroorzaakt door een cyberaanval. Kaspersky is een man met een eclectische smaak en jongensachtige humor; toen we elkaar ontmoetten in zijn kantoor aan de rand van Moskou, kauwde hij op een snack van gezoete, gevriesdroogde hele babykrabben uit Japan, en op een gegeven moment liet hij me een paar herenonderkleding zien, gekocht in een straat in Moskou, die gestempeld Beschermd door Kaspersky Anti-Virus. Maar hij werd behoorlijk serieus toen het onderwerp zich richtte op de dagen voorafgaand aan 1 april 2009.

Dat was de datum waarop een virulente computerworm genaamd Conficker naar verwachting een update zou ontvangen van zijn onbekende maker, maar niemand wist met welk doel. Een aanpassing aan de code van Conficker kan ertoe leiden dat de ongeveer drie miljoen machines in zijn leger van tot slaaf gemaakte computers, een botnet genaamd, de servers van een of ander bedrijf of overheidsnetwerk gaan aanvallen, miljarden stukjes spam uitspuwen, of gewoon die van de worm verbeteren. vermogen om te propageren. Het is alsof je een leger van een miljoen echte soldaten hebt. Wat kan je doen? vroeg Kaspersky retorisch. Alles wat je wilt . Dat liet hij even bezinken. We wachtten op 1 april - voor iets . Ik controleerde mijn reisschema om er zeker van te zijn dat ik geen vlucht had. We hadden geen idee van deze functionaliteit. Veiligheidsfunctionarissen waren erg nerveus. Uiteindelijk? Er is niks gebeurd. Wauw! Wauw! riep Kaspersky uit. Hij sloeg een kruis, vouwde zijn handen in een gebedshouding en staarde naar het plafond.

Kan aids worden genezen?

Dit verhaal maakte deel uit van ons nummer van juli 2010



  • Zie de rest van het nummer
  • Abonneren

De onbekenden over Conficker in het voorjaar van 2009 (de infectie blijft wijdverbreid, maar tot nu toe inactief) weerspiegelen grotere onbekenden over hoe slecht cyberbeveiliging zal worden ( zie Briefing ). De trends zijn niet veelbelovend: bezoek de laboratoria van Kaspersky - of die van een computerbeveiligingsbedrijf of onderzoeksbureau - en je leert snel dat malware moeilijker te detecteren is, spam sneller wordt bezorgd en dat aanvallen toenemen in aantal en financiële impact ( zie The Rise in Global Cyber ​​Threats zie slideshow ). Beveiligingsexperts en aanvallers zitten opgesloten in een soort wapenwedloop. In het geval van Kaspersky doen zijn ingenieurs en cryptografen alles, van het zoeken naar snellere geautomatiseerde virusdetectiemethoden tot het trollen van Russischtalige hackerblogs op zoek naar aanwijzingen over wat er gaat komen.

Ingenieuze oplossingen vermenigvuldigen zich, maar de aanvallen vermenigvuldigen zich nog sneller. En de onthullingen van dit jaar over in China gevestigde aanvallen op zakelijke en politieke doelen, waaronder Google en de Dalai Lama, suggereren dat ook geavanceerde elektronische spionage zich uitbreidt. Wat we de afgelopen tien jaar hebben gezien, is dat de wet van Moore meer werkt voor de slechteriken dan voor de goeden, zegt Stewart Baker, de voormalige algemeen adviseur van de National Security Agency en een voormalig beleidschef bij de US Department of Homeland Security, verwijzend naar de voorspelling dat geïntegreerde schakelingen ongeveer elke twee jaar in transistorcapaciteit zullen verdubbelen. Het zijn echt 'Moore's outlaws' die dit gevecht winnen. Code is complexer en dat betekent meer mogelijkheden om de code te exploiteren. Er valt meer geld te verdienen met het exploiteren van de code, en dat betekent dat er steeds meer geavanceerde mensen zijn die kwetsbaarheden willen misbruiken. Als je kijkt naar zaken als gevonden malware, of aanvallen, of de omvang van de lading die mensen binnenhalen, is er een exponentiële toename.

Terwijl deze laagwaardige conflicten voortduren, neemt ook de dreiging van een regelrechte cyberoorlog toe. Meer dan 100 landen hebben organisaties ontwikkeld voor het uitvoeren van cyberspionage, volgens de FBI, en ten minste vijf landen - de Verenigde Staten, Rusland, China, Israël en Frankrijk - ontwikkelen daadwerkelijke cyberwapens, volgens een rapport van november 2009 van de FBI. computerbeveiligingsbedrijf McAfee. (In mei bevestigde de Amerikaanse senaat de directeur van de National Security Agency, generaal Keith Alexander, als hoofd van het nieuw opgerichte Amerikaanse cybercommando.) Deze arsenalen zouden militaire netwerken kunnen uitschakelen of elektriciteitsnetten kunnen neerhalen. En de strijd zou kunnen escaleren met de snelheid van het licht, niet alleen die van intercontinentale ballistische raketten. Cyberwapens kunnen een groot aantal mensen treffen, evenals nucleaire wapens. Maar er is één groot verschil tussen hen, zegt Vladimir Sherstyuk, lid van de Russische Nationale Veiligheidsraad en directeur van het Instituut voor Informatiebeveiligingskwesties aan de Staatsuniversiteit van Moskou. Cyberwapens zijn erg goedkoop! Bijna gratis.



Die vorm van strijd is nog grotendeels speculatief en kan gepaard gaan met enkele gespecialiseerde wapens, terwijl de belegering van aanvallen door hackers en malware een dagelijkse realiteit is voor particulieren en bedrijven. Maar de twee soorten conflicten delen hetzelfde medium en ze kunnen enkele van dezelfde benaderingen delen. Misschien wel het belangrijkste, de eerste wordt gemakkelijker te voeren en gevaarlijker in de duistere en chaotische omgeving die door de laatste wordt gecreëerd. Achter de botnets aan gaan, achter de bedrijfsspionage aan gaan, zal de dreiging van een ontwrichtende cyberoorlog niet wegnemen, zegt Greg Rattray, een voormalige nationale veiligheidsfunctionaris van het Witte Huis en auteur van S trategische oorlog in cyberspace . Maar een schoner ecosysteem zou een helderder licht werpen op cyberoorlogsactiviteiten, waardoor het gemakkelijker te detecteren en te verdedigen is.

Grijns en verdraag het: Bij gebrek aan sterke internationale afspraken over de bestrijding van cybercriminaliteit, kan ad-hocsamenwerking soms de klus klaren, zoals toen Eugene Kaspersky, CEO van het Moskouse beveiligingsbedrijf Kaspersky Lab, de Nederlandse politie hielp een botnet te sluiten. Maar zulke geïsoleerde successen houden geen gelijke tred met de exponentiële toename van aanvallen.

Op een basisniveau is gebrekkige technologie verantwoordelijk voor de hele puinhoop. Veel componenten van onze huidige netwerken zijn niet bijzonder veilig gebouwd ( zie Het internet is kapot, december 2005/januari 2006 ). Rapport na rapport van federale agentschappen, de National Research Council en denktanks zoals Rand hebben duidelijk gemaakt dat het voorgoed herstellen van cyberspace een versnelling van onderzoek en ontwikkeling vereist om hardware, software en netwerktechnologieën veiliger te maken - en die technologieën vervolgens snel te krijgen in situ. De laatste oproep kwam in een rapport dat afgelopen november werd uitgegeven door het Department of Homeland Security, waarin werd geconcludeerd dat de enige langetermijnoplossing … is ervoor te zorgen dat toekomstige generaties van deze technologieën worden ontworpen met beveiliging vanaf de grond af ingebouwd.



Maar het beveiligen van cyberspace kan niet wachten op geheel nieuwe netwerken. In de tussentijd moeten we beginnen met het aanpakken van tal van andere systemische problemen. Onder hen: gezond verstand beveiligingspraktijken worden vaak genegeerd, internationale samenwerking is even vlekkerig als de technologie poreus is, en internetproviders doen niet genoeg om kwaadaardig verkeer te blokkeren. Strengere doelen - en goede wetten en een goede rechtshandhavingscapaciteit - zijn de belangrijkste basiselementen, ongeacht welke andere activiteiten we willen proberen, zo benadrukte Christopher Painter, senior directeur cyberbeveiliging van het Witte Huis, op een recente conferentie. Technologie beoordeling onderzocht drie recente afleveringen - een uitzonderlijk botnet-onderzoek in Nederland, een onderzoek naar in China gevestigde spionage in India en andere landen, en de internetaanvallen van 2007 op de kleine Baltische staat Estland - om lessen te trekken over hoe de politie beter kan worden gecontroleerd en de gebrekkige cyberspace die we hebben, en bereid je voor op de cyberoorlog waarvan we hopen dat die nooit zal komen.

Schaduw en grum

De Nederlander uit Sneek was pas 19 jaar oud, maar hij had al meer bereikt dan de meesten van ons kunnen beweren: hij had de illegale controle over maar liefst 150.000 computers over de hele wereld op zich genomen. De onwetende slachtoffers waren opgepakt door middel van slimme berichten die uit hun contacten op Windows Live Messenger van Microsoft leken te komen. Degenen die op een link in het bericht hebben geklikt, hebben een virus gedownload; elke computer werd toen een bot. In de zomer van 2008 besloot de man, Nordin Nasiri, volgens een Amerikaanse aanklacht om de controle over deze tot slaaf gemaakte machines - een botnet dat hij Shadow noemde - te verkopen voor 25.000 euro.

Botnets behoren tot de ernstigste bedreigingen op internet. Zij zijn de motoren achter spam en de fraude en identiteitsdiefstal die spam in stand houdt (volgens een recent rapport van het beveiligingsbedrijf MessageLabs worden elke dag bijna 130 miljard spamberichten verzonden, waarvan 92 procent verantwoordelijk is voor botnets). Ze zijn ook verantwoordelijk voor bedreigingen als denial-of-service-aanvallen, waarbij bendes computers een bedrijfs- of overheidsserver overspoelen met zoveel verkeer dat deze niet kan functioneren. Duizenden grote botnets wemelen van de digitale ether, waaronder enkele die miljoenen machines sterk zijn. Botnets zijn echt de oorzaak en het voertuig voor het uitvoeren van veel van de slechte dingen die gaande zijn en iedereen treft, zegt Christopher Kruegel, een computerwetenschapper en beveiligingsonderzoeker aan de Universiteit van



Californië, Santa Barbara.

Spionage in de cloud: Hoe in China gevestigde hackers Web 2.0-services misbruikten om een ​​wereldwijd spionagenetwerk te runnen.

Afgelopen voorjaar ontdekten onderzoekers een computerspionagenetwerk dat vanuit China werd aangestuurd door onbekende daders. In de bovenstaande kaart vertegenwoordigen cirkels locaties van 139 computers waarvan bekend is dat ze zijn geïnfecteerd met de spyware; ze waren onder meer werkzaam bij het secretariaat van de Nationale Veiligheidsraad van India, het kantoor van de Dalai Lama en de Pakistaanse ambassade in de Verenigde Staten. De geïnfecteerde computers gebruikten populaire Web 2.0-services (hierboven afgebeeld als een cloud) om in te checken bij de sites van de aanvallers, en deze sites stuurden de machines vervolgens de adressen van command-and-control-servers waarmee ze verbinding zouden maken en hun gegevens zouden verzenden. In één geval dat door de onderzoekers is gedocumenteerd, werden 1500 van de brieven van de Dalai Lama vanuit Dharamsala, India, naar een command-and-control-server in Chongqing, China gestuurd. De onderzoekers vermoeden dat de oorspronkelijke infecties wortel schoten toen sommige slachtoffers met virus beladen Word- en PDF-documenten openden die naar hen werden gemaild. Ook in China werden besmette computers gevonden; sommige werden door de aanvallers gebruikt om hun systeem te testen.

Zoals het er nu uitziet, stond de Nasiri-zaak model voor een succesvol transnationaal botnetonderzoek. In de Verenigde Staten kreeg de FBI een tip over de Nederlander en gaf die door aan de hightech-eenheid van de Nederlandse Nationale Politie, die hem arresteerde. Vervolgens zochten de Nederlandse onderzoekers op ongebruikelijke wijze de hulp van antivirusbedrijven om instructies te maken voor het wissen van de infectie van de computers van slachtoffers en om het command-and-control-systeem van het botnet over te nemen, dat op servers in Nederland draaide. Ze wilden iets nieuws doen: het botnet uitschakelen, herinnert Roel Schouwenberg zich, een antivirusonderzoeker bij Kaspersky Lab, met wie de Nederlandse politie contact heeft opgenomen om de taak uit te voeren. Er was een risico dat het door andere slechteriken zou worden gestolen.

Het probleem is dat het Amerikaans-Nederlandse onderzoek een uitzondering was. Rond de tijd dat Shadow werd gesloten, won een ander botnet, bekend als Grum, aan kracht ( zie Botnet-snapshot in diavoorstelling) . Het command-and-control-systeem van Grum werd gehost door een Oekraïens bedrijf genaamd Steephost. In november 2009 schreef Alex Lanstein, een onderzoeker bij het Amerikaanse computerbeveiligingsbedrijf FireEye, een serieuze e-mail naar het misbruikmeldingsadres van Steephost. Hallo Misbruik, begon hij, ik dacht dat je geïnteresseerd zou zijn om te weten van een crimineel netwerk stroomafwaarts van jou. Hij legde de feiten uit over Grum en andere kwaadaardige sites die het host, maar hij kreeg geen antwoord. Een paar dagen later zag hij echter het verschijnen van een soort botnet-vijgenblad: de webadressen van de kwaadwillende sites leidden nu naar valse e-commerce-homepages. In maart zei het computerbeveiligingsbedrijf Symantec dat Grum verantwoordelijk was voor 24 procent van alle spam op internet, tegen 9 procent eind 2009.

De eigenaren van Steephost, die niet bereikbaar waren voor commentaar, hoefden zich weinig zorgen te maken over hun neus naar Lanstein. Botnets opereren vrij over de landsgrenzen heen en de rechtshandhaving blijft ver achter. Een verdrag dat de samenwerking op het gebied van onderzoek wil stimuleren, het Europees Verdrag inzake cybercriminaliteit, is ondertekend door 46 landen, voornamelijk in Europa, maar ook in de Verenigde Staten, Canada, Zuid-Afrika en Japan. Maar het is niet ondertekend door China, Rusland of Brazilië, die (samen met de Verenigde Staten) streven naar leiderschap als 's werelds grootste gastheren van cyberaanvallen. Sommige ondertekenaars, zoals Oekraïne, staan ​​niet bekend om hun enthousiaste inspanningen om botnets te stoppen. En pogingen om een ​​globale versie te maken zijn vastgelopen ( zie Global Gridlock on Cyber ​​Crime ). Botnets vormen een serieuze bedreiging, maar we hebben pech totdat er internationale overeenstemming is dat cybercriminaliteit echt behoorlijk rigoureuze tegenmaatregelen en vervolgingen nodig heeft in vrijwel alle internetgebruikende landen, zegt Vern Paxson, een computerwetenschapper aan de Universiteit van California, Berkeley, die grootschalige internetaanvallen bestudeert.

Gezien de slechte vooruitzichten voor een mondiaal akkoord, proberen de Verenigde Staten bilaterale overeenkomsten te sluiten met enkele van de ergste bronnen van aanvallen, waaronder Rusland. Rusland werkt op ad-hocbasis samen bij het achtervolgen van cybercriminelen van eigen bodem – het hielp onlangs bij de arrestatie van verschillende mensen in Rusland die naar verluidt een online diefstal van $ 10 miljoen hadden gepleegd bij de Bank of Scotland – maar stopt met het toestaan ​​van wetshandhaving van andere landen toegang tot zijn netwerken. Toch vertelde Sherstyuk, de Russische tsaar voor informatiebeveiliging, me: we willen helpen de regels op het gebied van informatie vast te stellen. En ik wed dat er veel dingen zijn die we samen kunnen doen.

Botnet-snapshot: Een botnet genaamd Grum is een belangrijke bron van spam op internet. Hier zijn enkele van de essentiële statistieken.

Veel internetserviceproviders, een andere potentiële bron van verdediging, doen ook een lauwe poging. ISP's hebben de capaciteit om geïnfecteerde machines op hun netwerken te identificeren en in quarantaine te plaatsen, en zo een bron van spam en aanvallen in te sluiten. Maar in de praktijk negeren de meeste ISP's alles behalve die machines die zo schadelijk zijn dat ze andere ISP's ertoe aanzetten om wraak te nemen door het verkeer te blokkeren. Het is veel goedkoper om extra bandbreedte te bieden dan om het probleem daadwerkelijk aan te pakken, zegt Michel van Eeten, hoogleraar technologiebeleid aan de TU Delft, die botnets bestudeert. Hij beschrijft het geval van een Australische ISP die technologie overwoog om geïnfecteerde computers automatisch af te sluiten. De ISP verliet het plan al snel toen het zich realiseerde dat 40.000 verwarde en boze klanten elke maand zouden inbellen bij de klantenondersteuningslijnen, zich afvragend waarom ze werden afgesneden en hoe ze hun machines moesten reinigen. ISP's zorgen doorgaans voor de bots die tegenmaatregelen nemen tegen de ISP zelf, van Eeten

zegt, maar niet te veel meer, vanwege de kostenimpact van het opschalen van een dergelijke inspanning.

Wat de Nederlandse zaak betreft, bleek dat zelfs succesvolle onderzoeken moeilijk te vervolgen zijn. Vandaag wacht Nasiri in Nederland zijn proces af op grond van Nederlandse aanklachten. Maar een Braziliaanse man die oorspronkelijk samen met hem werd aangeklaagd, ontsnapte aan het proces. De Amerikaanse aanklacht had beweerd dat de Braziliaan de ontvangst van 23.000 euro van een koper orkestreerde en regelde om elektronische media van Nasiri met de botcode te ontvangen. Het leek erop dat hij op heterdaad was betrapt. Vorig jaar lieten de Verenigde Staten de aanklacht echter vallen, omdat er geen kroongetuige was. De Nederlandse politie zegt dat ze hem naar Schiphol hebben geëscorteerd en dat hij als vrij man terug naar Brazilië is gevlogen.

Spionage

In 1959 vluchtte de Tibetaanse spirituele leider, de Dalai Lama, naar Dharamsala, een schilderachtig stadje in de uitlopers van de Himalaya in Noord-India, waar nog steeds de verbannen regering van Tibet woont. Daar dient een plaatselijk café genaamd Common Ground ook als een niet-gouvernementele organisatie die probeert de kloof tussen Chinese en Tibetaanse culturen te overbruggen. Maar in 2009 ontdekte een computerwetenschapper die het café bezocht een andere soort brug: een elektronische spionagepijpleiding. De onderzoeker, Greg Walton, merkte op dat computers in het Wi-Fi mesh-netwerk van de stad, TennorNet genaamd, een baken vormden voor een command-and-control-server in Chongqing, China.

De reikwijdte van de spionage reikte tot ver buiten het café. Volgens onderzoekers van het Ottawa-cyberforensisch bedrijf SecDev Group (inclusief Walton) en de Universiteit van Toronto, waren de slachtoffers onder meer agentschappen van de Indiase nationale veiligheidsdienst; de gecompromitteerde gegevens omvatten persoonlijke, financiële en zakelijke informatie van Tibetanen, Indiërs en mensenrechtenfiguren over de hele wereld ( zie Spionage in de Cloud in diavoorstelling ). De ontdekking kwam voordat in China gebaseerde aanvallen op Google en andere westerse bedrijven Google ertoe aanzetten zich terug te trekken uit China ( zie China's Internet Paradox, mei/juni 2010 ). We hebben geen goede statistieken om erachter te komen hoe groot het spionageprobleem is, maar het lijkt duidelijk dat het een stuk erger wordt - en snel, zegt Paxson. Google China was een wake-up call, en er is nog veel meer.

Baltische slag: In 2007, na een geschil over de plannen van Estland om een ​​Russisch monument te verplaatsen, braken er rellen uit tussen Russen en Esten.

China ontkent dat zijn regering achter de Dalai Lama- of Google-aanvallen zat, en de Toronto-groep zegt dat de Toronto-groep niet kan bewijzen dat dit het geval was. Maar we kunnen redelijk speculeren dat er een Chinese markt is voor inlichtingen over mensen die actief zijn in Tibetaanse kringen. Veel instellingen – bedrijven, regeringen, universiteiten – bevinden zich in een vergelijkbare positie als de Tibetaanse regering in ballingschap, omdat ze gegevens hebben die het waard zijn om te stelen omdat ze waardevol zijn voor iemand. En het Canadese werk wierp licht op wereldwijde spionagetechnieken die, naar alle waarschijnlijkheid, veel wijdverspreider zijn dan de aanvallen van in China gevestigde aanvallers op Tibetaanse doelen. Met een exponentiële groei van cybercriminaliteit zullen private en publieke organisaties cyberpenetraties vinden als ze kijken, zegt John Mallery, een computerwetenschapper bij MIT's Computer Science and Artificial Intelligence Laboratory. Organisaties zitten min of meer vast in inherent onveilige infrastructuren en componenten die nooit zijn ontworpen voor beveiliging en in het beste geval achteraf zijn uitgerust met gedeeltelijke beveiligingsmaatregelen. Tegenwoordig heeft de aanvaller het voordeel op architecturaal niveau en innoveert hij sneller dan verdedigers. Wat organisaties dus kunnen doen, is hun kwetsbaarheid beheren door waardevolle informatie te isoleren.

Zoals Mallery suggereert, is de les dat organisaties verliezen moeten plannen en constant waakzaam moeten blijven, omdat geen enkele IT-infrastructuur op het netwerk echt veilig kan zijn. Bedenk dat als reactie op eerdere invallen (ook ontdekt door de Canadese onderzoekers), het personeel van de Dalai Lama een jaar voor Waltons ontdekking ultramoderne firewalls had geïnstalleerd. Maar firewalls moeten over het algemeen worden geprogrammeerd om vijandige sites te blokkeren, en de in China gevestigde spionnen gebruikten een steeds wisselende reeks goedaardige tussenpersonen, waaronder Google Groups, Twitter en Yahoo Mail. Aangenomen wordt dat de aanvallers hun malware hebben ingesloten in Microsoft Word en PDF-documenten die zijn verzonden vanaf ogenschijnlijk vriendelijke e-mailadressen die zijn vervalst of gehackt. Als het slachtoffer de bijlage opende met een kwetsbare versie van Adobe Reader of Microsoft Office, nam de spyware wortel.

Gelukkig kunnen sommige opkomende technologieën zelfs in deze gevallen een oplossing bieden. Bij cyberspionage worden vaak kwaadaardige opdrachten naar een geïnfecteerde computer gestuurd, die vervolgens gegevens terugstuurt. De handtekening van die commando's detecteren - en ze vervolgens blokkeren - is het doel van Santa Barbara's Kruegel, die technologie heeft ontwikkeld die de communicatie detecteert, zelfs als de eerste infectie onopgemerkt bleef. Hoewel aanvallers machines kunnen compromitteren, zegt Kruegel, als je de commando's snel genoeg kunt identificeren, kun je ze richten en neerschieten. Hij verwacht de technologie binnen een jaar op de markt te kunnen brengen.

Veranderingen op politiek niveau kunnen ook een verschil maken: op dit moment verbiedt geen enkel verdrag wat de in China gevestigde agenten deden. Terwijl VN-conventies sterke uitspraken doen over bijvoorbeeld mensenrechten – en dergelijke verdragen zijn vaak

ingeroepen om de acties van China en andere landen te veroordelen - niets vergelijkbaars heeft betrekking op digitale plundering waarbij doelen op het gebied van politiek, bedrijfsleven en mensenrechten tot slachtoffer worden gemaakt. Cybercriminaliteit verandert in cyberspionage vanwege het ontbreken van beperkingen op mondiaal niveau, zegt Ronald Deibert, die het spionageonderzoek leidde als directeur van het Citizen Lab, een onderzoeksbuitenpost aan de Universiteit van Toronto. Het hebben van een verdrag zou helpen om regeringen verantwoordelijk te houden. Je kunt zeggen: 'Hier is het verdrag, en China, je speelt niet volgens de regels, maar je hebt het ondertekend.' ( Zie Cyberspace militariseren, Notebooks, p 12. ) Ondertussen is het veilig om het ergste aan te nemen over de prevalentie van cyberspionage. We moeten dit zien als een klein venster op een veel groter probleem, zegt hij. We hebben hier onze vinger in een zwembad gedompeld.

Toen werd een groot deel van het internet in Estland stilgelegd door een reeks cyberaanvallen. De moeilijkheid om die aanvallen toe te schrijven, benadrukt de behoefte aan nieuwe technologieën en uitgebreide internationale overeenkomsten.

Wie heeft het gedaan?

Op de ochtend van 27 april 2007 begon de Estse regering, na protesten uit Rusland, met het verplaatsen van een bronzen standbeeld van een Sovjet-soldaat dat oorspronkelijk in de hoofdstad Tallinn was geïnstalleerd om de doden uit de Tweede Wereldoorlog te herdenken. De 300.000 etnische Russen die in Estland wonen, waren woedend. Niet lang daarna begonnen internetaanvallen. Botnets waren gericht op Estse kranten, telecom, banken en overheidssites. Het nationale netwerk werd wekenlang belegerd. Rusland leek de voor de hand liggende boosdoener: de regering had gewaarschuwd dat het verwijderen van het beeld rampzalig zou zijn.

Als je tijdens de aanvallen naar het netwerkverkeer in Estland zou kijken, zou je botlegers hebben zien oprukken uit de Verenigde Staten, Egypte, Peru en andere landen. Maar bij nadere inspectie bleek dat veel van de bots bestellingen aannamen van computers in Rusland (en instructies over hoe Estse websites te overspoelen met nutteloze pings in Russische online chatrooms). Toch was het onmogelijk om vast te stellen of de Russische regering zelf de vijandige activiteiten leidde. Rusland ontkende de verantwoordelijkheid, maar weigerde enige forensische analyse van zijn netwerken toe te staan.

Kortom, er was geen gemakkelijke manier om de aanval toe te schrijven. In een wereld die het vooruitzicht van een cyberoorlog toestaat, situaties die het vooruitzicht van een cyberoorlog bieden, behoren dergelijke situaties tot de grootste problemen waarmee landen worden geconfronteerd, maar zeker niet de enige. Als een op spionage gerichte netwerkinbreuk niet goed te onderscheiden is van een inbreuk op een aanval, is het moeilijk te zeggen wanneer een tegenaanval gerechtvaardigd is. Er is ook geen manier om inspecties uit te voeren voor cyberwapens, hun potentiële opbrengst te meten of te certificeren dat ze zijn vernietigd. Toen de Senaat generaal Alexander, het nieuwe hoofd van het Amerikaanse Cyber ​​Commando, onder druk zette om uit te leggen hoe de Verenigde Staten met deze problemen zouden omgaan, werden zijn antwoorden geheim gehouden. Het hele fenomeen cyberoorlog is gehuld in zo'n overheidsgeheim dat de Koude Oorlog eruitziet als een tijd van openheid en transparantie, schrijft Richard Clarke, de voormalige contraterrorisme-tsaar, in zijn nieuwe boek Cyber ​​War: The Next Threat to National Security. en wat eraan te doen.

Maar de implicaties van het attributieprobleem zijn duidelijk genoeg. Een aanval op een NAVO-land verplicht andere NAVO-leden om mee te vechten, zegt Michael Schmitt, een decaan en professor internationaal recht aan het George C. Marshall European Centre for Security Studies in Duitsland. Het verkeerd doen zou een ramp zijn. Dit is geen situatie waarin u dat kunt denken de andere kant viel aan, zegt hij. U moet weten . Zoals we onlangs hebben geleerd, moet je het bewijs juist hebben als je ten strijde trekt. En in het geval van een cyberdreiging kan een overheid gemakkelijk de bron verkeerd inschatten, omdat internetadressen kunnen worden verborgen of vervalst. Ik ben doodsbang dat je een staat ten onrechte toeschrijft, zegt Schmitt.

Op de lange termijn zouden voorgestelde technologische oplossingen dit probleem kunnen verhelpen. Onderzoeksgroepen van Georgia Tech, de Universiteit van Californië, San Diego, de Universiteit van Washington en andere instellingen werken aan manieren om de herkomst van gegevens vast te stellen. In een benadering die wordt ontwikkeld door onderzoekers van San Diego en de Universiteit van Washington, zou de identiteit van de oorspronkelijke computer die een pakket gegevens uitgaf, in versleutelde vorm aan die gegevens gekoppeld blijven. De digitale sleutel tot deze identiteit zou worden bewaard door een vertrouwde derde partij - misschien alleen toegankelijk op gerechtelijk bevel. Alle instrumenten van nationale macht, variërend van diplomatiek tot militair geweld tot economische invloed, zijn behoorlijk waardeloos als je niet kunt toeschrijven wie een aanval heeft uitgevoerd, zegt Stefan Savage, een computerwetenschapper aan de Universiteit van Californië, San Diego, die zich bezighoudt met het ontwikkelen van de technologie. Maar hoewel de technologie u mogelijk de identiteit kan vertellen

technologie kan u mogelijk de identiteit vertellen van een machine die een aanval heeft uitgevoerd (of een misdaad heeft gepleegd), dit is niet altijd handig als de oorspronkelijke bron een openbare computer was. Het kunnen toeschrijven van activiteit aan een bepaalde machine is heel wat anders dan kunnen zeggen: 'Wat was de ware bron?', zegt Berkeley's Vern Paxson. Zelfs als het helemaal naar het eindsysteem van de terminal zou gaan - dat wil zeggen, de plaats van de ware oorsprong van een aanval - heb je misschien een coffeeshop in Shanghai. Paxson waarschuwt dat benaderingen voor het volgen van identiteiten in cyberspace over het algemeen duidelijke gevolgen hebben voor de privacy. De technologie om dit soort problemen aan te pakken - het vermogen om te kunnen volgen wie wat doet en het terug te volgen - zou zeer krachtig zijn, zegt hij. Maar het zou ook politiestaattechnologie zijn.

Nu oplossingen nog ver weg zijn, zal het afwenden van een onnodige uitbraak of escalatie van cyberoorlog moeten steunen op meer conventionele inlichtingentechnieken. Surveillance van computernetwerken kan soms de nodige aanwijzingen opleveren om een ​​potentiële aanvaller te identificeren en te ontmaskeren, zegt Bret Michael, een computerwetenschapper aan de Naval Postgraduate School in Monterey, CA. Dat geldt ook voor basale menselijke intelligentienetwerken. Als inlichtingendiensten de bron van een dreiging kunnen lokaliseren, kunnen ze een licht schijnen op een boosdoener voordat hij aanvalt of kort daarna, zegt hij. Soms is alleen identificatie al voldoende om een ​​aanval te voorkomen.

Cyber-top

Op een frisse ochtend in april dit jaar kwamen meer dan 140 diplomaten, beleidsmakers en computerwetenschappers aan in het bergstadje Garmisch-Partenkirchen, Duitsland. Hun gastheer was het Russische ministerie van Binnenlandse Zaken.

Het onderwerp van de conferentie die hen daar bracht: hoe de informatiesfeer te beveiligen, zoals de Russen het noemden. Maar dit betekende verschillende dingen voor mensen uit verschillende landen. Painter, de assistent van het Witte Huis, benadrukte het bestrijden van cybercriminaliteit. Russisch sprekenden - indachtig de zelfmoordaanslagen die onlangs de metro van Moskou hadden getroffen - spraken over het dwarsbomen van de training en organisatie van terroristen online. Een Indiase onderzoeker sprak over het netwerkgebruik door de Mumbai-terroristen en beschreef hoe de Indiase wetten als reactie daarop werden hervormd. Vertegenwoordigers van de Internet Corporation for Assigned Names and Numbers (ICANN), de autoriteit die verantwoordelijk is voor domeinnamen, spraken over de nieuwste beveiligingsoplossingen. Een kleine Chinese delegatie was aanwezig, maar keek zwijgend toe.

Toen, op de tweede dag, beklom Michael Barrett, de chief information security officer bij PayPal, het podium om de aanwezigen te herinneren aan wat ze gemeen hadden: een kapotte reeks technologieën. Net als andere doelwitten, zei hij, wordt PayPal - waarmee internetgebruikers op een veilige manier contant geld kunnen verzenden in 190 landen en regio's - belegerd. Wat ons, en inderdaad elke beoefenaar van informatiebeveiliging, duidelijk wordt, is dat de meeste curven - en we kunnen allemaal deze curven uitgraven, de hoeveelheid virussen op internet, het aantal invallen en bla bla bla - ze zijn allemaal deprimerend op elkaar lijken. Ze hebben allemaal de neiging om er logaritmisch uit te zien in schaal. Ze gaan allemaal omhoog als Dat , zei hij met een scherpe, hemelwaartse beweging van zijn hand.

Verwijzend naar eerdere gesprekken over het verbeteren van de samenwerking en het toevoegen van beveiligingspatches, voegde hij eraan toe: Het is niet dat die dingen slecht zijn. Maar op dit punt doet het me een beetje denken aan de definitie van waanzin, dat wil zeggen, steeds weer hetzelfde doen en een ander resultaat verwachten. Het is onze hypothese dat om internet te beveiligen, we moeten nadenken over veiligheid op ecosysteemniveau, en dat betekent dat we de fundamenten van internet moeten heroverwegen. Net toen Barrett zich begon op te warmen, sneden de Russische organisatoren hem af. Ze liepen achter op schema en het was tijd voor de lunch, maar de beslissing stond symbool voor een groter probleem. In wezen hebben we niet de technologie om de bedreigingen aan te pakken die worden geleverd door de netwerkinfrastructuur die we hebben opgezet, zegt John Mallery, de MIT-onderzoeker. Verschillende onderzoeksprojecten hebben proeftuinen gecreëerd voor nieuwe internetarchitecturen of prototypen van veiligere besturingssystemen en hardware-architecturen, zoals chips die bepaalde software in afgelegen gebieden opslaan. Maar het rapport van het Department of Homeland Security vond nog steeds een dringende behoefte aan versneld onderzoek en ontwikkeling op het gebied van het beveiligen van cyberspace.

De collectieve discussie in Garmisch was nuttig om de inspanningen op korte termijn te bevorderen. Het veranderen van het gedrag van individuele computergebruikers en bedrijven zal cruciaal zijn; net als het aanhalen van de banden met de rechtshandhaving, het installeren van de nieuwste technologische patches en het uitbreiden van diplomatie. Maar uiteindelijk zal overstappen op nieuwe technologieën noodzakelijk zijn. En dat zal waarschijnlijk pas gebeuren als we een grote storing of aanval ervaren. Wat we hebben gezien, is dat wapenwedlopen vaak op een evolutionaire manier verlopen. Maar zo nu en dan, ze springen , zegt Paxson. Als er een cyberaanval is die een stad een week lang in de war brengt - of als een groot bedrijf op de knieën wordt gebracht - zal dat een game changer zijn. Ik weet niet hoe ik dat moet voorspellen. Het is alsof je hier in de Bay Area zegt: 'Zal er de komende drie jaar een grote aardbeving zijn?' Ik weet het echt niet.

Zijn opmerkingen deden me denken aan Kaspersky's angst voor vliegtuigcrashes; collectief kunnen we gewoon niet voorspellen hoe en wanneer dingen kunnen veranderen. Maar zoals Baker het uitdrukte: De les van 9/11, de les van orkaan Katrina, is dat het vroeg of laat gaat gebeuren.

David Talbot is Technologie beoordeling 's hoofdcorrespondent.

zich verstoppen