Hoe iedereen oorlog voert op het internet
Deze week lees je op TechPulse een vijfdelig dossier over cyberdefensie. We hadden het in deel 1 over de bescherming van kritieke infrastructuur van bedrijven en de overheid. In deel 2 bekeken we hoe die overheid censuur gebruikt om websites ontoegankelijk te maken en in het derde hoofdstuk analyseerden we de technieken die vadertje staat mag gebruiken om je surfgedrag op het net te volgen. In dit voorlaatste onderdeel van het dossier bekijken we hoe oorlogsvoering in cyberspace er uit ziet. In het laatste stuk kijken analyseren we tot slot een echte cyberaanval, van de phishingmail die alles in gang zet tot de kapotte computer op het eind.
Wie wil kan het internet voor veel meer duistere zaken gebruiken dan illegaal downloaden, persoonsgegevens stelen of zelfs aanslagen plannen. Het net zelf is het levensbloed van onze hoogtechnologische Westerse maatschappij. Kritieke systemen zijn er mee verbonden en kunnen platgelegd worden.
Offline aanvallen
Geen beveiliging is 100 procent waterdicht en wie genoeg tijd, geld en middelen heeft raakt overal binnen. Stuxnet is daar een prachtig voorbeeld van. Officieel is Stuxnet een mysterieuze worm speciaal ontwikkeld om de controllers van industriële installaties aan te vallen. Officieus is Stuxnet een cyberwapen gebouwd door de VS en Israël met als erg specifiek doel om het kernprogramma van Iran te beschadigen. Uiteraard geeft niemand dat officieel toe, maar de Washington Post staaft die analyse met getuigenissen van anonieme bronnen.
Stuxnet had als doel om de nucleaire centrifuges van Iran lam te leggen. Een uitdaging, aangezien de installatie in kwestie hardwarematig losgekoppeld was van het internet. De wifi uitschakelen en de ethernetkabel uittrekken schrikt de meeste hackers af, maar niet allemaal. De worm in kwestie maakte gebruik van vier zero-day lekken en was uitgerust met gestolen digitale certificaten van gerespecteerde bedrijven. Zo kon het virus zichzelf mooi als rootkit installeren zonder een antivirusprogramma of Windows zelf op stang te jagen. Vervolgens mikte de worm op verspreiding via usb-sticks om zo het gebrek aan internetverbinding te omzeilen. De worm kon zich tot slot repliceren in een LAN-omgeving zonder internet, waar hij op zoek ging naar de juiste controllers om te infecteren. In het geval van de centrifuges zorgde de worm ervoor dat ze zichzelf kapot maakten zonder hun vreemd gedrag aan monitoringsoftware door te geven.
Chinese hackers
Stuxnet is niet het enige voorbeeld van cyber-oorlogsvoering. Denk maar aan het lustig hackgedrag van China en Rusland, de gekraakte kiescomputers in twee Amerikaanse staten tijdens de voorverkiezingen of de gelekte e-mails van presidentskandidaat Hilary Clinton. De New York Times is er inmiddels op het gezag van de Amerikaanse staatsveiligheid min of meer zeker van dat Russische hackers de presidentsverkiezingen in de VS beïnvloed hebben.
De nood aan verdediging in cyberspace is zonder meer acuut, maar België loopt naar trieste gewoonte weer flink achter wat cyberdefensie betreft. Nederland heeft al geruime tijd een Cybercommando terwijl België de ambitie heeft om tegen 2019 een cybertak aan het leger toe te voegen. Zowel België als Nederland willen niet enkel verdedigend optreden maar ook offensieve cybercapaciteiten hebben. Die laatste zijn dan bedoeld voor andere landen maar ook terroristische organisaties.
Kwetsbare infrastructuur
Voorlopig blijft een écht schadelijke cyberaanval op het Westen uit. Gelukkig maar: er is weinig nodig om onze maatschappij te ontwrichten. Deze zomer toonde het Zweedse bedrijf Telia per ongeluk hoe kwetsbaar het net wel is. Telia is een Tier 1-netwerkbeheerder en maakt als dusdanig deel uit van de ruggengraat van het internet. Heel veel verkeer passeert dus door de Zweedse datacenters. In juni vergiste een ingenieur zich waardoor hij per ongeluk heel wat Europees verkeer naar Hong Kong route. Het resultaat: tal van websites en diensten waren vanuit Europa voor enkele uren onbereikbaar. Een opzettelijke sabotage van het internet behoort dus tot de mogelijkheden. Dat Slack niet werkt of je favoriete website onbereikbaar blijkt, is in dat opzicht het minste van je zorgen.
Doemscenario
Ronald Prins van Fox-IT denkt luidop aan een worm die Cisco-hardware aanvalt, naar analogie met Stuxnet. Die zou het net voor lange tijd beschadigen maar ook alle onderliggende diensten onderuit halen. Het wereldwijde betalingsverkeer zou neergaan. Betalen met je bankkaart wordt onmogelijk net als geld afhalen bij een automaat. Een dergelijke aanslag levert minder gruwelijke beelden op dan een bom op een drukbevolkt plein, maar de maatschappij en de economie zouden er veel harder door afzien. Prins vreest dat het slechts een kwestie van tijd is alvorens iemand met de middelen en de kennis zo’n cyberaanslag plant.
Of vijanden als IS dergelijke capaciteiten hebben, is twijfelachtig. Een geavanceerde worm ontwikkelen ligt vermoedelijk boven de know-how van de gemiddelde terrorist maar dat wil niet zeggen dat cyberaanvallen uit den boze zijn. “Een aanval kan je kopen”, verklaart Prins. “Een zware DDoS-aanval op een systeem of website koop je al voor 2.000 dollar.”
De overheid helpt
Gelukkig beweegt er wel het één en ander. Een geliefkoost wapen van de cybercrimineel blijft bijvoorbeeld het botnet. Die verzameling van duizenden tot zelfs miljoenen geïnfecteerde computers maat DDoS-aanvallen mogelijk. Besmette pc’s worden vaak zonder medeweten van gebruikers ingezet om het doelwit van hackers te bestoken met valse verbindingsverzoeken.
In België bestaat sinds eind 2015 het Centrum voor Cybersecurity. Dat CCB wil in samenwerking met Microsoft eigenaars van geïnfecteerde computers op de hoogte brengen van het feit dat ze gehackt zijn. Het CCB weet welke IP-adressen gebruikt worden in DDoS-aanvallen van criminelen maar kan de eigenaars daarvan momenteel niet op de hoogte brengen. Zoals je in deel 3 van dit dossier kon lezen, kan de overheid IP-adressen wel aan personen koppelen. Dat mag echter alleen door bevoegde instanties onder erg strikte voorwaarden waardoor het CCB geen toegang krijgt.
Een middenweg biedt soelaas. De internetproviders zullen een lijst et IP-adressen van gehackte pc’s krijgen en zelf waarschuwingen naar de getroffen klanten sturen. Nadien wordt de lijst terug vernietigd. Het doel heiligt in dit geval de middelen. Niet alleen worden computers gebruikt als wapen om cyberaanvallen uit te voeren, de systemen van de getroffen personen zijn bovendien per definitie geïnfecteerd en dus lek, met alle risico’s voor de privacy van de gebruikers.
Naar Belgische normen klinkt dat allemaal weeral innoverend. Nederlandse lezers mogen eens goed lachen: in Nederland stuurde de politie al in 2010 waarschuwingen naar gebruikers die geïnfecteerd waren. In 2008 gebeurde hetzelfde met het Shadowbot-netwerk.
Kwantumsatelliet tegen hackers
Aan de andere kant van de wereld gaat het er beslis hoogtechnologischer aan toe. Midden augustus lanceerden de Chinezen ’s werelds eerste kwantum-communicatiesatelliet. Het ding maakt gebruik van een fenomeen dat kwantumteleportatie heet. Gegevens worden voor een stuk verzonden via kwantumverstrengeling, waarvan twee partikels met elkaar verbonden zijn doorheen tijd en ruimte en gelijktijdig van staat veranderen. Het deel van de communicatie nodig om de kwantumdata te ontcijferen loopt wel via lasers, maar de laserstraal onderscheppen vertelt een hacker niets. Wie er op de één of andere manier toch in zou slagen de kwantumcommunicatie te observeren, doet de gegevens daarmee meteen kapot. De verstrengelde partikels veranderen immers van staat zodra ze geobserveerd worden.
De wetenschap achter de satelliet is extreem complex, het resultaat is dat niet. China werkt aan een communicatienetwerk dat aanzienlijk veiliger is dan versleutelde communicatie, aangezien de data simpelweg niet te onderscheppen valt. Vandaag is dat nog niet zo van belang. Zelfs een krachtige supercomputer verslikt zich in grondige encryptie. Zowat iedereen werkt echter aan kwantumcomputers. De vooruitgang is langzaam, maar wanneer de dingen eindelijk praktisch werke,n voorspellen onderzoekers dat ze zo krachtig zullen zijn, dan zelfs de zwaarste versleuteling op seconden gekraakt is. Voor toekomstige veilige communicatie is het kwantumnetwerk van China dus onontbeerlijk.
Digitaal strijdtoneel
Het is veilig te stellen dat het internet een volledige wereld is, naast de echte wereld. Er is criminaliteit, inbraak, terreur en oorlog en alles heeft dezer dagen een erg directe impact op mensen en omgeving. Ondanks het bestaan van goede beveiliging lijkt het er toch op dat cyberverdediging in haar kinderschoenen staat. Een cyberterrorist in Syberië kan met voldoende geld vandaag een stuk onontbeerlijke infrastructuur in ons land platleggen zonder dat de overheid daar ook maar iets aan kan doen. Gelukkig lijken er voorlopig maar weinig hackers te bestaan met een ambitie die verder reikt dan geldgewin.
Deze week lees je op TechPulse een vijfdelig dossier over cyberdefensie. We hadden het in deel 1 over de bescherming van kritieke infrastructuur van bedrijven en de overheid. In deel 2 bekeken we hoe die overheid censuur gebruikt om websites ontoegankelijk te maken en in het derde hoofdstuk analyseerden we de technieken die vadertje staat mag gebruiken om je surfgedrag op het net te volgen. In dit voorlaatste onderdeel van het dossier bekijken we hoe oorlogsvoering in cyberspace er uit ziet. In het laatste stuk kijken analyseren we tot slot een echte cyberaanval, van de phishingmail die alles in gang zet tot de kapotte computer op het eind.
Wie wil kan het internet voor veel meer duistere zaken gebruiken dan illegaal downloaden, persoonsgegevens stelen of zelfs aanslagen plannen. Het net zelf is het levensbloed van onze hoogtechnologische Westerse maatschappij. Kritieke systemen zijn er mee verbonden en kunnen platgelegd worden.
Offline aanvallen
Geen beveiliging is 100 procent waterdicht en wie genoeg tijd, geld en middelen heeft raakt overal binnen. Stuxnet is daar een prachtig voorbeeld van. Officieel is Stuxnet een mysterieuze worm speciaal ontwikkeld om de controllers van industriële installaties aan te vallen. Officieus is Stuxnet een cyberwapen gebouwd door de VS en Israël met als erg specifiek doel om het kernprogramma van Iran te beschadigen. Uiteraard geeft niemand dat officieel toe, maar de Washington Post staaft die analyse met getuigenissen van anonieme bronnen.
Stuxnet had als doel om de nucleaire centrifuges van Iran lam te leggen. Een uitdaging, aangezien de installatie in kwestie hardwarematig losgekoppeld was van het internet. De wifi uitschakelen en de ethernetkabel uittrekken schrikt de meeste hackers af, maar niet allemaal. De worm in kwestie maakte gebruik van vier zero-day lekken en was uitgerust met gestolen digitale certificaten van gerespecteerde bedrijven. Zo kon het virus zichzelf mooi als rootkit installeren zonder een antivirusprogramma of Windows zelf op stang te jagen. Vervolgens mikte de worm op verspreiding via usb-sticks om zo het gebrek aan internetverbinding te omzeilen. De worm kon zich tot slot repliceren in een LAN-omgeving zonder internet, waar hij op zoek ging naar de juiste controllers om te infecteren. In het geval van de centrifuges zorgde de worm ervoor dat ze zichzelf kapot maakten zonder hun vreemd gedrag aan monitoringsoftware door te geven.
Chinese hackers
Stuxnet is niet het enige voorbeeld van cyber-oorlogsvoering. Denk maar aan het lustig hackgedrag van China en Rusland, de gekraakte kiescomputers in twee Amerikaanse staten tijdens de voorverkiezingen of de gelekte e-mails van presidentskandidaat Hilary Clinton. De New York Times is er inmiddels op het gezag van de Amerikaanse staatsveiligheid min of meer zeker van dat Russische hackers de presidentsverkiezingen in de VS beïnvloed hebben.
De nood aan verdediging in cyberspace is zonder meer acuut, maar België loopt naar trieste gewoonte weer flink achter wat cyberdefensie betreft. Nederland heeft al geruime tijd een Cybercommando terwijl België de ambitie heeft om tegen 2019 een cybertak aan het leger toe te voegen. Zowel België als Nederland willen niet enkel verdedigend optreden maar ook offensieve cybercapaciteiten hebben. Die laatste zijn dan bedoeld voor andere landen maar ook terroristische organisaties.
Kwetsbare infrastructuur
Voorlopig blijft een écht schadelijke cyberaanval op het Westen uit. Gelukkig maar: er is weinig nodig om onze maatschappij te ontwrichten. Deze zomer toonde het Zweedse bedrijf Telia per ongeluk hoe kwetsbaar het net wel is. Telia is een Tier 1-netwerkbeheerder en maakt als dusdanig deel uit van de ruggengraat van het internet. Heel veel verkeer passeert dus door de Zweedse datacenters. In juni vergiste een ingenieur zich waardoor hij per ongeluk heel wat Europees verkeer naar Hong Kong route. Het resultaat: tal van websites en diensten waren vanuit Europa voor enkele uren onbereikbaar. Een opzettelijke sabotage van het internet behoort dus tot de mogelijkheden. Dat Slack niet werkt of je favoriete website onbereikbaar blijkt, is in dat opzicht het minste van je zorgen.
Doemscenario
Ronald Prins van Fox-IT denkt luidop aan een worm die Cisco-hardware aanvalt, naar analogie met Stuxnet. Die zou het net voor lange tijd beschadigen maar ook alle onderliggende diensten onderuit halen. Het wereldwijde betalingsverkeer zou neergaan. Betalen met je bankkaart wordt onmogelijk net als geld afhalen bij een automaat. Een dergelijke aanslag levert minder gruwelijke beelden op dan een bom op een drukbevolkt plein, maar de maatschappij en de economie zouden er veel harder door afzien. Prins vreest dat het slechts een kwestie van tijd is alvorens iemand met de middelen en de kennis zo’n cyberaanslag plant.
Of vijanden als IS dergelijke capaciteiten hebben, is twijfelachtig. Een geavanceerde worm ontwikkelen ligt vermoedelijk boven de know-how van de gemiddelde terrorist maar dat wil niet zeggen dat cyberaanvallen uit den boze zijn. “Een aanval kan je kopen”, verklaart Prins. “Een zware DDoS-aanval op een systeem of website koop je al voor 2.000 dollar.”
De overheid helpt
Gelukkig beweegt er wel het één en ander. Een geliefkoost wapen van de cybercrimineel blijft bijvoorbeeld het botnet. Die verzameling van duizenden tot zelfs miljoenen geïnfecteerde computers maat DDoS-aanvallen mogelijk. Besmette pc’s worden vaak zonder medeweten van gebruikers ingezet om het doelwit van hackers te bestoken met valse verbindingsverzoeken.
In België bestaat sinds eind 2015 het Centrum voor Cybersecurity. Dat CCB wil in samenwerking met Microsoft eigenaars van geïnfecteerde computers op de hoogte brengen van het feit dat ze gehackt zijn. Het CCB weet welke IP-adressen gebruikt worden in DDoS-aanvallen van criminelen maar kan de eigenaars daarvan momenteel niet op de hoogte brengen. Zoals je in deel 3 van dit dossier kon lezen, kan de overheid IP-adressen wel aan personen koppelen. Dat mag echter alleen door bevoegde instanties onder erg strikte voorwaarden waardoor het CCB geen toegang krijgt.
Een middenweg biedt soelaas. De internetproviders zullen een lijst et IP-adressen van gehackte pc’s krijgen en zelf waarschuwingen naar de getroffen klanten sturen. Nadien wordt de lijst terug vernietigd. Het doel heiligt in dit geval de middelen. Niet alleen worden computers gebruikt als wapen om cyberaanvallen uit te voeren, de systemen van de getroffen personen zijn bovendien per definitie geïnfecteerd en dus lek, met alle risico’s voor de privacy van de gebruikers.
Naar Belgische normen klinkt dat allemaal weeral innoverend. Nederlandse lezers mogen eens goed lachen: in Nederland stuurde de politie al in 2010 waarschuwingen naar gebruikers die geïnfecteerd waren. In 2008 gebeurde hetzelfde met het Shadowbot-netwerk.
Kwantumsatelliet tegen hackers
Aan de andere kant van de wereld gaat het er beslis hoogtechnologischer aan toe. Midden augustus lanceerden de Chinezen ’s werelds eerste kwantum-communicatiesatelliet. Het ding maakt gebruik van een fenomeen dat kwantumteleportatie heet. Gegevens worden voor een stuk verzonden via kwantumverstrengeling, waarvan twee partikels met elkaar verbonden zijn doorheen tijd en ruimte en gelijktijdig van staat veranderen. Het deel van de communicatie nodig om de kwantumdata te ontcijferen loopt wel via lasers, maar de laserstraal onderscheppen vertelt een hacker niets. Wie er op de één of andere manier toch in zou slagen de kwantumcommunicatie te observeren, doet de gegevens daarmee meteen kapot. De verstrengelde partikels veranderen immers van staat zodra ze geobserveerd worden.
De wetenschap achter de satelliet is extreem complex, het resultaat is dat niet. China werkt aan een communicatienetwerk dat aanzienlijk veiliger is dan versleutelde communicatie, aangezien de data simpelweg niet te onderscheppen valt. Vandaag is dat nog niet zo van belang. Zelfs een krachtige supercomputer verslikt zich in grondige encryptie. Zowat iedereen werkt echter aan kwantumcomputers. De vooruitgang is langzaam, maar wanneer de dingen eindelijk praktisch werke,n voorspellen onderzoekers dat ze zo krachtig zullen zijn, dan zelfs de zwaarste versleuteling op seconden gekraakt is. Voor toekomstige veilige communicatie is het kwantumnetwerk van China dus onontbeerlijk.
Digitaal strijdtoneel
Het is veilig te stellen dat het internet een volledige wereld is, naast de echte wereld. Er is criminaliteit, inbraak, terreur en oorlog en alles heeft dezer dagen een erg directe impact op mensen en omgeving. Ondanks het bestaan van goede beveiliging lijkt het er toch op dat cyberverdediging in haar kinderschoenen staat. Een cyberterrorist in Syberië kan met voldoende geld vandaag een stuk onontbeerlijke infrastructuur in ons land platleggen zonder dat de overheid daar ook maar iets aan kan doen. Gelukkig lijken er voorlopig maar weinig hackers te bestaan met een ambitie die verder reikt dan geldgewin.