‘Amerika verloor eerste cyberoorlog’
Een blik op de wereld van spionnen, cyberactivisten, en georganiseerde misdaad
Al jaren waarschuwen inlichtingendiensten wereldwijd voor het gevaar van cyberaanvallen, of zelfs een heuse ‘cyberoorlog’. Dat hoeft niet te verbazen. Veiligheidsdiensten willen hun budgetten veilig stellen, en moeten dus politici, en bij uitbreiding burgers, overtuigen van hun meerwaarde. ‘Oorlog’, roept beelden op van vernieling en menselijk leed, waarvan we ons moeilijk kunnen voorstellen dat een computer inbraak ze kan veroorzaken. Zou het werkelijk een probleem zijn van nationale veiligheid, wanneer bij een aanval monarchie.be enkele uren onbereikbaar zou zijn? Toch is cyberoorlog niet langer een sciencefiction term, en zijn de gevolgen wel degelijk reëel, ook in België.
Aangeboden door de abonnees van Doorbraak
Dit gratis artikel wordt u aangeboden door onze betalende abonnees. Als abonnee kan u ook alle plus-artikelen lezen. Doorbreek de bubbel vanaf €4.99/maand.
Ik neem ook een abonnementEen waas van geheimzinnigheid
De wereld van de cyberoorlogsvoering, overlapt grotendeels met die van de spionage. Gegevens worden steeds meer digitaal opgeslagen en verstuurd. Inbreken in een computernetwerk, kan een schat aan informatie opleveren. Maar een goede spion laat geen sporen na, en als de aanval al wordt gedetecteerd, dan is het vaak moeilijk om een dader aan te wijzen. Bijgevolg hangt rond cyberoorlog een waas van geheimzinnigheid. Geruchten en waarheid van elkaar onderscheiden, is moeilijk. Vaak wordt pas vele jaren later, wanneer de archieven worden vrijgegeven, duidelijk wat er echt is gebeurd. Maar soms geeft ook dat geen uitsluitsel.
België is een uitstekend doelwit voor spionage. De aanwezigheid van internationale instellingen maakt dat Brussel wel eens de ‘spionagehoofdstad van Europa’ wordt genoemd. De Standaard, NRC Handelsblad en The Intercept brachten onlangs uitgebreid verslag uit over spionage op het Belgacom netwerk. In 2012 ondervond men bij Belgacom (nu Proximus) problemen met een e-mail server. Die leidden uiteindelijk tot de ontdekking van geavanceerde spionage software. Dat Belgacom het doelwit is van spionage, hoeft niet te verbazen. Dankzij honderden buitenlandse partners, vormt Belgacom een belangrijke link in het internationale data verkeer. Bovendien wordt het Belgacom netwerk gebruikt door een groot deel van de buitenlandse zakenreizigers en diplomaten die België bezoeken. Wat in deze zaak wel de wenkbrauwen deed fronsen, was de onthulling van de dader. Uit geheime documenten die door Edward Snowden werden gelekt, blijkt het de Britse inlichtingendienst GCHQ (Hoofdkwartier voor Regeringscommunicatie) te zijn die 2 jaar lang het Belgacom netwerkverkeer afluisterde. Ook opvallend is de naam die de Britten aan deze operatie gaven: ‘Operation Socialist’.
Belgacom is niet het enige Belgische doelwit. Vorig jaar raakte een inbraak bekend in het computernetwerk van de Belgische diplomatie. In dezelfde periode zou er ook digitaal zijn ingebroken in het kabinet van toenmalig Eerste Minister Di Rupo. In beide gevallen wezen de Belgische inlichtingendiensten naar China als vermoedelijke dader.
Reële gevolgen
In 2011 werd het Nederlandse bedrijf DigiNotar het slachtoffer van een aanval. DigiNotar verkocht certificaten voor beveiligde websites. Wanneer je een onbeveiligde website bezoekt, kan men onderweg het verkeer afluisteren, of zelfs omleiden naar een een andere server. Om zeker te zijn dat je met de juiste server communiceert, en dat niemand mee luistert, bestaan er beveiligde verbindingen. Bedrijven zoals DigiNotar, controleren de identiteit van de server eigenaar, en leveren dan tegen betaling een certificaat af dat een beveiligde verbinding mogelijk maakt. Maar bij de aanval in 2011, kregen hackers de nodige informatie in handen die hen toeliet om zelf valse DigiNotar certificaten aan te maken. Er zouden meer dan 500 valse certificaten in omloop zijn gebracht, voor populaire websites als Twitter, Gmail, Yahoo en Facebook, maar ook voor geheime diensten zoals de CIA, MI6, en Mossad. Met deze valse certificaten, zou het internet verkeer van 300 000 Iraniërs zijn afgeluisterd. De aanval werd door een Iraanse hacker opgeëist.
Naast de gevolgen voor Iraanse politieke dissidenten, wiens internet verkeer mogelijk in handen viel van de Iraanse overheid, was ook de economische schade voor DigiNotar enorm. Aangezien de echte certificaten niet van de nagemaakte te onderscheiden zijn, besloten de ontwikkelaars van webbrowsers om alle DigiNotar certificaten ongeldig te verklaren. Klanten van DigiNotar moesten dus een nieuw certificaat aankopen bij een concurrent. DigiNotar kwam deze commerciële klap niet te boven. 2 Maanden na het bekend worden van de inbraak, werd het bedrijf failliet verklaard. Het bedrijf stelde op dat moment zo’n 50 mensen te werk.
Sabotage
In 1982, in volle koude oorlog, vernam de CIA dat de Sovjet-Unie plannen had om in te breken bij een Canadees bedrijf. De Sovjets hadden controle software nodig voor de nieuwe Trans-Siberische gas pijplijn, en wouden deze stelen bij een gespecialiseerd Canadees bedrijf. De CIA overtuigde de Canadezen echter om fouten in te bouwen, die de turbines, pompen en kleppen zouden ontregelen. De Sovjets installeerden deze gemanipuleerde software. De software liet de druk in de pijpleiding veel te hoog oplopen, met een grote explosie tot gevolg.
Indien dit verhaal klopt, zou het één van de eerste voorbeelden van cyberoorlogvoering zijn, nog voor het woord was uitgevonden (de toen gangbare term was de ‘logic bomb’). Russische bronnen bevestigen een grote gas explosie in 1982, maar situeren deze in een andere pijpleiding, en ontkennen dat er sabotage in het spel zou zijn geweest. Vrijgegeven CIA documenten bevestigen dat er gesaboteerd materiaal aan de Sovjets werd geleverd, en vermelden de installatie van gesaboteerde turbines op een gas pijplijn, maar leveren geen bevestiging over eventuele schade die deze turbines zouden hebben veroorzaakt. Maar waar of niet: het exploiteren en saboteren van industriële software is zeker geen nieuw fenomeen. Het risico is vandaag wel veel groter geworden, door de wereldwijde verspreiding van het internet en andere computernetwerken. Vooral oude industriële systemen zijn kwetsbaar. Zij zijn vaak niet bedoeld om met een publiek toegankelijk netwerk te worden verbonden, en zijn dus onvoldoende beveiligd.
In 2010 ontdekte Wit-Russische bedrijf VirusBlokAda, een nieuw virus. Het bijzondere aan dit virus was dat, hoewel het zich agressief verspreide over gewone Windows computers, het daar geen schade aanrichtte. Het ging wel op zoek naar Siemens PLC’s in het netwerk, en probeerde die op hun beurt te infecteren. PLC’s zijn kleine elektronische componenten die in fabrieken gebruikt worden om sensoren uit te lezen en machines aan te sturen. Het virus kreeg de naam Stuxnet.
Het Iraans uranium verrijkingsprogramma, is opgebouwd rond Europese technologie uit de jaren ’60 en begin jaren ’70. Het ontwerp betrouwt op componenten die met een hele grote precisie moeten worden geproduceerd. De Islamitische Republiek is er nooit in geslaagd om deze met de nodige kwaliteit na te bouwen, waardoor de Iraanse versie van deze centrifuges sneller defect raakten, en ze een aan lagere druk moeten werken, wat de een lagere productie tot gevolg heeft. Iran slaagde er echter wel in om de centrifuges goedkoop en op industriële schaal te produceren, waardoor het een grote voorraad wisselstukken kon aanleggen. Iran compenseerde de lagere opbrengst per centrifuge, door meer centrifuges in te zetten. Het ontwikkelde een geavanceerd controlesysteem, dat de centrifuges monitort, en defecte centrifuges automatisch isoleert, waardoor ze vervangen kunnen worden terwijl de rest van het systeem verder blijft draaien. Normaal vervangt Iran op die manier zo’n 800 centrifuges per jaar. Dit systeem werkt met Siemens PLC’s, en het zijn deze PLC’s die het doelwit waren van Stuxnet.
Om veiligheidsredenen, zijn de Iraanse centrifuges uiteraard niet verbonden met het internet. Maar de makers van Stuxnet gingen er van uit dat werknemers of consultants die betrokken zijn bij het programma, soms wel eens een laptop of USB stick van thuis naar het werk zouden brengen. Als men dus maar genoeg gewone PC’s kon besmetten, dan zou het virus uiteindelijk wel zijn weg vinden tot het controlesysteem in Natanz, waar de Iraanse centrifuges zich bevinden. Dat uitgangspunt werd bevestigd toen controleurs van het Internationaal Atoomagentschap in januari 2010 tot hun verbazing vaststelde dat Iran in enkele maanden tijd al bijna 2000 centrifuges had moeten vervangen. Noch Iran, noch de controleurs begrepen op dat moment wat er aan de hand was. Stuxnet had toegeslagen.
Volgens Iran was Stuxnet een gezamenlijk project van Israël en de Verenigde Staten. Er zijn sterke aanwijzingen voor hun betrokkenheid, maar geen harde bewijzen, en beide landen geven geen commentaar.
Chantage
Niet bij elke aanval zijn overheden betrokken. Criminele organisaties verspreiden virussen waarmee ze de controle over PC’s kunnen overnemen. Deze netwerken van ‘zombie-PC’s’ worden verhuurd. Ze kunnen worden ingezet als tussenschakel bij een aanval, om het moeilijker te maken de echte aanvaller te identificeren. Ze kunnen gebruikt worden om massaal ongewenste e-mails te versturen. Of ze kunnen worden ingezet voor een DDoS aanval. Bij een DDoS aanval, verstuurt een groot aantal computers massaal aanvragen naar een server. De server kan deze niet allemaal gelijktijdig verwerken, met als gevolg dat ze onbereikbaar wordt. Kleine DDoS aanvallen zijn een bijna dagelijks fenomeen geworden voor zowat elke bekende website.
Toen in december 2010 verschillende financiële instellingen donaties aan de organisatie WikiLeaks blokkeerden, reageerde het hackers collectief Anonymous met een reeks van DDoS aanvallen. Vrijwilligers konden hun computer laten inschakelen in het netwerk dat de aanvallen uitvoerde. Onder meer de websites van Visa, MasterCard en Paypal gingen tijdelijk onderuit. Het is slechts 1 van de vele voorbeelden waarbij activisten ‘wraak’ nemen, of door aanvallen druk proberen uitoefenen op overheden of bedrijven.
Maar de meest tot de verbeelding sprekende digitale gijzelingsactie vond dit jaar plaats. Toen de werknemers van de filmmaatschappij Sony Pictures op maandag 24 november op het werk verschenen, bleken hun PC’s niet te werken. Hackers waren het Sony netwerk binnengedrongen, hadden interne gegevens buit gemaakt, bestanden gewist en het netwerk onbruikbaar gemaakt. Ze dreigden ermee interne informatie te lekken als Sony niet inging op hun eisen. De Sony netwerkbeheerders zijn dagen in de weer geweest om het netwerk weer operationeel te krijgen. Intussen lekten 5 Sony films uit op het internet. 2 Daarvan speelden nog in de zalen, de andere 3 moesten nog worden uitgebracht. Ook lekten er smeuïge interne e-mails uit, met roddelpraat en racistische grappen over President Obama. Ook de strategische toekomstplannen van het bedrijf Snapchat werden gelekt.
De zwaarste klap moest echter nog komen. Cinema ketens werden bedreigd. Als ze de Sony film ‘The Interview’ zouden vertonen, zouden ze niet alleen het slachtoffer worden van cyberaanvallen, maar ook van fysieke aanvallen op bioscoopbezoekers. Cinema uitbaters kregen schrik. De dreiging zou een schaduw werpen over de lucratieve eindejaarsperiode. De cinema’s zegden af, en Sony besliste de film niet uit te brengen.
‘The Interview’ is een komische film over 2 journalisten die door de CIA gerekruteerd worden om de Noord-Koreaanse leider Kim Jong-Un uit te schakelen. Kort nadat Sony de filmrelease introk, kreeg het een email van de hackers waarin ze mee deelden dat ze geen verdere informatie zouden lekken als Sony bij haar voornemen zou blijven om de film niet uit te brengen. Dit versterkt de aanwijzingen dat Noord-Korea achter de inbraak zou zitten. De Verenigde Staten hebben Noord Korea openlijk beschuldigd, maar het land ontkent.
Verloren cyberoorlog
Sony kreeg scherpe kritiek na het terugtrekken van de film. ‘Amerika verloor haar eerste cyberoorlog’ schrijft de republikein Newt Gingrich op Twitter. Ook President Obama reageerde scherp. Hij noemde de beslissing van Sony een vergissing. ‘We kunnen geen maatschappij aanvaarden waarin een dictator ergens censuur kan opleggen hier in de Verenigde Staten’. Sony stelt dan weer dat de voorziene cinema release dan wel werd geannuleerd, maar dat ze nog steeds van plan zijn om de film uit te brengen.
Cyberoorlogen zijn het terrein van spionnen, misdadigers, politieke activisten, terroristen en overheden. De details blijven meestal verborgen. Maar de gelekte informatie over de Belgacom hack, en het ongebruikelijke publieke karakter van het Sony debacle, tonen ons de ernst van het fenomeen. Doden zijn er vermoedelijk nog niet gevallen. Een cyberaanval zoals Stuxnet brengt zonder twijfel minder levens in gevaar dan een conventionele bom die hetzelfde effect zou beogen. Maar cyberoorlog is zeker niet onschuldig, en de gevolgen zijn niet louter virtueel. Het is niet ondenkbaar dat hackers zich zouden richten op belangrijke infrastructuur. Wie in volle winter een stad als New-York zonder stroom zou kunnen zetten, kan burgerdoden op zijn geweten hebben. Sabotage is niets nieuws, maar naarmate we meer afhankelijk worden van technologie, worden de gevolgen van sabotage groter. Ook in België moeten bedrijven en overheden zich daarvan bewust zijn.
Afbeeldingen:
“The Interview” poster: Sony Pictures Entertainment
Belgacom toren: Greckor
Luchtafweergeschut nabij de nucleaire installatie in Natanz: CSIS PONI
Sony Studios: Jessie Moore
Doorbraak publiceert graag en regelmatig artikels die door externe auteurs worden aangebracht. Deze auteurs schrijven uiteraard in eigen naam en onder eigen verantwoordelijkheid.
Jonah Penninck (CD&V): ‘De waarden van Kerstmis kunnen nooit helemaal verdwijnen.’
Amerikakenners Roan Asselman en David Neyskens bespreken de actualiteit aan de overkant van de oceaan.