image

"Cyberoorlog kan internet niet vernietigen, wel SMTP"

donderdag 10 juni 2010, 00:05 door Redactie, 4 reacties

Een echte cyberoorlog tussen twee landen zal niet via het internet plaatsvinden, aangezien belangrijke militaire systemen niet op het web zijn aangesloten, dat zegt Mikko Hyppönen in een interview met Security.nl. Volgens de Chief Research Officer van het Finse F-Secure is het een ander verhaal voor geavanceerde aanvallen op overheden en bedrijven. Die komen al jaren via het web voor, maar het is hierbij niet de techniek die Hyppönen doet verbazen. "Technisch zijn ze niet zo geavanceerd, maar de inlichtingen erachter wel."

Het gaat dan om de manier waarop aanvallers hun doelwit weten te vinden, hun doelwit onderzoeken, erachter komen wie de juiste persoon is om te infecteren, wie hij is, waarover hij spreekt en welke talen hij spreekt, wat voor e-mails hij bekijkt en welke bijlagen hij zou openen. "Dat vertelt ons al veel", merkt de Finse expert op. Sommige van de aanvallen worden in dertig verschillende talen uitgevoerd. Sommige van die aanvallen zijn zelfs in perfect Nederlands. "Wie heeft de middelen om het in zoveel talen te doen. Het is behoorlijk zorgwekkend", merkt Hyppönen op.

Definitie
De laatste tijd komt regelmatig het onderwerp "cyberwar" aan bod. Een term die volgens Hyppönen dringend behoefte aan een duidelijke definitie heeft. "Als je met militairen over cyberoorlog spreekt, is het erg verwarrend wat ze ermee bedoelen." Regelmatig wordt Estland als voorbeeld van een cyberoorlog genoemd. "Dat is geen cyberoorlog. Dat waren denial of service aanvallen tegen websites. Dat heeft niets met oorlog te maken."

Zowel in Georgië en Estland werden overheidssites platgelegd, waaronder die van de president. "Maar dat is geen kritieke infrastructuur." Als de website van de Nederlandse regering crasht en voor de rest van het jaar onbereikbaar blijft, dan zal niemand het missen. Maar het zal in het nieuws komen. Dat is wat de aanvallers willen, aandacht."

Oorlog
Een voorbeeld van een echte cyberoorlog is als land A de militaire systemen van land B via het internet aanvalt of uitschakelt. "Dat is duidelijk cyberoorlog, maar dat is nooit voorgekomen. En als dat zou gebeuren, zou dat niet via het internet gaan. Het internet heeft er niets mee te maken." Belangrijke militaire systemen zouden volgens de Finse virusbestrijder niet op het internet zijn aangesloten.

Een echte aanval zou dan ook bestaan uit het loslaten van guerrilla's op vijandelijk gebied die glasvezels opgraven. "Zo zou je het starten, niet van afstand." Kritieke infrastructuur komt wel steeds vaker online en dat baart Hyppönen zorgen. "Als het internet vijf minuten geleden zou zijn gecrasht hadden we het niet gemerkt. Het licht zou het nog steeds doen en ook het water zou nog uit de kraan komen. Maar over tien of vijftien jaar misschien niet. Deze infrastructuur wordt steeds afhankelijker van publieke netwerken."

USB-worm
Belangrijke departementen en militaire instellingen gebruiken meerdere systemen om met elkaar te communiceren. Systemen die bijvoorbeeld niet op het web zijn aangesloten. Om data te versturen moet men het eerst van het ene naar het andere systeem kopiëren. Hyppönen herinnert zich een gerichte aanval op dit soort meerlaagse netwerken. Het ging om een USB-worm die op een systeem de 'Mijn Documenten' map naar een geheime map op de USB-stick kopieerde en vervolgens het systeem infecteerde.

Werd de stick op een andere computer gebruikt, dan werd ook daar de Mijn Documenten map naar de USB-stick gekopieerd, maar werd ook de eerder opgevangen data naar de computer gekopieerd. Zo stonden de documenten van deze organisatie op bijna alle sticks en waren ze ondertussen ook naar alle systemen gekopieerd, wachtend op een moment dat de stick op een computer met internetverbinding werd aangesloten. Zodoende kon de data naar een remote server worden gestuurd.

China
Het aantal gerichte aanvallen neemt volgens Hyppönen niet toe, maar ook niet af. Aan de andere kant krijgen bedrijven als F-Secure slechts een deel van het probleem te zien. Bij de meeste aanvallen wordt altijd China als dader genoemd, maar daar is geen bewijs voor, aldus de virusbestrijder. "Als we aannemen dat het de Chinese regering is, dan is de echte vraag, aangezien we de meeste aanvallen naar één bron kunnen herleiden, waar de aanvallen van de Amerikaanse, Duitse, Israëlische en Nederlandse inlichtingendiensten zijn, omdat we die niet zien." Hyppönen is ervan overtuigd dat ze plaatsvinden. "Of ze zijn te slim zodat wij ze niet opmerken of ze doen zich als China voor."

Hij vermoedt dat China ook betrokken is, maar dat het gaat om hackergroepen die door de machthebbers in Beijing worden getolereerd. Iets wat ook zou blijken uit de gebruikte malware. Toch blijft het vanwege de aard van de aanvallen lastig om hier bescherming tegen te bieden. In één geval hadden de aanvallers speciaal aangepaste malware ontwikkeld die alleen niet door de scanner van F-Secure werd opgemerkt. "De aanvallers wisten welk product er werd gebruikt." Ondanks alle media aandacht en marketing hoeven de meeste bedrijven en instellingen zich geen zorgen te maken. "99,99% van onze klanten is geen doelwit."

Internet 2.0
Soms wordt er een tweede internet als oplossing geopperd, waar overheden meer rechten hebben en dat beter tegen aanvallen bestand is. Volgens de Finse beveiligingsexpert is het geen goed idee om het hele internet te vervangen, omdat TCP/IP bijvoorbeeld wel goed werkt. Aanvallers zullen er dan ook niet in slagen om het gehele internet plat te leggen.

Hyppönen kan zich wel een aanval voorstellen die voor altijd het SMTP protocol uitschakelt. "Dat zou waarschijnlijk een goed iets zijn. Dan kunnen we het vervangen met iets dat encryptie, authenticatie en bescherming tegen sniffing heeft. Dat zou fantastisch zijn. Sommige onderdelen van het internet zijn aan vervanging toe, maar dat mag niet ten koste van de privacy gaan."

Reacties (4)
10-06-2010, 10:33 door Silver
Wow wat steekt Hyppönen zijn hoofd onwijs in het zand zeg! Veel van wat hij zegt is in directe tegenspraak met de (overigens zeer geinformeerde) meningen van experts op dit gebied. Zo is het een complete misvatting dat kritieke infrastructuur niet of nauwelijks op internet is aangesloten, en zijn opmerking over dat het pas een cyber oorlog is als je militaire systemen aanvalt snijdt natuurlijk ook geen hout.

Electriciteit, water, gas, internet, telefonie, betalingsverkeer, beursinformatie, olieproductie, logistiek (olie et al) en nog veel meer zaken vallen onder kritieke systemen en het meeste hiervan is in commerciele handen en wel degelijk aangesloten op het internet. Dit zijn tevens allemaal dingen waar Defensie ook gewoon van afhankelijk is; als je dit dus weet plat te leggen heb je daar strategisch erg veel voordeel van.

De heer Hyppönen kan beter eens een paar boeken over het onderwerp gaan raadplegen voordat hij weer eens op zn zeepkist klimt. Mag ik de volgende titels voorstellen?

Surviving Cyber War - Richard Stiennon
Cyber War - Richard Clarke
Cyber Commanders' Handbook - Technolytics
Inside Cyber Warfare - Jeffrey Carr (die van Project Grey Goose)

Er zijn er nog veel meer, maar de lering die je kunt trekken van al deze boeken is dat Cyber Warfare het aandachtspunt van de toekomst is (of hoort te zijn) voor elk leger.
10-06-2010, 13:32 door Anoniem
Elke oorlog kent het onderdeel propaganda. Als je een site neerhaalt (desnoods een DDOS) van een overheid ben je wel degelijk bezig om een deel van internet te betrekken in een fysieke oorlog.

Het Orakel.
10-06-2010, 13:43 door Anoniem
Wilde trouwens nog even een complimentje geven aan security.nl voor het filmpje. Goed interview!
10-06-2010, 14:46 door Anoniem
Hypponen heeft helemaal gelijk over hoe targeted attacks werken (begin filmpje). Dat is zijn expertise gebied.

Hij onderschat wel het huidige gebruik van Internet door strategisch belangrijke entiteiten. Dat is duidelijk niet zijn expertise gebied. En hij overschat ook de mogelijkheden van sommige landen om dergelijke digitale spionage uit te voeren.

Dus het is weer eens een kwestie van het false authority syndrome. Neemt niet weg dat met name de modus operandus van de aanvallen het beluisteren waard is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.