De laatste periode is er weer een reeks berichten geweest over hackers uit het Chinese leger. Zij zouden aanvallen uitvoeren op kritieke infrastructuren van allerlei westerse overheden en technologiebedrijven. Het Pentagon, Whitehall en de Franse en Duitse overheid geven gelijkluidende signalen. Het is niet nieuw. Dit soort berichten zien we sinds 1999. Volgens de autoriteiten zou China streven naar digitale dominantie rond 2050. Veel indruk maakte het programma Titanenregen in 2003, waarvan menig inlichtingendienst danig gestrest raakte. Via de e-mail kwamen er MS Office-bestanden binnen met trojans aan boord, die niet herkend werden door allerlei virusscanners. Eerder dit jaar hebben we digitale schermutselingen gezien rond Rusland en haar voormalige wingewest Estland en recent meldde China zélf veel last van hackers te hebben. Deze gebeurtenissen voegen een nieuwe dimensie toe aan het verantwoordelijkheidsgebied van security: overheidshackers en nationale veiligheid. Externe bedreigingen dus, terwijl wij nog middenin het paradigma van interne bedreigingen zitten.

Hoe komen dit soort berichten tot stand? Immers, afgezien van allerlei James Bond fantasieën is het onwaarschijnlijk dat er zekerheid bestaat over de identiteit en al helemaal de motivatie van de verspreiders van de trojans. Overheden denken over het algemeen dat succesvolle aanvallen op hun digitale infrastructuur boven de macht van een geïsoleerde script-kiddie gaan - ze besteden immers veel aan beveiliging. De logica is dat als er succesvolle aanvallen plaatsvinden, er dus sprake moet zijn van een grote organisatie, en dat kan alleen een vreemde mogendheid zijn. Om de grote beveiligingsinspanning teniet te doen, is dus een grote aanvalsinspanning nodig. Lt. Gen. Robert Elder, commandant van het US Air Force Cyberspace Command: "To seriously disrupt us, you're not going to be able to do this with a 'teenage hacker' capability." Een succesvolle trojan op de PC van minister Gates of Angela Merkel die niet ergens anders gemeld is, geldt in deze denkwijze dan ook als het bewijs voor een gerichte aanval van een vreemde mogendheid. En als er verkeer richting China gaat, is dat dús in opdracht van het Chinese leger, dat immers zelf zegt bezig te zijn met cyberwar.

Een kenmerkend aspect in cyberwar dat juist militairen bekend voor zou moeten komen, is het asymmetrische ervan. A-symmetrische oorlogsvoering houdt in dat de inspanningen van aanval en verdediging in de verste verte niet op elkaar lijken: om alle zeewegen te beveiligen tegen één terrorist in een rubberbootje heb je nu eenmaal honderden marineschepen en vliegtuigen nodig. Om een groot netwerk te verdedigen houdt je bendes maatregelen en systemen in stand: om het te kraken is één miniscuul gaatje genoeg. Een aanvaller kan dus volstaan met de inspanning die een hobbyist moet doen, ook al krijgt hij zijn opdrachten van officiële agentschappen.

Laten we Ockhams scheermes eens erbij nemen - "entia non sunt multiplicanda praeter necessitatem", vrij vertaald: de eenvoudigste verklaring is meestal de beste. De conclusie dat er andere overheden achter zitten kan maar zo voorbarig zijn. Want dat anderen de aanval niet gevonden hebben kan ook betekenen dat ze gewoon iets minder goed opletten of het niet melden. Als je een trojan aantreft op een machine in je netwerk of in de mailserver, neem je dan de moeite om de code veilig te stellen en uit te zoeken welke het nu precies is? Nee, je AV verwijdert hem gewoon. Stel, je hebt hem toch nog, neem je dan de moeite om dat te melden bij een AV leverancier? Weet je hoe dat allemaal moet? Maakt het voor je organisatie eigenlijk uit welke trojan het precies is? Nee, nee, nee. Een goede beheerder zal een besmette machine gewoon opnieuw inspoelen. Ik denk dat erg weinig mensen buiten de overheid de moeite nemen om Govcert te bellen.

Een paar AV producten sturen de gevonden malware automatisch op voor nadere analyse, maar bij een geringe verspreidingsgraad zullen de AV makers er geen signatures voor ontwikkelen. En dat geldt voor zeer veel trojans. Slechts een enkeling komt in grotere aantallen voor. Een niet gedetecteerde trojan zegt dus niets over de geavanceerdheid ervan. Het zegt eerder iets over de gangbaarheid ervan. De kans is groot dat dit ook bij de trojans op de overheidsmachines het geval is.

Iets slimmere trojans verspreiden zich via sociale netwerken. Als een aangevallen persoon toevallig een netwerk binnen de veiligheidshoek van de overheid heeft, dan zal een aanval automatisch over dat netwerk propageren. Is er dan sprake van een gerichte aanval?

Als je vervolgens leest dat de aangetroffen spyware gebruik maakt van belegen exploits in oudere Windows-software, dan wordt de claim van een 'goedgeorganiseerde militaire operatie' bijna kolderiek. Het zou in ieder geval niet zo best zijn als dit het beste is wat wij van een goedgeorganiseerde militaire operatie mogen verwachten.

Het lijkt erop dat we van deze sfeer van interpretaties en giswerk afhankelijk zullen blijven. Want als je probeert te achterhalen waar een aanvaller écht vandaan komt, zoals de free-lancer bij de Amerikaanse overheid Shawn Carpenter deed bij de titanenregen in 2003/4, die hij traceerde naar een drietal routers in Guangdon, loop je al snel het risico van een diplomatiek incident. Dan krijg je bezoek van mensen in een donkerblauwe Audi met getinte ramen. Meer bewijs dan bovenstaande logica zullen we dan ook niet snel krijgen. We moeten maar leren leven met grote verhalen en onzekerheid. Het is daarbij verstandig ons niet te verliezen in een angstpsychose: als het waar is dat vreemde mogendheden gerichte aanvallen uitvoeren op onze bedrijven en onze overheid is dat zeer ingrijpend voor ons leven en onze maatschappij. Het zouden maar zo de eerste schermutselingen kunnen zijn van een volgende wereldoorlog, nietwaar?

De verdenkingen richting het Chinese volksleger brengt ons bij de klassieke vraag van de casus belli: kan er op enig moment sprake zijn van een oorlogshandeling, waarbij een digitale daad leidt tot een echte oorlog? De VS beschouwen het Internet als Amerikaans grondgebied. Iedere aanval over het Internet zou in het traditionele denken dus een aanval op de VS zijn, zelfs als deze gericht was op een ander land. Het zou prettig zijn te weten of het Internet ook onder het NAVO-verdrag valt - zijn wij gebonden aan het geven van militaire assistentie?

In mijn volgende column gaan we verder met dit onderwerp - het is een beetje te groot voor één aflevering.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter