FYI.

This story is over 5 years old.

Tech

Het cybersecuritydilemma: wie veilig wil zijn moet aanvallen

Hoe het overtreden van de wet de beste manier van verdediging is

Thucydides, een Griekse historicus, waarschuwde al voor hoe conflicten kunnen ontstaan door misvattingen. Wanneer een land zichzelf beschermt kan zij overkomen als een bedreiging, zelfs wanneer ze andere landen geen kwaad doen. Toch kan dit overkomen als een bedreiging, waardoor andere landen de verdediging inzetten en een gevaarlijke cyclus ontstaat. Thucydides schreef: "het was de opkomst van Athene en de angst die Sparta inspireerde om de onvermijdelijke oorlog te starten."

Advertentie

Dit probleem is ook wel bekend als het veiligheidsdilemma. Een groot gedeelte van het buitenlandse beleid bestaat uit het vinden van een middenweg tussen het beveiligen van landen, terwijl ze andere landen moeten geruststellen dat ze niet zullen aanvallen. Maar cyberbeveiliging zorgt voor een nieuwe uitdaging, eentje die vaak tussen de relaties staat van de sterkste landen.

In dit exclusieve uittreksel van The Cybersecurity Dilemma laat Ben Buchanan zien hoe een van de meest algemene aannames over hackoperaties fout is: ze zijn niet altijd een aanval. In plaats daarvan doen overheden inbraken bij zichzelf, juist om voor te lopen op het probleem. Landen plegen hun eigen misdrijven om echt te gaan verdedigen, maar als het wordt ontdekt zal het misschien anders worden gezien. Het risico is een cybersecurity-dilemma - dat bedoeld is om conflicten en spanningen te voorkomen, maar daarentegen wordt het een bedreiging voor de internationale vrede. 

Halverwege de jaren 2000 kwam de NSA met een nieuwe codenaam voor een cyberdreiging: BYZANTINE HADES. Deze codenaam was een vervanger van TITAN RAIN, een van de grootste hacks ooit die groot is beschreven in Time magazine.

Dit waren de grootste bedreigingen voor het Amerikaanse computernetwerk ooit, uitgevoerd door China. Grote hoeveelheden classificeerde informatie werd publiek, wat mogelijk een gevaar was voor de effectiviteit van de VS. Het was een enorm schandaal, en een toffe naam verzinnen was nog het makkelijke gedeelte. Amerikaanse computernetwerken liepen in deze periode continu gevaar voor Chinese invasies.

Advertentie

Het beveiligen van het Amerikaanse netwerk is een enorme geheime operatie, waar talloze organisaties mee bezig zijn. Het is dus niet zo gek dat BYZANTINE CANDOR, een kleine operatie gestart door een subgroep bij de NSA, lang onder de radar kon blijven en pas aan het licht kwam toen Edward Snowden de wereld veranderde met zijn openbaringen. Deze groep vroeg in reactie op de Chinese inbreuken de gespecialiseerde Tailored Access Operations (TAO) om hulp bij het verzamelen van bruikbare informatie van de Chinese hackers.

De TAO is een cyberaanvalseenheid van de NSA die zich louter bezighoud met infiltreren en aanvallen. Het lukte deze elite hackers zelfs om toegang te krijgen tot Chinese (en later Iraanse) infrastructuur met behulp van buitenlandse operators. Zodra ze deze toegang hadden gekregen, waren ze in staat om de tegenstanders te observeren terwijl ze aan het werk zijn.

Maar de NSA-eenheid ging nog verder. Het lukte hen om vijf computers binnen te dringen die waren gebruikt voor aanvallen door de cybereenheid van China. In feite hadden ze de hackers gehackt door de Chinese operators te volgen naar hun virtuele basis.

De data die de NSA verzameld had door de BYZANTINE CANDOR-netwerken binnen te dringen, was van grote waarde voor de toekomst. Het bevatte informatie over de "toekomstige doelwitten" van de tegenstander, inclusief informatie over ambtenaren in het Witte Huis, beveiligde werknemers, medewerkers van de Amerikaanse overheid en ga zo maar door. Ook was er informatie beschikbaar over de broncode and nieuwe middelen die de Chinezen gebruikten om nieuwe operaties uit te voeren. De geïnfiltreerde computers onthulden ook informatie over achterdeuren die nu in gebruik zijn. De informatie die door de operatie is ingewonnen was genoeg om de kwaliteit van de Amerikaanse cyberverdediging te verhogen.

Advertentie

Maar het laat ook nog iets anders zien, iets wat maar weinig mensen weten: niet elke inbreuk is een aanval.

Deze casus laat ons een paar belangrijke dingen zien. Het toont de volharding van getalenteerde tegenstanders, de creativiteit van slimme verdedigers, de uitdaging om informatie in te winnen over een vijandelijke dreiging, en de noodzaak om een infrastructuur te onderhouden van waaruit acties kunnen worden ondernomen. Maar het laat ook nog iets anders zien, iets wat maar weinig mensen weten: niet elke inbreuk is een aanval.

Er zijn defensieve redenen voor een nationale cyberdienst om een een rivaliserend netwerk binnen te dringen. Het kan je meer leren over de infrastructuur waarmee het andere land aanvallen aanvalt waardoor die aanvallen gemakkelijker te blokkeren zijn.

Door informatie over vijandelijke malware in te winnen kan er een soort hackalarm worden ingebouwd. Je weet meer over de waarschijnlijke aanvalsmethode, en ook meer over je eigen zero day kwetsbaarheden die een aanvaller van plan is te gebruiken.

Obama was er relatief open over: "We kunnen cyberdreiging niet voorkomen […] zonder ook het digitale netwerk te penetreren, of het nu om malware van de tegenstanders te ontdekken, of om onze bankrekeningen veilig te houden voor hackers."

Een verdedigende inbreuk kan ook informatie geven over al eerder uitgevoerde aanvallen op het eigen systeem. Michael Daniel, de cybersecurity coördinator van de veiligheidsraad van de VN, erkende impliciet de verhoudingen van de geheimzinnige inbrekers versus de prikkel van de verdedigers om tegenaanvallen uit te voeren. Hij zei: "als je ook maar iets van cyber weet, dan weet je dat het makkelijk is om je te beschermen tegen een aanval. Daarom worden de aanvalsmogelijkheden zeer geheim gehouden." Om te weten wat op je gericht staat, moet je aanvallen. Daar komt het op neer.

Advertentie

Het hoofdkantoor van de NSA in Fort Meade, Maryland. Foto door Trevor Paglen

Uit de data van Snowden weten we dat de VS actieve programma's heeft lopen die informatie van andere naties inwinnen om het eigen netwerk zo beter te beschermen. De NSA noemt dit "buitenlandse informatie ter ondersteuning van dynamische verdediging."

Feitelijk bestaat er in de nieuwe status quo van normale internationale relaties de permanente dreiging dat een cyberoperatie schade aanricht of spanning veroorzaakt, met als gevaar dat landen in conflict raken waar helemaal niemand op zat te wachten.

De verzamelde informatie tipt vervolgens een kwaadaardig programma die de NSA op netwerken van landen over de hele wereld heeft geplaatst. Met die tip kan een van de NSA-knooppunten "een reactie op de doelwit injecteren." Het is een soort valstrik, [of cybermijnenveld, red.] waar de potentiële aanvaller intrapt als hij definitief tot de aanval overgaat. Zo'n valstrik kan de verbinding onderbreken, malware afleveren of het internetverkeer herleiden waardoor een aanval in de kiem gesmoord wordt, of achterhaald  het doel van een aanval. De VS had in 2011 al dergelijke mijnenvelden liggen voor 28 grote dreigingscategorieën. Uit documenten blijkt dat meerderen aanvallen op deze manier zijn voorkomen, waaronder de zogenoemde BYZANTINE HADES inbraak op vier hoge generaals.

Het is inmiddels bekend dat alle naties elkaar bespieden. Het gevaar is dat cyberoperaties heel snel van spionage naar iets ergens kunnen evolueren.

Cyberaanvallen met een defensieve doelstelling hebben een hele andere logica dan traditionele internationale relaties. Met conventionele troepen is het mogelijk om een verdediging te verbeteren door een leger dicht bij de vijand te plaatsten, maar een defensieve invasie is nog altijd een invasie met een grote kans op conflict.

Een inbraak op het netwerk van de tegenstander daarentegen is geen invasie, maar informatiewinning. En informatiewinning is traditioneel een geaccepteerd onderdeel van hoe landen normaal met elkaar omgaan, maar de situatie is dreigend. Een cyberoperatie kan gemakkelijk uit de hand lopen. Een gewone spionagehandeling kan enorm schadelijk zijn, ook al is de doelstelling defensief. Feitelijk bestaat er in de nieuwe status quo van normale internationale relaties de permanente dreiging dat een cyberoperatie schade aanricht of spanning veroorzaakt, met als gevaar dat landen in conflict raken waar helemaal niemand op zat te wachten.

Ben Buchanan is verbonden aan het Harvard University's Cybersecurity Project. Zijn eerste boek,  The Cybersecurity Dilemma: Hacking, Trust and Fear Between Nations, check hem op Twitter:  @BuchananBen .