Eerder dit jaar wandelde een man in Noord-Londen bij een filiaal van Barclays naar binnen en stal £1.3 miljoen (ruim € 1,5 miljoen) zonder een bankbiljet te hebben aangeraakt. Hij stelde zich voor als it-monteur en installeerde een apparaatje om het bedragje elektronisch te kunnen incasseren. Geen gedoe meer met pistolen, maskers en gegijzelden. Lees verder
Veiligheidsdiensten hebben op het wereldwijde web en in de telecom een infrastructuur opgebouwd, waarmee ze naar hartelust kunnen inbreken op groot aantal computer- en telecomsystemen. Dan gaat het niet alleen om netwerken, maar ook niet verbonden computers zijn afluisterbaar via gegevensdragers of door het ‘beluisteren’ van toetsklikken. Dat de meldt de Duitse vereniging voor informatica, een organisatie van 20 000 informatici. Volgens de vereniging heeft de roemruchte Amerikaanse veiligheidsdienst NSA ‘achterdeurtjes’ in 80 000 strategische servers, die over de hele wereld verspreid zijn; zo 10 000 servers gemiddeld bij de acht G8-landen. Het zou daarbij gaan om systemen in alle essentiële hoeken van de samenleving: de energiesector, financiële wereld, telecomsector, voedingssector, media, chemische industrie enz. Lees verder
Zes jaar geleden vonden twee kryptografische onderzoekers van Microsoft een raar lek in een versleutelingssysteem (een getallengenerator) voor de Amerikaanse overheid. Het tweetal, Dan Shumow en Niels Ferguson, vonden een ‘‘achterdeur’ via welke een derde de code kon breken. Sedert de onthullingen van Edward is bevestigd wat iedereen al vermoedde: die achterdeur was daar aangebracht door de NSA. Het bleek nog erger te zijn. De NSA dwong (en dwingt?) makers van beveiligingssystemen zwakheden in te bouwen, zodat de veiligheidsdienst er altijd ‘in’ zou kunnen komen.
De documenten laten zien dat de NSA de versleuteling kan kraken van alledaagse beveiligingssystemen zoals SSL (Secure Sockets Layer) en de virtuele private netwerken (VPN), die veel bedrijven gebruiken ter beveiliging van hun vertrouwelijke communicatie. Diensten als de NSA brengen daar tegenin dat terroristen dezelfde diensten gebruiken als Amerikanen en het dus noodzakelijk is die berichtgeving te kunnen ontsleutelen. Bij een toenemende webspionage, ook door China en Rusland, kan de NSA het zich niet veroorloven grote stukken van het web te negeren, is het verweer.
Die nieuw verworven wetenschap knaagt natuurlijk aan het vertrouwen dat mensen en bedrijven in de beveiligingsbranche hebben. De jongste onthullingen rond het NSA-schandaal leren dat de dienst beschikt over een grote databank met gegevens hoe beveiligingsprogrammatuur en -systemen kunnen worden ontsleuteld.
David Dampier, hoofd computerbeveiligingsonderzoek van de staatsuniversiteit van Mississippi vindt dat niet best, maar het verbaast hem niks. “Er is geen versleuteling te bedenken die 100% waterdicht is. Wat een bedrijf je ook verkoopt, de code kan gebroken worden.“ Volgens gelekte gegevens over de begroting van de NSA in de New York Times, zou de dienst met zowel Amerikaanse als buitenlandse it-bedrijven hebben samengewerkt. “De veranderingen in ontwerp hebben de systemen ‘hanteerbaar’ gemaakt.”, staat ergens in die documenten.
“Als dit waar is”, zegt beveiligingsdeskundige Daniel Castro van ITIF, “dan is dat een pervertering van de democratie. Dit is slecht voor de concurrentiepositie van Amerikaanse bedrijven.” Castro schreef vorige maand in een rapport dat het hele NSA-schandaal de Amerikaanse bedrijven die digitale opslagruimte aanbieden (‘wolk’) in drie jaar 35 miljard dollar (zo’n 26 miljard euro) kunnen gaan kosten.
De getallengenerator uit het begin van dit verhaal, de Dual_EC_RNG, was nauwelijks een succes. De versleutelaar was traag, klunzig, maar wordt onderdsteund door het besturingssysteem Windows. Microsoft zei in het verleden de overheid nooit directe, vrije toegang gegeven te hebben tot klantgegevens, zegt dat ook vandaag nog, maar misschien was dat ook helemaal niet nodig.
Inmiddels is volksvertegenwoordiger Rush Holt van plan wetgeving op gang te brengen die de ongebreidelde nieuwsgierigheid van diensten als de NSA aan banden moet leggen. “We betalen ze om te spioneren, maar als dat betekent dat beveiligingsprogrammatuur ingebouwde zwakheden heeft dan is dat een ondienst”, zei hij in de New York Times. Niet opgehelderd is hoe het mogelijk is dat de beveiligingsbedrijven zich hebben laten ringeloren daar de NSA, vooral wat de niet-Amerikaanse bedrijven betreft. Waar zou die dienst mee gedreigd hebben?
Bronnen: Wired, New York Times
Het boek van Thomas Rid
De Britse onderzoeker Thomas Rid stelt in een commentaar in het Britse populair wetenschappelijke blad New Scientist dat het zeer onwaarschijnlijk is dat er oorlog op het web komt. Hij schreef dat commentaar naar aanleiding van het uitkomen van zijn boek Cyber war wil not take place. Zo’n 20 jaar geleden verklaarde de Amerikaanse denktank Rand Corporation dat de weboorlog er aan zou komen. In 2005 verklaarde de Amerikaanse luchtmacht klaar voor de strijd te zijn die zij zeker zou winnen, een oorlog in het vijfde domein (na land, zee, lucht en ruimte). De Amerikanen steken er geld in: zo’n 4,3 miljard dollar per jaar voor 231 aanvalsoperaties (2011).
Hoe zou zo’n weboorlog er uit zien? Historisch gezien moet een oorlog gewelddadig (je dient de vijand uit te schakelen), instrumenteel en politiek zijn. Geen enkele webaanval voldoet aan deze drie criteria, stelt Rid, werkzaam bij de afdeling oorlogsstudies van het King College in Londen. Heel weinige voldoen met moeite aan een van de drie criteria. Er is nooit iemand gewond geraakt bij zo’n aanval, nooit viel een staat een andere staat aan. Heel zelden werden de aanvallen uitgevoerd door mensen in staatsdienst, zodat een echte oorlog, niet de metafoor, er nooit is geweest en er zeer waarschijnlijk ook nooit zal komen.
Dat wil niet zeggen dat er geen webaanvallen plaatsvinden. We kennen het verhaal van de aanval die de VS en Israël uitvoerden met de computerworm Stuxnet om het atoomverrijkingsprogramma van Iran te dwarsbomen. Je kunt de levering van elektra of van water verstoren via computer, maar dat zou volgens Rid nog nooit zijn gebeurd. Is dat oorlog, vraag hij zich dan af of eerder sabotage of spionage? Dat lijkt dan meer een woordenspel. Als je er door een inbraak op een computersysteem van een energieleverancier de energielevering in een land kan stilleggen, dan zou je dat toch als een uiterst effectieve manier van oorlogvoeren kunnen zien. Daar heb je geen soldaten met geweren voor nodig, die ook nog eens het risico lopen gedood te worden.
Webaanvallen zijn, geeft hij toe, niet ongevaarlijk. Computersystemen sturen van alles en nog wat dat in onze hedendaagse maatschappij als onmisbaar wordt beschouwd zoals gasleidingen, trein- en vliegverkeer, chemische installaties, liften en medische apparaten. Onze maatschappij is daar in toenemende mate van afhankelijk en dus steeds kwetsbaarder. Toch, zegt Rid, is het aantal ‘gewelddadige’ computeraanvallen tegen westerse doelen nul. Waarom? Omdat zo’n aanval lastiger is dan ie er uit ziet, zegt hij. Regelsystemen voeren vaak zeer specifieke taken uit. Dat beperkt de mogelijkheden van de aanvaller en zelfs al slaagt de aanvaller er in een specifiek systeem aan te vallen, dan zullen die geen groot effect hebben, is zijn redenering.
Spionage is een andere kwestie. Dat gevaar is reëel. Er wordt ingebroken om niet-openbare informatie te achterhalen, maar dat is volgens Rid geen oorlog.
Dan is er nog de mogelijkheid de ‘vijand’ geestelijk te ondermijnen via de sociale media en andere webdiensten. Twitter en Facebook hebben het organiseren van protest makkelijker gemaakt dan ooit, maar ook dat vindt hij geen oorlog.
Computeraanvallen zijn heel wat minder gewelddadig dan het ouderwetse oorlogshandwerk. Natuurlijk, een beetje handige webber kan een webstek platleggen, bestanden wissen en al dat soort ongein. Hij/zij kan ‘achterdeurtjes’ van computers openen, programma’s aanpassen en dergelijke, maar het is allemaal een stuk minder spannend en riskant dan er geheime agenten op uit te sturen om in andere landen clandestiene dingen te doen. Het vorig jaar wilde het Amerikaanse ministerie van defensie een onderscheiding instellen voor droonbedieners en uitvoerders van webaanvallen. De echte soldaten protesteerden heftig toen bleek dat de nieuwe onderscheiding meer waard zou worden dan het bekende Purple Heart. Het plan is geschrapt.
Eigenlijk vindt Rid dat we dat het voorvoegsel cyber of web moet laten vallen. Spionage is spionage. Er zijn mensen die baat, denken te, hebben bij het begrip weboorlog. Een oorlog vereist voorzorgsmaatregelen, geeft het recht acties uit te voeren die in vredestijd niet geaccepteerd zouden worden, onder het mom dat dat goed is voor onze veiligheid. We hoeven hierbij maar aan het afluisterschandaal van de NSA te denken, maar de NSA is zeker niet de enige veiligheidsdienst die zich zoveel brutaliteit meent te kunnen permitteren. De oorlog wordt niet op het web gestreden, is de overtuiging van de oorlogsonderzoeker. Defensie zou zich op de ‘echte’ oorlog moeten concentreren, aldus Thomas Rid. Dat is al moeilijk genoeg, getuige het gehannes van Obama rond de gifaanval in Syrië.
Bron: New Scientist
Uitgaven VS voor spionageactiviteiten in 2013. De Amerikaanse veiligheidsdiensten zijn kennelijk beduchter voor verspreiding van wapens (13%) dan voor cyberaanvallen (8%) (afb: Washington Post)
De Amerikaanse veiligheidsdiensten maken zich drukker om massavernietigingswapens (6,7 miljard dollar oftewel iets meer dan 5 miljard euro) dan om cyberaanvallen (4,3 miljard dollar oftewel 3,25 miljard euro), zo blijkt uit onderzoek van de Amerikaanse krant de Washington Post. De totale uitgaven voor de veiligheidsdiensten in de VS, de zwarte begroting, zou dit jaar 52,6 miljard dollar (rond 40 miljard euro) bedragen. De Amerikaanse belangrijkste geheime diensten hadden alles bij elkaar ruim 107 000 mensen in dienst, waarvan het leeuwendeel (bijna 84 000) bij de CIA met de NSA op de tweede plaats (23 400). Iets meer dan 20 miljard dollar (ruim 15 miljard euro) gaat naar activiteiten die tot doel hebben Amerikaanse overheidsdienaren en burgers te waarschuwen voor gevaren, zowel economische als fysieke. Ruim 17 miljard dollar (bijna 13 miljard euro) is bedoeld voor bestrijding van terrorisme.
Die 52,6 miljard dollar is een stijging sedert 2004 met meer dan 50% voor zowel de CIA als de NSA. De grootste stijger in procenten is echter het spionnagesatelietprogramma met een groei sedert 2004 van 108%. De eerlijkheid gebiedt te zeggen dat de uitgaven ten opzichte van vorig jaar iets zijn teruggelopen.
Bron: Washington Post (zie ook Wired)
De webstek van de New York Times heeft er op de nacht van dinsdag op woensdag twee uur uit gelegen als gevolg van een cyberaanval, zo meldt de Franse krant Le Monde. Ook de kwetterdienst Twitter zou zijn aangevallen door het zich noemende Syrische elektronische leger (SEA), een groep jonge e-krakers die de Syrische tiran Basjar al-Assad steunt.
Onbekend is wie er achter de aanvallen schuil gaat. De groep is al twee jaar actief. Ze heeft al diverse cyberaanvallen opgeëist, onder meer op de webstekken van CNN en Time. Half augustus zou het SEA de stek hebben platgelegd van het bedrijf Outbrain dat teksten levert voor kranten als de Washington Post.
Het Twitter-profiel van de fotodienst van het Franse persbureau AFP, de enige met een bureau in Damascus, zou net als de BBC-profielen op de sociale media, die van Al-Jazeera en de Financial Times er last van hebben gehad. Volgens een woordvoerster van de New York Times was die aanval er wel degelijk. Twitter meldde dat zijn fotodienst Twimg.com verstoord is geweest als gevolg van problemen met domeinnamen, maar dat geen informatie van gebruikers zou zijn onderschept. De aanval zou zijn gedaan via domeinregistratie. De aanval op het Australische domeinregistrator MelbourneIT, die onder veel meer Twimg.com ‘huisvest’ doet vrezen dat de Syrische e-krakers zich op hoog niveau toegang tot de servers van het bedrijf hebben kunnen verschaffen. Als ze eenmaal in dat systeem zitten, kunnen ze de toegang tot een domeinserver blokkeren zoals dus bij Twimg.com het geval was. Deze manier van kraken is redelijk geavanceerd, waarbij er van moet worden uitgegaan dat de fout niet bij MelbourneIT lag. Het is echter onwaarschijnlijk dat de cyberaanval een directe reactie zou zijn op de dreiging met militaire actie van het Westen tegen Syrië, zo stelt Le Monde. Daarvoor gaat er te veel tijd mee heen.
Bron: Le Monde (foto: Le Monde)
Internet is behoorlijk lek. Dat wisten we natuurlijk al, maar het wordt nog maar eens bevestigd door onderzoek van, onder meer, HD Moore. Volgens deze Amerikaanse veiligheidsexpert uit Austin (Texas), werkzaam voor Rapid7 liggen zo’n 100 000 servers onbeschermd, bijna naakt, in het wereldwijde web verknoopt. Zonder al te veel problemen is er op die servers in te breken en kan de inbreker doen wat ie wil: wissen, gegevens veranderen, wachtwoorden achterhalen of een achterdeur maken. De kwetsbaarheid zit ‘m in het zogeheten IMPI-protocol, gebruikt voor de afstandbediening van servers. HD Moore graasde met een penetratietester het web af en kwam zo tot zijn cijfer.
Bron: Wired
Amerika, of althans, de Amerikaanse overheid is gek geworden. Edward Snowden, de onthuller van het grote NSA-schandaal, wordt opgejaagd als een wild dier. Amerika beschuldigt China ervan de hand gehad te hebben in de vlucht van, op het ogenblik, ’s werelds beroemdste klokkenluider, maar China slaat terug. De waarheid die Snowden heeft onthuld laat, volgens China, zien dat Amerika de grootste webspion ter wereld is. Amerika heeft heel wat uit te leggen, vond het Chinese persbureau Nieuw China. Datzelfde Amerika dat zich nog niet zo lang geleden als slachtoffer zag van cyberaanvallen en webspionage. In Hongkong, dat een uitleveringsverdrag met de VS heeft, wordt er op gewezen dat politieke vluchtelingen daarvan uitgesloten zijn.
Op het ogenblik is niet bekend waar Snowden uithangt. Er gingen geruchten dat hij via Moskou en Cuba naar het Zuid-Amerikaanse Ecuador zou zijn gereisd, maar journalisten hebben hem in Moskou niet kunnen traceren. Eucador, het land van Correa, wil Snowden maar al te graag asiel verlenen. Terecht, dunkt me. Fokke en Sukke hadden in NRC Handelsblad een prima suggestie. Ga naar Guantanamo Bay, dat is hij er van verzekerd dat hij nooit voor de Amerikaanse rechter hoeft te verschijnen. Aan de andere kant kun je natuurijk afvragen waar Snowden bang voor is. Je kunt veel lelijks zeggen van de VS, maar de VS zijn nog steeds geen China…
Bron: Le Monde
Amerika beschuldigt, volgens een bericht in de New York Times, Iran van nieuwe webaanvallen. Die aanvallen zouden niet bedoeld zijn om informatie te stelen, maar om de boel in de Verenigde Staten te saboteren. Het zou gaan om elektricteitsbedrijven en bedrijven in de gas- en oliesector, maar de Amerikaanse overheid noemde verder geen bijzonderheden. Zoals eerder gemeld lijkt het er op of de Iraanse aanvallers wegen zoeken om de besturing van procescomputers over te nemen en/of bestanden te vernietigen. Of zij dat werk in opdracht van de Iraanse overheid doen konden de woordvoerders niet zeggen. Tot nu toe hebben de aanvallers nog geen succes gehad, maar het lijkt er op dat de vaardigheden van de Iraanse krakers zijn gegroeid.
Bron: New York Times