Cyber Shock Wave

Cyberaanvallen op overheid, bedrijven en universiteiten nemen de laatste tijd sterk toe. Langzamerhand zijn computerinbraken zo professioneel, dat veel organisaties en bedrijven waarvan eigenlijk wordt verwacht dat zij zich hiertegen kunnen wapenen toch bezwijken.

Er worden verschillende oorzaken genoemd voor deze ontwikkeling: bedrijfsmanagement is zich niet bewust van de ernst van de zaak en investeert te weinig in de verdediging tegen cyberaanvallen, computergebruikers zijn niet te identificeren en dus niet te vervolgen en de opleiding van IT-studenten is teveel gericht op programmeren in plaats van 'veilig' programmeren. De federale overheid introduceert ondertussen Einstein 3.0 om de communicatie tussen departementen en agentschappen te monitoren. Tegenstanders van Einstein wijzen op mogelijke inbreuken op de privacy van burgers en de steeds sterkere rol van de National Security Agency, die behalve de defensiecommunicatie nu ook de 'civiele' communicatie gaat monitoren. De overheid bereidt zich ondertussen voor door te oefenen met de Cyber Shock Wave.

Cyberaanvallen

Op 4 juli 2009 vonden massale cyberaanvallen plaats op de computernetwerken van het Witte Huis, het Pentagon, de New York Stock Exchange, de Federal Aviation Administration, de Secret Service, het Ministerie van Financiën en vele andere Amerikaanse organisaties. Het was de grootste gecoördineerde aanval ooit die vrijwel overal op hetzelfde moment begon. Hoewel de meeste ministeries en agentschappen de aanval konden afslaan, werden de computers van de Secret Service, de ministeries van Handel, Financiën en Transport uitgeschakeld. Deze overheidsorganisaties hebben wel vaker te maken met denial of service aanvallen, maar deze aanval was zo massaal dat sommige computernetwerken 24 uur uit de lucht waren. Desondanks deden deskundigen de aanval af als 'klein en simpel'. Ook buiten de VS werden cyberaanvallen gemeld.

De aanvallen lijken koren op de molen van voorstanders van ongebreidelde maatregelen op het gebied van cybersecurity, die voorbijgaan aan privacybescherming en een sterkere rol voor NSA bepleiten. Enkele persberichten legden een mogelijk verband met een bericht in de Washington Post van twee dagen eerder. Het bericht meldde dat de regering Obama een controversieel voorstel uit de tijd van president Bush had overgenomen om de National Security Agency (NSA) het civiele computerverkeer van de overheid te laten bewaken. Een week eerder werd al bekend dat NSA de rol van toezichthouder op de militaire cyberverdedigings- en aanvalsstrategie had gekregen (1).

NSA, Einstein en privacy

Experts uit de wereld van de cybersecurity en privacybescherming zetten vraagtekens bij de rol van NSA. Vooral als het gaat om transparantie van die toezichtsrol en bescherming van gegevens van burgers in niet-overheidscommunicatie in het kader van beveiligingsproject Einstein 3. NSA hult zich immers doorgaans in geheimzinnigheid over cybersecurity, omdat die meestal te maken heeft met de nationale veiligheid.

Het is dus de vraag of Obama’s belofte om de transparantie van Einstein te vergroten en onderzoek te doen naar de daders achter deze aanval, Einstein in de zijlijn kunnen schuiven. De eerste generatie van het project richtte zich op het verminderen van het aantal portals dat toegang geeft tot overheidscomputernetwerken en het ontwikkelen van methoden om fraude te ontdekken. Einstein 2.0 moest vervolgens in staat zijn om in real-time computerinbraken te ontdekken, terwijl Einstein 3.0 de tegenaanval moet kunnen inzetten en de aanvaller tijdig onderuit halen. Einstein moet het delen van informatie tussen overheidsorganisaties veiliger maken. Einstein verzamelt een hele serie gegevens over computersessies, zoals autonome systeemnummers (ASN), Internet Control Message Protocol (ICMP) type en code, pakketlengte, bron- en bestemmings IP-adressen, bron- en bestemmingspoort, Transmission Control Protocol (TCP) flag informatie en de timestamp en informatie over de lengte van de sessie. In april rondde het Department of Homeland Security (DHS) twee van de drie testen met de pilotversie van Einstein 3.0 af. Na afronding van fase 3 wordt Einstein voor een jaar operationeel bij verschillende ministeries (2).

In maart gaf Amerika’s 'cyber czar', Howard Schmidt een samenvatting van het Einstein 3-programma. Schmidt is als cybersecurity coördinator van het Witte Huis belast met de ontwikkeling van een integraal beveiligingsplan voor de federale overheid. Critici zijn niet gelukkig met dit nu deels onhulde plan, omdat onduidelijk is wat de overheid precies doet wanneer het inbreuk op haar computernetwerken vaststelt. Beschermt de overheid zich alleen tegen de schadelijke programmacode of gaat zij op zoek naar de dader? (3).

Aanvallen en oorzaken

Ondertussen gaan de cyberaanvallen  verder. Afgelopen februari onthulde NetWitness in Herndon, vlakbij Washington, DC, dat sinds het laatste kwartaal van 2008 meer dan 75.000 computersystemen van 2.500 bedrijven in de VS en de rest van wereld zijn gehackt (4). Niet lang geleden waren er berichten dat Google en dertig andere grote, financiële, defensie-, technologie- en mediabedrijven waren aangevallen vanuit China. Een studie van Symantec in 2009 naar computerinbraken onthulde dat honderd procent van de ondervraagde bedrijven wel op één of andere manier slachtoffer zijn geweest, met gemiddeld  twee miljoen dollar aan kosten door verloren uren productiviteit. In 2008 rapporteerde het Department of Defense ruim 54.000 aanvallen op haar computernetwerken.

Ook universiteiten zijn in toenemende mate doelwit van cybercriminelen. Het San Diego Supercomputer Center bij de University of California registreerde 27.000 inbraakpogingen per dag gedurende de eerste drie maanden van 2010. Omdat de standaardgevallen niet meer worden meegeteld,  ligt het werkelijke aantal nog hoger. EDUCAUSE, een non-profit organisatie van universitaire IT-professionals, doet een jaarlijks onderzoek naar de prioriteiten onder haar leden. Financiering van IT-voorzieningen staat bovenaan de lijst. Op de derde plaats stond in 2009 cybersecurity. Academische vrijheid staat op de tweede plaats. Onderzoekers willen hun gegevens vrij houden, terwijl IT-specialisten die achter slot en grendel willen hebben. Deze behoefte van onderzoekers leidt soms tot het onttrekken van bepaalde gegevens aan het beveiligingssyteem, waardoor bijvoorbeeld allerlei persoonlijke gegevens van patiënten of gebruikers ineens op straat komen te liggen (5, 6).

Waren het vroeger nog  teenagers die voor de lol inbraken op computers, tegenwoordig lijken zelfs criminelen die zich om financieel gewin toegang tot de systemen verschaffen, te worden ingehaald door hackers met geopolitieke doeleinden. Steeds vaker blijken bedrijven en organisaties eigenlijk niet in staat zich tegen deze cyberaanvallen te beschermen. Zelfs bedrijven en organisaties  waarvan algemeen wordt verwacht dat zij daartoe wel in staat zijn, bezwijken onder deze geraffineerde aanvallen. Een gezamenlijk rapport van de Internet Security Allliance (ISA) en het American National Standards Institute (ANSI) stelt dat veel (financiële) managers van bedrijven niet doordrongen zijn van de ernst van de situatie. Zij investeren eenvoudig weg te weinig in de bescherming tegen cyberaanvallen. Amerikaanse bedrijven verloren in de periode 2008 tot 2009 duizend miljard dollar aan intellectueel eigendom, aldus het rapport 'The Financial Management of Cyber Risk: An Implementation Framework for CFO’s' (7).

Anderen zoeken de oorzaak op andere plaatsen. Volgens Craig Mundie van Microsoft is één van de oorzaken de moeilijkheid om de identiteit van gebruikers of computers op internet vast te stellen. Daardoor is het moeilijk om aanvallen toe te schrijven aan systemen en/of gebruikers en vervolgens aan handhaving van wetten en regels te doen. De universiteiten in de omgeving van Washington, DC wijzen de opleiding van IT-studenten als oorzaak aan. Die is immers nog grotendeels gericht op het leren programmeren, terwijl aan het ontwikkelen van echt veilige software niet of nauwelijks aandacht wordt besteed.

Regio Washington

De regio Washington zou heel goed één van de doelwitten kunnen worden van dit soort cyberaanvallen. Daar ligt één van de grootste concentraties van (federale) IT-activiteiten in de VS. De lokale universiteiten beginnen dan ook steeds meer in te spelen op de technologieontwikkeling die nodig is voor het afslaan van dit soort aanvallen en op de bewustwording van het belang van een goede verdediging.

Het Advanced Research Institute van Virginia Tech in Ballston verbindt haar IT-onderzoeksprojecten, die worden uitgevoerd op de campus in Blacksburg, met gebruikers bij de overheid en het bedrijfsleven op gebieden als computer networking, datavisualisatie, energie, medische informatie en milieu.
De George Washington University heeft bij haar Cyber Security Policy and Research Institute (CSPRI) een multidisciplinair programma lopen, dat computerwetenschappen verbindt met beleid (juridische en privacy-aspecten). Het Georgetown Institute for Information Assurance werkt in het onderzoek naar cybersecurity samen met de Lawrence Livermore en Oak Ridge National Laboratories, terwijl de George Mason University het Center for Secure Information Systems (CSIS) heeft opgezet.

Het Department of Defense (DoD) en de National Science Foundation (NSF) hebben gezamenlijk het Cyber Corps programma ontwikkeld voor studenten in de computerwetenschappen. Dat functioneert als trainingscentrum voor reserve-officieren. Voor de lagere opleidingen bij locale colleges speelt NSF’s CyberWatch programma een belangrijke rol. In Noord-Virginia biedt de Northern Virginia Community College (NVCC) nu een uitgebreide verzameling opleidingen op dit gebied.

NSA selecteert momenteel de meest geavanceerde universitaire programma’s als zogenoemde Centers for Academic Excellence (CAE) in Information Assurance Education and Research. Het bovengenoemde CSIS behoort nu tot één van de CAE's en verwierf onlangs ook de kwalificatie 'CAE-research'. Eén van de nieuwste onderzoeksproducten van dit centrum is CAULDRON (Combinatorial Analysis Utilizing Logical Dependencies Residing on Networks). Dit systeem kan kwetsbaarheden in en tussen computernetwerken identificeren. In plaats van alle netwerkverbindingen handmatig te checken op zwakke schakels, visualiseert CAULDRON het complexe web van netwerken in de vorm van grafische kaarten. Deze systeembenadering is goedkoper dan het bouwen van honderd procent veilige systemen. CAULDRON is nu operationeel bij de Federal Aviation  Administration (FAA), het Department of Homeland Security (DHS), het National Institute of Standards and Technology (NIST) en het Air Force Research Laboratory (AFRL). Er zijn nu ook commerciële versies voor bedrijven beschikbaar (9). CSIS heeft nog meer producten afgescheiden, zoals Internet Cleanroom. Hiermee kunnen browsers beschermd worden tegen aanvallen van buiten. Ook voor de mobiele telefoon ontwikkelt CSIS beschermende technologieën (10, 11).

Tot slot

In juli 2009 ontdekten IT-beveiligers dat er iets mis was met het mobiele telefoonverkeer. Geleidelijk aan vielen alle verbindingen weg. Het Witte Huis werd op de hoogte gesteld en tegen de tijd dat de eerste crisismanagers bijeenkwamen, waren zestig miljoen mobiele telefoons onbruikbaar geworden. Vervolgens begon overal aan de Amerikaanse oostkust de stroomvoorziening te haperen omdat een elektronisch systeem voor energiehandel uitviel. Daarna verschenen overheidsvertegenwoordigers met het schaamrood op de kaken op televisie om toe te geven dat zij hiervoor gewaarschuwd waren. De ineenstorting van de communicatieinfrastructuur en het elektriciteitsnet werd veroorzaakt door 'malware' die vele maanden eerder op een slimme manier miljoenen mobiele telefoons was binnengedrongen en in juli actief werd.

Deze keer ging het niet om een echte, maar om een gesimuleerde cyberaanval, waarbij alle belangrijke overheidsexperts en besluitvormers aanwezig waren om de verdediging tegen een dergelijke aanval te oefenen. Niemand van de deelnemers was vooraf op de hoogte gebracht van het oefenscenario. Belangrijkste doelen van de gesimuleerde Cyber Shock Wave waren behalve de oefening het bewustmaken van politici, beleidsmakers en publiek van de ernst van dit soort bedreigingen die in één klap het dagelijks leven kunnen platleggen (12).

Bronnen

1. Associated Content, July 8, 2009
2. Nextgov, Technology and the Business of Government, April 8, 2010