‘Het is de onderschatting van het gevaar van de cyberterreur waar ik me nog het meeste zorgen over maak,’ meent de Amerikaanse senator Robb. Anderen menen juist dat er sprake is van een hype waar de anti-virusindustrie achter zit. Amerika wapent zich desalniettemin tegen het virtuele gevaar, want ‘bytes en niet bommen zijn de wapens van de toekomst’.
Het zou een spannend boek van Tom Clancy kunnen zijn: Noord-Korea huurt 35 computer-hackers in om Amerika’s defensiesysteem te kraken. Teneinde extra paniek te veroorzaken banen ze zich een weg naar alarmcentrales van grote steden en leggen deze plat. Tientallen computers van het Pentagon worden onklaar gemaakt. Generaals van de Amerikaanse land- en luchtmacht kunnen de valse commando’s niet van de echte onderscheiden.
Science fiction? Doemscenario? Voor het Pentagon, dat bovenstaand scenario gebruikte voor een training, zeker niet. Een ‘rokend toetsenbord’ ziet er dan wel minder dramatisch uit als een ‘smoking gun’, bewezen is dat het even vernietigend kan zijn, zo staat in Cybercrime, cyberterrorism, cyberwarfare van het Center for Strategic and International Studies (Csis) in Washington DC.
"We moeten niet wachten op een elektronisch Waterloo voordat we de situatie aanpakken," zegt Frank Cilluffo. Tijdens de presentatie van het rapport in Washington benadrukken de onderzoekers de ernst van de situatie. "Bytes, not bullets’, zijn de wapens van de toekomst."
Nieuwe maatschappij
Wie denkt dat computersystemen afdoende beveiligd kunnen worden, vergist zich. Wat de Japanse Kamikaze-piloten in de Twee Wereldoorlog deden, wordt nu mogelijk herhaald door cyber-terroristen: ze kunnen toeslaan op een onverwacht moment en met een kracht die nu nog ondenkbaar lijkt.
Ook politici maken zich zorgen. Senator Charles Robb, een Democraat uit Virginia, zet zich in voor een serieuze benadering van cyber-criminaliteit en cyber-terrorisme. "Het millenniumprobleem is een bekende dreiging. Maar in dit geval weten we heel weinig. We weten niet wie ons wanneer gaat aanvallen. We weten evenmin hoe schadelijk het zal zijn," vertelt hij op de persconferentie.
Er zijn intussen genoeg voorbeelden van computersystemen die succesvol gekraakt zijn. In maart vorig jaar werd de achttienjarige Israeli Ehud Tenebaum, alias Analyzer, gearresteerd omdat hij binnendrong in het systeem van Nasa en het Israëlische parlement.
Afgelopen zomer dachten twee Russen uit Sint Petersburg dé manier gevonden te hebben om snel geld te verdienen. Via de computer verschaften zij zich toegang tot het systeem van Citi Bank, één van Amerika’s grootste banken, en sluisden vervolgens 21 miljoen gulden naar eigen rekeningen.
Het zijn dus niet meer alleen zestienjarige computer-nerds die bij wijze van uitdaging inbreken in websites en computersystemen. Via Internet ontstaat een nieuwe, wereldwijde maatschappij met zijn eigen cyber-criminelen en -terroristen.
Van ‘hacker’ naar ‘hacktivist’
Websurfers zullen verbaasd zijn geweest toen ze op 26 oktober van het vorig jaar de nieuwe ‘homepage’ van de Chinese regering over de mensenrechten bezochten. ‘Boycott China’ was de slogan van de pagina. De dag dat de overheidssite zijn Internetdoop kreeg, werd hij meteen door Amerikaanse hackers gekraakt en veranderd.
‘De totale bullshit propaganda’ stond centraal op de nieuwe site. ‘De Chinese bevolking heeft totaal geen rechten, laat staan mensenrechten’. En onder het mom van ‘get informed’ werden weblinks gemaakt met Amnesty International en échte Chinese mensenrechten-organisaties.
Het was een zeer doordachte inbraak op de website. Zeker niet het werk van een paar middelbare scholieren met teveel vrije tijd. ‘Bronc Buster of LoU’ had een duidelijke, politieke boodschap. Websites, die gekraakt zijn, worden lamgelegd, maar ook steeds vaker gebruikt om politieke ideeën over te brengen. Kraken met een politieke agenda: ‘hacktivism’.
En niet alleen homepages van overheidsorganisaties worden het slachtoffer van de ‘hacktivisten’. Bedrijven die een omstreden product verkopen of profiteren van kinderarbeid kunnen de dupe worden van deze vorm van sabotage. Activisten ketenen zich niet langer meer vast aan de poorten van een bedrijf. Een volgende keer breken ze in op de website om daar digitaal hun mening te verkondigen.
Zo kreeg een Amerikaanse handelaar in bont, Kriegsman Fur, te maken met activisten met computervaardigheden. ‘Zo ziet bont eruit voor vergassing, beknuppeling en elektrocutie,’ staat op de site te lezen, waarna een aantal foto’s van pelsdieren volgen. De ‘Ghost Shirt Society’ vond dat het tijd werd dat de klanten van Kriegsman Fur meer te weten kwamen over de jassen die ze kochten.
Hackivisten kraken sites uit morele overtuiging. Professor Walters van de Universiteit van Ottawa stelt: ‘Als Hitler een website had gehad, zou het moreel verantwoord zijn deze aan te vallen’. En dat lijkt de algemene opvatting te zijn onder internet-gebruikers.
John Vranesevich van http://www.antionline.com, een website met kraak-nieuws voor met name de ‘underground scene’, bevestigt dat. In juni deed de krakersgroep ‘Milworm’ een inbraak op de homepage van het Indiase Bhabba Atomic Research Centre, als protest tegen de atoomproeven. Antionline kreeg duizenden e-mails over MilwOrm’s kraak en in ruim 97 procent van de e-mails worden de leden van MilwOrm beschreven als helden.
Gevoelig voor aanvallen
Hoe nobel het doel van de kraak ook kan zijn, vervelend blijft het natuurlijk wel voor de eigenaar van de site. In het najaar van 1997 werd op ludieke wijze het monopolie van Coca Cola op haar website bekritiseerd. In dit geval ging het om de servicepagina van het bedrijf, maar er zijn genoeg bedrijven die een deel van hun zaken via het Net doen.
Bedrijven die elektronisch zakendoen zijn extra gevoelig voor dergelijke aanvallen. Wanneer de site van computergigant Dell één dag plat gaat omdat hacktivisten hebben toegeslagen, kost dat Dell 13 miljoen dollar omzet. De grootste boekenwinkel op het Net, http://www.amazon.com, is volledig afhankelijk van e-handel; een paar dagen dicht is zeker ‘not good for business.’ De mogelijke reden van de kraak kan protest tegen de commercialisering van het Net zijn.
Om die reden werd de homepage van Nasa begin 1997 gekraakt. ‘De commercialisatie van Internet houdt hier op.’ De krakersgroep ‘H4G1S’ protesteerde met het veranderen van de site tegen het gebruik van Internet voor commerciële doeleinden. Al snel werd de kraak ontdekt; na 30 minuten werd de site tijdelijk gesloten.
De schrijvers van Cybercrime, cyberterrorism, cyberwarfare vinden dan ook dat op zeer korte termijn stappen ondernomen moeten worden om Amerika’s elektronische overheidssystemen te beschermen. ‘Grote, complexe informatie systemen zijn gebouwd op onveilige fundamenten,’ zo luidt de waarschuwing.
"Internationaal terrorist Bin Laden gebruikt laptops met satelliet-verbindingen en gecodeerde berichten om contact te onderhouden met zijn ondergrondse netwerk", vertelt Arnaud de Borchgrave, directeur van het CSIS Global Organized Crime Project. Omdat geen enkel land ter wereld de Verenigde Staten kan bedreigen in een conventionele oorlog, is de kans des te groter dat het land te maken gaat krijgen met cyber-aanslagen.
Paranoia?
President Clinton is het met hem eens. "Onze kwetsbaarheid, zeker wanneer het om cyber-aanvallen gaat, bestaat wel degelijk en wordt alleen maar groter." Tijdens een toespraak op de US Naval Academy zei hij dat ‘internationale misdadigers en terroristen, die ons niet kunnen verslaan op de traditionele manier, hun toevlucht zullen zoeken in nieuwe aanvalsmethoden waarbij ze gebruik maken van nieuwe technologieën.’
Een geheel paranoïde gedachte lijkt dat, gezien het recente verleden, niet. Acht jaar geleden wist een groep Nederlandse krakers tijdens de Golfoorlog in te breken in de computers van de Amerikaanse defensie. Ze haalden strategische informatie op uit het zwaar beveiligde systeem en boden het aan voor geld aan Saddam Hussein.
Terwijl de Amerikaanse nationale veiligheidswereld waarschuwt voor een elektronisch Armageddon zijn anderen wat voorzichtiger.
John Wray, van Electronic Disturbance Theatre, vindt dat ‘information warfare’ voorzichtig benaderd moet worden.
"Houd goed in de gaten wie met het verhaal is gekomen van de ‘info-oorlog’. Bedenk dat defensie altijd behoefte heeft aan een zondebok en een vijand. Na de Koude Oorlog kwam de strijd tegen drugs en de cyberterreur op de agenda.’
Anderen zijn het met hem eens. "Al meer dan tien jaar wordt de aanval op informatiesystemen beschreven als een wereldwijde bedreiging. Het is allemaal erg overdreven. Dergelijke vergaande uitspraken vragen om onomstotelijk bewijs", zegt Rob Rosenberger. Onder het motto ‘Mundus vult decipi’ (de wereld wil misleid worden) heeft hij in december 1995 de website ‘Computer Virus Myths’ opgezet.
Via de website kent hij jaarlijks de ‘Awards for Virus Hysteria’ toe aan organisaties, bedrijven en personen die bijgedragen hebben aan ‘de virus-hype’. Zo is McAfee Associates dit jaar als de absolute nummer 1 uit de bus gekomen, omdat het bedrijf, zo wordt op de site ironisch gezegd, ‘zo ontzettend veel moeite doet om de wereld virus-vrij te houden.’
Volgens Rosenberger zijn de aantallen virussen die je altijd in de media hoort erg overdreven. "Mensen die dat aantal overdrijven, blijken vaak voor een anti-virusbedrijf te werken. Of ze babbelen domweg na wat ze om zich heen horen.’
Krakende tieners
Dr. Ross Anderson van Cambridge University Computer Laboratorium, wijst eveneens de anti-virusindustrie aan als de motor achter de ’terror hype.’ De oorlog tegen de informatiesystemen is vooral een marketingstunt. De industrie, die de beveiligingsprogramma’s voor computers ontwikkelt, probeert de verkoop aan de Amerikaanse overheid te stimuleren."
De Amerikaanse regering gaat ook niet geheel vrijuit, volgens Anderson. Het achterliggende motief van de overheid is, dat ze graag controle over Internet wil krijgen. "Onder het mom van preventie tegen computercriminaliteit is het een ‘sneaky’ methode om de supervisie over Internet in handen te krijgen ten koste van de privacy van de burgers."
De twee kampen in deze discussie liggen ver uit elkaar. Onder de Amerikanen zelf heerst veel scepsis over de ernst van de dreiging van de cyber-oorlogen en het cyber-terrorisme. "Het is de onderschatting van het gevaar waar ik me nog het meeste zorgen over maak", vertelt Senator Robb tijdens de persconferentie in Washington. En hij voegt eraan toe: ‘Krakende tieners vormen wel degelijk een bedreiging voor het functioneren van ons totale regeringsapparaat".
Kraker wordt beveiliger
Het bedrijfsleven en de overheid zouden moeten samenwerken in deze zaak, is de aanbeveling van Robb. "De regering en de Amerikaanse bedrijven komen erachter dat ze het probleem niet alleen kunnen oplossen", vertelt Michael Vatis, FBI agent en een van de leiders van het National Infrastructure Protection Center. Het Nipc is opgezet door Janet Reno, de minister van justitie, om Amerika’s informatienetwerken te beschermen. Internet heeft niet alleen cyber-criminelen voortgebracht, maar ook allerlei personen en instanties die de cyber-criminaliteit juist tegen moeten gaan. Zowel private als overheidsondernemingen proberen deze vorm van criminaliteit te bestrijden. Politiecorpsen hebben hun eerste ‘cyber-cops’. Privé-detectives, de ‘cyber-sleuths’, kunnen ingehuurd worden.
En daar blijft het niet bij; overal in de Verenigde Staten zijn bedrijven gevestigd die gespecialiseerd zijn in ‘cyber-forensics’. Zo is het bedrijf New Technologies volledig gericht op bestrijding van computercriminaliteit. Computerbeveiliging is ‘booming business’. Het Computer Security Institute, een organisatie van computerbeveiligingsagenten van grote bedrijven, heeft momenteel meer dan 5000 leden.
"Om een misdaad in cyberspace op te lossen, kunnen we niet terugvallen op standaardprocedures zoals in het geval van een moordzaak. We moeten geheel nieuwe methoden ontwikkelen", vertelt Lon Anderson, detective bij de politie in Boise, Idaho. Afgelopen zomer volgde hij twee weken een cursus bij de Search Group in Californië om de fijne kneepjes van de ‘cyber forensics’ onder de knie te krijgen. En Anderson was niet de enige. Cursisten kwamen niet alleen vanuit alle hoeken van de Verenigde Staten, maar ook uit Canada en zelfs uit China.
Een andere manier die veel gebruikt wordt om cyber-misdaad en cyber-terrorisme te voorkomen, is het inhuren van jonge, getalenteerde ex-krakers. De ‘elektronische sheriff’ van het National Security Agency, de Amerikaanse binnenlandse veiligheidsdienst, is 23 jaar.
Krakers-bijeenkomsten en congressen worden goed in de gaten gehouden door overheidsinstanties en grote multinationals. Talentvolle krakers worden ingehuurd om tegen goede betaling het systeem van een bedrijf te kraken en te testen op zwakke punten. Wanneer die gevonden worden, helpen ze vervolgens die kwetsbare plekken te repareren.
Amerika is de strijd aangegaan met cyber-criminelen. De speciale eenheid van de FBI, die deze vorm van misdaad aanpakt, behandelde in 1998 bijna 500 misdrijven die via Internet gepleegd waren. Cyber-criminaliteit is een serieuze zaak bij de feds. Dat blijkt wel uit het feit dat superkraker Kevin Mitnick – inmiddels ‘veilig’ achter de tralies – de eerste kraker/cyber-crimineel was die ‘FBI’s Ten Most Wanted List’ haalde. In Washington wordt hard geroepen dat een elektronisch Pearl Harbor zeker niet is uitgesloten.
Het CSIS-rapport concludeert: "De Amerikaanse samenleving kent een aantal nieuwe bedreigingen. We hebben ongelofelijk ingewikkelde informatiesystemen op wankele fundamenten gebouwd. We kunnen netwerken beter opzetten dan ze beschermen. De economie is volledig afhankelijk van deze systemen. Amerika’s tegenstanders en vijanden zien deze afhankelijkheid ook en ontwikkelen ‘weapons of mass disruption and destruction’."
Charles Groenhuijsen en Famke van Loon
Cyber-criminaliteit in de VS
– Grote Amerikaanse instelling en bedrijven, die te maken hebben gehad met computerinbraken: CIA, het Ministerie van Justitie, het Ministerie van Defensie, Nasa, het Ministerie van Handel, FOX (TV-network), Coca Cola, Valu Jet, Unicef, en Amnesty International.
Het Computer Security Institute hield in 1998 een enquête onder 520 bedrijven in de Verenigde Staten. Enkele resultaten:
Het totale financiële verlies van de 241 organisaties was bijna 260 miljoen gulden.
WWW-adressen
http://www.csis.com/
http://www.2600.com/
http://www.2600.com/hacked_pages/
http://www.antionline.com/
http://www.kumite.com/myths/
http://www.fbi.gov/programs/compcrim.htm
http://www.nsa.gov:8080/isso/
http://www.gocsi.com/iss_t.htm