‘Terroristen kunnen nog veel meer schade en leed aanrichten dan ze nu doen met de aanslagen in Europa’, denkt hoogleraar Network Operations and Management Aiko Pras. ‘Want als je Schiphol digitaal platlegt, ontstaat er complete chaos. Vliegtuigen stijgen niet meer op en passagiers krijgen geen informatie. Dat is voor een kwaadwillende hét moment om een aanslag te plegen, want je hebt al je slachtoffers in verwarring bij elkaar.’
Hij twijfelde even of hij dit voorbeeld wel met het grote publiek moest delen. Maar de hoogleraar bij de vakgroep Design and Analysis of Communications Systems (DACS) weet ook dat het criminele brein dit soort scenario’s wel bedenkt zonder zijn hulp. ‘Het probleem met scenario’s als deze is dat ze hypothetisch zijn. Ik kan niet concreet maken hoe groot de consequenties zijn van een grote digitale aanval, gecombineerd met een aanslag. Ik kan er alleen voor waarschuwen. Want de technologie achter een flinke cyberaanval is niet zo ingewikkeld. Dat bewijzen de tieners wel die het internet van hun school platleggen om een proefwerk te ontlopen.’
'Met de doorbraak van internet heeft iedereen toegang tot digitaal geweld’
Nieuwe Koude Oorlog
Het digitale tijdperk markeert een nieuwe periode in onze samenleving. Alles en iedereen is verbonden met internet en zelfs aan kritische infrastructuur zitten internetprotocollen vast. Dat roept volgens Pras nieuwe vragen op over onze veiligheid – op wereldwijde schaal zelfs. Immers, geef iedereen toegang tot het internet en eenieder met genoeg kennis kan er misbruik van maken. ‘Een belangrijk kenmerk van de soevereine staat was het geweldsmonopolie’, zegt hij. ‘De staat had de wapens, van machinegeweren tot tanks en atoombommen. Met de doorbraak van internet heeft iedereen toegang tot digitaal geweld.’
Als gevolg van die ‘democratisering’ van geweld zijn we in een nieuwe Koude Oorlog beland, stelt Pras. Er zijn echter wel wezenlijke verschillen. ‘Alle landen hebben programma’s die ze zorgvuldig geheim houden; ze willen niet laten zien hoe ver ze zijn en wat ze kunnen. In de Koude Oorlog was het juist zaak om spierballen te tonen en de vijand af te schrikken. Een ander verschil is dat cyberwapens spotgoedkoop zijn. Zelfs de kleinste landen kunnen de zwaarste wapens ontwikkelen en ook de natiestaten bewapenen zich digitaal.’
Beroemde Hackers
- Kevin Mitnick. Pleegde zijn eerste grote hack op zijn zestiende. Niet veel later kraakte hij de systemen van het Pentagon, de NSA en van grote bedrijven als Dell en Compaq. Werd opgepakt en heeft uiteindelijk vijf jaar in de cel gezeten, waarvan acht maanden in een isoleercel, omdat mensen geloofden dat hij een nucleaire oorlog zou kunnen starten door te fluiten in een telefoon. Sinds 2003 is Mitnick weer op vrije voeten en werkt hij als internetbeveiligingsconsultant.
Wapenwedloop op alle fronten
Onderzoeker Roland van Rijswijk van Pras’ vakgroep bevestigt de woorden van zijn promotor. Hij combineert academische kennis met praktijkervaring als Research & Development-projectmanager bij SURFnet, dat Nederlandse onderzoek- en onderwijsnetwerken beheert. Zo ook die van de UT. ‘De cyberaanvallen worden steeds heftiger en complexer’, zegt hij. ‘Rond de eeuwwisseling zagen we de eerste Distributed Denial-of-Service-aanvallen, ook wel DDoS-aanvallen genoemd. Sinds een jaar of vijf is de kracht van die aanvallen echt een probleem.’
In zijn werk, beveiliging van universiteiten, zijn zulke DDoS-aanvallen aan de orde van de dag. ‘Een paar jaar geleden kwamen zogenaamde booters op. Online diensten waar je een aanval inkoopt. De term booten komt uit het gamen: iemand uit het spel schoppen. Dat is precies wat er met een netwerk gebeurt bij een DDoS-aanval. Een server wordt overladen met ‘bezoekers’, kan die aantallen niet aan en gaat offline. Studenten proberen hun instelling plat te leggen, bijvoorbeeld om onder een tentamen uit te komen’, aldus Van Rijswijk, die er meteen aan toevoegt: ‘Voordat je zoiets in je hoofd haalt, moet je wel weten dat je een gevangenisstraf van vier jaar riskeert.’
Van zolderkamerhacker tot terrorist
De onderzoeker, die onlangs zijn PhD cum laude haalde bij Pras’ vakgroep, onderscheidt cybercrime op verschillende niveaus. Zo zijn er allereerst grootschalige aanvallen op het gebied van inbreken en stelen, afluisteren en sabotage. ‘Dan zitten we in het domein van terroristen, natiestaten en grootschalige industriële spionage’, zegt hij. ‘Bijvoorbeeld Amerikanen die de telefoon van de Duitse bondskanselier Merkel aftappen, terroristen die niets anders willen dan iets kapot maken of nieuwe technologie stelen.’
' Aanvallers bereiden hun scam grondig voor'
Andere vormen van cyberaanvallen zijn bijvoorbeeld phishing, ransomware en diensten van internet afblazen. Dat is meer het werk van ‘zolderkamerhackers’. Maar in het speelveld tussen zulke eenlingen en natiestaten opereren georganiseerde groepen. ‘Met de recente CEO-fraudes heeft dit een heel nieuwe dimensie gekregen. De aanvallers bereiden hun scam grondig voor. Ze maken bijvoorbeeld een account aan en vragen een secretaresse in de bewoordingen van de directeur om met spoed een groot bedrag over te maken. Natuurlijk op een tijdelijke rekening van de aanvaller.’
Beroemde Hackers
- Adrian Lamo. Hackte onder meer Yahoo, Microsoft en de New York Times. Kreeg een voorwaardelijke gevangenisstraf van twee jaar. Stond in 2010 aan de andere zijde, toen hij soldaat Bradley Manning aangaf bij de Amerikaanse autoriteiten vanwege het lekken van honderdduizenden vertrouwelijke documenten aan WikiLeaks.
Dit komt overeen met het beeld dat hoogleraar Marianne Junger heeft van hackers: ‘Maar zo’n twaalf procent van de hacks lijkt van buiten Nederland te komen’, zegt ze. ‘Dat is ook niet zo verbazingwekkend, want als je gericht wilt hacken, bijvoorbeeld een CEO-hack, dan moet je de taal beheersen; dan moet je genuanceerd te werk kunnen gaan. De meer grootschalige acties komen wel vaker uit het buitenland, zoals de recente ransomware-aanvallen.’
High-risk game
Volgens Van Rijswijk zit er een flinke investering in dit soort ‘lokale’ aanvallen, vaak met een tijdsduur van maanden. ‘De scammers nemen de tijd om de CEO en het bedrijf te leren kennen’, zegt hij. ‘Vervolgens registreren ze duizenden domeinnamen en koppelen daar e-mailadressen aan. Dan heb je het al snel over een investering van tienduizenden euro’s. Zie het als gokken in een casino. Hoe hoger de inzet, hoe hoger de mogelijke uitbetaling. Het is een high-risk game, maar de uiteindelijke pay-off is bij een geslaagde scam groot.’
Duidelijk is dat we bij dit soort phishing niet te maken hebben met een eenzame hacker op een zolderkamer. ‘Dit is georganiseerde misdaad’, zegt Van Rijswijk. ‘En dat maakt het ook zo gevaarlijk om erachteraan te gaan.’
'Backdoors zijn voor iedereen toegankelijk'
Maar ook de partijen die we normaal als ‘good guys’ zouden aanmerken, hacken computers. ‘Het gevaarlijkst is het toevoegen van software of het bewust inbouwen van fouten in systemen’, zegt Pras. ‘Die bevatten zogenaamde backdoors, waardoor je later kunt inbreken. Geheime diensten - de overheden dus- doen dit veelvuldig. En dat zijn niet alleen ‘schurkenstaten’, maar ook Westerse landen. Zo gaf de Beierse regering in 2011 toe dat ze dit deed en het is door de Snowden-publicaties zo goed als zeker dat Amerika ook backdoors inbouwt. Een levensgroot probleem, want als je die backdoors kunt vinden, dan zijn ze voor iedereen toegankelijk.’
Beroemde Hackers
- Gary McKinnon. Verantwoordelijk voor de ‘grootste militaire hack ooit’. Infiltreerde in ‘97 computers van het Amerikaanse leger en NASA, naar eigen zeggen om informatie over ufo’s in te winnen. Op de websites liet hij de boodschap ‘your security is crap’ achter. De Britten leverden hem uiteindelijk niet uit aan de Verenigde Staten.
Cybersecurity en privacy
Politici, beleidsmakers en academici, allemaal kennen ze de problemen met cyberaanvallen, phishing en fraude. ‘Maar beleid maken om ons te beschermen roept meteen een ander probleem op’, zegt Andreas Peter, onderzoeker bij de vakgroep Services, Cybersecurity and Safety. ‘Namelijk: de privacy. Natuurlijk, het bestrijden van criminaliteit is belangrijk, maar niet ten koste van alles. Als belastingbetaler in een democratie heb je rechten en vrijheden. Ook digitaal.’
Het lijkt een eenvoudige trade-off: als een overheid meer veiligheidsmaatregelen wil, dan gaat dat altijd ten koste van de privacy. ‘Want je wilt de digitale anonimiteit doorbreken’, zegt Peter. ‘Dat kan alleen als je weet wie op het internet zit en wat die persoon daar uitspookt. Sinds de Patriot Act na de aanslagen in 2001 heeft de Amerikaanse overheid extra bevoegdheden om mensen te monitoren. Natiestaten gaan nog een stap verder in het surveilleren van hun eigen burgers. Zij bekijken mensen in het geheim en maken verregaande wetgeving om het monitoren legitiem te maken.’
Maar privacy hoeft niet per se ten koste te gaan van veiligheid, en vice versa, stelt Peter. Hij noemt als voorbeeld de verspreiding en bestrijding van kinderporno. ‘We weten dat verspreiders het veelal via bedrijfsnetwerken delen om zo hun identiteit te verbergen’, zegt Peter. ‘De politie heeft een grote database met informatie en die willen ze graag aan bedrijfssystemen koppelen om illegale content en de afzender daarvan eruit te filteren. Maar, vanuit privacyoogpunt bekeken, is het een gigantische stap als de politie alle communicatie van een bedrijf zou kunnen zien.’
Daarom ontwikkelde zijn groep, in opdracht van de politie, een systeem voor ‘revokable privacy’. ‘Je gegevens blijven privé, tenzij er goede gronden zijn om die privacy op te heffen.’ Het werkt door middel van een cryptografisch systeem. ‘We installeren een soort zwarte doos op het bedrijfsnetwerk, waarin de politiedatabase zodanig cryptografisch verstopt zit dat criminelen er niet bij kunnen. Uiteindelijk zien we alleen resultaten als er overeenkomsten zijn tussen de dataset van de politie en wat het systeem aantreft in het bedrijfsnetwerk. Pas als het systeem pornografische content herkent, kunnen we de privacy opheffen. Op die manier bouwen we privacy-ethiek in het systeem in.’
Digitaal nummerbord
De scheiding tussen veiligheid en privacy is voor Marianne Junger, hoogleraar Cybersecurity en Business Continuity, niet zo scherp als haar collega Peter die stelt. ‘Als ik in mijn auto de snelweg oprijd, dan ben ik herkenbaar aan mijn nummerbord. Dat is niet wezenlijk anders dan je IP-adres, waarmee je digitaal herkenbaar bent.’ Het internet is voor haar een open systeem dat te goeder trouw is ontworpen. ‘De keerzijde van dat open en anonieme karakter is dat haat, misdaad en pesten op internet ook vrij baan hebben. De juiste balans tussen openheid en veiligheid moeten we nog vinden.’
Beroemde Hackers
Junger onderzoekt met haar groep waar het internetmisbruik zit en hoe mensen zich gedragen in cyberspace. ‘Een moeilijk vakgebied’, laat ze weten. ‘Want er is nog nauwelijks informatie. Normaal baseer je onderzoek op gedegen slachtofferstudies, maar die zijn er voor cybersecurity nog nauwelijks. En slachtoffers als grote bedrijven of banken hebben er geen belang bij om openbaar te maken hoe ze getroffen zijn. Dat maakt onderzoek naar grootschalige fraude ingewikkeld.’
De menselijke factor staat in het onderzoek van Junger centraal. ‘De techniek in cybersecurity is natuurlijk belangrijk’, zegt ze. ‘Maar we zien steeds meer dat het menselijk handelen doorslaggevend is. Slachtoffers geven zelf privacygevoelige informatie als ze gebeld of gemaild worden, ze verliezen hun telefoon met daarin gegevens of maken zwakke wachtwoorden aan. De mens is in de keten van cybersecurity nog altijd de zwakste schakel.’
Door de digitalisering is het daderprofiel veranderd. ‘Mensen zijn online meer geneigd dingen te doen die niet mogen. Of dat nu laster is of fraude, de stap is kleiner dan in de ‘echte’ wereld’, zegt Junger. ‘Vrouwen behoren bijvoorbeeld online vaker tot de daders dan in het normale leven. Maar in het algemeen kun je zeggen dat alle slechte eigenschappen die mensen hebben ook digitaal blijven bestaan en zelfs uitvergroot worden. De gelegenheid maakt de dief, en met internet is die gelegenheid groter.’
Hack de hacker
Wat te doen met hackers? ‘De beste remedie is terughacken’, meent hoogleraar Aiko Pras. ‘De vraag is alleen, wat tref je aan de andere kant aan? Daarom hebben wij lange tijd alleen de pubers op de zolderkamer onderzocht. Maar ik raak steeds meer geïnteresseerd in het echte spel en dan kom je bijvoorbeeld bij de Russische maffia uit. Dat is wel een dilemma waar ik mee zit. Hetzelfde geldt voor de samenwerking binnen onze groep met bijvoorbeeld studenten uit China of Iran. We werken aan vertrouwelijke databases en onderzoeken mogelijk gevoelige netwerken. Ik wil die studenten, die natuurlijk banden met hun thuisland hebben, niet in een gevaarlijke situatie brengen, want hun overheden zijn tot veel in staat.’
Puber met groeistuipen
Het internet is een platform waar we allemaal mee verbonden zijn, dat niet al te moeilijk te hacken is en waarvoor de spelregels nog nauwelijks gedefinieerd zijn. Het is als een puber met groeistuipen. En die puber laten we steeds sneller en verder groeien. Met de beweging van het Internet of Things verbinden we steeds meer apparaten aan het wereldwijde web. Niet alleen onze computers en telefoons zijn verbonden, maar ook onze printers, beveiligingscamera’s, thermostaten. En snel volgen onze stofzuigers, koelkasten en waterkokers. Roland van Rijswijk gooit de vraag er maar meteen in: ‘Hebben we dat allemaal wel nodig?’
‘The Internet of Shit’, zo omschrijft hij het. ‘We stevenen af op een ramp omdat we ons omringen met goedkope rommel uit Azië. Geloof je nu zelf dat producten voor zulke bodemprijzen gemaakt zijn met cyberveiligheid in het achterhoofd? Ik zou nooit van die goedkope bewakingscamera’s in mijn huis hangen, of een babyfoon met Wi-Fi neerzetten. Want je weet nooit wie er nog meer meekijkt.’
Pras is het hier hartgrondig mee eens. ‘Als een lijn met Chinese bewakingscamera’s gehackt wordt, wie is dan verantwoordelijk? De fabrikant in China, de leverancier? Of misschien ben je dat als consument zelf wel, omdat je had kunnen weten dat het product rommel is. Deze verantwoordelijkheidsvraag is nog niet beantwoord, maar die discussie komt zeker.’
Een ander element is – wederom – de moeizame balans met privacy. ‘De internetapparaten communiceren doorgaans ook met de producent’, zegt Van Rijswijk. ‘En dus worden er op verschillende plekken databases opgebouwd met mijn gedrag. Als ik de thermostaat via aan app bedien, weet de energieleverancier wanneer ik thuis ben, net als met je stofzuiger, camera’s en andere apparatuur. Wil je dat allemaal delen?’
‘Blijkbaar willen we gratis diensten en geven we niet veel om de privacy’
Marianne Junger stelde al dat de mens de zwakste schakel is als het gaat om cybersecurity. En dat geldt ook voor de online privacy. ‘Blijkbaar willen we gratis diensten en geven we niet veel om de privacy’, zegt ze. ‘Dat beschouw ik voor nu als een gegeven.’ Andreas Peter ziet het ook zo: ‘Blijkbaar zijn we heel tevreden met diensten als Google en Facebook en malen we er nauwelijks om dat ze ons tot op detail volgen en onze data claimen – om die vervolgens weer door te verkopen aan adverteerders.’
Maar Peter heeft wel een probleem met dit ongebreidelde informatieharken van een paar grote bedrijven. ‘We moeten weer controle krijgen over onze eigen data en onze privacy niet zo gemakkelijk opgeven. Encryptie zou bij al het dataverkeer de standaard moeten zijn, niet een optie.’ Een relatief klein aantal internetgebruikers doet dat al door privacybewuste alternatieven te gebruiken als DuckDuckGo in plaats van Google, Diaspora in plaats van Facebook en SpiderOak in plaats van Dropbox. ‘En er zijn alternatieven voor Gmail, bijvoorbeeld ProtonMail. Ja, je moet jaarlijks een paar tientjes betalen, maar daarmee maak je het wel moeilijker voor Google, en daarmee ook de Amerikaanse veiligheidsdienst, om mee te kijken.’
Het grote spel
Alle onderzoekers geven aan dat we een grote eigen verantwoordelijkheid hebben als het om cybersecurity gaat. Maar hoe zit het nu met het ‘grote spel’, de natiestaten die spioneren, afluisteren en stelen? ‘Heel langzaam komt er meer aandacht voor dat onderwerp’, zegt Pras. Een paar jaar geleden is cybersecurity op de agenda gezet van de Munich Security Conference, waar hijzelf spreker was. ‘Daar werd 100 miljoen vrijgemaakt voor digitale veiligheid. Het is een druppel op een gloeiende plaat, maar het is ook een begin.’
‘Het probleem met cybersecurity is dat het gevaar grotendeels onzichtbaar is’, zegt Pras. ‘Letterlijk, maar ook figuurlijk. Politici zijn niet op de hoogte van de risico’s en de adviseurs en beleidsmakers weten alles van de gevaren van gisteren, maar weinig over die van morgen.’ De taak van de onderzoekers is daarmee tweeledig: zorgen dat de systemen zo optimaal mogelijk georganiseerd zijn én het publiek, maar vooral ook de politiek, voorlichten over de gevaren. ‘In de tussentijd is het enige wat we kunnen doen brandjes blussen’, beaamt Van Rijswijk.
Beroemde Hackers
- Albert Gonzalez. Stal tussen 2005 en 2007 meer dan 130 miljoen creditcardgegevens. Uiteindelijk veroordeeld tot twintig jaar gevangenisstraf, die hij nog steeds uitzit.
Hackers, terroristen, landen die zich in het diepste geheim bewapenen… Hoe moeten we ons verdedigen tegen een cyberoorlog? ‘In eerste instantie moeten we beseffen hoe ontzettend kwetsbaar we zijn’, vervolgt Pras. ‘Is die realiteitszin er, dan moeten we beseffen dat we een rampenplan nodig hebben. Hoe kunnen we communiceren in geval van een grootschalige aanval en wie doet wat? En als laatste – maar zeker niet het minst belangrijke – moeten we het mogelijk maken om het internet op te delen. Als er dan een deel aangevallen wordt, kunnen we dit in quarantaine plaatsen, zodat andere delen buiten schot blijven.’
Het is nodig, want de gevaren zijn levensgroot, benadrukt Pras. ‘Het internet is nu overgelaten aan cowboys. Tot op staatsniveau doet iedereen maar wat, zonder dat ethische grenzen zijn afgebakend. Neem de Franse geheime dienst. Die hebben open en bloot in hun taakomschrijving staan dat ze aan bedrijfsspionage doen. De EU en het Verenigd Koninkrijk bespioneren elkaar omwille van een goede onderhandelingspositie voor de Brexit. En dan heb je nog Noord-Korea; die zitten niet aan het internet en zijn dus onaantastbaar voor ons, maar zouden wel de rest van de wereld kunnen gijzelen. Geloof me, het is een klein wonder dat er nog geen enorme aanval is geweest. Maar dat is slechts een kwestie van tijd.’
Experts die meewerkten aan dit verhaal:
Aiko Pras, hoogleraar Network Operations and Management, faculteit EWI
Marianne Junger, hoogleraar Cybersecurity and Business Continuity, faculteit BMS
Andreas Peter, assistant professor, gespecialiseerd in Privacy-Enhancing Technologies, faculteit EWI
Roland van Rijswijk, gepromoveerd onderzoeker en R&D-projectmanager bij SURFnet, faculteit EWI