null Beeld

Toekomstdenkers (6) David Sanger: 'Geen water, elektriciteit of internet: de paniek en chaos na een grote cyber aanval zal gigantisch zijn'

In zijn boek ‘The Perfect Weapon’ begeeft de met Pulitzers bekroonde journalist zich in de duistere wereld van cyberoorlog. ‘De belangrijkste conclusie is dat gewone burgers zoals u en ik de grootste slachtoffers zullen zijn.’

HUMO De titel van uw boek is ‘het perfecte wapen’. Waarom?

David Sanger «We zijn met z’n allen steeds afhankelijker van computers en draadloze netwerken: er is dus niks efficiënter om ons te treffen dan cyberwapens. Je kunt ze op kleine en grote schaal gebruiken. Zo kun je het netwerk van één ministerie viseren, maar ook een volledig landelijk elektriciteitsnet. Een computervirus kan grote schade aanrichten, maar kan tegelijk z’n eigen sporen uitwissen om de identiteit van de aanvaller te verbergen.

»Bovendien zijn ze ook ‘veiliger’ dan conventionele wapens. Een land dat een raket richting Amerika lanceert, mag geheid een squadron bommenwerpers verwachten. Maar wie twee dagen lang alle bankautomaten in Texas lam legt, hoeft zo’n antwoord niet te vrezen. Dat maakt deze wapens zo uniek: ze zijn bijzonder doeltreffend, maar tegelijk zijn ze zelden zo destructief dat het slachtoffer excessief geweld zal gebruiken als vergelding.»

HUMO Heeft u voorbeelden van zulke aanvallen?

Sanger «Goh, er zijn er zoveel geweest de laatste jaren. In de meest uiteenlopende vormen. Sommige virussen kunnen een vijandig computersysteem onschadelijk maken, andere verschuilen zich jarenlang in een netwerk om ongemerkt informatie door te sturen, al dan niet om bedrijven of mensen te chanteren. En dan zijn er nog de zogenaamde DDoS-aanvallen, waarbij men een netwerk zodanig overbelast dat het uitvalt.

»Vergelijk het met een modern wapenarsenaal, dat bestaat ook uit soldaten, bommen, tanks en vliegtuigen. Elk met hun eigen specifieke kenmerken.»

HUMO Volgens de perverse oorlogslogica zou een perfect wapen eerder zoveel mogelijk vijandelijke slachtoffers maken. Maar tot nader order hebben cyberaanvallen nog geen dodelijke slachtoffers gemaakt.

Sanger «Officieel niet, maar vermoedelijk zijn die er wel. Tijdens de sabotage-actie ‘Operatie Olympische Spelen’ stuurden de Verenigde Staten en Israël vanaf 2006 computerwormen door het netwerk van de Iraanse nucleaire faciliteiten, om te voorkomen dat het land erin zou slagen kernwapens te bouwen. Daardoor zijn enkele centrifuges ontploft, dus het zou me verwonderen mochten daarbij geen doden zijn gevallen.

»Maar we kunnen wel met zekerheid zeggen dat er nog geen doden zijn gevallen op grote schaal. Ergens is dat logisch. Mochten cyberwapens veel mensenlevens gaan eisen, dan stijgt de kans op een open oorlog. En dat is precies wat de daders willen vermijden.»

HUMO Volgens Amerikaanse bronnen was Operatie Olympische Spelen een tactische oplossing van de Verenigde Staten om te voorkomen dat Israël Iran zou binnenvallen.

Sanger «Precies. Een cyberaanval was de ideale tussenoplossing om een conventionele oorlog te vermijden. Met wat we tot nu toe hebben gezien, kunnen we zelfs stellen dat cyberwapens de wereld veiliger maken.»

HUMO In uw boek schrijft u dat cyberwapens de spelregels van oorlog voeren volledig op z’n kop zetten.

Sanger «Ik vergelijk het graag met de komst van vliegtuigen. Het leger gebruikte ze aanvankelijk alleen om te verkennen. De piloten namen een kijkje achter de vijandelijke linies, noteerden de stellingen en stuurden er dan de cavalerie op af. Het duurde verschillende jaren voor iemand op het idee kwam om die vliegtuigen te bewapenen. Diezelfde onwetendheid zien we nu ook bij cyberwapens. We kunnen wel zeggen dat de wereld veiliger is, maar tegelijk moeten we nederig en eerlijk zijn. We moeten toegeven dat we de volledige impact van deze wapens gewoon nog niet kennen.»

HUMO Sinds de ontwikkeling van cyberwapens is de wereld eigenlijk verwikkeld in een permanent conflict.

Sanger «Ja, maar het zijn minder acute conflicten. De belangrijkste conclusie die we voorlopig kunnen trekken, is dat gewone burgers zoals u en ik de grootste slachtoffers zullen zijn.

»Iran viel het banksysteem in Amerika aan, als vergelding voor de zware economische sancties die de internationale gemeenschap het land had opgelegd. Het was een boodschap. ‘Jullie willen ons economische schade berokkenen? Goed, dan leggen wij een deel van jullie financieel systeem plat.’ Maar anders dan in een conventionele oorlog waren de slachtoffers geen soldaten, maar gewone burgers, die geen geld konden afhalen of overschrijvingen konden doen. Met het WannaCry-virus berokkende Noord-Korea in 2017 schade aan honderdduizenden computers in meer dan 150 landen. Scholen, ziekenhuizen, bedrijven, banken en luchtvaartmaatschappijen waren de dupe.»

HUMO In de top van landen die de meeste cyberaanvallen uitvoeren staan naast de te verwachten veelplegers als Rusland en China opmerkelijk genoeg ook Noord-Korea, Iran, Turkije en Brazilië. Wordt oorlog voeren ‘eerlijker’? De kleintjes kunnen zich nu ook meten met de supermachten.

Sanger «Voor militair zwakkere landen zijn cyberwapens een godsgeschenk. Ze zijn niet alleen goedkoop, ze zijn ook relatief gemakkelijk in gebruik.

»Heel wat mensen onderschatten de geopolitieke impact van deze nieuwe oorlogsvorm. Er is op dit ogenblik een ongeziene machtsverschuiving aan de gang. Landen, zowel groot als klein, hebben plots meer mogelijkheden om elkaars economieën onder druk te zetten. Kijk naar wat er gebeurde tussen Noord-Korea en een bedrijf als Sony, toen het in 2014 de komedie ‘The Interview’ uitbracht, over een moordaanslag op de Noord-Koreaanse leider Kim Jong-un. Kort na de release werd Sony gehackt: een anoniem hackerscollectief vernietigde documenten en verspreidde een hele hoop persoonlijke gegevens van medewerkers. De zaak leidde uiteindelijk zelfs tot het ontslag van enkele bestuursleden. Onderzoekers claimden dat het Noord-Koreaanse regime achter de aanval zat. Hoe kon zo’n klein landje een miljardenimperium als Sony aanvallen, zonder troepen naar Californië of Japan te sturen? De boodschap die Kim Jong-un met de aanval in Hollywood verspreidde, was heel doeltreffend: niemand zou het nu nog in zijn hoofd halen om te spotten met zijn regime. Maar was die actie voldoende om het Amerikaanse leger te mobiliseren? Neen, natuurlijk niet.

undefined

null Beeld

'Kort na de release van 'The Interview', een film over een moordaanslag op Kim Jong-un, werd Sony gehackt. Onderzoekers claimen dat Noord-Korea achter die aanval zat'

»De laatste jaren zijn de aanvallen amper bij te houden. Sinds het dissidente Taiwan zich onafhankelijker van China begon op te stellen, registreert men jaarlijks tientallen miljoenen hackpogingen vanuit China. Cyberwapens hielpen de Iraniërs om Saudische oliebedrijven te saboteren. En kijk maar eens hoe Rusland zich in de Amerikaanse verkiezingen heeft gemengd. Met enkele beperkte ingrepen zaaiden ze angst en verdeling in de Amerikaanse samenleving. Ze hebben een bom gelegd onder de betrouwbaarheid van één van Amerika’s meest fundamentele instituten, het democratische kiesproces. Ook in het conflict tussen Rusland en Oekraïne werd de veelzijdigheid van cyberwapens pas echt duidelijk: de Russen destabiliseerden de Oekraïense regering met valse propaganda, saboteerden het elektriciteitsnetwerk en dwarsboomden de verkiezingen.»


Het wilde westen

HUMO Soms worden cyberwapens ook gebruikt voor ordinaire boevenstreken.

Sanger «Ja, zoals Noord-Korea dat geld stal van de Centrale Bank van Bangladesh. Enkele maanden geleden was ook de Centrale Bank van Brazilië het slachtoffer van zo’n aanval, en sommige experts geloven dat ook hier Noord-Korea de dader was.»

HUMO Rusland en Noord-Korea komen voortdurend terug in uw boek. Waarom zijn zij zo succesvol in cyber warfare?

Sanger «Omdat alles wat ze doen deel uitmaakt van een weldoordacht regeringsprogramma. De opdracht is duidelijk: ‘Berokken het kapitalistische Westen zoveel mogelijk schade!’ Onlangs kwam naar buiten dat alle hackers die betrokken waren bij de inbraak bij de Amerikaanse democraten een rechtstreekse lijn hadden naar de Russische militaire inlichtingendienst.

»Maar goed, het is niet omdat ze gesteund worden door de regering, dat ze ook ongelimiteerde middelen hebben. Het onderzoek naar de hack wees uit dat de hackers intern klaagden over dat ze niet genoeg budget kregen om te doen wat ze wilden. Niets nieuws onder de zon. De wapens zijn misschien nieuw, maar de bureaucratie erachter niet.»

HUMO De hele wereld weet wat er is gebeurd, maar niemand kan Poetin wat maken. Hebt u het gevoel dat de Verenigde Staten deze situatie onder controle heeft?

Sanger (zucht) «We moeten de waarheid onder ogen zien: we hebben voorlopig geen idee hoe we met deze verandering moeten omgaan. Amerika wordt langs alle kanten gepest, alsof we het onpopulaire jongetje op de speelplaats zijn, en we weten niet hoe we ons daartegen moeten wapenen. In het nucleaire tijdperk waren de kernwapens zo krachtig dat niemand ze durfde te gebruiken, want dat zou resulteren in de vernietiging van de hele mensheid. Dat zorgde voor een makkelijk controleerbaar evenwicht. In de cyberwereld is die balans voorlopig afwezig. Binnen de Amerikaanse regering bestaat vandaag heel wat discussie over de te volgen strategie. Moeten we behalve een goede verdediging ook een efficiënte aanvalsstrategie uitwerken? Concreet: infiltreren we buitenlandse netwerken om tegen Amerika gerichte aanvallen voortijdig uit te schakelen? Paul Nakasone, het nieuwe hoofd van inlichtingendienst NSA, is fan van dat idee. Maar niemand die weet welke gevolgen die beleidskeuze zal hebben.»

'De Russen blíjven gewoon verdeeldheid zaaien in de VS. Ze lanceren nepnieuws en ijveren in bepaalde staten voor de afscheuring van Amerika'

HUMO In oktober staan er in Amerika tussentijdse verkiezingen op het programma. De vraag is dus niet of de Russen zich zullen mengen, maar hoe?

Sanger «De Russische hackers zullen sowieso pogingen ondernemen om in het systeem in te breken, maar het zal een pak moeilijker zijn. Tussentijdse verkiezingen zijn lastiger te infiltreren omdat er ongeveer vijfhonderd kandidaten zijn. Het staat wel vast dat Rusland nieuwe technieken zal uittesten met het oog op de presidentsverkiezingen in 2020.

»In tussentijd blijven de Russen gewoon doorgaan met het zaaien van verdeeldheid in de Verenigde Staten. Ze lanceren nepnieuws over de burgerrechtenbeweging Black Lives Matter en over de wapenwetgeving, of ijveren in bepaalde staten voor afscheuring van Amerika: alles om de verdeeldheid te vergroten.»

HUMO Zulke strategieën brengen ons eigenlijk bij de kern van cyberconflicten: ze zijn mysterieus en stiekem. Uw boek schetst dan ook een nieuwe wereld waarin paranoia, desinformatie en wantrouwen heersen.

Sanger «Qua sfeer zouden we de vergelijking kunnen maken met de periode van de Koude Oorlog, alleen staan hier geen twee machtsblokken tegenover elkaar, maar heel veel individuele landen. Niemand heeft al uitgedokterd hoe men moet reageren op een aanval. Er is nog geen verweer, en dat leidt tot paranoia.»

HUMO Kenmerkend voor de Koude Oorlog was de wapenwedloop aan beide kanten. Is die nu ook aan de gang?

Sanger «Op dit moment zijn zowat alle landen serieus aan het investeren in cyberveiligheid, ja. Alleen is dat moeilijker te tellen dan conventionele wapens zoals raketten. We weten dat het US Cyber Command 6.200 actieve cyber warriors in dienst heeft. Maar het heeft ook al tienduizenden financiële veiligheidsspecialisten gerekruteerd. Die maken natuurlijk niet allemaal virussen of spyware, velen onder hen werken aan de verdediging van onze financiële sector. Landen als Rusland en China ronselen actief hackers en specialisten die officieel geen ambtenaar zijn, maar als onderaannemers of freelancers werken.»

HUMO President Obama noemde de cyberwereld ‘het wilde westen’.

Sanger «Dat is het ook nog altijd. De oprichting van een set van regels zoals de Conventie van Genève lijkt me geen overbodige luxe. Al moet je er rekening mee houden dat zo’n verdrag moeilijk afdwingbaar zal zijn, omdat er zoveel private actoren aanwezig zijn op het internet. Net zoals men de regels van de Conventie van Genève dagelijks met de voeten treedt.»

HUMO Welke elementen zou zo’n verdrag dan bevatten?

Sanger «Het allerbelangrijkste is dat men de focus op burgers legt. Democratische instituten zoals verkiezingen en infrastructuur zoals ziekenhuizen en verzorgingstehuizen moeten worden gevrijwaard van aanvallen.»

HUMO Dat klinkt goed, alleen is de vraag wie zo’n conventie zal ondertekenen. Zelfs de VS heeft niet de gewoonte om internationale akkoorden uit te voeren. Denk maar aan de klimaatakkoorden van Kyoto en Parijs of het verbod op het gebruik van clusterbommen.

Sanger «Ik stel mij dezelfde vraag. In het verleden heeft mijn land zich vaak genoeg gemengd in buitenlandse verkiezingen, dus ze zullen zich nu niet heiliger opstellen dan de paus.

»Het worden moeilijke discussies die je niet kunt voeren zonder inspraak van het volk. Maar omdat cyberoorlog gepaard gaat met geheimzinnigheid, wordt dat een heikele klus.»

undefined

null Beeld

undefined

undefined

'Een Oost-Europese dievenbende bedacht een manier om geldautomaten geld te laten spuwen op het moment dat één van hun handlangers voorbijliep'

HUMO Hebt u het gevoel dat de internationale politiek begint te beseffen dat er werk aan de winkel is. De NAVO plant binnenkort de bouw van een centraal commandocentrum in België.

Sanger «Dat is goed voor het prestige van België, maar verder zie ik dat niet als een enorme stap vooruit. Als ik mijn bronnen mag geloven, was er tijdens de laatste NAVO-vergaderingen zelfs niet bijzonder veel aandacht voor het onderwerp.»

HUMO In de internationale politiek heerst nog altijd geen sense of urgency?

Sanger «Jammer genoeg niet. Zoals altijd zal men pas in actie schieten wanneer het eigenlijk al te laat is. De Conventie van Genève trad ook pas in werking na de gruwel van de Tweede Wereldoorlog.»

HUMO In het meest extreme doemscenario vernielt een computervirus de infrastructuur van een land: kerncentrales, watervoorziening, elektriciteit en internet. Hoe moeten we ons zo’n oorlog voorstellen?

Sanger «Zo’n aanval zou eerst en vooral tot enorme verwarring leiden. Als dan ook het telefoon- en internetverkeer uitvalt, zal de chaos alomtegenwoordig zijn. De eerste uren na zo’n aanval zal er een vreemde kalmte heersen, maar eens mensen beseffen wat er is gebeurd en hoeveel voorzieningen er onbruikbaar zijn, zal de paniek toeslaan. Een complexe cyberaanval kan zeer langdurige storingen veroorzaken.

»Nu, zo’n scenario’s is onze grootste angst, maar het is vooral voer voor Hollywoodfilms. Het risico is eerder klein. Zo’n aanval zou immers onvermijdelijk tot een klassieke oorlog leiden. Al kan ik me wél voorstellen dat het gebeurt als voorspel van een conventionele oorlog, zoals in Oekraïne het geval was.»


Liever stelen dan bij is

HUMO Voor een cyberaanval is soms niet veel meer nodig dan een goed getrainde hacker die op een zolderkamertje diepvriespizza zit te eten. Hoe hoog schat u de kans in dat een terroristische beweging de middelen in handen krijgt om zo’n aanval in elkaar te steken?

Sanger «Tot dusver hebben we nog niet veel bewijzen gezien die daarop wijzen. Een terreurgroep als IS heeft al bewezen dat ze zeer bedreven is in communiceren en rekruteren, maar dat is nog iets anders dan aanslagen plegen via het internet. Zoiets vraagt veel kennis en geduld. Je moet een tijdje op dezelfde plaats kunnen blijven om een netwerk te bespieden, je moet het leren begrijpen en vervolgens een code kunnen programmeren die zich in het netwerk beweegt. Dat zijn net iets te veel voorwaarden voor terreurgroepen, die zich doorgaans in onherbergzaam gebied terugtrekken.»

HUMO Terreurgroepen kunnen toch professionele hackers inhuren?

Sanger «Dat kunnen ze inderdaad, maar voorlopig heeft dat nog geen resultaten opgeleverd. Het imago van een dood en verderf zaaiende groep fanatiekelingen als IS helpt ook niet echt bij de rekrutering. Professionele hackers laten zich liever inhuren door goed betalende regeringen of criminele groepen. Die groepen zijn niet zozeer uit op ontwrichting, maar eerder op het simpelweg stelen van geld. Zo bedacht een Oost-Europese dievenbende een manier om geldautomaten geld te laten spuwen op het moment dat één van hun handlangers voorbijliep.»

HUMO Is automatisering van cyberaanvallen de volgende stap? Dit jaar werd Indië opgeschrikt door de eerste bot-aanvallen die werden aangedreven door artificiële intelligentie. Computers bestudeerden het gedrag van een bedrijfsnetwerk en bedachten dan zelf een manier om binnen te raken.

Sanger «Complexe cyberaanvallen zijn arbeidsintensief, dus men zoekt logischerwijs naar manieren om ze te automatiseren. Die werkwijze zag je trouwens al in de tweede Russische aanval op het Oekraïense stroomnetwerk. Artificiële intelligentie zal de snelheid van aanvallen opvoeren. Vergelijk het met een zelfrijdende wagen die zijn weg zoekt in het verkeer. Hoe meer hij rijdt, hoe slimmer en zelfstandiger hij wordt. Hetzelfde zal gebeuren met een programma dat zijn weg zoekt in een buitenlands computernetwerk. Het zal de patronen bestuderen en vervolgens op eigen houtje een tegenaanval bedenken.»

HUMO De film ‘Revenge of the Nerds’ is werkelijkheid geworden. De soldaten van de toekomst zijn geen geharde krijgers, maar techneuten, nerds en geeks!

Sanger (lacht) «Ik was onlangs op DEF CON in Las Vegas (één van de grootste hackersconferenties ter wereld, red.). Daar kreeg ik voor het eerst echt het gevoel dat ons lot in hun handen ligt.»

undefined

null Beeld

undefined

undefined

undefined

undefined

undefined

undefined

undefined

David Sanger, ‘The Perfect Weapon’, Scribe Publications.

Meer over

Reageren op een artikel, uw mening ventileren of een verhelderend inzicht delen met de wereld

Ga naar Open Venster

Op alle artikelen, foto's en video's op humo.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar redactie@humo.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234