De uitlatingen van NAVO-generaal Wesley Clark over de Kosovo-crisis hebben het debat opnieuw aangezwengeld: wordt de volgende oorlog een cyberwar? En zo ja, wie zal dan De Vijand zijn?
Iets minder had ook wel gekund. Misschien was die bommenregen op Kosovo en Servië zelfs helemaal niet nodig geweest. Met woorden van die strekking blikte NAVO-generaal Wesley Clark onlangs terug op de Kosovo-crisis. Zo had Clark de bombardementen bijvoorbeeld graag net iets preciezer gezien, ter voorkoming van al dat nodeloze bloedvergieten. Daarvoor heb je onder meer speciale, met laptop en lasers uitgeruste grondtroepen nodig, die elk doelwit heel nauwkeurig kunnen aanwijzen. Ook de inzet van onbemande verkenningsvluchten is volgens Clark essentieel bij toekomstige interventies.
Maar het had dus ook zonder bommen gekund. Begin november verklaarde de generaal voor een Amerikaanse senaatscommissie: “Er zijn maatregelen denkbaar die het gebruik van geweld hadden kunnen voorkomen.” Clark doelt op wat bekendstaat als de zogenaamde middle option: geen diplomatie of economische sancties, en ook geen bruut geweld – maar wel: een regelrechte cyberwar. Het onderwerp is al geruime tijd bijzonder hip in de Verenigde Staten: de oorlog van de toekomst wordt niet meer uitgevochten met bommen en granaten, maar met het klavier. Offensief hacken, e-mailbombardementen en het verspreiden van computervirussen: ziedaar hoe men De Vijand straks op de knieën zal dwingen.
Maar veel meer nog dan het gebruik van elektronische oorlogsvoering, staat de dreiging ervan op de politieke en militaire agenda van de VS. Internet is immers the great equalizer: in cyberspace vecht iedereen met dezelfde wapens. De eerste de beste terrorist met hersens en een computer zou – zo luidt de vrees – een “elektronisch Pearl Harbor” kunnen ontketenen. De term verwijst naar de verrassingsaanval die de Japanse luchtmacht op 7 december 1941 uitvoerde op een Amerikaanse zeemachtbasis in Hawaï: in twee uur tijd sneuvelden daarbij duizenden soldaten, tientallen gevechtsvliegtuigen en vijf vliegdekschepen. Het incident – nog steeds een nationaal trauma in de VS – sleurde Amerika mee in de Tweede Wereldoorlog.
In de zomer van 1996 viel in een paar regio’s aan de Amerikaanse westkust de stroom uit. Frank Howard – die 25 jaar geleden mee aan de wieg van Internet stond – dacht meteen: oké, het is zover. “En toen ik vernam dat het om een technische storing ging, dacht ik: we hebben gewoon wat tijd gewonnen. Want één ding is zeker: beginnen zál het.” Howard is niet de enige die spoedig het allerergste verwacht. Richard Clark, een van Clintons adviseurs inzake terrorisme, zei in juli 1998: “Er komt een gigantische vloedgolf op ons af en we moeten maatregelen nemen voor het te laat is. Wij zijn de meest kwetsbare natie ter wereld: even afhankelijk van onze informatietechnologie als junkies van hun drugs. Met dit verschil: zij hebben het door en wij nog niet.”
DE KANTINE VAN HET PENTAGON
Het cyberwarscenario overtreft de meest pessimistische verhalen over de millenniumbom. Alleen is de dader in dit geval geen domme softwarebug, maar een uitgekookte vijand van vlees en bloed. Die totaal onverwacht en keihard zal toeslaan om in de VS – en zo nodig in de rest van het Westen of de wereld – chaos, paniek en ontreddering teweeg te brengen. De elektriciteit valt uit. Verkeerslichten weigeren dienst. Vliegtuigen storten neer. Banken worden leeggeroofd. De beurs klapt in mekaar. Stromend water is nergens meer te krijgen. En geen enkele telefoon die nog rinkelt. Ook niet bij de hulpdiensten. En dit alles omdat een of andere onverlaat bijzonder creatief bezig is met zijn computer.
Volgens John Hamre, Amerikaans vice-minister van Defensie, leven de VS al sinds maart van dit jaar op voet van oorlog: “We are under attack, we are in a cyberwar.” Russische hackers zouden al maanden bezig zijn met het scannen van Pentagon-servers – bedoeling: het militaire informatienetwerk in kaart brengen en waar mogelijk geheime informatie stelen. Het verhaal van deze aanval (codenaam: Moonlight Maze) wordt om de haverklap bevestigd in de media, telkens door andere “anonieme maar hooggeplaatste” bronnen – die er elk hun eigen draai aan geven.
Vorig jaar was het ook al raak. Ook toen riep John Hamre moord en brand, omdat hackers waren ingebroken in de Pentagon-site – een weldoordachte aanval “uit Irak”. Even later bleek het niet meer te zijn geweest dan het tijdverdrijf van twee Californische tieners. Een computerexpert noemde de twee digitale deugnieten “het virtuele equivalent van kinderen die plotseling in de kantine van het Pentagon staan”. Verrassend en verboden, maar: redelijk ongevaarlijk.
Bij het begin van de Kosovo-crisis maakten sommige NAVO-diplomaten zich grote zorgen. Eind maart, een paar dagen nadat de eerste bom was gevallen, werd de NAVO bestookt met duizenden e-mails per dag. Spamming dus, met als gevolg: overbelaste servers. Andere servers van de NAVO raakten overbelast doordat ze onophoudelijk werden gepingd – wie een server pingt, vraagt om een bevestiging van zijn bestaan, te vergelijken met het draaien van een telefoonnummer om te horen of er iemand thuis is. Derde fase in het Servische cyberoffensief: hackers vervingen de homepage van het Witte Huis door de boodschap: “Voor elke Tomahawk die de NAVO afvuurt, leggen wij één server plat.” Was getekend: Black Hand – Long live Great-Serbia! Een cyberwar? Nauwelijks. Een homepage is zo hersteld, en geping en gespam kunnen met de nodige filters tegengehouden worden. Een klus waarvoor de NAVO het advies inwon van Anthony Antoine, Internet-expert aan het Brusselse Instituut voor Polemologie.
De vrees dat hackers via de homepage van de NAVO aan geheime informatie zouden kunnen geraken, wordt door Antoine kort en krachtig ontzenuwd: “Wie toegang heeft tot het lokale netwerk van de NAVO, werkt met twee computers: één voor Internet en één voor intranet. Tussen de twee zit letterlijk een airgap: ze zijn op geen enkele manier met mekaar verbonden. Als die verbinding wel bestaat, is men nooit voor honderd procent veilig. Banken hebben noodgedwongen een connectie tussen hun open en gesloten circuit, om netbanking mogelijk te maken. Dus daar wordt de veiligheid wel wat brozer.”
Tijdens de Kosovo-crisis gaf de CIA een stel ervaren hackers naar verluidt de opdracht om zoveel mogelijk geheime bankrekeningen van Milosevic leeg te maken of te blokkeren. Een missie die dermate top secret was dat Newsweek er uitgebreid over berichtte. De rest van de pers nam het verhaal over. “Het is natuurlijk nooit officieel bevestigd”, zegt Antoine. “Ik betwijfel ook of zo’n operatie kans op slagen zou kunnen hebben. Over geheime rekeningen komt een hacker volgens mij niets te weten. Zeker de Zwitserse banken hebben er alle belang bij dat hun klantenbestand niet via Internet te raadplegen is.”
George Smith is informaticus en uitgever van de CryptNewsletter op Internet, waarin hij deskundig commentaar verstrekt op alles wat verband houdt met computercriminaliteit. Vooral op de volgens hem hardnekkige ‘mythe’ die cyberwar heet. “Er wordt al jaren over geschreven en gespeculeerd”, schrijft Smith in een – leve cyberspace! – per e-mail gevoerd interview. “Je kunt het zo gek niet bedenken of een hacker zou ertoe in staat zijn. Maar tot dusver: niet het minste bewijs. Integendeel, de meeste beweringen blijken bij nader onderzoek ronduit leugens te zijn, of verhalen-van-horen-zeggen die schromelijk worden overdreven. De ene journalist schrijft iets over van de andere, men doet aan copycat reporting en zo beginnen allerlei mythes een eigen leven te leiden.”
HET SPEL DAT PANIEK ZAAIDE
Een van die spookverhalen – ondertussen zowat het fundament van de meeste berichten over de mogelijkheid van een cyberwar – begon met een spel. Ruim twee jaar geleden gaf het National Security Agency (NSA) een stel hackers de opdracht om de veiligheid van de Amerikaanse militaire netwerken uit te testen. Codenaam van het spel: Eligible Receiver. Tot dusver niets aan de hand: wargames waarbij verschillende strategieën tegen elkaar worden afgewogen, zijn niet uitzonderlijk – tijdens de Koude Oorlog waren er zelfs topwiskundigen als John von Neumann (uitvinder van de zogenaamde speltheorie) bij betrokken.
In de berichtgeving over Eligible Receiver ging het evenwel enigszins fout. De hackers waren er – al naar gelang de bron – in geslaagd om militaire geheimen te stelen, verscheidene elektriciteitscentrales plat te leggen en alle telefoonverkeer met de hulplijn 911 onmogelijk te maken. Lichtjes overdreven, zoals in juni 1998 bleek uit de getuigenis voor het Amerikaans congres van Ellie Padgett, vice-president van het NSA. De oefening was, zoals elke wargame dat altijd is, een simulatie. En bij een simulatie gaat men uit van hypothesen. Een van die uitgangspunten was: als op Internet het bericht wordt verspreid dat alle 911-lijnen zijn uitgevallen, zullen talloze mensen dat nummer proberen te bellen om te controleren of het klopt. Waardoor het systeem overbelast raakt en uitvalt. Een dubieuze conclusie, want als de 911-lijnen uitvallen, zal daarvan behalve op Internet ook uitgebreid kond worden gedaan op de televisie. Het zou zelfs een hoofdpunt zijn in alle journaals.
Ook de zogezegde penetratie van elektriciteitscentrales greep, in weerwil van sommige berichten in de pers, niet in werkelijkheid plaats. John Gilligan, directeur van het technologiedepartement op het ministerie van Energie, zei desgevraagd: “Om toegang te krijgen tot die computers en de stroom uit te schakelen, heb je heel wat inside information nodig.”
Begin oktober dreigde een anonieme Belgische hacker ermee het land drie uur lang zonder stroom te zetten. Dat die dreiging vervolgens niet bepaald hard werd gemaakt, verbaast George Smith niet: “Van kerels zoals Redattack, of hoe hij ook heette, heb je er dertien in een dozijn. In de VS duiken zulke verhalen al jaren om de haverklap op. Ik vergelijk het met iemand die heel hard ‘Vuur!’ roept in de bioscoop – er zullen altijd wel mensen zijn die meteen gaan lopen. Al dat gespeculeer over Electronic Doomsday heeft een klimaat gecreëerd waarvan kleine ettertjes misbruik maken om absurde dreigementen de wereld in te sturen. Maar hoe zal iemand het aanleggen om de elektriciteit in een heel land uit te schakelen, behalve dan door de centrales te bombarderen? Zelfs redelijk zware aardbevingen in Californië – en ik heb er al een paar meegemaakt – vermogen dat niet. Laten we wel wezen: het gaat hier om ghost stories. Of, om een ander spookverhaal te noemen: kent u misschien iemand die écht gelooft dat een hacker van achter zijn computer pakweg een vliegtuig kan laten neerstorten?”
EEN APRILVIS VOOR DE FBI
Tot dusver lijkt de enige echte cyberwar een propagandaoorlog. Tussen – jawel – believers en non-believers. Onafhankelijke bronnen zijn dan ook moeilijk te vinden. Iedereen zit met een verborgen agenda. Zo staat James Adams, auteur van het onrustbarende boek The Next World War(Computers are the weapons and the front line is everywhere), aan het hoofd van een privé-firma die gespecialiseerd is in: computer- en netwerkbeveiliging. Althans, volgens George Smith.
En om de verwarring helemaal compleet te maken, zijn er ook nog de grappenmakers. Drie jaar geleden waarschuwde het Law & Enforcement Bulletin van de FBI zijn lezers voor het zogenaamde Clinton-virus. In het volgende nummer publiceerde de FBI een rechtzetting: het bleek een aprilgrap te zijn geweest in een computermagazine.
De paranoia is groot. Het Pentagon verspreidt nu zelfs unclassified documenten alleen nog maar op papier, niet meer via de website. John Pike van de Federation of American Scientists: “En dat heeft niets te maken met oude of nieuwe dreigementen. Ze willen gewoon laten zien dat ze alert zijn. Terwijl men in vele politieke en militaire kringen totaal geen verstand heeft van computerbeveiliging.”
Het gaat natuurlijk ook om de jacht op budgetten. Voor de strijd tegen cyberterrorisme trekken de VS volgend jaar anderhalf miljard dollar uit. Dat is weliswaar slechts een fractie – nog geen procent – van het totale defensiebudget, maar het is zowat de enige post op die begroting die de komende jaren zal blijven groeien.
Nog een verborgen agenda: het National Security Agency heeft er alle belang bij dat cryptografische technieken – waarmee e-mail volstrekt onontcijferbaar kan worden gemaakt – niet te sterk worden. Wat immers als het NSA vermoedens heeft van een terroristisch netwerk en hun berichten wel kan onderscheppen maar niet meer kan lezen? John Pike: “Ze zijn op zoek naar een jachtvergunning en hoe groter de vermeende dreiging, hoe groter de kans dat ze die krijgen.”
Ten slotte: nu de communisten bijna op zijn, heerst er nood aan een nieuwe vijand. En de cyberwarprofeten hebben er een gevonden: de gekke hacker, die waar dan ook ter wereld, op welk moment dan ook, zijn duivelse plannen kan ontvouwen.
Niet dat computercriminaliteit niet bestaat. Het is best mogelijk dat banken die een klein fortuin lichter zijn gemaakt, dat liever stilhouden. “Natuurlijk wordt er ingebroken in netwerken”, zegt George Smith. “En computerbeveiliging is een belangrijke kwestie, die veel te weinig aandacht krijgt. Het zou een stuk praktischer zijn als de Amerikaanse en andere overheden zich daar eens mee zouden bezighouden. De technologie wordt langzamerhand zo ingewikkeld dat geen enkele expert het geheel nog kan overzien. Dat betekent echter ook dat niemand nog de knowhow heeft om een grootschalige cyberwar te ontketenen. Maar de meeste echte computermisdrijven worden gepleegd door insiders: mensen die toegang hebben tot het systeem.”
Zie ook: computervirussen. Terroristen die ze als wapen zouden willen gebruiken, hebben heel wat informatie nodig over het beoogde doelwit. Om de software voor een efficiënt en doelgericht virus te schrijven, moet je behoorlijk veel weten over het besturingssysteem en de hardware waarvoor het bestemd is. “Want een virus dat lukraak wordt losgelaten, heb je niet onder controle: wat de vijand kan besmetten, kan ook jezelf besmetten”, zegt Smith. “Dus om zekerheid te hebben, heb je sowieso een trusted insider nodig. En waarom zou je dan al die moeite doen om een virus te ontwikkelen? Laat die insider toch gewoon het systeem saboteren. Hij zou bij wijze van spreken de server met een hamer aan diggelen kunnen slaan.”
Tja, waarom moeilijk als het ook makkelijk kan? Waarom zou een terroristische organisatie geniale hackers in de arm nemen om maandenlang te zoeken naar de zwakke plekken in een systeem, als er veel eenvoudiger, goedkopere en snellere middelen bestaan om een land te destabiliseren? Neem nu: tien bommen tegelijk laten ontploffen op een paar strategische plaatsen. De beginnende terrorist die het recept voor een deugdelijke bom zoekt, wendt zich tot: Internet.
Joël De Ceulaer
