Al eens gehoord van het Monstermind-project? Klokkenluider Edward Snowden heeft 'verklapt' dat de Amerikaanse spionagedienst NSA een systeem zou ontwikkelen dat op Amerikaanse organisaties gerichte cyberaanvallen niet alleen kan neutraliseren, maar zelfs een tegenaanval kan inzetten.
Het concept van Monstermind is niet nieuw. In de beveiligingsindustrie worden er regelmatig discussies gevoerd over de voors- en tegens van een offensieve strategie. Dit is echter de eerste keer dat naar buiten komt dat een staat deze tactieken wil inzetten. Uiteraard is het nu nog alleen een speculatie, maar als dit waar is, spelen er een aantal issues waardoor ik van mening ben dat een dergelijke aanvallende strategie zeker geen goed idee is.
Privacy
Het eerste issue is privacy. Als Monstermind bovenstaande taken moet vervullen, moet de NSA toegang krijgen tot al het verkeer dat van buitenaf Amerika binnenkomt en dit daarnaast allemaal monitoren. Alleen dan kunnen ze bepalen wat onbetrouwbaar is en wat niet. Snowden zelf gaf al aan dat dit in strijd zou zijn met het vierde amendement. En gezien de onthullingen rond de NSA die tot nu toe zijn gedaan, heeft niemand de illusie dat privacy van burgers en organisaties één van de prioriteiten is van de NSA.
Mijn tweede zorg wat betreft Monstermind is dat er nog niet bekend is aan welke voorwaarden een aanval moet voldoen voordat er terug mag worden gehackt. Zo’n dergelijke tegenaanval kan namelijk tot een ware cyberoorlog leiden. Wie beslist er in dit geval dus om actie te ondernemen? Zal de NSA experts uit de industrie vragen naar hun mening? Ik denk het niet.
Domino-effect
Een ander belangrijk issue is het domino-effect. Vandaag de dag gebruiken de meeste mensen die werken voor de Staat gecompromitteerde machines, zogenaamde botnets, om aanvallen uit te voeren. Deze verhullen keurig de oorsprong van de aanval doordat een botnet gebruik maakt van computers van vaak onschuldige burgers en biedt ook nog de middelen om op afstand zaken te manipuleren. Dit betekent ook dat als je terug slaat naar de bron van de aanval, er een grote kans is dat burgers onterecht worden aangevallen. Ik vrees dat de middelen om de echte bron van een botnet te achterhalen, helaas nog niet ver genoeg ontwikkeld zijn.
Stel dat de VS er bijvoorbeeld 100 procent zeker van is dat een overheidsinstelling wordt aangevallen door cybercriminelen uit Noord-Korea, dan zou het niet slim zijn om met een automatisch systeem als Monstermind terug te slaan naar de meest voor de hand liggende bron. Dit zou enorme gevolgen kunnen hebben en het zou zeker niet hierbij blijven.
Als laatste wil ik nog graag mijn zorg delen dat het direct terugslaan door middel van een automatische cyberaanval ervoor kan zorgen dat belangrijk bewijsmateriaal om de bron te identificeren wordt vernietigd. Microsoft’s Digital Crimes Unit is er in het verleden wel eens van beschuldigd hetzelfde te hebben gedaan. In feite is dit precies wat er vorig jaar met het Citadel botnet gebeurde. Het vernietigde de zogenaamde ‘sinkholes’ die andere security-onderzoekers hadden geïnstalleerd in hun zoektocht naar de breinen achter het bot. Als je opzoek bent naar de drugsbaron, ga je ook niet de koeriers neerschieten. Vaak is het dan slimmer om eerst te zorgen dat je precies snapt hoe het hele netwerk werkt zodat je dan de masterminds kunt opsporen.
Dit betekent niet dat Monstermind geen potentie heeft. Het is in principe ontworpen om traffic te analyseren en potentiële cybercriminelen op te sporen en hun werkzaamheden te blokkeren en dat is ook precies wat er nodig is. Dit is zelfverdediging en volledig acceptabel. Maar als je met iemand in de security-wereld spreekt, is de kans groot dat die persoon twijfels kenbaar maakt over het automatisch terugslaan bij een cyberaanval. De gevolgen gaan een stuk verder dan de cyber wereld en zijn daarom niet te overzien…
Interessant verhaal maar juridisch lastig als ik overweeg dat zelfverdediging van organisatie toch vooral gaat om imago, uiteindelijk dus vooral defensief. Aangaande voorbeeld van Citadel kan ik nog herinneren dat NCSC moeite had met het aannemen van bewijs, heel anders ligt dat met illegaal verkregen gegevens over zwartspaarders door belastingdienst om even de prioriteiten aan te geven.
De NSA heeft al toegang tot al het Amerikaanse internetverkeer en slaat alles al geïndexeerd op. Aldus de beroemde NSA klokkenluider William Binney die zelfs meegeholpen heeft dit enorm grote project op te zetten. Toen bleek dat niet buitenlandse landen maar het eigen land doelwit werd heeft hij hiervan afstand genomen door zijn ontslag in te dienen.
De digitale wapenwedloop is een gevolg van zeer slecht politiek beleid en zal uiteindelijk een verslechtering van het internet in zijn geheel opleveren.