Afgelopen week kwam er nieuws naar buiten over hacks bij ASML, het trotse vlaggenschip van de Nederlandse technologiebedrijven. Veel weten we niet, maar over het doel en de daders lijkt iedereen het eens: het waren Chinezen en het gaat om intellectueel eigendom. Voorzichtigheid met het aanwijzen van schuldigen en motieven is echter geboden.
Over deze blogger
Barry van Kampen (aka Fish_) is ethisch hacker en managing director van The S-Unit. Vanuit zijn rol is hij betrokken bij diverse adviesvraagstukken bij verschillende organisaties in Nederland en daarbuiten. De insteek van Barry is om vanuit een offensieve security-aanpak de wereld te verbeteren. Hij vervult hier de rol van adviseur/consultant en coach voor de diverse middelgrote en corporate bedrijven. Barry is onderdeel van de Hack in the Box HITB Core crew en hij spreekt regelmatig op congressen en evenementen. Naast deze rollen is hij actief binnen de internationale hacker(spaces)-gemeenschap en is hij mede-oprichter van Randomdata, de hackerspace in Utrecht.
Tweakers was de eerste om met het nieuws van de hack naar buiten te komen en zij hebben een mooi overzichtsartikel gemaakt waarin alles wat bekend is rond de zaak beschreven is. Ook zij wijzen naar de Chinezen. Het zou daarbij gaan om de mysterieuze Unit 61398, een legereenheid die zich bezighoudt met systematische cyber-spionage en datadiefstal. Tweakers heeft er een foto van een betonnen flat, die ruimte biedt voor 2000 programmeurs, bij geplaatst. Over de precieze motivatie is er minder duidelijkheid, maar de grote schat van ASML lijkt toch de blauwdruk van hun chipmachines te zijn. Dat zijn immers de kroonjuwelen van het bedrijf.
Een flat vol Chinezen
Het is op zichzelf een fascinerend beeld, zo’n flat met hallen vol Chinezen die allemaal met cyber-spionage bezig zijn. Toch vind ik dat het aanwijzen van de daders wat snel gaat. Overigens niet alleen in dit artikel, maar in zijn algemeenheid. Neem nu de motivaties van de aanvallers. Bij ASML zou dat gaan om het intellectueel eigendom. Logisch, want die maakt het grote concurrentieverschil voor de Eindhovenaren.
Toch ben ik daar niet zo zeker van. Hackers zijn beperkt in hoeverre ze geluid willen maken. Als ze alle bedrijfsservers leeghalen valt dat op. Een hacker zal dus zeer gericht zijn informatie moeten halen. En waar moet hij dan kijken? Zoals hacken een specialisme is, zo geldt dat ook voor het bouwen van chipmachines. Een hacker zou niet zomaar weten welke informatie interessant is voor een engineer. En als hij erin slaagt, dan is ook meteen duidelijk wie erachter zit. Het is immers zeer verdacht wanneer er plotseling een bedrijf opstaat dat precies kan wat ASML ook kan.
Waardevoller voor cyber-criminelen lijkt me algemene informatie. Wie werkt er precies bij ASML? De mensen maken het product en bepalen de waarde van een onderneming. Een belangrijk voordeel, zeker wanneer je een bedrijf wil overnemen. Een bedrijf als Intel waar ik een tijd geleden contact mee had, is erg bang dat publiek wordt wie er precies bij hen werken. Ook voorkennis over de strategie van een bedrijf kan interessant zijn voor bijvoorbeeld een concurrent. Informatie over de chipmachine zelf is lastig te verzilveren.
Er kan ook een vorm van sabotage in het spel zijn. De Unit 61398 zorgt dan voor een fout in de blauwdruk van de chipmachine, waardoor de chips die ermee geproduceerd worden te hacken zijn. De eindproducten die door de machine gemaakt worden zijn dan het uiteindelijke doel. Het is een omweg, maar het kan. We weten het domweg niet.
Opgelicht
En dan punt twee: de Chinezen hebben het gedaan. Ik zeg dan: zegt wie? Schuldigen aanwijzen is juist erg moeilijk in een digitale wereld. Je kan informatie wellicht terugvoeren naar China, maar zij kunnen dan weer beweren dat iemand in Roemenië via een Chinese server de aanval heeft gepleegd. Er zijn genoeg mogelijkheden om een rookgordijn op te werpen. Het is om die reden dat er eigenlijk nooit diplomatieke consequenties worden verbonden aan zo’n aanval. En ik denk dat het alleen maar lastiger wordt, want verkeer wordt steeds meer versleuteld.
Een vrees die ik zelf heb is het feit dat mensen erbij gelapt kunnen worden. 99 Procent van de ethische hackers verdient op een eerlijke manier een boterham. Het wordt echter steeds breder bekend wie precies de kennis in huis hebben om te hacken. Waarom zou er geen bewijs verstopt kunnen worden bij die ethische hackers, zodat de verdenking uiteindelijk op hen valt? Hackers lopen wat dat betreft een groot risico. Natuurlijk moeten we uitgaan van een eerlijk onderzoek, maar als er schurkenstaten en politiek om de hoek komen dan weet ik niet zeker of we echt de waarheid horen.
Met andere woorden: ik denk dat het nog helemaal niet zo duidelijk is dat een flat vol Chinezen deze aanval heeft gepleegd. Hoe denken jullie daarover?
