Offensieve CyberOperaties

Transcriptie

1 Offensieve CyberOperaties Een onderzoek naar de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. D.A. Dreijer Tweede Luitenant der Mariniers Nederlandse Defensie Academie maart 2011

2 2

3 TLNTMARNS D.A. Dreijer Offensieve cyberoperaties Een onderzoek naar de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. Scriptie ter afsluiting van de Bacheloropleiding Communicatie-, Informatie- en Commandovoeringssystemen aan de Nederlandse Defensie Academie te verdedigen op donderdag 10 maart 2011 tegenover een commissie bestaande uit: Drs. P.A. Jongejan, voorzitter Prof. dr. T.J. Grant, eerste begeleider MAJ. Drs. W. van den Hazel, tweede begeleider 3

4 4

5 Voorwoord Offensieve cyberoperaties, voor de één klinkt het spannend en uitdagend, voor een ander misschien onbekend en ver van zijn bed. Maar voor iemand die zich iets meer in het onderwerp verdiept, klinkt het waarschijnlijk zowel beangstigend als kansrijk. Dit laatste geldt voor mij en was een reden om voor mijn scriptie verder in het onderwerp offensieve cyberoperaties te duiken. Ik volg aan de Faculteit Militaire Wetenschappen (FMW) van de Nederlandse Defensie Academie (NLDA) de studierichting Communicatie-, Informatie- en Commandovoeringssystemen (CICS). In de tweede helft van 2010 heb ik hiervoor het vak Information Operations gevolgd en een aantal opdrachten moeten maken die gerelateerd waren aan de term cyber. Bij het uitwerken van deze opdrachten kwam ik er al snel achter dat de cyberspace een geheel nieuwe dimensie is waarin allerhand activiteiten plaatsvinden en waar wij als Nederlandse Defensie ook niet meer omheen kunnen. Deze opdrachten kregen mijn interesse te pakken en ik besloot uiteindelijk om mijn scriptie te gaan schrijven over offensieve cyberoperaties. Cyber is een nieuwe dimensie waarbinnen nog heel veel onduidelijk is. Er bestaan nog geen eenduidige definities en er is weinig wetenschappelijke literatuur over beschikbaar. In Nederland is de term cyber ondertussen hot en is vooral de dreiging op dit gebied onderkend. De Nederlandse overheid heeft op 22 februari van dit jaar een Nationale Cyber Security Strategie gepresenteerd en Defensie heeft sinds eind 2010 een eigen Visie op Defensie cyber operaties. De nadruk ligt hier telkens op de defensieve kant en niet zo zeer op de offensieve kant. Met deze scriptie richt ik mij juist op offensieve cyberoperaties en in het bijzonder op de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. Binnen de NLDA is er momenteel niet één persoon die echt een expert is op cyber gebied. In de personen van prof. dr. T.J. Grant en MAJ. Drs. W. van den Hazel heb ik echter twee begeleiders getroffen die mij met veel interesse hebben begeleid. Professor Grant is met drie studenten denk ik de hoogleraar in Nederland met de minste studenten onder zijn hoede, maar dit neemt niet weg dat hij altijd erg druk is. Bij dezen wil ik hem dan ook bedanken voor de tijd die hij voor mij vond en de vrijheid die hij mij gaf bij het schrijven van deze scriptie. Speciale dank gaat uit naar mijn tweede begeleider majoor Van den Hazel die iedere keer veel tijd voor mij vrij maakte en zorgde voor nuttig commentaar. De tijd die hij ook naast onze gesprekken in het grondig doorlezen en het meedenken met mijn scriptie moet hebben gestoken, is zeker niet aan mij voorbij gegaan en is iets wat ik erg heb gewaardeerd. Verder wil ik nog de verschillende personen bedanken met wie ik in Den Haag een gesprek heb gehad. Deze gesprekken hebben bijgedragen aan mijn achtergrond kennis op cyber gebied en in sommige gevallen ook een specifieke bijdrage geleverd aan deze scriptie. D.A. Dreijer Tweede Luitenant der Mariniers 5

6 Summary This thesis presents a framework for thinking about offensive cyber operations. This framework consist of a definition, attack objectives, and critical success factors. In addition, this framework includes a model for the phasing of offensive cyber operations. This model is exclusively based on offensive cyber operations that took place in the context of an international conflict. The main research question posed in this thesis is: Which model describes the phases and execution of offensive cyber operations taking place in the context of an international conflict? The definition of offensive cyber operations used in this thesis is as follow: Operations involving a conscious effort to infiltrate an opponent s computer systems and computer networks, to gather information and/or to alter the opponent s computer systems and computer networks or just the information in them with the ultimate goal of predicting, influencing or hindering the opponent s actions. By definition, offensive cyber operations are targetted against computer systems and computer networks and/or the information residing on or passing through them. The attack objectives are to degrade or negate the integrity, the authenticity, and/or the availability of these targets. To be successfull an offensive cyber operation has three critical success factors, namely it must find a vulnerability, an access route to the target and a payload to exploit the vulnerability. In this thesis, selected cases have been analysed. The results have been combined with scientific theory, leading to an improved model of the phasing and execution of offensive cyber operations. A distinction is made between reconnaissance, preparation, execution, and completion phases. Within each phase there are several stages. Depending on the attacker s goals and approach, some of these stages may be optional. 6

7 Samenvatting Dit onderzoek geeft een raamwerk voor het denken over offensieve cyberoperaties. Dit raamwerk bestaat uit een opgestelde definitie, aanvalsdoelstellingen en kritische succes factoren van offensieve cyber operaties. Daarnaast wordt dit raamwerk aangevuld met een model voor de fasering en uitvoering van offensieve cyber operaties. Hierbij wordt uitsluitend gekeken naar offensieve cyber operaties die hebben plaatsgevonden in de context van een internationaal conflict. De hierbij gestelde hoofdvraag voor dit onderzoek is: Welk model beschrijft de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict? De voor dit onderzoek opgestelde definitie van offensieve cyberoperaties luidt als volgt: Operaties waarbij bewust gestreefd wordt om door infiltratie in computersystemen en computernetwerken van opponenten, informatie te vergaren en/of de computersystemen en computernetwerken van opponenten of de informatie hierop aan te passen met als uiteindelijke doel het handelen van opponenten te voorspellen, beïnvloeden of hinderen. Offensieve cyberoperaties zijn hierbij per definitie gericht tegen computersystemen en computernetwerken en/of de informatie hierop. De drie aanvalsdoelstellingen die hierbij geïdentificeerd zijn, zijn het verminderen van de integriteit, de authenticiteit en/of de beschikbaarheid van deze computersystemen, computernetwerken en/of de informatie hierop. Een succesvolle offensieve cyberoperatie heeft daarbij drie kritische succes factoren, te weten een kwetsbaarheid, een toegang en een lading. Om te komen tot een model voor de fasering en uitvoering zijn verschillende cases van offensieve cyberoperaties geanalyseerd. In combinatie met aanvullingen uit de theorie heeft dit uiteindelijk geleid tot een model waarin een onderscheid wordt gemaakt naar verkenning, voorbereiding, uitvoering en afronding. Binnen deze hoofdfasen zijn weer andere fasen te onderscheiden. Een aantal van deze fasen zal voor iedere succesvolle offensieve cyberoperatie doorlopen moeten worden, terwijl andere optioneel en afhankelijk zijn van de gekozen aanpak en hetgeen de aanvaller wil bereiken bij zijn opponent. 7

8 Inhoudsopgave Voorwoord... 5 Summary... 6 Samenvatting... 7 Inhoudsopgave Inleiding Achtergrond Onderzoeksvragen Hoofdvraag Deelvragen Onderzoeksmodel en onderzoeksstrategie Onderzoeksmodel Onderzoeksstrategie Theoretisch kader Definitie Definitie Nederland Definities VS Definities Duitsland Eigen definitie offensieve cyberoperaties Afbakening offensieve cyberoperaties Aanvalsdoelstellingen Kritische succes factoren Kwetsbaarheden Toegang Lading Bestaande theoretische modellen De 5 fasen van Janczewski & Colarik De 9 fasen van Grant, Venter & Eloff Vergelijking bestaande modellen Technische en Operationele Aspecten Karakteristieken van offensieve cyberoperaties Technische aspecten offensieve cyberoperaties Mogelijke aanpakken voor offensieve cyberoperaties op afstand

9 3.2.2 Mogelijke aanpakken voor offensieve cyberoperaties van dichtbij Social engineering Operationele aspecten offensieve cyberoperaties Effecten van een offensieve cyberoperatie Mogelijke doelstellingen van een offensieve cyberoperatie Command and Control in offensieve cyberoperaties Case studies Recente geschiedenis Cases Estland Georgië GhostNet Aurora Stuxnet Overeenkomsten en verschillen Eigen model Onvolkomenheden bestaande modellen Aanvullingen Presentatie eigen model Conclusie & Aanbevelingen Conclusie Reflectie Aanbevelingen Bibliografie Figuren en Tabellen Figuren Tabellen A. Bijlage Estland case B. Bijlage Georgië case C. Bijlage GhostNet case D. Bijlage Aurora case E. Bijlage Stuxnet case

10 1. Inleiding 1.1 Achtergrond Naties worden steeds afhankelijker van informatie en informatietechnologie. Bedrijven en organisaties vertrouwen voor diverse bedrijfsprocessen op computers. Dit geldt voor bedrijfsprocessen variërend van de salarisadministratie en de boekhouding tot het bijhouden van de inventaris en de verkoop tot ondersteuning voor onderzoek en ontwikkeling. Daarnaast zijn computers en netwerken onmisbaar geworden voor de distributie van voedsel, water en energie evenals in de gezondheidszorg, de transport sector en voor financiële diensten. Eenzelfde afhankelijkheid is ook terug te zien binnen defensie. Moderne strijdmachten gebruiken geavanceerde wapens die computergestuurd zijn, maar vaak nog belangrijker is de coördinatie van militaire verplaatsingen en acties die plaatsvindt op basis van informatie en common operating pictures die gedeeld worden via computernetwerken. Ook voor de logistieke planning en optimalisatie is men volledige afhankelijk van computers. Zelfs terroristen zijn afhankelijk van informatie technologie. Hoewel de wapens van terroristen vaak niet geavanceerd zijn, maken zij vaak op een erg geavanceerde wijze gebruik van het internet en andere informatie technologieën om te rekruteren, trainen en communiceren. (Owens, Dam, & Lin, 2009, p. 9) De term cyber is hot en ook de Nederlandse defensie kan er niet meer omheen. Dat dit door de Nederlandse krijgsmacht is onderkend, blijkt bijvoorbeeld wel uit het volgende passage uit het eindrapport Verkenning: Naast de dimensies land, zee en lucht zijn cyber en ruimte dimensies waarin toekomstige confrontaties zich voltrekken. (Ministerie van Defensie, 2010, p. 81). Een Visie op Defensie cyber operations is ondertussen geschreven en de Nederlandse overheid heeft op 22 februari van dit jaar haar Nationale Cyber Security Strategie gepresenteerd. Dat dit onderwerp niet licht opgevat mag worden, blijkt wel uit één van de scenario s uit het hoofdstuk Strategische schokken uit hetzelfde eindrapport Verkenningen. Dit hoofdstuk beschrijft gebeurtenissen of specifieke ontwikkelingen die naar tijdstip en plaats moeilijk te voorspellen zijn, maar een zeer grote uitwerking kunnen hebben op het Koninkrijk en de krijgsmacht. Digitale aanval: massale uitval informatiesystemen treft heel Nederland Nederland wordt doelwit van een cyberattack vanuit een schurkenstaat. Economie en maatschappij raken ernstig ontregeld. Communicatiesystemen en betalingsverkeer worden grotendeels lamgelegd en tal van elektronische beveiligingssystemen raken buiten werking. Als gevolg hiervan vinden op grote schaal diefstallen en plunderingen plaats. Een groot aantal maatschappelijke voorzieningen hapert en veroorzaakt grote onrust. De civiele autoriteiten zien zich geconfronteerd met een enorme veiligheidsuitdaging, en ernstig beperkte middelen om deze uitdagingen het hoofd te bieden. De extreme kwetsbaarheid van de moderne samenleving is op een dramatische manier aangetoond. (Ministerie van Defensie, 2010, p. 162) Door het toenemende belang van informatie en informatiesystemen is het niet verwonderlijk dat hiermee ook de kwetsbaarheid toeneemt van een overheid, defensie, bedrijf of organisatie. Voor criminelen, terroristen, staten of andere actoren zijn er mogelijkheden bij gekomen om een tegenstander aan te grijpen en om bepaalde effecten te bereiken. Operaties in de cyberspace zijn niet meer weg te zetten als iets van de toekomst en het eerste geval van een 10

11 offensieve cyber operatie leidt zelfs terug naar 1982 waar aangepaste software de controlesystemen van Sovjet pijpleidingen op hol liet slaan (Reed, 2004, pp ). Westerse landen ondervinden elk jaar tienduizenden kleine en grotere cyberaanvallen die vooral gericht zijn op het verzamelen van inlichtingen over het militaire apparaat, energievoorziening, luchtverkeersleiding en financiële markten. (Tettero & de Graaf, 2010, p. 240) Dat er vanuit defensie behoefte is aan meer kennis over operaties die plaatsvinden in deze militaire dimensie, blijkt wel uit de volgende zin in het eindrapport Verkenningen: Uit militair oogpunt bestaat tevens behoefte meer inzicht te krijgen in cyberoperations, zowel als onderdeel van offensieve operaties als bij wijze van reactie op een aanval. (Ministerie van Defensie, 2010, p. 185) Dit onderzoek wil hieraan tegemoet komen en zal proberen meer inzicht te scheppen in offensieve cyberoperaties. Hierbij richt dit onderzoek zich heel bewust op offensieve cyberoperaties. De keuze voor de offensieve kant is gemaakt op basis van interesse en daarnaast wordt het onderzoeksterrein op deze manier beperkt. Dit onderzoek wil een bijdrage leveren aan de kennis over de structuur, doelstellingen en uitvoering van offensieve cyberoperaties. Hierbij richt dit onderzoek zich specifiek op de fasering van offensieve cyberoperaties die hebben plaatsgevonden in de context van een internationaal conflict. Deze fasering is vanuit het oogpunt van een aanvaller. De beperking om te kijken naar offensieve cyberoperaties die hebben plaatsgevonden in de context van een internationaal conflict is gebaseerd op het feit dat dit waarschijnlijk het werkterrein is waarbinnen Defensie in aanraking komt met offensieve cyberoperaties. Figuur 1 What will the warrior-guardian of the future look like? (The Economist, 2009) 11

12 1.2 Onderzoeksvragen Hoofdvraag Dit onderzoek geeft antwoord op de volgende hoofdvraag: RQ 0: Welk model beschrijft de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict? Deelvragen Decompositie van de hoofdvraag heeft geleid tot onderstaande vier deelvragen. In deelhoofdstuk 1.3 wordt de bijdrage van iedere deelvraag aan de totstandkoming van het antwoord op de hoofdvraag verduidelijkt. Dit onderzoek geeft antwoord op de volgende vier deelvragen: RQ 1: Wat zijn offensieve cyberoperaties? RQ 2: In de context van welke internationale conflicten hebben offensieve cyberoperaties plaatsgevonden? RQ 3: Welke theoretische fasen zijn te onderkennen in de geselecteerde cases? RQ 4: Welke overeenkomsten en verschillen zijn er in de fasering van offensieve cyberoperaties binnen de geselecteerde cases waar te nemen? 12

13 1.3 Onderzoeksmodel en onderzoeksstrategie Onderzoeksmodel RQ 0: Welk model beschrijft de fasering en uitvoering van offensieve cyber operaties die plaatsvinden in de context van een internationaal conflict? RQ 1 Wat zijn offensieve cyberoperaties? Literatuuronderzoek + gesprekken met personen die zich bezig houden met zaken op cyber gebied RQ 2 In de context van welke internationale conflicten hebben offensieve cyberoperaties een rol gespeeld? Open bron informatie; veelal bestaande uit onderzoeksrapporten Twee bestaande modellen voor de fasering van offensieve cyberoperaties: RQ 3 Welke theoretische fasen zijn te onderkennen in de geselecteerde cases? Analyse door middel van het toepassen van de bestaande modellen op de geselecteerde cases 5 fasen van Janczewski & Colarik 9 fasen van Grant, Venter & Eloff RQ 4 Welke overeenkomsten en verschillen zijn er in de fasering van offensieve cyberoperaties binnen de geselecteerde cases waar te nemen? Analyse van de overeenkomsten en verschillen Eigen model voor de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. Figuur 2 Onderzoeksmodel ter beantwoording van de hoofdvraag RQ 0. 13

14 1.3.2 Onderzoeksstrategie Het doel van dit onderzoek is een model te ontdekken voor de fasering en uitvoering van offensieve cyberoperaties die in de context van een internationaal conflict plaatsvinden. Om deze hoofdvraag te kunnen beantwoorden zijn er vier deelvragen opgesteld. In figuur 2 is in een model weergegeven hoe deze deelvragen bijdragen aan het beantwoorden van de hoofdvraag. RQ 1 vormt de basis voor het gehele onderzoek. Op basis van literatuuronderzoek en gesprekken met personen die zich bezig houden met zaken op cyber gebied heeft dit onderzoek in hoofdstuk 2 een theoretisch kader gevormd dat antwoord geeft op deze deelvraag en een kader geeft voor het denken over offensieve cyberoperaties. In hoofdstuk 3 van dit onderzoek worden nog een aantal technische en operationele aspecten van offensieve cyberoperaties gegeven en dit kan gezien worden als aanvulling ter beantwoording van RQ 1. Om aan te tonen dat offensieve cyberoperaties al langer en regelmatiger voorkomen in de context van internationale conflicten wordt er in hoofdstuk 4 begonnen met een opsomming in chronologische volgorde van verschillende internationale conflicten waarbinnen offensieve cyberoperaties hebben plaatsgevonden. Kort en algemeen wordt de cyber kant van deze conflicten belicht. Dit eerste deel van hoofdstuk 4 geeft antwoord op RQ 2. Hierna is er voor dit onderzoek dieper in de vijf geselecteerde cases gedoken. Aan de hand van twee bestaande theoretische modellen die een fasering aanbrengen in offensieve cyberoperaties zijn de vijf cases geanalyseerd. De twee gebruikte modellen hiervoor zijn de 5 fasen die Janczewski en Colarik onderkennen in een cyber aanval en de 9 fasen van Grant, Venter en Eloff die een hacker doorloopt in het geval van een succesvolle aanval. Deze twee theoretische modellen worden in deelhoofdstuk 2.4 uitgewerkt. De analyses van de vijf cases zijn opgenomen in de bijlages en de conclusies hieruit per case opgenomen in deelhoofdstukken tot en met Deze deelhoofdstukken zijn het antwoord op RQ 3. De gebruikte bronnen voor deze de analyse van RQ 3 zijn voornamelijk onderzoeksrapporten naar de betreffende cases. RQ 4 vormt de laatste opstap naar het beantwoorden van de hoofdvraag. Door de overeenkomsten en verschillen in de fasering van offensieve cyberoperaties in de vijf cases op een rijtje te zetten, zijn de gebreken van beide bestaande theoretisch modellen naar boven gekomen. In paragraaf worden deze overeenkomsten en verschillen uiteengezet en wordt RQ 4 beantwoord. Hoofdstuk 5 vormt de basis van het antwoord op de hoofdvraag. Door eerst de tekortkomingen van beide bestaande modellen in deelhoofdstuk 5.1 uiteen te zetten en dit in deelhoofdstuk 5.2 aan te vullen met toevoegingen uit de theorie en cases wordt er in deelhoofdstuk 5.3 gekomen tot een eigen model voor de fasering en uitvoering van offensieve cyberoperaties die hebben plaatsgevonden in de context van een internationaal conflict. 1.4 Opbouw scriptie Deze scriptie is als volgt opgebouwd. Hoofdstuk 2 geeft u een theoretisch kader mee om te denken over offensieve cyberoperaties. Dit theoretisch kader bestaat uit een definitie, aanvalsdoelen en kritische succesfactoren van offensieve cyberoperaties. Daarnaast worden er 14

15 twee bestaande theoretische modellen gepresenteerd die worden gebruikt bij de totstandkoming van een eigen model. Hoofdstuk 3 geeft karakteristieken en technische en operationele aspecten van offensieve cyberoperaties. Dit hoofdstuk verzorgt een bredere kijk op offensieve cyberoperaties. In het eerste deel van hoofdstuk 4 wordt in chronologische volgorde een beknopt overzicht gegeven van offensieve cyberoperaties die in de context van een internationaal conflict hebben plaatsgevonden, waarna in het tweede deel van dit hoofdstuk vijf cases verder worden geanalyseerd en uitgewerkt. Hoofdstuk 5 presenteert een eigen model voor offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. Dit model is het resultaat van dit onderzoek en geeft antwoord op de hoofdvraag. Hoofdstuk 6 bestaat verder nog uit conclusies en aanbevelingen. 15

16 2. Theoretisch kader Dit hoofdstuk dient ervoor de lezer een basis, een theoretisch kader mee te geven voor het denken over offensieve cyberoperaties. Dit zal gedaan worden door aan te geven wat offensieve cyberoperaties zijn, wat de aanvalsdoelen van offensieve cyberoperaties zijn en welke kritische succesfactoren hierbij horen. In deelhoofdstuk 2.1 wordt gekomen tot een eigen definitie van het begrip offensieve cyberoperaties en wordt aangegeven wat hieronder wordt verstaan en wat niet. Deelhoofdstuk 2.2 richt zich hierna op de drie aanvalsdoelen van een offensieve cyberoperatie. Waarna deelhoofdstuk 2.3 de drie kritische succesfactoren beschrijft die iedere offensieve cyberoperatie nodig heeft om succesvol te zijn. Het theoretisch kader zal in deelhoofdstuk 2.4 worden gecompleteerd door twee bestaande theoretische modellen die een fasering aanbrengen in een offensieve cyberoperatie. Deelhoofdstuk 2.5 geeft een korte samenvatting van dit hoofdstuk. 2.1 Definitie Er bestaat op dit moment nog geen algemeen geaccepteerde definities rondom cyberoperaties. Zo hebben verschillende landen of organisaties hun eigen definities die vaak een gedeeltelijke overlap vertonen met begrippen in andere landen en organisaties. Daarnaast spreekt de één over cyber warfare waar de ander over cyber operations spreekt en nog weer een ander computer network operations noemt. In de praktijk zouden vijandige acties tegen een computersysteem twee vormen kunnen aannemen (Owens, Dam, & Lin, 2009, p. 10). Waarbij één vorm van oorsprong destructief is; de acties vinden plaats om een systeem of netwerk schade toe te brengen, zodat dit systeem of netwerk na de actie minder goed functioneert of minder bruikbaar is dan voor de actie. De tweede vorm daarentegen is niet vernielend van aard, maar bevat acties die plaats vinden om vertrouwelijke informatie van systemen en netwerken te halen. Deze laatste acties vinden normaal gesproken op een clandestiene wijze plaats met zo min mogelijk middelen, net genoeg om de gezochte informatie te onttrekken. Samen vormen deze twee vijandige acties volgens Owens, Dam en Lin de term cyber offensive operations of cyber offense. Om voor deze scriptie duidelijkheid te creëren zal dit onderzoek hieronder een aantal verschillende definities met betrekking tot offensieve cyberoperaties geven. Daarna zal er op basis van deze geselecteerde definities een definitie voor offensieve cyberoperaties worden opgesteld die verder gebruikt zal worden in dit onderzoek Definitie Nederland Sinds eind 2010 heeft de Nederlandse Defensie een eigen Visie op Defensie cyber operations. Hierin worden cyber operations als volgt omschreven: Cyber operations Operaties of de verdediging daartegen, waarbij bewust wordt gestreefd om door infiltratie van computers, computernetwerken, software en het internet, informatie en inlichtingen te vergaren en systemen te beïnvloeden of uit te schakelen om daarmee het handelen van opponenten te voorspellen, beïnvloeden of onmogelijk te maken. (Bertelink, et al., 2010, p. 14) 16

17 Deze definitie uit de concept versie van de Visie op Defensie cyber operations geeft geen aparte definitie voor offensieve cyberoperaties. Toch blijkt uit de eerste vijf woorden in bovenstaande definitie een heel duidelijk onderscheidt. Hierdoor kunnen wij dus stellen dat de definitie voor offensieve cyberoperaties de volgende is: Operaties, waarbij bewust wordt gestreefd om door infiltratie van computers, computernetwerken, software en het internet, informatie en inlichtingen te vergaren en systemen te beïnvloeden of uit te schakelen om daarmee het handelen van opponenten te voorspellen, beïnvloeden of onmogelijk te maken Definities VS Het United States Department of Defense (US DoD) maakt gebruik van de termen Computer Network Operations (CNO), Computer Network Attack (CNA), Computer Network Exploitation (CNE) en Computer Network Defence (CND). De definities van deze begrippen zijn hieronder weergeven en zijn afkomstig uit US DoD Dictionary of Military and Associated Terms (Joint Publication 1-02). Computer Network Operations Comprised of CNA, CND, and related CNE enabling operations. (US DoD, 2010, p. 73) Computer Network Attacks Actions taken through the use of computer networks to disrupt, deny, degrade, or destroy information resident in computers and computer networks, or the computers and networks themselves. (US DoD, 2010, p. 73) Computer Network Defense Actions taken to protect, monitor, analyze, detect and respond to unauthorized activity within Department of Defense information systems and computer networks. (US DoD, 2010, p. 73) Computer Network Exploitation Enabling operations and intelligence collection capabilities conducted through the use of computer networks to gather data from target or adversary automated information systems or networks. (US DoD, 2010, p. 73) Hoewel bij deze begrippen uit het Amerikaanse DOD Dictionary of Military and Associated Terms niet specifiek vermeld wordt welke CNO offensief genoemd kunnen worden, blijkt dit duidelijk uit de beschrijvingen. Zo zullen CNA en CNE offensieve cyberoperaties zijn en CND defensieve cyberoperaties. Een groep die dit wel specifiek schrijft, is het Committee on Offensive Information Warfare van de US National Research Council. De twee definities die volgens hen samen de term cyber offensive operations of cyber offense vormen, zijn weergegeven op de volgende bladzijde. Beide definities maken een duidelijke splitsing tussen enerzijds het aanpassen van computersystemen en computernetwerken of de informatie hierop en anderzijds het onttrekken van informatie van deze computersystemen en computernetwerken. De definitie van de US DoD spreekt hierbij trouwens over computers en computernetwerken in plaats van computersystemen en computernetwerken. Daarnaast blijkt uit haar definitie niet dat 17

18 offensieve cyberoperaties gericht moeten zijn tegen computers en computersystemen van opponenten. Cyberattack Deliberate actions, perhaps over an extended period of time, to alter, disrupt, deceive, degrade, or destroy adversary computer systems or networks or the information and/or programs resident in or transiting these systems or networks. (Owens, Dam, & Lin, 2009, p. 10) Cyberexploitation Cyber offensive actions, perhaps over an extended period of time, to support the goals and missions of the party conducting the exploitation, usually for the purpose of obtaining information resident on or transiting through an adversary s computer systems or networks. (Owens, Dam, & Lin, 2009, p. 10) Definities Duitsland Computernetzwerkoperationen (CNO) Computernetzwerkoperationen sind Massnahmen der Bundeswehr unter Nutzung von Computern und Computernetzwerken zum Schutz eigener Computer und Computernetzwerke, zur Ausnutzung von gegnerischen und fremden Computern und Computernetzwerken sowie zur Einwirkung auf gegnerische Computer und Computernetzwerke. (Schneiderhan, 2005, p. 21) Angriff auf Computer und Computernetzwerke (Computer Network Attack, CNA) Mit CNA soll auf gegnerische Computer eingewirkt sowie in gegnerischen Computernetzwerken gewirkt werden. Dies beinhaltet Massnahmen zum Ändern, Verwehren, Stören, Beschädigen oder Zerstören von Informationen auf Computern und in Computernetzwerken oder der Computer und Netzwerke selbst. Die Erkenntnisse aus Angriffen fliessen im Rahmen des CNO-Verbundes in die Durchführung eigener Schutzmassnahmen ein. (Schneiderhan, 2005, p. 21) Verteidigung von Computern und Computernetzwerken (Computer Network Defence, CND) Mit CND soll einerseits der vorbeugende Schutz vor CNA/CNE auf eigene Computer und Computernetzwerke in erster Linie durch Überprüfungen der Wirksamkeit eigener Schutzmassnahmen sichergestellt werden. Anderseits ist das Abwehren von Angriffen Ziel von CND. Voraussetzung hierfür ist das Erkennen eines Eindringversuches. Die Abwehrmassnahmen umfassen Schadensbegrenzung, -minimierung und behebung sowie die Planung und Durchführung von weitergehenden Schutzmassnahmen. (Schneiderhan, 2005, p. 21) Ausnutzung von Computer und Computernetzwerken (Computer Network Exploitation, CNE) Mit CNE soll der Zugang zu Informationen über gegnerische und fremde Computer und Computernetzwerke sowie der Zugang zu Informationen, die in diesen gespreichert sing, erreicht werden. Hierbei wird keine Änderung der Informatuinen beabsichtigt, sondern ein Angriff gegen ihre Vertraulichkeit. Die gewonnenen Erkenntnisse dienen als Basis für das weitere Eindringen und zur Lagefeststellung für die Leitung des Bundesministeriums der Verteidigung (BMVg) und die militärischen Führer. (Schneiderhan, 2005, p. 21) 18

19 Zoals we al zagen in de Amerikaanse definities spreekt ook de Duitse Bundeswehr over CNO. Hierin wordt eveneens een scheiding gemaakt tussen CNA, CND en CNE. Hoewel deze drie deelgebieden in praktijk erg nauw met elkaar verbonden zijn, is er op basis van onderstaande definities een duidelijke scheiding te maken met betrekking tot offensieve cyberoperaties. CNA en CNE vormen de offensieve Computernetzwerkoperationen en CND de defensieve. Waarbij CNE niets anders ten doel heeft dan het verkrijgen ( erreichen ) van informatie die zich bevindt in onbekende computers en computernetwerken of in computers en computernetwerken van tegenstanders. Het wijzigen, ontzeggen, verstoren, degraderen en vernietigen van informatie in de computers en computernetwerken van een opponent of van de computers en computernetwerken van de opponent vallen duidelijk onder de CNA. Hierbij wordt in beide gevallen (CNA en CNE) gesproken over computers en computernetwerken van een tegenstander, waarbij CNE ook nog gericht kan zijn op het vergaren van informatie in onbekende computers en computernetwerken Eigen definitie offensieve cyberoperaties Na het bestuderen van alle bovenstaande definities zijn er een aantal conclusies te trekken. De helft van de Nederlandse definitie van cyber operations geeft weer wat men verstaat onder offensieve cyber operaties, terwijl bij de Amerikaanse en Duitse definities offensieve cyberoperaties niet specifiek gedefinieerd zijn, maar is het wel duidelijk dat dit een combinatie is van Computer Network Attack en Computer Network Exploitation. Wanneer de hierboven genoemde omschrijvingen worden vergeleken, zijn er een aantal verschillen en overeenkomsten te onderscheiden. De gestreefde effecten die men wil bereiken met de operatie komen in de vier omschrijvingen grotendeels overeen, maar vertonen verschillen evenals de omschrijving van hetgeen waar de effecten op bereikt moeten worden. Als we kijken naar offensieve cyberoperaties gericht op het vergaren van informatie, dan zien we binnen de vier verschillende definities grote overeenkomsten. Zo zijn de werkwoorden vergaren, gather, obtain en erreichen allemaal gericht op het verkrijgen van informatie. In de Nederlandse definitie wordt echter gesproken naast het vergaren van informatie ook gesproken over het vergaren van inlichtingen. Voor de definitie in dit onderzoek zal gesproken worden over het vergaren van informatie, aangezien informatie vergaard door infiltratie in computernetwerken of computersystemen van opponenten pas na analyse zou kunnen leiden tot inlichtingen. Wanneer we kijken naar het beschrijven van de aanvalskant van een offensieve cyberoperatie dan zien we dat de Nederlandse definitie hier slechts twee effecten voor noemt, terwijl de andere drie definities strooien met termen. In Tabel 1 op de volgende bladzijde zijn de verschillende definities uitgezet tegen de effecten die in deze definities voorkomen. Voor de definitie van offensieve cyberoperaties die voor dit onderzoek opgesteld is, wordt gebruik gemaakt van de term aanpassen. Zoals de tabel aangeeft, is aanpassen een breed effect dat in verschillende mate kan worden toegepast. De andere term die in de eigen definitie gebruikt wordt is vergaren. Een duidelijke scheiding hiertussen is in Tabel 1 weergegeven met een dikke lijn. Deze scheiding geeft het verschil weer tussen actie (het aanpassen van computersystemen en computernetwerken en/of de informatie hierop) en intel (het vergaren van informatie in computersystemen en computernetwerken). 19

20 aanpassen TLNTMARNS D.A. Dreijer Offensieve cyberoperaties maart 2011 Definitie Visie op defensie cyber operaties Cyber operaties Definitie US DoD CNA & CNE Definitie US National Research Council CNA & CNE Definitie Bundeswehr CNA & CNE Definitie scriptie Offensieve cyberoperaties Computersystemen en computernetwerken Kan gericht zijn op: Informatie in computersystemen en op computernetwerken Beïnvloeden Uitschakelen Verstoren Ontzeggen Degraderen Vernietigen Wijzigen Misleiden beïnvloeden uitschakelen X X disrupt disrupt stören X X deny verwehren X X degrade degrade beschädigen X X destroy destroy zerstören X X alter ändern X X deceive X X Vergaren vergaren gather obtain erreichen vergaren X Tabel 1 Te bereiken effecten in de verschillende definities van offensieve cyberoperaties. Wanneer we naar de verschillende definities kijken, zien we dat er geen eenduidige terminologie gebruikt wordt om aan te geven waar de offensieve cyberoperatie op gericht is. Zo wordt er de ene keer gesproken wordt over computers, computernetwerken, software en het internet, de andere keer over systemen en netwerken en weer een andere keer over computers en computernetwerken. In de definitie van dit onderzoek worden de termen computersystemen en computernetwerken gebruikt om aan te geven waar een offensieve cyber operatie tegen gericht kan zijn. Deze termen zijn opgenomen in Tabel 1 om weer te geven waar de eerder genoemde effecten op gericht kunnen zijn. Figuur 3 op de volgende bladzijde dient ter verduidelijking van hetgeen dat onder deze twee termen wordt verstaan. 20

21 Figuur 3 Verduidelijking termen computernetwerk en computersysteem. Computernetwerken worden gedefinieerd als een verzameling van onderling verbonden autonome computers (Koppelman, et all., 2005, p. 128). Waarbij internet beschouwd kan worden als een groot wereldomvattend computernetwerk. Het computernetwerk bestaat dus uit de autonome computers en hetgeen dat de verbinding tussen deze computers realiseert (in figuur 1 aangegeven met de wolk in het midden). Een computersysteem kan worden opgedeeld in vier componenten, te weten: de hardware, het besturingssysteem ( operating system ), de software ( application programs ) en de gebruikers ( users ) (Silberschatz, Galvin, & Gagne, 2000, p. 3). Zoals in figuur 1 is weergegeven, vertonen beide begrippen een overlap. Dit heeft uiteindelijk geleidt tot de volgende definitie van offensieve cyber operaties: Offensieve cyberoperaties Operaties waarbij bewust gestreefd wordt om door infiltratie in computersystemen en computernetwerken van opponenten, informatie te vergaren en/of de computersystemen en computernetwerken van opponenten of de informatie hierop aan te passen met als uiteindelijke doel het handelen van opponenten te voorspellen, beïnvloeden of hinderen. Wanneer in dit onderzoek wordt gesproken over aanvaller, dan wordt hiermee de partij bedoeld die de offensieve cyberoperatie uitvoert Afbakening offensieve cyberoperaties In paragraaf is gekomen tot een eigen definitie voor offensieve cyberoperaties. Deze paragraaf probeert nog extra duidelijkheid te scheppen over wat nu wel en waar nu niet onder offensieve cyberoperaties wordt verstaan. Zoals uit de voorgaande paragrafen blijkt, worden de termen cyber attack / computer network attack en cyber exploitation / computer network exploitation veelvuldig gebruikt 21

22 om een verschil aan te geven binnen offensieve cyberoperaties. Waarbij exploitation gericht is op uitbuiting van een systeem, hierdoor is de grootste technische eis dat de operatie in het geheim plaatsvindt en niet gedetecteerd wordt. Voor een attack is geheimhouding vaak minder belangrijk, aangezien het effect van de cyber attack in de meeste gevallen direct zichtbaar is voor het doel. De operationele overwegingen voor cyber exploitation zijn in de meeste gevallen gelijk aan die van een cyber attack. (Owens, Dam, & Lin, 2009, pp ) Binnen dit onderzoek wordt er geen scheiding aangebracht op dit gebied en wordt voor beide de term offensieve cyberoperaties gebruikt. Dit onderzoek maakt voor offensieve cyberoperaties geen onderscheid tussen verschillende deelgebieden waarbinnen deze operaties zouden vallen. Ook over deze deelgebieden bestaat geen consensus, maar een voorbeeld hiervan zijn de deelgebieden benoemd in de conceptversie van de Visie op Defensie cyber operations te weten cyber crime, cyber terrorism, cyber warfare en cyber espionage. Waar wordt dit onderzoek dan wel afgebakend? Dit onderzoek richt zich strikt op offensieve cyberoperaties en niet op defensieve. Defensieve cyberoperaties zijn eigenlijk de verdediging tegen offensieve cyberoperaties. Hier wordt in dit onderzoek niet naar gekeken. Uit de voor dit onderzoek gegeven definitie blijkt dat er in het geval van een offensieve cyberoperaties sprake moet zijn van infiltratie in computersystemen en computernetwerken van opponenten. Dit brengt met zich mee dat operaties gericht tegen cybermiddelen van opponenten, maar waarbij geen sprake is van infiltratie door de offensieve cyberpartij van computersystemen en computernetwerken van opponenten, dat deze operaties binnen dit onderzoek niet tot offensieve cyberoperaties worden gerekend. Dus hoewel kinetische acties ook gebruikt kunnen worden voor het vernietigen van of schade toebrengen aan een tegenstander zijn computersystemen of computernetwerken, vallen deze niet onder de noemer offensieve cyberoperaties. Ditzelfde geldt voor elektronische oorlogsvoering (EOV) gericht tegen de computersystemen en computernetwerken van opponenten. Voorbeeld hiervan is het gebruik maken van elektromagnetische pulsen om een computersysteem of computernetwerk uit te schakelen. Samenvattend bakent dit onderzoek offensieve cyberoperaties als volgt af: Geen onderscheid naar deelgebieden. Geen defensieve cyberoperaties. Geen kinetische operaties gericht tegen computersystemen en computernetwerken van opponenten. Geen EOV gericht tegen computersystemen en computernetwerken van opponenten. 2.2 Aanvalsdoelstellingen Offensieve cyberoperaties zijn per definitie gericht tegen computernetwerken en computersystemen of de informatie daarop. Het doel van de operatie is de integriteit, authenticiteit en/of beschikbaarheid van deze computernetwerken en computersystemen of de informatie hierop te verminderen (Owens, Dam, & Lin, 2009, p. 111). Vanuit een defensief cyber oogpunt wordt deze driedeling in aanvalsdoelen ook onderkend. In het boek Cyberdeterrence and Cyberwar van Martin C. Libicki worden echter de overeenkomende termen integriteit, vertrouwelijkheid en robuustheid gegeven (Libicki, 2009, p. 162). Deze drie begrippen worden hieronder verduidelijkt: 22

23 Integriteit. Bij een aanval op de integriteit van een computersysteem of computernetwerk doet het systeem niet meer wat zijn operator wil dat hij doet en doet het juist wel dingen die de operator niet wil (Libicki, 2009, p. 164). Integriteit is een deel van het vertrouwen dat mensen in hun computersystemen en netwerken hebben; een systeem moet datgene doen waarvoor het bedoeld is. Een aanval op de integriteit probeert gegevens zo te veranderen dat het computersysteem onder bepaalde omstandigheden niet de juiste resultaten of informatie geeft die het normaal gesproken wel zou geven (Owens, Dam, & Lin, 2009, p. 111). Dit hoeft echter niet te betekenen dat het systeem niet continu operationeel is. Authenticiteit. Een aanval op de authenticiteit/vertrouwelijkheid van een computersysteem of computernetwerk of de informatie hierop is het toegang krijgen tot dit computernetwerk, computersysteem of de informatie hierop zonder dat dit is toegestaan (Libicki, 2009, p. 165). Daarnaast heeft authenticiteit te maken met het zijn van diegene die je zegt dat je bent. Een authentiek bericht is een bericht waarvan bekend is dat de partij die zegt dat zij de opsteller van het bericht is, ook echt de opsteller van het bericht is. Bij een aanval op de authenticiteit van informatie wordt de bron van de informatie verduisterd of vervalst (Owens, Dam, & Lin, 2009, p. 111). Beschikbaarheid. Een goed beveiligd systeem is zelfs in het geval van een aanval beschikbaar voor gebruik door haar rechtmatige gebruikers (Owens, Dam, & Lin, 2009, p. 112). Een aanval op de beschikbaarheid kan betekenen dat s van gebruikers niet meer (op tijd) doorkomen, computers van gebruikers niet meer gebruikt kunnen worden of dat de reactietijd van deze computers veel te traag wordt. Ook kunnen er bepaalde diensten ontzegd worden. Deze driedeling wordt ook bevestigd als we kijken vanuit een informatiebeveiliging en informatiemanagement oogpunt. Door de toenemende impact van ICT wordt de zorg voor continuïteit (beschikbaarheid), vertrouwelijkheid (authenticiteit) en betrouwbaarheid (integriteit) van eigen computersystemen en computernetwerken steeds belangrijker. Deze driedeling wordt ook gehanteerd in de ISO standaard voor informatiebeveiliging. (Thiadens, 2008, p. 265) Deze aanvalsdoelstellingen kunnen zowel apart als gezamenlijk nagestreefd worden. Bij de ene offensieve cyberoperatie zal de nadruk liggen op een aanval op de integriteit, terwijl dit bij een andere aanval juist ligt op de authenticiteit of de beschikbaarheid. 2.3 Kritische succes factoren Een offensieve cyberoperatie heeft drie dingen benodigd om succesvol te zijn (Owens, Dam, & Lin, 2009, p. 83): een kwetsbaarheid (vulnerability) toegang tot deze kwetsbaarheid (access) een lading die uitgevoerd moet worden (payload) 23

24 2.3.1 Kwetsbaarheden Zwakheden in een systeem kunnen per ongeluk zijn ontstaan door ontwerp en implementatie fouten, maar ook bewust zijn ingevoerd (Owens, Dam, & Lin, 2009, p. 83). Wanneer een partij een niet-bedoelde ingevoerde fout (ook wel bug genoemd) ontdekt in het systeem van zijn opponent dan kan deze worden gebruikt voor allerhand doeleinden die in het voordeel zijn van de ontdekkende partij. Veel zwakheden worden na ontdekking gepubliceerd en kunnen zo ook door derden gebruikt worden net zolang tot er een patch is ontworpen die het lek dicht. Hiernaast zijn er ook onbedoelde fouten die ontdekt worden en die een partij voor zichzelf houdt om op een later moment te gebruiken. In dit geval spreekt men van een zeroday vulnerability, een kwetsbaarheid die nog niet eerder bekend is bij iemand anders. Door de sterke toename van het gebruik van software in de afgelopen jaren en de toenemende complexiteit van software is de kans op het vinden van een kwetsbaarheid gestegen. Hoe meer software er in gebruik is en hoe meer mogelijkheden deze software moet bieden, betekent namelijk automatisch meer kansen op kwetsbaarheden. Bij het aanschaffen van software wordt vooral gekeken naar de extra functionaliteiten die deze nieuwe software te bieden heeft, maar faalt men vaak bij het inschatten van de extra risico s die dit met zich meebrengt (Owens, Dam, & Lin, 2009, p. 84). Er zijn een aantal manieren om kwetsbaarheden te ontdekken en introduceren, waarbij staten voordelen kunnen hebben ten opzichte van andere partijen (Owens, Dam, & Lin, 2009, pp. 84, 85). Zo kunnen broncodes, al dan niet onder bepaalde voorwaarden van de producent verkregen, worden geanalyseerd op zoek naar kwetsbaarheden. Een manier om kwetsbaarheden te introduceren is het omkopen van de verkoper of van werknemers van de verkoper om kwetsbaarheden, zogenaamde geheime achterdeuren (back doors), te installeren in commerciële producten. Dit kan met geld, maar ook door bijvoorbeeld gebruik te maken van patriottische of ideologische gevoelens, omkoping, afpersing of politieke druk. Wanneer men er de bronnen voor heeft kan een systeem ook van buiten continu getest worden of kan er reverse enginering plaatsvinden, om zo tenminste een paar zwakheden te ontdekken. Een aantal kwetsbaarheden die bruikbaar zijn voor het uitvoeren van offensieve cyberoperaties zijn (Owens, Dam, & Lin, 2009, pp. 85, 86): Software. Software voor applicaties of systemen kunnen fouten bevatten die per ongeluk of bedoeld zijn ingevoerd. Door het gebruik van deze fouten kan de software gebruikt worden voor andere doeleinden dan waarvoor het ontworpen was. Hardware. Kwetsbaarheden in hardware kunnen gevonden worden in microprocessors, microcontrollers, circuit boards, vermogensvoorziening, randapparaten als printers, scanners, harde schijven en communicatie apparatuur zoals netwerkkaarten. Door geknoei aan dit soort componenten kunnen de functionaliteit van de component in het geheim worden aangepast of kunnen er mogelijkheden geboden worden voor het installeren van vijandige software. Communicatie kanalen. Een aanvaller kan de communicatiekanalen tussen een systeem of netwerk en de buitenwereld op meerdere manieren gebruiken. Zo kan de aanvaller doen alsof hij een geautoriseerde gebruiker is van het kanaal, kan hij het kanaal jammen of juist het kanaal afluisteren. Configuratie. Veel systemen hebben meerdere configuratie opties die een gebruiker zelf kan instellen afhankelijk van voorkeuren. Hierbij wordt gemak vaak zwaarder gewogen dan beveiliging, wat ertoe leidt dat veel systemen in praktijk slecht beveiligd zijn. 24

25 Gebruikers en operators. Geautoriseerde gebruikers en operators van een systeem of netwerk kunnen verleid of afgeperst worden om bepaalde dingen te doen. Service providers. Veel systemen zijn afhankelijk van derden die computer gerelateerde diensten, zoals onderhoud en internet, aanbieden. Een service provider kan omgekocht worden om zo voor de omkopende partij een aantal handelingen (bijvoorbeeld het installeren van aanvalssoftware op een bepaalde doel computer) te verrichten bij de opponent van de omkopende partij. De hierboven genoemde kwetsbaarheden zijn ter verduidelijking weergegeven in Figuur 4. Figuur 4 Afbeelding ter verduidelijking van de verschillende kwetsbaarheden Toegang Om gebruik te kunnen maken van een kwetsbaarheid in een systeem moet de partij die de offensieve cyberoperatie uitvoert wel toegang hebben tot de kwetsbaarheid (Owens, Dam, & Lin, 2009, p. 86). Doelen die relatief weinig voorbereiding van de kant van de aanvaller vereisen en waar zonder al te veel moeite toegang tot het doel verkregen kan worden (zoals doelen verbonden met het internet), zijn gemakkelijk aan te vallen. Doelen die echter veel voorbereiding vragen en waar toegang tot het doel alleen met veel moeite en zelfs helemaal niet kan worden verkregen, worden moeilijk aan te vallen doelen genoemd. Op basis van de toegang tot een doelwit maken Owens, Dam en Lin een onderscheid in twee soorten offensieve cyberoperaties (Owens, Dam, & Lin, 2009, p. 87): Offensieve cyberoperaties met toegang op afstand ( remote-access ). Hierbij wordt een offensieve cyberoperatie gelanceerd op afstand van het vijandelijke computersysteem of computernetwerk. De bekendste voorbeelden hiervan zijn cyberoperaties waarbij toegang tot het doel verschaft werd door middel van internet. Maar andere voorbeelden zijn toegang door een dial-up modem verbonden aan de vijandelijke computer of het binnendringen van een draadloos netwerk. Offensieve cyberoperaties met toegang van dichtbij ( close-access ). Hierbij vindt een offensieve cyberoperatie op het vijandelijke computersysteem of computernetwerk plaats door de lokale installatie van hardware of software functionaliteiten door 25

26 (bevriende) partijen die dichtbij het gewenste computersysteem of computernetwerk staan. Offensieve cyberoperaties met toegang van dichtbij zijn mogelijk in de gehele leveringsketen ( supply chain ) van het ontwikkelde systeem. Hierbij moet de kanttekening gemaakt worden dat begrippen toegang op afstand en toegang van dichtbij vanuit een technisch perspectief benoemd zijn en daarom voor sommigen verwarrend kunnen overkomen. Vanuit militair operationeel oogpunt was het omdraaien van deze termen misschien wel logischer geweest. Voor dit onderzoek wordt de technische tweedeling zoals hierboven vermeldt aangehouden. De drie kritische succesfactoren hebben betrekking op de technische kant van een offensieve cyberoperatie, vandaar dat de gebruikte terminologie hierbinnen ook vanuit technisch perspectief gezien moet worden. Offensieve cyberoperaties met toegang op afstand kunnen uitgevoerd worden vanaf een locatie die fysiek ver van het doelwit verwijderd kan zijn. Voor een offensieve cyberoperatie van dichtbij moet de aanvaller fysiek in contact zijn gekomen met het computersysteem of computernetwerk van de opponent Lading De term lading beschrijft de dingen die gedaan kunnen worden wanneer een zwakheid in het systeem is uitgebuit. Op het moment dat men in het systeem van de tegenstander is, dan is de lading hetgeen dat voorgeprogrammeerde acties gaat ondernemen (Owens, Dam, & Lin, 2009, p. 88). Voorbeelden hiervan zijn programma s die zichzelf kopiëren en verspreiden, informatie verzamelen en naar de partij die de offensieve cyberoperatie uitvoert doorsturen, gegevens in het systeem aanpassen of zelfs vernietigen. Ladingen kunnen geprogrammeerd zijn om meerdere acties te ondernemen wanneer ze in het systeem of netwerk van een tegenstander zijn ingebracht (Owens, Dam, & Lin, 2009, p. 88). Deze acties kunnen op verschillende tijdstippen plaatsvinden. Bij aanwezigheid van een communicatie kanaal naar de aanvallende partij kunnen ladingen ook op afstand worden bijgewerkt. In dit geval bestaat de afgeleverde lading uit niets meer dan een mechanisme dat het systeem van de tegenstander scant om zo de technische karakteristieken hiervan te bepalen. Daarnaast bevat de lading dan een update mechanisme om van de aanvallende partij het beste aanvalspakket te krijgen voor het verder uitvoeren van de offensieve cyberoperatie. Voorbeelden van vijandige ladingen zijn een Trojan Horse en een rootkit. Wanneer een lading ingevoerd is in een vijandig systeem kan het hier stil zitten en niets kwaadaardigs doen voor een bepaalde tijd om uiteindelijk op het juiste moment zichzelf te activeren (Owens, Dam, & Lin, 2009, p. 88). Het juiste moment om een lading uit te voeren kan teweeggebracht worden doordat een bepaalde datum en tijdstip bereikt is, de lading een expliciete instructie via een verborgen kanaal ontvangt, het verkeer dat de lading monitort het juiste moment aangeeft of omdat er iets specifieks gebeurt in de directe omgeving van de lading. Ladingen voor offensieve cyberoperaties kunnen selectief of niet-selectief zijn in het kiezen van hun doelwitten (Owens, Dam, & Lin, 2009, p. 89). Zo zullen een aantal ladingen van offensieve cyberoperaties samengesteld zijn om iedere computer waar ze toegang tot hebben aan te grijpen, terwijl ander samengesteld zijn om slechts selectief bepaalde computers aan te vallen. 26

27 2.4 Bestaande theoretische modellen In het boek Cyber Warfare and Cyber Terrorism zeggen de schrijvers Janczewski en Colarik dat de fasen van een cyber aanval in het algemeen hetzelfde patroon volgen als een traditionele misdaad. In deelhoofdstuk worden deze vijf fasen beschreven. In deelhoofdstuk gebeurd ditzelfde, maar dan voor de negen fasen die Grant, Venter en Eloff beschrijven in hun paper Simulating Adversarial Interactions between Intruders and System Administrators using OODA-RR. Deze negen fasen beschrijven het repertoire aan acties die een indringer in het geval van een computer intrusion kan doorlopen. Hierbij is de indringer een hacker die in het informatie systeem van een organisatie probeert in te breken. In paragraaf wordt een vergelijking getrokken tussen beide modellen De 5 fasen van Janczewski & Colarik Een offensieve cyberoperatie bestaat uit de volgende vijf fasen (Janczewski & Colarik, 2008, p. xv): 1. Fase 1 van een aanval is de verkenning van het bedoelde slachtoffer. Door het observeren van de normale operaties van een doel kan bruikbare informatie worden ingewonnen. 2. Fase 2 van een aanval is het binnendringen. Zolang de aanvaller niet in het systeem van de opponent zit, kan hij weinig doen behalve het onderbreken van de beschikbaarheid of toegang van het doelwit tot bepaalde diensten. 3. Fase 3 is het identificeren van en uitbreiden van de interne mogelijkheden door het bekijken van middelen en verbeteren van de toegangsrechten op de meer beperkte en waardevollere gebieden van een bepaald systeem. 4. Fase 4 is de fase waarin de indringer schade toebrengt aan het systeem of beslag legt op geselecteerde gegevens en/of informatie. 5. Fase 5 is het verwijderen van elk bewijs van het binnendringen, diefstal enzovoorts door het bedekken van het elektronisch spoor van de aanvaller door het aanpassen of verwijderen van logbestanden. Een aanvaller zal alle vijf de fasen succesvol willen afsluiten. Of dit lukt, is echter afhankelijk van de gebruikte aanvalsmethoden, het gewenste eindresultaat en de verdedigings- en monitoringscapaciteiten van het doelwit. Voor het vervolg van deze scriptie worden de vijf fasen aangeduid met de termen: 1. Verkenning 2. Binnendringen 3. Uitbreiden 4. Actie 5. Bewijs verwijderen De 9 fasen van Grant, Venter & Eloff Een succesvolle computer intrusion kan volgens Grant, Venter en Eloff uit de volgende negen fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) bestaan: 1. Footprinting. Footprinting is de fase waarin informatie over het doelwit wordt verzameld uit bronnen anders dan het doelwitnetwerk. Voorbeelden hiervan zijn bedrijfsrapporten, zoekmachines zoals Google of bijvoorbeeld de publieke website van de betreffende organisatie. 27

28 2. Reconnaissance. Het doel van deze verkenningsfase is inzicht te krijgen in de netwerktopologie rondom het doelwit van de indringer. 3. Vulnerability identification. Deze fase richt zich op het vinden van een kwetsbaarheid. Naast het vinden van een kwetsbaarheid kan deze fase ook betrekking hebben op het verzamelen van informatie over kwetsbaarheden. 4. Penetration. Binnendringen van het systeem. Het hoofddoelen in deze fase zijn vaak het ervoor zorgen dat de systeemadministrator niet door heeft dat de indringer in het doelwit is binnengedrongen en ervoor te zorgen dat de oorsprong van de binnendringing verborgen is. 5. Control. Het doel van deze fase is het opbouwen van een systeem dat op afstand de controle over het doelwit heeft. Dit kan het verkrijgen van privileges gelijkwaardig aan die van een systeembeheerder inhouden. 6. Embedding. Naast het hebben van de controle over het doelwit, zal de indringer in veel gevallen er zeker van willen zijn dat hij of zij ook de controle terug kan krijgen, zelfs als de acties van de indringer opgemerkt worden door het doelwit. 7. Data extraction or modification. In deze fase kan de indringer zijn of haar doelstellingen bereiken, zoals het onttrekken van bepaalde data of het aanpassen hiervan. 8. Attack relay. Afhankelijk van de doelstellingen van de indringer kan een gecompromitteerde host gebruikt worden om aanvallen via deze host op andere doelwitten te laten plaatsvinden. Hierdoor wordt het voor een doelwit lastig om de oorsprong van de aanval op zijn systeem te achterhalen. 9. Attack dissemination. In het geval de indringer deel uitmaakt van een groep en iets nieuws heeft ontdekt, dan kan hij of zij dit delen met de rest van de groep. Deze fase doorloopt de indringer alleen als hij of zij een botnet wil dirigeren. De indringer doorloopt hierbij in ieder geval de eerste vier fasen. De overige fasen zijn optioneel en afhankelijk van de doelstellingen van de indringer. Dit model gaat uit van een indringer die alleen en dus niet samenwerkt met andere hackers Vergelijking bestaande modellen In Tabel 2 zijn de fasen uit de verschillende modellen tegen elkaar afgezet. Hierbij moet in het achterhoofd gehouden worden dat de vijf fasen van Janczewski en Colarik model staan voor een offensieve cyberaanval in het algemeen en het model van Grant, Venter en Eloff opgesteld is vanuit één indringer die één computersysteem binnendringt. Deze vergelijking moet daarom ook niet gezien worden als een één-op-één vergelijking van beide modellen, maar als een manier waarop de negen fasen van Grant, Venter en Eloff geprojecteerd worden op de vijf fasen van Janczewski en Colarik. Hieruit blijkt dat beide modellen grotendeels met elkaar overeen komen. Zeker wanneer de vijf fasen van Janczewski en Colarik soms ruim opgevat worden. De eerste drie fasen van Grant, Venter en Eloff komen dan grotendeels overeen met de verkenningsfase van Janczewski en Colarik. De letterlijke vertaling van penetration is binnendringen, dus dit behoeft geen verdere uitleg. Grant, Venter en Eloff verdelen de uitbreidingsfase nog in twee delen; control en embedding. De actiefase van Janczewski en Colarik kan bestaan uit twee vormen. Enerzijds kan het betrekking hebben op het verkrijgen van gegevens/informatie; data extraction, anderzijds op het schade toebrengen aan het systeem. Dit kan in verschillende mate gebeuren, maar zal gebaseerd zijn op het aanpassen van gegevens; data modification. Bewijs verwijderen en attack relay komen niet geheel overeen, maar met wat 28

29 fantasie vertonen deze twee fasen zeker een overlap. Deze overlap zit in het einddoel van deze fase en dat is dat de oorsprong van de offensieve partij wordt verdoezeld. Fase 9 van Grant, Venter en Eloff, zien we helemaal niet terug in het model van Janczewski en Colarik. Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) 1. Verkenning 1. Footprinting 2. Reconnaissance 3. Vulnerability Identification 2. Binnendringen 4. Penetration 3. Uitbreiden 5. Control 6. Embedding 4. Actie 7. Data extraction or modification 5. Bewijs verwijderen 8. Attack relay 9. Attack dissemination Tabel 2 Vergelijking bestaande modellen Tabel 2 dient als basis voor het bestuderen van de cases in hoofdstuk 5. De cases zullen primair geanalyseerd worden naar de vijf fasen van Janczewski en Colarik. 2.5 Samenvatting theoretisch kader Samenvattend geeft dit hoofdstuk een kader mee voor de rest van dit onderzoek. Dit kader bestaat uit een definitie van offensieve cyberoperaties, een afbakening hiervan, drie aanvalsdoelstellingen, drie kritische succesfactoren en twee theoretische modellen. De definitie van offensieve cyberoperaties luidt: Operaties waarbij bewust gestreefd wordt om door infiltratie in computersystemen en computernetwerken van opponenten, informatie te vergaren en/of de computersystemen en computernetwerken van opponenten of de informatie hierop aan te passen met als uiteindelijke doel het handelen van opponenten te voorspellen, beïnvloeden of hinderen. Samenvattend bakent dit onderzoek offensievecyber operaties als volgt af: Geen onderscheid naar deelgebieden. Geen defensieve cyberoperaties. Geen kinetische operaties gericht tegen computersystemen en computernetwerken van opponenten. Geen EOV gericht tegen computersystemen en computernetwerken van opponenten. De drie aanvalsdoelstellingen zijn het verminderen van de integriteit, de authenticiteit en de beschikbaarheid van computersystemen en computernetwerken van opponenten of de informatie hierop. Drie kritische succesfactoren hierbij zijn een kwetsbaarheid, een toegang en een lading. 29

30 Twee modellen die een onderscheid maken in de fasering van een offensieve cyberoperatie zijn de 5 fasen van Janczewski en Colarik (2008) en de 9 fasen van Grant, Venter en Eloff (2007). Deze modellen worden verderop in dit onderzoek gebruikt bij de analyse van de verschillende cases. 30

31 3. Technische en Operationele Aspecten Dit hoofdstuk geeft een aantal aspecten mee die bijdragen aan een beter beeld over wat offensieve cyberoperaties zijn. Deze aspecten zijn algemeen, technisch en operationeel van aard. De algemene aspecten bestaan uit een aantal algemene karakteristieken van offensieve cyberoperaties. De technische aspecten hebben vooral betrekking op hoe offensieve cyberoperaties uitgevoerd kunnen worden en de operationele aspecten op de effecten en mogelijke doelstellingen van een offensieve cyber operatie. De informatie in dit hoofdstuk is afkomstig uit een bijna vierhonderd pagina tellend rapport van de National Research Council of the National Academies dat zegt een framewerk te geven voor het begrijpen van offensieve cyber operaties (Owens, Dam, & Lin, 2009, p. x). Ondanks dat dit onderzoek niet twijfelt aan deze bron, worden er in dit hoofdstuk wel een paar kanttekeningen gemaakt waar vanuit bepaalde oogpunten in ieder geval over te discussiëren valt. 3.1 Karakteristieken van offensieve cyberoperaties Voor offensieve cyberoperaties zijn een aantal algemene karakteristieken te benoemen (Owens, Dam, & Lin, 2009, pp ). Dit zijn: De consequenties van de indirecte effecten van offensieve cyberoperaties zijn bijna altijd groter dan de directe effecten van offensieve cyber operaties. Dit komt doordat de computers of netwerken die worden aangegrepen door een offensieve cyberoperatie minder relevant zijn dan het systeem dat bestuurd wordt door de aangegrepen computer of netwerk of het beslissingsproces dat afhankelijk is van de informatie in de aangegrepen computer of netwerk. Het indirecte effect is dan ook vaak het primaire doel van een offensieve cyberoperatie. De omvang van de schade veroorzaakt door een offensieve cyberoperatie kan variëren van beperkt tot enorm, afhankelijk van de systemen en/of informatie verbonden met of geassocieerd aan het doelwit. De uitkomsten van een offensieve cyberoperatie zijn vaak erg onzeker. Doordat minimale details in de configuratie van een offensieve cyberoperatie de uitkomst van de operatie kunnen beïnvloeden en opvolgende effecten niet betrouwbaar voorspeld kunnen worden, is het erg moeilijk om de schade aan het doelwit en bijkomende schade veroorzaakt door de offensieve cyberoperatie te voorspellen. Offensieve cyberoperaties zijn vaak erg complex te plannen en uit te voeren. Dit komt doordat er bij offensieve cyberoperaties veel meer opties zijn dan bij traditionele militaire operaties. Daarnaast heeft men vaak te maken met beoogde effecten die secundair of tertiair zijn. Voor een analyse van dit complexe geheel aan mogelijke uitkomsten is zeer gespecialiseerde informatie nodig. Offensieve cyberoperaties kunnen uitgevoerd worden in een tijdsbestek van tienden van een seconde tot jaren en plaatsvinden van geconcentreerd op één enkele faciliteit tot verspreid over de gehele wereld. Kanttekening: voor een vergelijking met traditioneel militair optreden zou bovengenoemd punt waarschijnlijk opgaan, maar voor het huidige militaire optreden in een counterinsurgency omgeving is het zeer twijfelachtig welke operaties complexer te plannen en uit te voeren zijn. 31

32 Vergeleken met traditionele militaire operaties zijn offensieve cyberoperaties relatief gezien niet duur. De onderliggende technologie voor het uitvoeren van offensieve cyber operaties is wijdverspreid beschikbaar, niet duur en eenvoudig te bemachtigen. Kanttekening: waar Owens, Dam en Lin (2009) echter niets over zeggen, maar wat bij militair optreden vanuit een Westers perspectief zeker enorm van belang is, is dat een offensieve partij bij een cyberoperatie geen eigen levens op het spel zet. Dus ook in levens is een offensieve cyberoperatie relatief niet duur. Dit is politiek gezien, zeker in de Westerse wereld, vaak een erg belangrijk punt. De identiteit van de partij achter een offensieve cyberoperatie kan met relatief veel gemak worden verhuld vergeleken met de identiteit van een partij achter een kinetische aanval. Offensieve cyberoperaties zijn erg moeilijk toe te schrijven aan een specifieke actor en zijn daarom bij uitvoering ook eenvoudig te ontkennen. Ontkenning is dan ook inherent aan het merendeel van de offensieve cyberoperaties. Hierdoor zijn deze operaties ook een geschikt instrument voor het katalyseren van een conflict tussen twee of meerdere andere partijen. 3.2 Technische aspecten offensieve cyber operaties Naast de drie kritische succesfactoren voor een offensieve cyberoperatie is de aanpak voor het uitvoeren van een offensieve cyberoperatie een technische aspect van offensieve cyberoperaties. De drie kritische succesfactoren (uitgewerkt in deelhoofdstuk 2.3 van het theoretisch kader) zijn een kwetsbaarheid in het computersysteem of computernetwerk van de opponent, een toegang om bij deze kwetsbaarheid te komen en een lading om de daadwerkelijke actie uit te voeren. Dit deelhoofdstuk zal een aantal aanpakken geven voor het uitvoeren van offensieve cyberoperaties. Deze aanpakken zijn gebaseerd op methoden en gereedschappen voor offensieve cyberoperaties die publiekelijk bekend zijn. Owens, Dam en Lin maken hierbij een onderscheid tussen aanpakken voor offensieve cyberoperaties op afstand, van dichtbij en social engineering (Owens, Dam, & Lin, 2009, p. 92). Kanttekening: dit is vreemd aangezien zij eerder offensieve cyberoperaties nog opsplitsten in slechts twee categoriën (Owens, Dam, & Lin, 2009, p. 87). Op basis van deze eerder opsplitsing in twee categoriën (uitgewerkt in paragraaf van dit onderzoek) zou social engineering een onderdeel zijn van offensieve cyberoperaties van dichtbij Mogelijke aanpakken voor offensieve cyberoperaties op afstand Verschillende gereedschappen die gebruikt kunnen worden bij offensieve cyberoperaties op afstand worden hieronder beschreven (Owens, Dam, & Lin, 2009, pp ): Botnets. Een botnet is een verzameling gecompromitteerde computers die op afstand bediend worden door de offensieve cyberpartij. Een gecompromitteerde computer (een 32

33 bot ) is verbonden met het internet en heeft software op de computer lopen die ingebracht is door de aanvaller. De kracht van een botnet zit hem in het aantal computers dat gecontroleerd wordt door de aanvaller. Een botnet bestaat gewoonlijk uit tienduizenden tot miljoenen gecompromitteerde computers. Botnets zijn ideaal voor het uitvoeren van Distributed Denial-of-Service (DDoS) aanvallen tegen computersystemen. Hierbij worden de bronnen die het doel ter beschikking heeft uitgeput en zijn dus niet meer beschikbaar voor andere doeleinden. Hoewel botnets uitermate geschikt zijn voor het uitvoeren van DDoS aanvallen, zijn ze vooral flexibel en bieden de offensieve cyberpartij vele mogelijkheden. Doorboren van de beveiliging ( security penetration ). Een computersysteem is gebruikelijk beveiligd tegen binnendringers van buitenaf. Vaak omvat dit authenticatie door middel van een wachtwoord en beveiligingssoftware die selectief externe toegangen blokkeert (firewall). Het gokken van een wachtwoord is een veel gebruikte manier van doorboren van de beveiliging. Gebruikers kiezen vaak wachtwoorden die eenvoudig te onthouden zijn en die zelden worden gewijzigd. Virussen en wormen. Virussen en wormen worden vaak gebruikt als tussenstap om de volledige controle over een vijandig systeem te bemachtigen. Vaak worden virussen en wormen gebruikt om Trojan horses te installeren. Een Trojan horses is kwaadaardige software die zich voordoet alsof het iets anders is, maar in werkelijkheid poorten in de beveiligingssoftware (firewall) open zet om zo de offensieve partij toegang te verschaffen tot het systeem of netwerk. Een worm infecteert niet alleen de computer waar het zich op bevindt, maar vermenigvuldigt zichzelf ook automatisch en maakt gebruik van de geïnfecteerde computer om weer andere computers te infecteren. Bij een virus gebeurt het infecteren van andere computers niet automatisch, maar slechts na een handeling van een gebruiker. Anoniem makers ( anonymizers ). Anoniem makers worden gebruikt voor het verhullen van de identiteit van de offensieve cyber partij. Een veelgebruikte techniek hiervoor is onion routing waarbij een meermaals versleuteld bericht via verschillende netwerk nodes, de zogenaamde onion routers, wordt verstuurd. Iedere onion router verwijdert telkens één versleuteling om zo bij specifieke routing instructies voor zichzelf te komen. Op deze manier weten blijft de oorsprong, het doel en de inhoud van het verzonden bericht verborgen voor de verschillende netwerk nodes. Binnendringen van of een Denial-of-Service aanval op draadloze netwerken. Draadloze netwerk communicatie tussen computers en apparaten worden steeds gebruikelijker. Dit biedt clandestiene mogelijkheden om toegang te krijgen tot of het ontzeggen van diensten (denial-of-service) aan computersystemen en netwerken. Een aanvaller kan bijvoorbeeld zijn eigen netwerk node toevoegen aan het netwerk om zo verkeer te onderscheppen en te monitoren, maar kan zich eventueel ook voordoen als een ander. Daarnaast kan het netwerk gejammed (overladen met ruis) worden om zo diensten van het netwerk te ontzeggen. Gecompromitteerde routers. Hierbij wordt vaak de logische topologie van een netwerk op een manier veranderd die gewenst is door de offensieve cyberpartij. Op deze manier onderschept de aanvaller verkeer en kan dan besluiten om dit verkeer te 33

34 blokkeren en dus het netwerk waarvoor het bedoeld was te isoleren. Om onderkenning te voorkomen kan het onderschepte verkeer ook worden gekopieerd en weer worden doorgestuurd naar het bedoelde netwerk. Gecompromitteerde protocollen. Een netwerk protocol is een standaard voor communicatie tussen twee computerapparaten. In praktijk zitten er soms onvolkomenheden in protocollen waar een aanvaller gebruik van kan maken. Om de dreiging van een offensieve cyberoperatie op afstand te verminderen, kan ervoor gekozen worden om een computersysteem niet aan te sluiten op eenvoudig toegankelijke communicatiekanalen zoals het internet. Hierdoor wordt het voor een aanvaller erg moeilijk en soms zelfs onmogelijk om een aanval op afstand uit te voeren. Toch zijn geïsoleerde systemen soms niet zo geïsoleerd als dat ze lijken en is bijvoorbeeld een computer die niet verbonden is met het internet toch bereikbaar via een dial-up modem, verbindt een computer zich slechts af en toe met het internet voor het ontvangen van updates of maakt de computer gebruik van externe media die informatie bevatten die wel afkomstig is van het internet (Owens, Dam, & Lin, 2009, p. 101). In deze gevallen zijn offensieve cyberoperaties van afstand dus nog steeds een optie Mogelijke aanpakken voor offensieve cyberoperaties van dichtbij Wanneer een computer of netwerk toch volledig geïsoleerd is, zijn offensieve cyberoperaties van dichtbij een alternatief (Owens, Dam, & Lin, 2009, p. 102). Hiervoor is de aanwezigheid van een mens vereist, wat de kans op onderkenning vergroot. Een offensieve cyberoperatie van dichtbij kan plaatsvinden tegen een operationele computer, maar ook tegen computers die nog in de leveringsketen zitten. Per definitie omzeilt een offensieve cyberoperatie van dichtbij de externe beveiliging van een netwerk en doet een indringer voorkomen als iemand van binnen het netwerk. Kanttekening: hierboven wordt letterlijk gezegd dat de aanwezigheid van een mens vereist is, wat betekent dat social engineering (uitgewerkt in paragraaf 4.2.3) een onderdeel is van offensieve cyberoperaties van dichtbij zoals dit onderzoek ook al eerder aanhaalde. Voorbeelden van offensieve cyberoperaties van dichtbij zijn (Owens, Dam, & Lin, 2009, pp ): Offensieve cyber operaties gericht op de leveringsketen. Offensieve cyberoperaties tegen systemen en de componenten hiervan kunnen in de verschillende fases van het leveringsproces (ontwerp, ontwikkeling, testen, productie, distributie, installatie, configuratie, onderhoud en tijdens het in werking zijn) worden uitgevoerd. Hierbij is de leveringsketen zo sterk als de zwakste schakel. Vaak is het toezicht op de leveringsketen zwak, wat het extra kwetsbaar maakt voor cyber operaties. Compromitteren van beveiligingssoftware van derden. Beveiligingssoftware is bedoeld om computers te beveiligen tegen dreigingen van buitenaf. In veel gevallen gebeurt dit door het identificeren en blokkeren van specifieke kwaadaardige software of van bepaalde activiteiten die kwaadaardige kenmerken vertonen. Een verkoper van beveiligingssoftware kan ertoe gebracht worden om de software zo te ontwikkelen dat deze sommige dreigingen negeert. 34

35 Compromittatie in het correctie proces (patch process). Het oplappen van een systeem biedt kansen voor het inbrengen van nieuwe kwetsbaarheden of het in stand houden van oude Social engineering Mensen die werken met of gebruik maken van IT systemen zijn een belangrijke kwetsbaarheid voor offensieve cyberoperaties (Owens, Dam, & Lin, 2009, p. 104). Social engineering gaat over het compromitteren van werknemers, gebruikers en aanbieders van diensten. Hierbij wordt gebruik gemaakt van werving, omkoping, chantage, misleiding en afpersing. In praktijk blijkt het vaak voordeliger en eenvoudiger om een persoon te compromitteren dan om door een firewall te breken of wachtwoorden te ontcijferen (Owens, Dam, & Lin, 2009, p. 106). Kanttekening: bewijzen voor bovenstaande bewering ontbreken echter in het rapport van Owens, Dam en Lin. 3.3 Operationele aspecten offensieve cyberoperaties Dit deelhoofdstuk gaat over de operationele implicaties bij het toepassen van offensieve cyberoperaties. In de komende paragrafen worden effecten van een offensieve cyberoperatie behandeld evenals een aantal mogelijke doelstellingen voor deze operaties en een aantal basis principes voor command and control met betrekking tot offensieve cyberoperaties Effecten van een offensieve cyberoperatie Hierbij wordt een onderscheid gemaakt tussen directe en indirecte effecten. Waarbij directe effecten van het gebruik van een wapen direct worden gevoeld door het doelwit, terwijl indirecte effecten van het gebruik van een wapen geassocieerd worden met de gevolgen van het pijn doen van, het schade toebrengen aan, het vernietigen van, het onbruikbaar maken van of het uitbuiten van een fysieke entiteit (Owens, Dam, & Lin, 2009, p. 110). Kanttekening: de benaming van directe en indirecte effecten is gedaan vanuit een technologisch oogpunt en dan is dit geheel juist. Voor iemand die kijkt vanuit een militair operationeel oogpunt kan deze benaming verwarrend werken, omdat de indirecte effecten zoals hier beschreven vaak de primaire effecten zijn die je wilt bereiken met de offensieve cyberoperaties Directe effecten Offensieve cyberoperaties zijn per definitie gericht tegen computersystemen of computernetwerken. Het aantal directe doelen die aangegrepen kunnen worden, is groot en bevat onder andere (Owens, Dam, & Lin, 2009, pp. 110, 111): Computer chips die in andere apparaten zijn ingebed. Voorbeelden van apparaten waar deze chips in ingebed kunnen zijn, zijn wapensystemen, 35

36 communicatieapparatuur, generatoren en voertuigen. Over het algemeen verzorgen deze microprocessors een real-time functionaliteit. Computersystemen die delen van een naties kritieke infrastructuur beheren. Voorbeelden van kritieke infrastructuren zijn het elektriciteitsnet, luchtverkeersleidingsysteem, waterzuivering en het financiële systeem. Specifieke computerapparatuur. Hiermee wordt niet iedere computer bedoeld, maar juist een specifieke computer in bijvoorbeeld een kantoor met gevoelige informatie of in een ruimte waar gebruik wordt gemaakt van operationeel kritische software. Met specifieke computerapparatuur kunnen ook de routers bedoeld worden die verkeer op het internet of andere netwerken controleren en sturen. Over het algemeen zijn offensieve cyberoperaties gericht tegen één of meerdere attributen van bovengenoemde componenten of apparaten, waarbij wordt getracht de integriteit, authenticiteit en/of beschikbaarheid van deze componenten of apparaten te verminderen (Owens, Dam, & Lin, 2009, p. 111). Deze drie aanvalsdoelstellingen zijn de directe effecten die een aanvaller met een offensieve cyberoperatie zou willen bereiken en zijn uitgewerkt in deelhoofdstuk 2.2 van het theoretisch kader. De directe effecten van een offensieve cyberoperatie zijn over het algemeen relatief eenvoudig ongedaan te maken (Owens, Dam, & Lin, 2009, p. 112). Hier is een verschil met offensieve kinetische operaties aan te merken, waarbij dit vaak niet het geval is. Dit betekent dat een offensieve cyberoperaties misschien zelfs meerdere malen uitgevoerd moet worden om een blijvend effect te bereiken op het doel. Het zal echter een stuk lastiger zijn om een doelsysteem blijvend uit te schakelen dan om het een eerste keer neer te halen. Doordat de tegenstander de aanval zal analyseren en hiertegen maatregelen zal proberen te nemen, wordt de aanvaller wanneer hij een blijvend effect wil bewerkstelligen, gedwongen iedere keer weer een andere manier te vinden om de offensieve cyberoperatie uit te voeren Indirecte effecten Offensieve cyberoperaties worden vaak met hele andere doelen gelanceerd dan de gerealiseerde directe effecten die gerelateerd zijn aan computers, netwerken en/of de informatie die hierin verwerkt wordt of hierover getransporteerd wordt (Owens, Dam, & Lin, 2009, p. 113). Daarom mogen de indirecte effecten ook zeker niet gezien worden als tweedegraads of minder belangrijk. Zo worden offensieve cyberoperaties bijvoorbeeld gelanceerd tegen de vijandelijke computersystemen, met als doel het vijandelijke command and control proces te ontregelen en niet het aangrijpen van die specifieke computer. Indirecte effecten zijn in tegenstelling tot directe effecten vaak niet onomkeerbaar (Owens, Dam, & Lin, 2009, p. 113). Zo kan misschien de computer die een generator bestuurt weer worden teruggezet naar de stand waarin het zich bevond voor de offensieve cyberoperatie, maar de generator die zich als gevolg van dit alles door oververhitting zelf heeft vernietigd, kan dit zeker niet. Offensieve cyberoperaties zijn in het bijzonder geschikt voor operaties tegen de psychologische component van vijandelijke beslissingsmakers die afhankelijk zijn van de aangevallen computersystemen en netwerken (Owens, Dam, & Lin, 2009, p. 113). Voorbeeld hiervan is het aanpassen van kritische informatie waardoor vijandelijke beslissingsmakers 36

37 slechte of voor zichzelf ongunstige beslissingen nemen. Hierna zal er altijd de onduidelijkheid zijn of andere informatie wel correct of ook aangepast is. Offensieve cyberoperaties kunnen echter ook onbedoelde consequenties hebben. Bijna altijd zijn onbedoelde consequenties indirecte effecten van een offensieve cyberoperatie (Owens, Dam, & Lin, 2009, p. 114). Deze consequenties kunnen voor de aanvaller positief uitvallen, maar ook tegenovergesteld. Voorbeeld hiervan is het door middel van een offensieve cyberoperatie platleggen van een vijandige elektriciteitscentrale die een legerbasis van elektriciteit voorziet. Onbekend is echter dat het plaatselijke ziekenhuis ook afhankelijk is van deze elektriciteitsvoorziening en zo enorm in de problemen komt. Het verlies van elektriciteit voor dit ziekenhuis en mogelijke gevolgen voor patiënten zijn indirecte gevolgen van de offensieve cyber operatie Mogelijke doelstellingen van een offensieve cyberoperatie Ongeacht de manier waarop een offensieve cyberoperatie uitgevoerd zal worden, kan de aanvaller de volgende doelstellingen hebben (Owens, Dam, & Lin, 2009, pp ): Kanttekening: onderstaande doelstellingen kunnen allemaal weer ingedeeld binnen de eerder genoemde drie categoriën van aanvalsdoelstellingen. Het vernietigen van een netwerk of het systeem dat ermee verbonden is. Het fysiek vernietigen van een netwerk of systeem dat daarop aangesloten is, kan misschien moeilijk zijn. Vaak is het echter een stuk eenvoudiger om de gegevens en/of programma s voor applicaties en besturingssystemen te vernietigen. De vernietiging van een netwerk zal verder ook negatieve consequenties hebben voor alles wat met dit netwerk verbonden is. Een actief deelnemer van een netwerk worden en zelf verkeer genereren. Een offensieve cyberpartij zal zich misschien voor willen doen als een vijandelijke autoriteit om zo valse orders uit te geven of verkeerde inlichtingen door te spelen. Deze vorm van cyber operaties heeft meer kans van slagen in een grote organisatie waarin het gebruikelijk is dat personen elkaar niet direct kennen. Daarnaast is het ook mogelijk als onbekende valse node om valse berichten naar de buitenwereld te sturen terwijl men zich als een bepaalde vijandelijke instantie voordoet. Dit alles kan zowel door het overnemen van een node in het netwerk als het aanmaken van een nieuwe node in het vijandelijke netwerk. Op clandestiene wijze gegevens wijzigen in een database die op het netwerk is ondergebracht. Wanneer de database van een systeem gecompromitteerd blijkt, zal dit een enorme impact hebben op het vertrouwen in het gehele systeem. Op allerlei gebieden is men afhankelijk van de gegevens die in de loop der tijd zijn verzameld en zijn opgeslagen in database. Een voorbeeld hiervan is een logistieke operatie waarbij leveringen aan eenheden in het veld moeten worden verzorgd. Deze leveringen zijn gebaseerd op gegevens uit een database die beschrijven hoeveel iedere eenheid heeft gehad, wat ze heeft aangevraagd en bijvoorbeeld de prioriteiten hierbinnen. Als vervolgens de ene eenheid zonder eten zit, maar met veel munitie, terwijl een andere eenheid juist in de problemen komt doordat zij geen munitie geleverd krijgt, zal het vertrouwen in het systeem snel afnemen. 37

38 Verminderen of ontzeggen van diensten op een netwerk. De kwaliteit van een netwerk kan naar beneden worden gebracht door de aanvaller wanneer deze grote hoeveelheden met nutteloos verkeer over het netwerk stuurt. Zo kunnen grote hoeveelheden spam verkeer een stuk minder efficiënt maken. Een andere veelgebruikte manier hiervoor zijn Denial-of-Service aanvallen en Distributed-Denialof-Service aanvallen. Zoals al eerder vermeld, worden er bij dit soort aanvallen vaak overvloedige hoeveelheden informatieaanvragen naar een doel gestuurd. Hiermee wordt vaak geprobeerd een server te overbelasten, zodat deze het netwerkverkeer niet meer aankan en het netwerkverkeer stil komt te liggen. Hierdoor zou de vijand bijvoorbeeld gedwongen kunnen worden om een onveiligere verbinding te gebruiken, die door de offensieve cyber partij weer gebruikt kan worden voor andere doeleinden. Het bemachtigen van de controle over een netwerk en/of het verkrijgen van toegang, privileges of diensten. Wanneer de aanvaller controle weet te krijgen over een vijandelijk netwerk of delen hiervan, dan kan deze partij gaan uitmaken wie welke diensten en verbindingen krijgt. Zo kunnen bijvoorbeeld eenheden die een hoge updatesnelheid nodig hebben een veel kleinere bandbreedte toegezegd krijgen wat er misschien toe leidt dat essentiële informatie niet op tijd ergens anders arriveert. Offensieve cyberoperaties kunnen ook goed worden uitgevoerd in samenhang met kinetische operaties. Afhankelijk van de te willen bereiken effecten, kiest men het soort operatie of combinatie van operaties om zo het gewenste effect te optimaliseren Command and Control in offensieve cyberoperaties Voor het uitvoeren van command and control maakt een commandant gebruik van een samenstel van personeel, uitrusting, communicatie, faciliteiten en procedures om de inzet van personeel en operaties te plannen, sturen, coördineren en leiden wat uiteindelijk moet leiden tot het behalen van een missie (Owens, Dam, & Lin, 2009, p. 129). Command and control moet ervoor zorgen dat de juiste informatie, op de juiste tijd, op de juiste plek, bij de juiste persoon is. Command and control vereist situational awareness. Hiervoor is informatie nodig over locatie, status en karakteristieken van doelen, maar ook over eigen en neutrale entiteiten. Daarnaast vereist command and control decision making die leidt tot een course of action die volstaat en communicatie over deze te volgen course of action naar de wapens en personen die dit moeten gaan uitvoeren. Hoe meer wapens, doelen, eigen en neutrale entiteiten erbij betrokken zijn, hoe complexer de command and control wordt en hoe meer deconflictie er plaats zal moeten vinden (Owens, Dam, & Lin, 2009, p. 129). Deze algemene principes gelden voor iedere operatie waarbij command and control vereist is, maar ook zeker in het geval van een cyber operatie moeten planners er rekening mee houden dat er eenvoudig meerdere partijen (agentschappen, overheden, maar ook criminele organisaties en burgers) tegelijk bij een operatie betrokken kunnen zijn. Waar command and control tijdens activiteiten in cyberspace op zich al ingewikkeld genoeg is (onder andere door de onbekende indirecte effecten en de vele verschillende partijen die hierbij betrokken zijn), wordt dit nog extra bemoeilijkt wanneer offensieve cyberoperaties plaatsvinden in een geïntegreerde campagne waarbij er niet alleen gebruik gemaakt wordt van offensieve cyberoperaties om de missie te bereiken. 38

39 4. Case studies In het eerst deel van dit hoofdstuk volgt in chronologische volgorde een beknopt overzicht van offensieve cyberoperaties die in de recente geschiedenis in de context van een internationaal conflict hebben plaatsgevonden. Dit zal geen volledig overzicht zijn, maar is bedoeld om een beeld te geven van deze operaties en de conflicten waarin ze plaatsvinden evenals te laten zien dat offensieve cyberoperaties al langer en vaker voorkomen dan menigeen vermoedt. Eén van de vereisten voor het uitvoeren van offensieve cyberoperaties is de aanwezigheid van een cyberspace. Waarbij cyberspace gedefinieerd kan worden als: de fusie van alle communicatienetwerken, -databases, en bronnen van informatie in een grote, ingewikkelde en diverse deken van informatie-uitwisseling. Er zijn dus twee elementen in cyberspace. Aan de ene kant bestaat cyberspace uit een denkbeeldige omgeving van digitale informatie (data). Aan de andere kant is er de fysieke hardware, bestaande uit computers, netwerken, telefoon-, coax-, glasvezelkabels en elektromagnetische straling, die de generatie en uitwisseling van digitale informatie mogelijk maakt (van der Weijden, 2009, p. 55). Dit brengt met zich mee dat cyberoperaties nog niet heel lang gebruikt kunnen worden als middel in internationale conflicten. Vanaf eind jaren negentig van de vorige eeuw zien we dan ook vooral een toename in het aantal offensieve cyberoperaties. Een tweede punt is dat de partijen betrokken bij een cyber conflict wel gebruik moeten maken van of toegang hebben tot deze cyberspace. Hierdoor zal een internationaal conflict met daarin cyberoperaties veel minder snel plaatsvinden in Afrika dan in bijvoorbeeld Europa. In het tweede deel van dit hoofdstuk zullen de cases Estland, Georgië, GhostNet, Aurora en Stuxnet verder worden uitgewerkt. 4.1 Recente geschiedenis De eerste operatie die gezien kan worden als offensieve cyberoperatie gaat terug naar Hierna blijft het even stil om in de loop van de jaren negentig van de vorige eeuw tot het heden een steeds belangrijkere rol te gaan spelen in internationale conflicten. Hieronder volgt puntsgewijs een opsomming van offensieve cyberoperaties in internationale conflicten. Sovjet pijplijnen. Tijdens de Koude Oorlog spioneerden de Sovjet Unie en de Verenigde Staten elkaar constant. Toen de Verenigde Staten in 1981concrete informatie kreeg dat de Sovjet Unie computer technologieën voor de controlesystemen van pijpleidingen in Siberië wilden stelen, werd deze software door de Amerikaanse inlichtingen diensten in samenwerking met een Canadees bedrijf bewerkt. De software was geprogrammeerd om na verloop van tijd de werking van de pompen, turbines en afsluiters in de war te sturen. Hierdoor zouden de pompsnelheden te hoog worden en de afsluiters niet meer werken, wat zou leidden tot een onaanvaardbare hoge druk in de pijpleiding. Het resultaat was de grootste explosie die ooit door satellieten in de ruimte waargenomen was (Reed, 2004, pp ). India-Pakistan. Het spanningen tussen India en Pakistan hebben vaak betrekking op Kashmir. Sinds eind jaren negentig van de vorige eeuw maken beide landen gebruik 39

40 van cyber tactieken om elkaars informatie systemen te ontregelen en propaganda te verspreiden. Waarbij vooral van 1999 tot 2001 een sterke toename van het aantal pro- Pakistan bekladdingen van Indiase websites opmerkelijk is. Destijds illustreerde dit conflict de kwetsbaarheid van systemen voor kritieke infrastructuren voor offensieve cyber operaties evenals de bereidheid van groepen om tijdens een politiek conflict elkaars gevoelige systemen aan te vallen. (Vatis, 2001, p. 5) Ook gedurende de afgelopen jaren zijn er cyberoperaties tussen beide landen blijven plaatsvinden. Voorbeelden hiervan zijn het hacken en bekladden van websites van India Institute of Technology in augustus 2005 door een groep hackers uit Pakistan en bekladdingen van de website van India s Eastern Railway in december 2008 door dezelfde groep, maar dan onder een andere naam. (Carr, 2009, pp. 6, 7) Israël-Palestijnen. Het slepende conflict tussen Israël en de Palestijnen is een conflict waarbinnen continu offensieve cyberoperaties plaatsvinden. Waarbij in ieder geval van 1999 tot 2001 een direct verband werd waargenomen tussen gebeurtenissen in de echte wereld en gebeurtenissen in de cyberspace. Deze gebeurtenissen omvatten in ieder geval het bekladden van websites, Distributed Denial-of-Service aanvallen, het binnendringen van elkaars systemen en gebruik van wormen en Trojan horses. (Vatis, 2001, pp. 6, 7) Een voorbeeld van de samenhang tussen gebeurtenissen in de echte wereld en de cyberspace is de gijzeling van drie Israëlische soldaten op 6 oktober Als reactie hierop starten pro-israëlische hackers aanhoudende DDoS aanvallen tegen de sites van de Palestijnse Autoriteit als ook tegen Hezbollah en Hamas. Pro-Palestijnse hackers haalden als vergelding sites uit de lucht die behoorden tot het Israëlisch Parlement (Knesset), de Israëlische defensie, het Ministerie van Buitenlandse Zaken, de Israëlische Bank, de Beurs van Tel Aviv en nog een aantal andere websites. (Vatis, 2001, p. 7) Dat zowel de Israëliërs als de Palestijnen ook in de afgelopen jaren gebruik maken van offensieve cyberoperaties blijkt wel uit meerdere meldingen op nieuwssites over bijvoorbeeld bekladdingen van elkaars websites. Een ander voorbeeld waarbij een offensieve cyber operatie vooraf ging aan een fysieke operatie is de moord op Hamas topman Mahmoud Al-Mabhouh op 18 januari Voorafgaand aan deze moord hebben Israëlische spionnen via een Trojan horse toegang gekregen tot de computer van Al-Mabhouh. Hierdoor waren zij in staat al zijn s en online activiteiten te volgen en wisten ze dat het latere slachtoffer die dag in Dubai zou zijn. (Bergman, 2011, p. 3) De Israëlische geheime dienst (Mossad) zelf heeft de moord niet toegegeven noch ontkent. Voormalige Republiek Joegoslavië-NATO conflict in Kosovo. Als reactie op luchtaanvallen door de North Atlantic Treaty Organisation (NATO) op doelen van de Voormalig Republiek Joegoslavië in Kosovo en Servië in het voorjaar van 1999 werden er offensieve cyber operaties gelanceerd tegen de NATO. Tijdens de bombardementen ondervonden NATO webservers aanhoudende cyberaanvallen. NATO bronnen vermoeden dat de hackers werknemers van de defensie van de Voormalig Republiek Joegoslavië waren. Alle van de ongeveer honderd NATO servers die de internationale NATO website huisvestten en het verkeer regelden, werden onderworpen aan DDoS aanvallen en overlaadden met duizenden e- 40

41 mails met veelal schadelijke virussen. Naast deze aanvallen op de NATO servers vonden er tegelijkertijd bekladdingen plaats van websites van de Amerikaanse defensie, overheid en commerciële sites. Deze bekladdingen werden uitgevoerd door Servische, Russische en Chinese sympathisanten van de Voormalig Republiek Joegoslavië. Hoewel de aanname is dat deze cyberoperaties geen effect hebben gehad op diensten die direct met de coördinatie en uitvoering van de bombardementen te maken hadden, is het wel duidelijk dat de operaties tegen de NATO s communicatie infrastructuur voor duidelijke verstoringen gezorgd hebben in zowel de interne als externe communicatie en diensten (Vatis, 2001, pp. 7, 8). Het spionage vliegtuig incident tussen de VS en China. Aanleiding voor dit conflict is een Amerikaans spionage vliegtuig dat op 1 april 2001 probeert te ontkomen aan Chinese jagers. Uiteindelijk komt het Amerikaanse spionage vliegtuig met een Chinese jager in botsing waarbij het Chinese vliegtuig neerstort en het Amerikaanse vliegtuig een noodlanding moet maken op Chinees grondgebied. Dit conflict dat hieruit voort vloeide, laat goed zien hoe politieke spanningen steeds vaker uitmonden in offensieve cyber operaties. Het uit deze gebeurtenis voortvloeiende politieke conflict tussen China en de Verenigde Staten leverde ook in de cyberspace een conflict op met offensieve cyberoperaties over en weer, waarbij beide partijen hulp ontvingen van hackers over de hele wereld. Toen de offensieve cyberoperaties stopten waren ongeveer 1200 Amerikaanse sites, waaronder sites die behoorden tot het Witte Huis, de Amerikaanse luchtmacht en het Ministerie van Energie, onderworpen aan DDoS aanvallen of beklad met pro-chinese tekens (Vatis, 2001, p. 8). Moonlight Maze en Titan Rain. Moonlight Maze is de codenaam die de Amerikaanse overheid gegeven heeft aan een serie gecoördineerde cyber aanvallen in 1999 tegen Amerikaanse computersystemen. Deze aanvallen vonden gedurende 2 jaar plaats en werden ontdekt door het Department of Defense. De aanvallen zijn teruggeleid naar computers in Moskou, maar het is onduidelijk of de aanvallen daar ook oorspronkelijk vandaan komen en wie er achter heeft gezeten. Titan Rain is de codenaam die de Amerikaanse overheid heeft gegeven aan een serie aanhoudende (in ieder geval nog in 2007) cyberaanvallen tegen Amerikaanse computersystemen die sinds 2003 worden uitgevoerd (Coleman, 2007, p. 1). Deze aanvallen lijken Chinees van oorsprong te zijn. Estland. Aan het begin van de lente in 2007 kondigde de Estse overheid het begin aan van voorbereidingswerkzaamheden voor het verplaatsen van oorlogsgraven, herbegraven van lichamen op de militaire begraafplaats en het verplaatsen van het herdenkingsmonument ter herinnering aan de Sovjet overwinning op Nazi Duitsland. Dit leidde op de avond van 26 april tot rellen tussen een deel van de Russische minderheid in Estland en de politie. Ook zorgde dit voor intensieve protesten van zowel de Russische overheid als ook Russische en een aantal internationale media (CCDCOE, 2009, pp ). Tegen het einde van 27 april 2007 namen offensieve cyberoperaties de plaats in van straatrellen en werden overheidsinstituten en nieuws sites aangevallen. Operaties tegen websites uit zowel de publieke als de private sector namen in wisselende intensiteit meer dan 3 weken in beslag. Na 19 mei toen de politieke wrijvingen tussen Estland en Rusland verminderd waren, kwam er ook een einde aan de offensieve cyberoperaties. 41

42 De operaties kunnen in twee fasen worden verdeeld, waarbij de tweede fase uit meerdere golven bestaat. De eerste fase vond plaats van 27 tot 29 april en wordt beschreven als een emotionele reactie, de offensieve cyberoperaties zijn relatief eenvoudig en als er al coördinatie is lijkt dit op ad hoc basis te gebeuren. Deze eerste fase werd gevolgd door een tweede fase die wordt omschreven als de hoofdaanval en duurde van 30 april tot 18 mei. In tegenstelling tot de eerste fase was hier sprake van professionele coördinatie, geavanceerde aanvallen en het gebruik van grote botnets. Hierbij was een duidelijke overeenkomst zichtbaar tussen politiek opvallende momenten en de intensiteit van de offensieve cyberoperaties. (CCDCOE, 2009, pp ) Israël-Syrië. Hoewel officiële versies van dit verhaal ontbreken, blijkt uit rapporten van buitenlandse experts dat Israël in september 2007 een offensieve cyberoperatie heeft uitgevoerd ter ondersteuning van een grotere operatie gericht om een Syrische kernreactor in aanbouw te vernietigen. Terwijl Israëlische vliegtuigen het Syrische luchtruim binnendrongen om de reactor in aanbouw te bombarderen, leek het luchtruim op de Syrische luchtverdedigingsradars leeg en veilig. Israël had het luchtverdedigingssysteem gehackt en controleerde dit gedurende de gehele aanval. (Eshel, 2010) De voordelen die deze offensieve cyberoperatie Israël opleverde voor de gehele missie zijn vanzelfsprekend. Litouwen. In juni 2008 neemt het Litouwse parlement een amendement op de wet aan waarin wordt verboden om in het openbaar Sovjet of Nazi symbolen te tonen dan wel het afspelen van Sovjet Unie of Nazi volksliederen. Binnen de eigen etnische minderheid levert dit weinig protesten op. Rusland is hier echter niet van gecharmeerd en uit zijn ongenoegen op verschillende manieren. De aanname van dit amendement leidt op zaterdag 28 juni tot offensieve cyber operaties tegen Litouwse websites. Op het hoogtepunt waren er ongeveer 300 Litouwse websites beklad met pro-sovjet en communistische symbolen evenals voorzien van anti-litouwen teksten. Op 2 juli waren de meeste websites weer hersteld. De oorsprong van de operatie is niet bekend, maar wel weet men dat deze werd uitgevoerd via proxy servers die zich ten oosten van Litouwen bevonden. Betrokkenheid van het Kremlin is nooit bewezen. (CCDCOE, 2009, pp ) Georgië. In augustus 2008 breekt er een conflict uit tussen Rusland en Georgië over Zuid-Ossetië, een autonome en gedemilitariseerde Georgische regio op de grens tussen Rusland en Georgië. Na een periode van separatistische provocaties valt Georgië op 7 augustus 2008 Zuid-Ossetië binnen. Op de volgende dag valt Rusland met militaire operaties Georgië binnen onder het mom van het beschermen van Russische burgers in het buitenland. Voordat de Russische invasie plaatsvindt, vinden er al offensieve cyber operaties plaats tegen een groot aantal Georgische overheidssites. Wanneer er op 12 augustus een staak het vuren wordt getekend, betekent dit echter niet het einde van de cyber aanvallen tegen Georgië. Die gaan nog de hele maand augustus door. (CCDCOE, 2009, pp. 75, 76) De cyberaanvallen bestaan voornamelijk uit het bekladden van websites en DoS aanvallen en DDoS aanvallen. Dit zijn relatief eenvoudige technieken die echter op zeer geavanceerde wijze werden uitgevoerd. De cyberaanvallen werden uitgevoerd door voornamelijk Russische burgers zonder bewijzen voor directe betrokkenheid van de Russische overheid of defensie. Op basis van het naadloos aansluiten van de 42

43 cyberaanvallen op de Russische grondoperaties kan geconcludeerd worden dat de organisatoren van de cyberaanvallen voorkennis hadden van de Russische militaire intenties en informatie kregen over timings van grondoperaties. Daarnaast werden de cyberaanvallers gesteund door de Russische georganiseerde misdaad. Sociale netwerken op internet werden gebruikt om mensen te rekruteren en te voorzien van instructies en kwaadwillige software (U.S. Cyber Consequence Unit, 2009). Ghostnet. Ghostnet is een Chinees op malware gebaseerd spionage netwerk dat vooral gericht lijkt tegen de Tibetaanse gemeenschap. Tussen juni 2008 en maart 2009 deed de Information Warfare Monitor onderzoek naar dit spionage netwerk en ontdekte computers in 103 verschillende landen die besmet waren, waarvan 30% gezien kan worden als een high-value targets en zich bevonden binnen Ministeries van Buitenlandse Zaken, ambassades, internationale organisaties, nieuws media en Non Governmental Organisations (NGO s). Ghostnet infecteert computers met een Trojan horse waarna de aanvallers de volledige en real-time controle over het systeem kunnen bemachtigen (Information Warfare Monitor, 2009, pp. 1, 5). Aurora. In januari 2010 meldt Google het slachtoffer te zijn van een geavanceerde aanval die zijn netwerk, evenals de netwerken van meer dan 30 andere bedrijven uit de Verenigde Staten, is binnengedrongen. Het doel van deze penetraties, die door Google worden toegeschreven aan China, was het verzamelen van technologische informatie en het verkrijgen van toegang tot de Gmail-accounts van activisten en tot Google s password management system (Lewis, 2011, p. 4). James A. Lewis, een cyber en nationale veiligheidsexpert aan het Center for Strategic and International Studies, beschrijft Aurora als: This is a big espionage program aimed at getting high-tech information and politically information. The high-tech information to jump-start China s economy and the political information to ensure the survival of the regime (Nakashima & Eunjung Cha, 2010). Stuxnet. Op 17 juni 2010 maakte de Wit-Russische firma VirusBlokAda bekend dat zij een nieuwe malware had ontdekt. Deze malware kreeg de naam Stuxnet en maakt misbruik van een viertal kwetsbaarheden in Windows die tot dat moment onbekend waren (GOVCERT.NL, 2010) Stuxnet is er niet op gericht om zo veel mogelijk schade aan te richten, maar gericht op één specifiek systeem. Op geïnfecteerde systemen gaat Stuxnet heel specifiek opzoek naar een bepaalde code en wanneer een match wordt gevonden, dan pas zal Stuxnet ook daadwerkelijk een aanval openen op het systeem. Het lijkt erop dat Stuxnet is ontwikkeld om nucleaire installaties in Iran aan te vallen, waarbij de uraniumverrijking installatie in Natanz het meest aannemelijke doel lijkt. De mate van verfijning van de Stuxnet worm suggereert het werk van een goed gefinancierd team die werkt voor een overheid. De Verenigde Staten en Israël zijn hierin de grootste verdachten (The Economist, 2010). Hoewel Iran niet heeft toegegeven dat Stuxnet de centrifuge installatie in Natanz heeft aangevallen, heeft zij wel gezegd dat Irans nucleaire locaties te maken hebben gehad met cyberaanvallen. President Mahmoud Ahmadinejad heeft bevestigd dat een software-aanval Irans centrifuges heeft beïnvloed. They succeeded in creating problems for a limited number of our centrifuges with the software they had installed in electronic parts (Albright, Brannan, & Walron, 2010, p. 1). 43

44 4.2 Cases Zoals al eerder aangegeven zijn de cases die verder bestudeerd worden de offensieve cyberoperaties gericht tegen Estland, de offensieve cyberoperaties gericht tegen Georgië, het cyber spionagenetwerk met de naam GhostNet, de offensieve cyberoperatie Aurora gericht tegen onder andere Google en Stuxnet, de meest recente offensieve cyberoperatie vermoedelijk gericht tegen Iraanse kerncentrales. De keuze voor deze vijf cases is ten eerste gebaseerd op het feit dat deze vijf cases een breed scala aan offensieve cyberoperaties vormen en ten tweede op basis van beschikbare informatie over deze cases. De hoofdvraag van dit onderzoek richt zich op de fasering van een offensieve cyberoperatie en om te kijken of de bestaande modellen (de vijf fasen van Janczewski en Colarik en de negen fasen van Grant, Venter en Eloff gegeven in de methodologie) ook volstaan voor offensieve cyberoperaties in de context van internationale conflicten. De geselecteerde vijf cases zijn geanalyseerd met behulp van Tabel 2 (uitgewerkt in paragraaf 2.4.3). Primair zijn de cases geanalyseerd naar het model van Janczewski en Colarik (2008) waarbij er met een schuin ook wordt gekeken naar het model van Grant, Venter en Eloff (2007). Deze analyses zijn opgenomen in de bijlages A t/m E en de conclusies die hieruit zijn per case in de paragrafen t/m uitgewerkt. De analyses zijn zo veel mogelijk gebaseerd op onderzoeksrapporten over de betreffende cyberoperatie. Een enkele keer is gebruik gemaakt van een andere bron, dit is gedaan bij gebrek aan andere bronnen om aan te geven dat een bepaalde fase wel degelijk heeft plaatsgevonden, maar dat er onduidelijkheid bestaat over de invulling van de fase. Ook wanneer er geen informatie over een bepaalde fase is gevonden, wil dit niet per definitie zeggen dat deze fase niet heeft plaatsgevonden. Gegevens uit andere fasen kunnen toch duiden op de aanwezigheid van een fase waar verder geen directe informatie over te vinden is. Paragraaf gaat over de verschillen en overeenkomsten in de fasering van de offensieve cyberoperaties tussen de verschillende cases. Deze paragraaf geeft antwoord op RQ 4 en vormt een verdere basis voor het eigen model voor offensieve cyberoperaties dat in hoofdstuk 5 wordt uitgewerkt Estland (bijlage A) De offensieve cyberoperatie gericht tegen Estland bestond uit meerdere offensieve cyberoperaties. In een rapport van het Cooperative Cyber Defence Center of Excellence (CCDCOE) dat in bijlage A genoemd wordt, worden deze verschillende kleinere cyberoperaties in een tijdlijn opgesomd. Deze verschillende offensieve cyberoperaties kunnen worden opgedeeld in twee perioden waarbij de eerste periode vooral emotioneel gemotiveerd was gezien de relatief eenvoudige aanvallen en de ad hoc coördinatie hiervan. De tweede periode bestond uit gecoördineerde aanvallen die ook veel geavanceerder waren. Voor dit onderzoek wordt gekeken naar de cyberaanvallen als één grote offensieve cyberoperatie. De fase verkenning evenals de drie daaraan gekoppelde fasen van Grant, Ventor en Eloff (2007) worden niet direct beschreven. Uit andere informatie is echter wel te concluderen dat deze ook zeer waarschijnlijk hebben plaatsgevonden. Verkenning is daarom misschien ook niet het goede woord voor alle gebeurtenissen die in bijlage A staan beschreven, maar waarschijnlijk is voorbereiding een betere beschrijving van al deze activiteiten. Zo blijkt uit veel bronnen dat er op voornamelijk Russische internet forums oproepen, informatie en 44

45 gereedschappen verspreid werden om offensieve cyberoperaties tegen Estland te starten. Deze informatie bestond onder andere uit doellijsten en specifieke instructies om deze doelen aan te vallen. Hoewel het niet letterlijk beschreven staat, betekent dit dat er verkenningen op de opponent hebben plaatsgevonden, want zonder verkenningen kan er ook geen lijst met doelen opgesteld worden. Daarnaast moeten de specifieke doelen verkend worden, waarbij onder andere kwetsbaarheden geïdentificeerd moeten worden, alvorens er specifieke aanvalsinstructies verspreid kunnen worden. Wat direct opvalt als we kijken naar de volgende twee fasen is de afwezigheid van de fase uitbreiden en ook de fase binnendringen heeft slechts een kleine rol gespeeld in de gehele cyberoperatie gericht tegen Estland. Dit komt doordat het overgrote deel van de aanvallen op Estland uit Denial of Service (DoS) en Distributed Denial of Service (DDoS) bestond. Dit zijn offensieve cyberoperaties die van buiten gericht zijn tegen een vijandelijk computersysteem of computernetwerk, maar waarbij men dus niet hoeft binnen te dringen. En niet binnen zijn, betekent automatisch de afwezigheid van de uitbreidingsfase. In het geval van DoS en DDoS is er vanzelfsprekend wel sprake van een actie fase, waarin getracht wordt het gebruik van een computersysteem of computernetwerk of een deel daarvan te ontzeggen aan de opponent. In het geval van de aanvallen op Estland werden hier verschillende welbekende methoden voor gebruikt. Naast DoS en DDoS aanvallen vonden er ook bekladdingen van websites plaats en hiervoor moet de offensieve partij eerst de betreffende websites gehackt hebben. Dit hacken van enkele websites komt overeen met binnendringen, waarna de bekladding de uit te voeren actie is. Kijkende naar de Estland case als één grote offensieve cyber operatie, dan heeft de fase binnendringen dus plaatsgevonden voor een deel van de cyber operatie. In de analyse van deze case is het verbergen van de herkomst van een aanval door het gebruik maken van wereldwijde botnets, het routeren van de aanvallen door proxy servers in andere landen en het vermoedelijk ook vervalsen van IP-adressen voorafgaand aan de daadwerkelijke actie, opgenomen onder de fase bewijs verwijderen van Janczewski en Colarik (2008). Dit terwijl de fase bewijs verwijderen pas plaatsvindt nadat de actie heeft plaatsgevonden. Hoewel Grant, Ventor en Eloff (2007) in hun beschrijving van de fase penetration ook het verbergen van de oorsprong van de indringer hebben opgenomen, biedt dit geen uitkomst in het geval er sprake is van een aanval van buiten (Denial of Service) waarbij dus geen sprake is van een penetration fase. Bewijs verwijderen zoals Janczewski en Colarik het beschrijven, komt meer neer op het herstellen van de oorspronkelijke situatie dan op het vooraf verdoezelen van de herkomst van de indringer Georgië (bijlage B) De offensieve cyberoperatie gericht tegen Georgië bestond net als de offensieve cyberoperatie tegen Estland uit meerdere offensieve cyberoperaties verspreid over een periode van een paar weken. In een rapport van het Cooperative Cyber Defence Center of Excellence (2009) (CCDCOE) dat wordt genoemd in bijlage B, worden deze verschillende kleinere cyberoperaties in een tijdlijn opgesomd. Net als met de verschillende cyberaanvallen in Estland, worden ook de verschillende offensieve cyberoperaties gericht tegen Georgië voor dit onderzoek bekeken als één grote offensieve cyberoperatie. Ook hier geldt dat er een gat zit tussen de voorbereidende fase (verkenning) van de operatie en de uitvoerende fasen (binnendringen, uitbreiden en de actie) zoals beschreven door 45

46 Janczewski en Colarik (2008) evenals tussen de overeenkomende fasen van Grant, Venter en Eloff (2007). De periode tussen het uitvoeren van de offensieve cyberoperatie en de verkenning in wordt duidelijk omschreven. Uit onderzoek van U.S. Cyber Consequence Unit (2009) (USCCU) blijkt dat de georganiseerde Russische misdaad onder andere verantwoordelijk was voor de offensieve cyberoperaties gericht tegen Georgië en dat de organisatoren van de offensieve cyberoperaties voorkennis hadden over de Russische militaire operaties die plaats zouden gaan vinden. Op het moment dat de militaire operaties begonnen, vonden er ook gelijk effectieve cyberoperaties tegen Georgië plaats. De benodigde verkenningen voor deze aanvallen zullen al vooraf plaats moeten hebben gevonden. Uit ditzelfde geclassificeerde onderzoek, waarvan de conclusies openbaar zijn gemaakt, blijkt dat de cyberoperaties tegen Georgië al langere tijd op de Russische agenda stonden. Meerdere tekenen duiden op voorbereiding en planning voorafgaande aan de daadwerkelijke periode met cyber aanvallen. Een voorbeeld hiervan is een bekladding van een Georgische website die gericht en al meer dan twee jaar voor de daadwerkelijk bekladding voorbereid was. Uit onderzoek door onder andere het CCDCOE (2009) en het Grey Goose Project (Carr, 2008) blijkt dat er vanaf het begin op verschillende forums lijsten met doelwitten zijn gepubliceerd, kwetsbaarheden in applicaties bekend zijn gemaakt en de nodige gereedschappen beschikbaar zijn gesteld om simpele burgers deel te laten nemen aan de aanvallen op Georgische doelwitten. Grey Goose Project analisten identificeerden vijf stappen in de cyber kill chain die de forum leiders doorliepen bij de uitvoering van de aanvallen tegen Georgië. De eerste drie fasen hiervan vallen onder de voorbereiding, te weten het aanmoedigen van novices, het publiceren van een lijst met doelwitten en het bediscussiëren en selecteren van één of meerdere soorten malware. Over de verkenning om te komen tot een lijst met doelwitten en de verkenning van de doelwitten om hier bepaalde kwetsbaarheden in te ontdekken is niets te lezen. Voor de volgende twee fasen uit het model van Janczewski en Colarik geldt hetzelfde als in de Estland case. Doordat de offensieve cyberoperaties tegen Georgië beperkt bleven tot DoS, DDoS en het bekladden van websites is er slechts in beperkt sprake geweest van binnendringen (alleen het hacken van een website om deze vervolgens te bekladden) en helemaal geen sprake van uitbreiden. De actiefase bestond dus uit zowel het daadwerkelijk bekladden van de websites als het ontzeggen van diensten van een computersysteem of computernetwerk aan de opponent. Zo werd de mogelijkheid van de Georgische overheid om te communiceren met het eigen volk als met het internationale publiek beperkt door DoS en DDoS aanvallen op cruciale Georgische overheidswebsites in de eerste dagen van het conflict. Een periode die zonder twijfel het meest cruciaal was in het gehele conflict. Uit het eerdere aangehaalde onderzoek van de USCCU blijkt dat het erop lijkt dat de Russische misdaad totaal geen moeite heeft gedaan om haar betrokkenheid in de offensieve cybercampagne te verhullen om zo de credits hiervoor te claimen. Vermoedens in de richting van betrokkenheid vanuit het Kremlin zijn er, maar bewijzen zijn er niet en de Russische regering blijft zich distantiëren van de offensieve cyberoperaties uitgevoerd door nationalistische Russische hackers. Een fase die in de Georgië case wordt onderkend is een evaluatiefase. Analisten van het Grey Goose Project hebben als laatste fase in de cyber kill chain de stap evaluate geïdentificeerd. Zij voorspellen met redelijke zekerheid dat de hacker forums die gebruikt 46

47 worden voor het trainen van Russische cyber warriors hun feedback loop zullen blijven ontwikkelen. Deze fase vertoont overeenkomsten met de attack dissemination fase zoals deze letterlijk beschreven is in de paper van Grant, Venter en Eloff (Grant, Venter, & Eloff, 2007, p. 6) GhostNet (bijlage C) Over de verkenningsfase van GhostNet, de naam voor een verneemd Chinees cyberspionage netwerk gericht tegen de Tibetaanse gemeenschap, is weinig bekend anders dan dat het in het geval van de Tibetaanse gemeenschap erg eenvoudig was om aan ingangen te komen voor social engineering. Doordat monniken van de Office of His Holiness the Dalai Lama (OHHDL) ook actief waren op verschillende discussie sites kon een kwaadwillende partij eenvoudig namen, interesses en personen met wie men vaak contact had achterhalen (Nagaraja & Anderson, 2009, p. 6). Uit onderzoek van de Information Warfare Monitor (2009) blijkt dat de aanvallers gebruik maakten van in ieder geval twee manieren om binnen te komen. De eerste manier betrof vervuilde webpagina s die bij bezoek de computer infecteerden van diegene die de vervuilde webpagina bezocht. De andere manier betrof vertrouwd lijkende s met een bijlage, die in het geval van openen achterdeuren ( back doors ) creëerde en de geïnfecteerde computer dwong om verbinding te maken met een control server en af te wachten op verdere instructies. Eenmaal gecompromitteerd werden gegevens in de geïnfecteerde computer gebruikt voor het verkrijgen van contactgegevens en werd de gecompromitteerde host gebruikt voor het verder verspreiden van de malware door het zenden van s met vervuilde bijlage. Op deze manier leek het alsof de s van een legitieme bron kwamen en legitieme inhoud bevatten. Daarnaast checkten geïnfecteerde computers regelmatig in bij een control server voor het ontvangen van verdere instructies en werden zij gedwongen een Trojan horse te downloaden en installeren die op afstand te aan te sturen was. Deze punten vallen allemaal onder de uitbreidingsfase. De actiefase bestond uit het ongemerkt informatie onttrekken uit het systeem. Eenmaal volledig gecompromitteerd was de aanvaller in staat om vele verschillende activiteiten te ondernemen op de geïnfecteerde computer (Information Warfare Monitor, 2009, p. 39). Documenten werden verwijderd, toetsaanslagen gelogd, webcamera s en audio apparaten werden geactiveerd en dit alles zonder dat het doelwit het door had. Na tien maanden van onderzoek naar GhostNet kan de Information Warfare Monitor nog geen antwoord geven op de vraag wie er achter dit netwerk zat, wat de motivatie hiervoor was en hoe het netwerk precies gekarakteriseerd moet worden (Information Warfare Monitor, 2009, p. 48). Simpelweg, omdat ze niet in staat zijn vast te stellen welke soort informatie de aanvallers bemachtigd hebben. Hieruit kan geconcludeerd worden dat de aanvallers een zekere vorm van bewijs verwijderen moeten hebben toegepast Aurora (bijlage D) Er zijn een paar rapporten over hoe Aurora precies werkt, maar over de operationele kant van Aurora is weinig bekend en geschreven. Dit komt voor een belangrijk deel door het feit dat slechts een beperkt aantal van de getroffen bedrijven of instanties ook daadwerkelijk meldt het slachtoffer te zijn van Aurora. En de bedrijven en instanties die het wel melden, 47

48 vermelden vaak niet meer dan dat ze slachtoffer zijn geweest zonder daar verdere specificaties bij te vermelden. Zo heeft er zeker een voorbereidings-/verkenningsfase plaatsgevonden, maar over de invulling hiervan is veel onduidelijkheid. Volgens Gary Elliott, een Amerikaanse beveiligingsexpert, heeft het maanden of jaren gekost om Aurora voor te bereiden en de infrastructuur van bedrijven in kaart te brengen (security.nl, 2010). Iets wat door een grote militaire of inlichtingendienst moet zijn gebeurd, aangezien zelfs de Russische maffia hier niet toe in staat zou zijn volgens Elliott. De uitvoering echter is wel uitgebreid op papier gezet en dan vooral de technische kant. Het binnendringen gebeurd in eerste instantie door middel van social engineering. Het doelwit ontvangt een met een link naar een website die een kwaadaardige lading bevat. Malware wordt automatisch gedownload en geïnstalleerd op de computer van het doelwit. Hier creëert de malware een achterdeur en maakt verbinding met een command en control server. In bijlage D worden de verschillende stappen voor het binnendringen verder uitgewerkt en verduidelijkt met twee afbeelding. In de uitbreidingsfase werden gecompromitteerde systemen gebruikt om verder in het netwerk door te dringen, moesten de privileges van de aanvaller in de door hem gecompromitteerde systemen vergroot worden of werd er getracht toegang te krijgen tot databases met wachtwoorden. In de actie fase werd informatie aanwezig in computersystemen of op computernetwerken van de opponent door de aanvaller onttrokken. Zoals vermeld maken getroffen bedrijven zelden bekend wat er ook daadwerkelijk aan informatie onttrokken is. Voor het doel van dit onderzoek doet dat er ook niet echt toe. Wat het verwijderen van bewijs betreft heeft de vice president van McAfee s dreigingsonderzoek afdeling gezegd dat de toegepaste encryptie erg succesvol was in het verdoezelen van de aanval en zo het verhinderen van detectie door gebruikelijke detectie methoden (Zetter, 2010). Daarnaast blijkt uit onderzoek van Damballa Inc. (Antonakakis, et al., 2010, p. 1) dat Aurora zijn oorsprong in juli 2009 heeft, terwijl Aurora pas in december 2009 aan het licht kwam. In tussentijd is Aurora dan in ieder geval goed verborgen gebleven Stuxnet (bijlage E) Stuxnet is de meest recente offensieve cyberoperatie van de vijf cases in dit onderzoek. Anders dan de vorige vier cases is Stuxnet erop uit om gegevens in zogenaamde Programmable Logic Controllers (PLC) aan te passen om zo het industrieel controle systeem van Iraanse nucleaire faciliteiten te saboteren (Falliere, Murchu, & Chien, 2010, p. 2). Hoewel ondertussen iedereen het er over eens is dat Stuxnet specifiek gericht is tegen Iraanse uranium centrifuges, zijn er over de oorsprong alleen nog maar speculaties. Stuxnet is in ieder geval het werk van meerdere mensen die in een georganiseerd verband werken en de beschikking hadden over specifieke informatie, genoeg tijd en geld (GOVCERT.NL, 2010, p. 2). De verdenkingen gaan uit naar een overheid, maar harde bewijzen hiervoor ontbreken. Op basis van de technische kenmerken van Stuxnet concluderen onderzoekers van Symantec dat de aanvallers verkenningen moeten hebben uitgevoerd (Falliere, Murchu, & Chien, 2010, p. 3). Aangezien iedere PLC op een unieke manier geconfigureerd is, hadden de aanvallers eerst de ontwerpdocumenten van de industriële controle systemen in de Iraanse nucleaire centrifuges nodig. Om de code van de Stuxnetworm te testen moest er een computeromgeving gecreëerd worden die vrijwel identiek was aan die van het doelwit. In een artikel in de New York Times (Broad, Markoff, & Sanger, 2011) wordt gespeculeerd over de invulling van deze 48

49 voorbereidingsfase en worden de Verenigde Staten en Israël aangewezen als schuldigen. Kwetsbaarheden in controllers zouden in 2008 zijn geïdentificeerd in een gezamenlijk onderzoeksprogramma van het Duitse bedrijf Siemens (die ook de controllers in de Iraanse nucleaire faciliteiten leverde) en het Idaho National Laboratory, dat onderdeel is van het Energy Department die weer verantwoordelijk is voor Amerika s nucleaire wapens. Het testen van Stuxnet zou gebeurd zijn in nucleaire centrifuges in Israël die vrijwel identiek zouden zijn aan die in Iran. Hoe Stuxnet werkt wordt in Figuur 5, opgenomen in bijlage E en hieronder weergegeven, goed inzichtelijk gemaakt. Figuur 5 Hoe Stuxnet zich verspreid. (The New York Times, 2011) De binnendringfase komt overeen met INITIAL INFECTION uit het figuur. Aangezien veel industriële controle systemen niet aangesloten zitten op externe netwerken, kon Stuxnet niet via internet worden geïnjecteerd. Hoe Stuxnet precies is binnengekomen weet men niet, maar de meeste vermoedens gaan uit naar het fysiek inbrengen van een USB-stick (zie Figuur 5). Dat er ook andere mogelijkheden zijn blijkt wel uit bijlage E. 49

50 Uit de technische analyse van Stuxnet door Symantec blijkt dat Stuxnet van verschillende methoden gebruik kan maken om zich te verspreiden (Falliere, Murchu, & Chien, 2010, p. 21). Door externe schijven te infecteren en zichzelf te kopiëren over het interne netwerk breidt Stuxnet zich steeds verder uit. Op een geïnfecteerde computer gaat Stuxnet dan op zoek naar specifieke software van procescontrolesystemen. In figuur 5 is deze stap weergegeven onder het kopje UPDATE AND SPREAD. Het uiteindelijke doel van Stuxnet is het saboteren van de nucleaire faciliteiten in Iran door het herprogrammeren van PLC s zodat deze gaan opereren zoals de aanvallers bedoeld hebben. Hoe het aanpassen van de gegevens in een PLC gebeurd wordt in bijlage E uitgebreider beschreven. Deze actie fase wordt in Figuur 5 weergegeven onder het kopje FINAL TARGET. Als de fase van het verwijderen van bewijs gezien wordt als het verhullen van de cyber operatie dan vallen hier ook de valse signalen onder die een geïnfecteerde PLC naar het systeem stuurt om het systeem te laten denken dat alles normaal verloopt. Daarnaast zou Stuxnet geschreven zijn om zichzelf te verbergen en is ook na ontwikkeling zeer lastig te analyseren, als gevolg van het gebruik van verschillende technieken om de ware aard van de malware te verbergen. Om legitiem over te komen maakt Stuxnet daarnaast gebruik van twee op frauduleuze wijze verkregen software-certificaten van derden Overeenkomsten en verschillen Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) Aanwezigheid fase (aanwezig/ beperkt aanwezig/ afwezig/ geen informatie beschikbaar) Estland Georgië GhostNet Aurora Stuxnet 1. Verkenning 1. Footprinting 2. Binnendringen 2. Reconnaissance 3. Vulnerability Identification 4. Penetration Beperkt aanwezig Aanwezig Aanwezig Aanwezig Aanwezig Aanwezig 50 Beperkt aanwezig Aanwezig Aanwezig Aanwezig 3. Uitbreiden 5. Control Afwezig Afwezig Aanwezig Aanwezig Aanwezig 6. Embedding 4. Actie 7. Data Aanwezig Aanwezig Aanwezig Aanwezig Aanwezig extraction or modification 5. Bewijs 8. Attack relay Beperkt Afwezig Aanwezig Aanwezig Aanwezig verwijderen aanwezig 9. Attack dissemination Aanwezig Geen informatie beschikbaar Tabel 3 Aanwezigheid van de verschillende fasen in de vijf cases Geen informatie beschikbaar Geen informatie beschikbaar Geen informatie beschikbaar

51 In tabel 3 is de aanwezigheid van de verschillende fasen uit de twee bestaande modellen in de vijf onderzochte cases weergegeven. Hieruit valt direct het verschil op tussen de cases Estland en Georgië enerzijds en GhostNet, Aurora en Stuxnet anderzijds. De actiefase van offensieve cyber operaties gericht tegen Estland en Georgië bestonden voornamelijk uit DoS en DDoS aanvallen van buitenaf op computersystemen en computernetwerken waarbij het doel was het gebruik van bepaalde computersystemen of computernetwerken of delen daarvan te ontzeggen. Doordat deze aanvallen van buitenaf plaatsvonden was er geen sprake van binnendringen en vanzelfsprekend dan ook niet van uitbreiden. Kijkend naar de andere drie cases dan zien we dat de fasering van de uitvoering van de offensieve cyber operatie goed overeenkomt met de GhostNet, Aurora en Stuxnet cases. Vanzelfsprekend zijn de methoden en gereedschappen toegepast voor het binnendringen, het uitbreiden en de actie in iedere case verschillend, maar de fasering komt overeen. Het verschil tussen GhostNet, Aurora en Stuxnet aan de ene kant en Estland en Georgië aan de andere kant komt vooral voort uit de verschillende doelstellingen van de operaties. Waar zoals al eerder aangegeven de cyber operaties tegen Estland en Georgië bedoeld waren om het gebruik van computersystemen en computernetwerken te ontzeggen, waren de operaties GhostNet en Aurora gericht op het onttrekken van informatie uit deze computersystemen en computernetwerken, terwijl Stuxnet duidelijk bedoeld was op het aanpassen van bepaalde gegevens in computersystemen en computernetwerken. Om de doelstellingen van GhostNet, Aurora en Stuxnet te bereiken, moest de aanvaller dus eerst ook de binnendringfase en uitbreidingsfase doorlopen voordat de daadwerkelijke actie kon plaatsvinden. Kijkend naar Tabel 3 zien we dat de verkenningsfase in iedere cases voorkomt. Een eerste kanttekening die hierbij geplaatst moet worden, is dat na analyse van de vijf cases deze verkenningsfase bij lange na niet alle activiteiten omvat die plaatsvinden voorafgaand aan de uitvoering van een offensieve cyberoperatie. Zo blijkt na de analyse van de vijf cases dat er in de voorbereiding ook sprake is van onder andere het opstellen van lijsten met aanvalsdoelen, het identificeren van kwetsbaarheden, het aanmoedigen van novices, het verspreiden van doellijsten, instructies en gereedschappen (Estland en Georgië) evenals van het testen van de malware (Stuxnet). In hoofdstuk 5 wordt hierop teruggekomen. Het verwijderen van bewijs komt in zoverre overeen dat er in alle cases verdenkingen zijn van betrokkenheid of verantwoordelijkheid van een overheid bij de cyberoperatie, maar dat hier in geen van de vijf cases hard bewijs voor is. Dit probleem wordt ook wel het attributieprobleem genoemd en is typerend voor cyberoperaties. Veel van het verwijderen van bewijs gebeurd al vooraf door bijvoorbeeld het kiezen van een bepaalde route naar het doel. In de Estland case is dit bijvoorbeeld gebeurd, terwijl in de Georgië case de Russische georganiseerde misdaad juist haar best lijkt te hebben gedaan om de credits voor de cyber aanvallen te krijgen. Wanneer het verwijderen van bewijs door de aanvaller gezien wordt als het ongemerkt herstellen van de oorspronkelijke situatie dan kan hier alleen sprake van zijn nadat men ook daadwerkelijk in het systeem is geweest. Over de aanwezigheid van een evaluatiefase wordt alleen gesproken in de Georgië case. Waarbij Russische hackerforums de lessons learned van voorgaande cyberaanvallen gebruiken voor het verbeteren van hun cyber kill chain. Hoewel niet beschreven in andere cases is dit een fase die waarschijnlijk in meer of mindere mate wel terugkomt in iedere case. 51

52 5. Eigen model In dit hoofdstuk wordt gekomen tot een eigen model voor offensieve cyberoperaties. Dit zal gebeuren door in paragraaf 5.1 eerst te kijken naar de onvolkomenheden van de twee bestaande modellen als model voor offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. In paragraaf 5.2 worden vervolgens op basis van de theorie en informatie uit de cases aanvullingen gegeven om te komen tot een volledig en eigen model. In paragraaf 5.3 wordt dit model gepresenteerd. Dit model is tot stand gekomen op basis van de twee bestaande modellen, bestudering van vijf cases van offensieve cyberoperaties die plaatsvonden in de context van een internationaal conflict en aanvullingen uit de theorie. 5.1 Onvolkomenheden bestaande modellen Ter verduidelijking wordt hieronder nog eenmaal Tabel 2 gegeven. Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) 1. Verkenning 1. Footprinting 2. Reconnaissance 3. Vulnerability Identification 2. Binnendringen 4. Penetration 3. Uitbreiden 5. Control 6. Embedding 4. Actie 7. Data extraction or modification 5. Bewijs verwijderen 8. Attack relay 9. Attack dissemination Tabel 2 Vergelijking bestaande modellen De eerste onvolkomenheid in de bestaande modellen betreft de voorbereiding van een offensieve cyberoperatie. Zoals genoemd in deelhoofdstuk 3.1 is één van de karakteristieken van offensieve cyberoperaties dat deze operaties vaak erg complex te plannen en uit te voeren zijn. Dit komt door de vele opties die er zijn en daarnaast spelen er ook secundaire en tertiaire effecten mee. Een goede voorbereiding vereist een gedegen analyse van dit complexe geheel. Dat deze voorbereiding zo belangrijk is, is niet terug te vinden in het model Janczewski en Colarik (2008) die slechts spreken van een verkenningsfase, terwijl uit de cases blijkt dat er veel meer activiteiten plaatsvinden voorafgaand aan de uitvoering. Voorbeelden hiervan zijn het identificeren van kwetsbaarheden, het verspreiden van lijsten met doelwitten en informatie en gereedschappen en het testen van de payload. Het model van Grant, Venter en Eloff (2007) is hier vollediger in, maar schiet in ieder geval voor offensieve cyberoperaties in de context van internationale conflicten tekort aangezien ook hier geen sprake is van een testfase of bijvoorbeeld een fase waarin lijsten met doelwitten worden verspreid. 52

53 Deze eerste kanttekening is gebaseerd op de analyse van de vijf cases. Zoals al aangegeven blijkt hieruit dat er veel meer activiteiten plaatsvinden voorafgaand aan de uitvoering van een offensieve cyber operatie dan alleen een verkenningsfase. Naast de verkenningsfase vindt er dan ook een voorbereidingsfase plaats. Wat het lastig maakt met betrekking tot deze twee fasen is dat deze fasen uitgevoerd worden door een aanvaller en in de meeste gevallen niet opgemerkt worden door het doelwit. En als de aanvaller het goed doet dan zijn deze fasen dus niet zichtbaar voor het iemand anders dan de aanvaller. Doordat alle informatie over de vijf cases op basis is van waarnemingen en onderzoeken van buitenaf of van de kant van het slachtoffer, maar niet vanuit de aanvaller, zijn dit lastige fasen om op basis van de cases verder in te vullen. In de volgende paragraaf worden op basis van de analyse van de vijf cases en eerder gebruikte theorie aanvullingen gegeven om te komen tot een volledig model voor de verkenning en voorbereiding. Zoals verder blijkt uit paragraaf is het model van Janczewski en Colarik (2008) als ook die van Grant, Venter en Eloff (2007) slechts toe te passen op offensieve cyber operaties waarbij men eerst in het systeem binnendringt alvorens actie te ondernemen. Een aanval van buiten het systeem met als doel het ontzeggen van het gebruik van computersystemen en computernetwerken of een deel daarvan past niet binnen deze twee modellen. Voor het model van Janczewski en Colarik (2008) is dit echt een tekortkoming aangezien zij spreken over een fasering voor cyberaanvallen en hier geen uitzondering op geven. Voor het model van Grant, Venter en Eloff (2007) is dit begrijpelijk aangezien hun model gericht is op de acties van een hacker, wat betekent dat er altijd sprake zal zijn van een binnendringfase voorafgaand aan de daadwerkelijke actie. Het verwijderen of verbergen van bewijs is lastig weer te geven, aangezien dit op meerdere momenten in de cyber operatie kan plaatsvinden. Wanneer we de attack dissemination fase van Grant, Venter en Eloff (2007), waarvan het vanzelfsprekend is dat die als laatste fase wordt weergegeven, bekijken als een evaluatiefase, dan is dit nog steeds een fase die logischerwijs als laatste stap wordt weergegeven, maar die ook op andere momenten in de operatie plaats kan vinden. Deze fase van Grant, Venter en Eloff is echter bedoeld als fase waarbij de individuele hacker informatie en instructies deelt met het botnet dat hij dirigeert en niet als evaluatie fase. 5.2 Aanvullingen Verkenningen zijn over het algemeen op twee manieren uit te voeren en dit is in de verschillende cases goed terug te zien. Bij de ene manier van verkennen is het te bereiken effect leidend, terwijl bij de andere het doelwit leidend is. In het eerste geval zal de aanvaller op het moment dat zij besluit een offensieve cyberoperatie te starten, eerst moeten vaststellen welk direct effect zij wil bereiken. Deze doelstellingen zijn op basis van theorie (Owens, Dam, & Lin, 2009, p. 111) in te delen in de volgende drie categorieën: het verminderen van de integriteit van computersystemen en computernetwerken of de informatie hierop, het verminderen van de authenticiteit van computersystemen en computernetwerken of de informatie hierop, het verminderen van de beschikbaarheid van computersystemen en computernetwerken of de informatie hierop. 53

54 Kijken we naar de vijf bestudeerde cases dan zien we daar een driedeling die overeenkomt de theorie: het onttrekken van informatie uit computersystemen en van computernetwerken, het aanpassen van gegevens in computersystemen en op computernetwerken, het ontzeggen van het gebruik van computersystemen en computernetwerken. Een aanval op de beschikbaarheid komt overeen met het ontzeggen van het gebruik van computersystemen en computernetwerken aan de opponent, zoals het geval was in de Estland en Georgië cases. Eenzelfde overeenkomst is er tussen een aanval op de authenticiteit en het onttrekken van informatie waarvan in zowel de GhostNet als de Aurora cases sprake was. Een aanval op de integriteit is het aanpassen van gegevens in computersystemen en computernetwerken, zoals in de Stuxnet het geval was. Met deze te bereiken doelstelling in het achterhoofd kan worden begonnen aan de verkenning van de opponent. Verkenning van de opponent zal moeten leiden tot een lijst met doelwitten, waarna er per doelwit gerichtere verkenningen plaats vinden. Dit is in ieder geval in de Estland en Georgië case te zien, waar het grotere doel verkend wordt om zo te komen met een lijst van kleinere doelwitten die aangegrepen moeten worden. Deze vorm van verkenning is gebaseerd op het te bereiken effect. Het kan ook voorkomen dat het doelwit al vast staat op het moment dat aanvaller gaat nadenken over het gebruik van een offensieve cyberoperatie. In dit geval is het doelwit leidend en hoeft er geen verkenning van de vijand meer plaats te vinden om te komen tot een lijst met doelwitten. Dit is waarschijnlijk het geval geweest in de Stuxnet cases, waarbij de Iraanse nucleaire faciliteiten juist de aanleiding vormden voor het starten van een offensieve cyberoperatie. Zoals vermeld in paragraaf 2.3 van dit onderzoek zijn er drie kritische succes factoren voor een offensieve cyber operatie (Owens, Dam, & Lin, 2009, p. 83): een kwetsbaarheid (vulnerability) toegang tot deze kwetsbaarheid (access) een lading die uitgevoerd moet worden (payload) Tijdens een verkenning van een doelwit zullen deze drie dingen geïdentificeerd moeten worden. Een kwetsbaarheid om door binnen te komen, een toegang om bij deze kwetsbaarheid te komen en de dingen die gedaan moeten worden wanneer een zwakheid in het systeem is uitgebuit. Samenvattend kunnen de verkenningen van offensieve cyberoperaties op twee manieren uitgevoerd worden: Het effect is leidend. De aanvalsdoelstelling(aantasten van integriteit, authenticiteit en/of beschikbaarheid) wordt vastgesteld. Zoveel mogelijk informatie wordt verzameld over de doelwitten die aan dit effect gerelateerd zijn. Een lijst met doelwitten wordt opgesteld en vervolgens wordt per doelwit de drie kritische succesfactoren bepaald. Op basis hiervan wordt besloten welke doelen aangegrepen gaan worden. Het doelwit is leidend. De aanvaller wil een specifiek doelwit beïnvloeden. Hiervoor wordt zo veel mogelijk informatie verzameld over dit specifieke doelwit en worden gelijk kwetsbaarheden, toegangen en ladingen geïdentificeerd. Bij offensieve 54

55 cyberoperaties gericht op het ongemerkt onttrekken van informatie zal deze vorm van verkennen voornamelijk worden uitgevoerd. Nadat de verkenning van het doelwit heeft plaatsgevonden, is het tijd voor de daadwerkelijke voorbereiding. Hierbinnen wordt er op basis van de informatie uit een verkenning een aanpak vastgesteld. Hierin worden de methoden en gereedschappen bepaald die gebruikt gaan worden verderop in de cyber operatie. Nadat de aanpak geïdentificeerd is zal dit voor elke offensieve cyberoperatie andere consequenties hebben. In het geval van de Estland en Georgië cases zien we dat hierna simpele burgers werden aangemoedigd en voorzien van lijsten met doelwitten, gereedschappen en instructies om deel te nemen aan de offensieve cyberoperaties. Ook werden er botnets gehuurd en bekladdingen van websites voorbereid. Ook het maken van malware, zoals gedaan is in de GhostNet, Aurora en Stuxnet cases behoort tot deze volgende fase die gezien kan worden als een uitwerking van de geïdentificeerde aanpak. Als laatste fase van de voorbereiding is er nog een testfase. Deze fase kan heel kort zijn doordat bijvoorbeeld alleen wordt gekeken of gemaakte malware wordt gedetecteerd door een virusscanner, maar kan het testen van de offensieve cyber operatie in een gesimuleerde omgeving inhouden. Dit laatste wordt door sommigen beweerd over Stuxnet (Bijlage E). De drie uitvoeringsfase van Janczewski en Colarik voldoen, als daar verder heel duidelijk de kanttekening bij gemaakt wordt dat de binnendringfase en uitbreidingsfase optioneel zijn en niet plaatsvinden bij aanvallen van buiten het computersysteem of computernetwerk van de opponent die als doel hebben het ontzeggen of het verminderen van het gebruik van deze computersystemen en computernetwerken. De uitbreidingsfase zou dan nog opgedeeld kunnen worden in twee fases zoals Grant, Venter en Eloff hebben gedaan. De afronding van de offensieve cyber operatie bestaat uit het eventueel verwijderen van bewijzen en een evaluatiefase. Het verwijderen van bewijs zal plaatsvinden afhankelijk van de doelstellingen van de aanvaller. In de Georgië case lijkt het er bijvoorbeeld juist op dat de Russische georganiseerde misdaad de credits wilde ontvangen voor de cyberaanval. Zoals ook in de vorige paragraaf aangegeven kan verbergen/verwijderen van bewijs ook op andere momenten in een offensieve cyber operatie plaatsvinden. Een voorbeeld hiervan is aanvallen vooraf via meerdere proxy servers in andere landen te routeren. Een evaluatiefase wordt door geen van de twee bestaande theoretische modellen onderkend. Grant, Venter en Eloff identificeren als laatste stap een attack dissemination fase, maar die is niet bedoeld als evaluatie fase. Binnen deze fase verspreidt de indringer wel informatie naar het botnet, maar dit is niet voor evaluatie doeleinden. Slechts in de Georgië case wordt een evaluatie fase heel duidelijk geïdentificeerd, maar ook in de andere cases zal dit moeten hebben plaatsgevonden. Evaluatie is ook een soort continu proces dat op meerdere plaatsen in de offensieve cyberoperatie plaatsvindt, maar wordt logischerwijs als laatste stap weergegeven. 55

56 5.3 Presentatie eigen model Dit onderzoek onderkent de volgende fasen in offensieve cyberoperatie die plaatsvinden in de context van een internationaal conflict: 1) Verkenning a) Doelstelling vaststellen b) Vijand verkennen c) Lijst met doelwitten maken d) Doelwit verkennen i) Kwetsbaarheid identificeren ii) Toegang identificeren iii) Lading identificeren 2) Voorbereiding a) Aanpak identificeren b) Aanpak uitwerken c) Testen 3) Uitvoering a) Binnendringen b) Uitbreiden c) Actie 4) Afronding a) Bewijs verwijderen b) Evaluatie Bovengenoemde fasen zijn in Figuur 6 weergegeven in een model. Figuur 6 Model voor de fasering en uitvoer van offensieve cyber operaties die hebben plaatsgevonden in de context van een internationaal conflict. 56

57 Dit onderzoek onderkent vier hoofdfasen, te weten: 1) Verkenning. Het doel van deze verkenningsfase is het vaststellen van wat men wil bereiken met deze operatie, op wie men dit wil bereiken en wat de kritische succesfactoren voor de offensieve cyberoperatie zijn. Verkenningen kunnen op twee manier uitgevoerd worden. Op de ene manier is het te bereiken effect leidend of de andere manier is het doelwit leidend. 2) Voorbereiding. In deze fase identificeert de aanvaller op basis van alle informatie uit de verkenningsfase een aanpak voor de offensieve cyberoperatie. Deze aanpak wordt uitgewerkt en zal getest worden voordat de daadwerkelijke uitvoering van de offensieve cyber operatie plaatsvindt. 3) Uitvoering. Uitvoering heeft betrekking op de fase waarin de aanvalsdoelstelling bereikt moet worden. Hiervoor kan het nodig zijn dat de aanvaller in het computersysteem of computernetwerk van de opponent moet binnendringen en eventueel hier zelfs haar mogelijkheden uitbreidt alvorens daadwerkelijk toe te slaan. 4) Afronding. Afronding heeft betrekking het verwijderen van bewijs en het evalueren van de voorgaande fasen van een offensieve cyberoperatie. Deze hoofdfasen zijn onderverdeeld in verschillende deelfasen die hieronder worden uitgewerkt: 1 a) Doelstelling vaststellen. In deze fase wordt vastgesteld welk direct effect de aanvaller wil bereiken met de offensieve cyberoperatie. Hierbij kan het gaan om het aantasten van de integriteit, authenticiteit en/of beschikbaarheid van computersystemen en computernetwerken en/of de informatie hierop. In het geval dat het doelwit leidend is in de verkenning kan deze deelfase ook als laatste fase binnen de verkenning plaatsvinden. 1 b) Vijand verkennen. Zoveel mogelijk informatie wordt verzameld over doelwitten die gerelateerd zijn aan de in de vorige fase vastgestelde doelstelling. 1 c) Lijst met doelwitten maken. Verkenning van de vijand leidt tot een aantal doelwitten die in aanmerking komen voor een offensieve cyberaanval. Deze lijst met doelwitten kan later in het geval van een distributed attack worden verspreid. In het geval van verkenningen waarbij het doelwit leidend is, staat het doelwit van tevoren vast en vindt deze fase dus niet plaats. 1 d) Doelwit verkennen. Deze fase is de verkenning van het bedoelde slachtoffer. Door het observeren van de normale operaties van een doel kan bruikbare informatie worden ingewonnen. Deze fase valt nog onder te verdelen naar het identificeren van de drie kritische succesfactoren; een kwetsbaarheid in het computersysteem of computernetwerk van de opponent, een toegang tot deze kwetsbaarheid en een lading die uitgevoerd moet worden. Wanneer er sprake is van een verkenning waarbij het doelwit leidend is, dan zal deze deelfase vaak de eerste fase zijn. 2 a) Aanpak identificeren. Binnen deze deelfase worden de methoden en gereedschappen bepaald waarmee de offensieve cyberoperatie uitgevoerd gaat worden en die ervoor moeten zorgen dat uiteindelijk de doelstelling bereikt wordt. Er zijn vele verschillende aanpakken mogelijk voor het uitvoeren van een offensieve cyberoperatie, voorbeelden hiervan zijn botnets, virussen en wormen, Denial-of-Service aanvallen, compromittatie van beveiligingssoftware van derden en social engineering. 2 b) Aanpak uitwerken. In deze fase wordt de aanpak uitgewerkt en worden eigenlijk alle voorbereidingen getroffen voor de daadwerkelijke uitvoering van de offensieve cyberoperatie. Deze voorbereiding verschillen erg per gekozen aanpak en kunnen variëren 57

58 van het maken van malware tot het verspreiden van lijsten met doelwitten en instructies en gereedschappen om deze doelwitten aan te vallen. 2 c) Testen. Dit is de laatste fase van de voorbereiding en hierin wordt de malware getest. De omvang van deze fase kan erg verschillen. Zo kan deze fase bestaan uit het controleren of de gemaakte malware niet door een virusscanner wordt opgemerkt tot het opzetten van een gesimuleerde omgeving die gelijk is aan die van het doelwit. 3 a) Binnendringen. Zolang een aanvaller niet in het systeem van de opponent zit, kan hij weinig doen behalve het onderbreken van de beschikbaarheid van het doelwit tot bepaalde diensten. In het geval er sprake is van het onderbreken van de beschikbaarheid van het doelwit tot bepaalde diensten dan zal deze optionele deelfase niet worden doorlopen. 3 b) Uitbreiden. Het identificeren en uitbreiden van de interne mogelijkheden door het bekijken van middelen en verbeteren van toegangsrechten op de meer beperkte en waardevollere gebieden van een bepaald computersysteem of computernetwerk. Deze deelfase is ook optioneel en zal afhankelijk van de doelstellingen van de aanvaller worden doorlopen. 3 c) Actie. Dit is de fase waarin de aanvalsdoelstelling ook daadwerkelijk bereikt moet worden. In deze fase past de aanvaller de computersystemen en computernetwerken van opponenten en/of de informatie hierop aan of wordt er informatie vergaard die zich op deze computersystemen en computernetwerken bevindt. 4 a) Bewijs verwijderen. Het verwijderen of verbergen van elk bewijs van binnendringen tot de actie. Dit hoeft niet per se na de actiefase plaats te vinden, maar gebeurt veelal ook voorafgaand hieraan door bijvoorbeeld het routeren van een aanval via meerdere proxy servers in verschillende landen. Deze deelfase is optioneel en vindt plaats afhankelijk van de intenties van de aanvaller. Er zijn ook gevallen te bedenken waarbij een aanvaller juist wil dat de opponent weet wie er achter de offensieve cyberoperatie zit. 4 b) Evaluatie. In deze fase wordt informatie over de uitvoering van de offensieve cyberoperatie verzameld en geïnterpreteerd. Afhankelijk van de uitvoerende partij zal deze informatie slechts gedeeld worden binnen de offensieve partij of eventueel ook publiekelijk worden gepresenteerd. 58

59 6. Conclusie & Aanbevelingen In de voorgaande hoofdstukken zijn alle onderzoeksvragen beantwoord en wat rest voor dit hoofdstuk is de conclusie. Daarnaast bevat dit hoofdstuk een reflectie op de eigen scriptie en aanbevelingen richting de wetenschap en de Nederlandse defensie organisatie. 6.1 Conclusie Offensieve cyberoperaties zijn voor velen een relatief nieuw en onbekend fenomeen. Dat offensieve operaties in de cyberspace echter niet meer iets is van de toekomst blijkt uit dit onderzoek. Voor het denken in offensieve cyberoperaties geeft deze scriptie een kader mee dat bestaat uit een definitie, aanvalsdoelstellingen, kritische succesfactoren en een model voor de fasering en uitvoering van offensieve cyberoperaties die hebben plaatsgevonden in de context van een internationaal conflict. Offensieve cyberoperaties worden hierbij gedefinieerd als: Operaties waarbij bewust gestreefd wordt om door infiltratie in computersystemen en computernetwerken van opponenten, informatie te vergaren en/of de computersystemen en computernetwerken van opponenten of de informatie hierop aan te passen met als uiteindelijke doel het handelen van opponenten te voorspellen, beïnvloeden of hinderen. De drie aanvalsdoelstellingen van een offensieve cyberoperatie zijn het verminderen van de integriteit, authenticiteit en/of de beschikbaarheid van computersystemen en computernetwerken van opponenten of de informatie hierop. Drie kritische factoren die iedere offensieve cyberoperatie nodig heeft om succesvol te zijn, zijn een kwetsbaarheid, een toegang tot deze kwetsbaarheid en een lading die uitgevoerd moet worden. Na analyse van vijf cases van offensieve cyberoperaties die plaats hadden gevonden in de context van een internationaal conflict, bleken de theoretische modellen van Janczewski en Colarik (2008) en van Grant, Venter en Eloff (2007) niet toereikend genoeg voor het beschrijven van offensieve cyberoperaties die plaatsvinden in de context van een internationaal conflict. Vooral de voorbereiding van een operatie blijkt onderbelicht. Daarnaast bleek ook de uitvoeringsfase in de cases Estland en Georgië niet overeen te komen met bestaande modellen en werd er nergens een evaluatiefase onderkend. Naar aanleiding van de tekortkomingen van bestaande theoretisch modellen en op basis van aanvullingen uit de cases en theorie presenteert dit onderzoek haar eigen model voor de fasering en uitvoering van offensieve cyberoperaties. Dit model dat nogmaals op de volgende pagina wordt gegeven en dat uitgewerkt is in hoofdstuk 5, is het eindresultaat van dit onderzoek en geeft antwoord op de hoofdvraag: Welk model beschrijft de fasering en uitvoering van offensieve cyber operaties die plaatsvinden in de context van een internationaal conflict?. 59

60 Figuur 7 Model voor de fasering en uitvoering van offensieve cyberoperaties die hebben plaatsgevonden in de context van een internationaal conflict. 6.2 Reflectie Dit onderzoek geeft naar mijn mening een goed antwoord op de hoofdvraag. Daarnaast biedt het een eenvoudig, maar volledig kader voor het denken over offensieve cyberoperaties. Hierdoor is geen voorkennis op cyber gebied vereist. Ik denk juist dat dit kader een ideale opstap is voor mensen die weinig of niets van dit gebied af weten. Dit kader wordt in de conclusie van dit onderzoek samengevat en om het kader te begrijpen is geen vereiste dat hiervoor de gehele scriptie gelezen wordt. Ik denk ook dat de totstandkoming van dit kader de grootste bijdrage van dit onderzoek hier dan ook in is terug te vinden. Daarnaast creëert dit onderzoek een duidelijkheid betreffende de term offensieve cyberoperatie. Het geeft naar mijn mening een helderdere en volledigere definitie van offensieve cyber operaties dan de verschillende andere definities die in dit onderzoek aangehaald zijn. De totstandkoming van een eigen model voor de fasering en uitvoering van offensieve cyberoperaties die plaatsvinden in de context van internationale conflicten was het uiteindelijke doel van deze scriptie. Ik ben tevreden dat dit ook daadwerkelijk gelukt is en denk dat dit model een bijdrage levert aan het beter inzichtelijk maken van offensieve cyberoperaties, het plannen en uitvoeren van offensieve cyber operaties, als ook bij de verdediging tegen offensieve cyberoperaties van opponenten. Een beperking van dit model is 60

61 enerzijds dat gebaseerd is op de analyse van vijf cases en anderzijds dat er nog geen cases zijn geanalyseerd aan de hand van dit model om te kijken of die cases overeenkomen met dit model. Dit neemt niet weg dat dit model op een gedegen manier tot stand is gekomen en ik het volste vertrouwen erin heb dat dit model overeind blijft na analyse van meerdere cases. Het verrichten van dit onderzoek is een mooie afsluiting geweest van mij bachelor-opleiding en ik denk zeker ook een leerzame periode. Naast het feit dat ik over een relatief onbekend onderwerp veel meer te weten ben gekomen, heb ik veel opgestoken over het doen van een zelfstandig onderzoek. De gesprekken die ik voor mijn scriptie met verschillende personen had, waren vooral erg nuttig om een betere achtergrond kennis te vergaren. Een enkeling had ik graag beter op de hoogte gehouden van mijn onderzoek, maar ik kwam er ook al snel achter dat mijn scriptie mij hier niet de tijd voor gaf. In een relatief korte periode moest veel gebeuren en van alle ideeën en mogelijkheden die ik meekreeg van de verschillende personen, moest ik me uiteindelijk toch echt beperken tot een bepaald deel dat haalbaar was binnen de tijd van dit onderzoek. In dit onderzoek ben ik echt tot iets nieuws gekomen en dit is in ieder geval voor mij eigen gevoel van grotere waarde dan wanneer ik bijvoorbeeld de validiteit van een bepaalde theorie had getest aan de hand van een historische case. Op deze manier hoop ik toch een bijdrage te leveren waar we nu iets aan kunnen hebben. Want waar ik wel achter gekomen ben, is dat het doen van zinvol onderzoek niet gelijk staat aan wetenschappelijk onderzoek en dat het omgekeerde ook zeker niet waar is. 6.3 Aanbevelingen Aanbevelingen zijn er te geven in een drietal richtingen; aanbevelingen voor vervolgonderzoek, voor de Nederlandse Defensie Academie (NLDA) en voor de Nederlandse defensie. Aanbevelingen voor vervolgonderzoek naar offensieve cyberoperaties zijn het testen van het in dit onderzoek gepresenteerde model aan de hand van meerdere cases. Hierdoor zou de validiteit van het model moeten toenemen en zullen er misschien nog kleine verbeteringen toegevoegd kunnen worden. Daarnaast zou het goed zijn om te kijken of het gepresenteerde model ook van toepassing is op offensieve cyberoperaties in het algemeen. Een derde aanbeveling is te onderzoeken of dit eigen model ook bruikbaar is voor het inrichten van defensieve cyber operaties. Aanbevelingen voor vervolgonderzoek in militaire hoek zijn het onderzoeken van de toepasbaarheid van offensieve cyberoperaties binnen de huidige manier van opereren. Hierbij is het aan te bevelen dat er gekeken wordt of het in dit onderzoek gepresenteerde model te ordenen is naar een militair concept. Doordat dan op deze manier een voor militairen vertrouwde taal wordt gesproken, zal dit de drempel naar offensieve cyberoperaties waarschijnlijk verlagen. Aanbevelingen aan de NLDA zijn er te doen in de richting van het aanstellen van een docent die gespecialiseerd is op cybergebied. Er gebeurd veel op dit gebied en het bewustzijn hiervan is bij de studenten (en docenten) op de NLDA denk ik erg laag. Aanstelling van een docent in combinatie met de colleges over cyber zouden dit bewustzijn moeten verhogen. Daarom valt het ook ten zeerste aan te bevelen dit onderwerp op te nemen in de verschillende 61

62 studieprogramma s. Waarbij de studierichting Krijgswetenschappen cyber operaties dan meer vanuit een operationeel perspectief zal bekijken, terwijl de Militaire Bedrijfswetenschappen zich bijvoorbeeld richt op de beleidsmatige kant en de technische studies vanzelfsprekend meer kijken vanuit een technisch perspectief. Aanbevelingen richting de Nederlandse defensie zijn er ook zeker te doen. Op dit moment heeft de Nederlandse defensie namelijk nog geen offensieve cybercapaciteit ingericht. Alleen de Militaire Inlichtingen en Veiligheids Dienst (MIVD) kan in het kader van het vergaren van inlichtingen offensieve technieken gebruiken (Bertolink, et al., 2010, p. 42). Voor Defensie is het echter zaak om ook te beschikken over de kennis, kunde en capaciteiten om naast het vergaren van informatie ook andere offensieve cyber operaties uit te kunnen voeren. Verschillende stappen hiertoe worden in de Visie op Defensie cyber operations onderkend (Bertolink, et al., 2010, pp ) en een sterke aanbeveling gaat uit naar het daadwerkelijk uitvoeren van dit stappenplan. Hiermee zou Defensie als eerste haar ambitieniveau moeten vaststellen binnen de wettelijke kaders. Het verdient aanbeveling ook kritisch te kijken naar dit wettelijke kader, aangezien de ontwikkelingen op cyber gebied razendsnel gaan en wetten hier vaak jaren op achterlopen. Daarnaast verdient het aanbeveling om bij het vaststellen van het ambitieniveau dit onderwerp erg serieus te nemen en hierbij te kijken waar de toegevoegde waarde van offensieve cyberoperaties ligt en of die inderdaad zo groot is als af en toe wordt voorgedaan. Na het vaststellen van het ambitieniveau zal er gekeken moeten worden waar de offensieve cybercapaciteiten in de Nederlandse defensie organisatie worden opgehangen. Hierbij moeten heldere afspraken gemaakt worden tussen de Commandant Der Strijdkrachten (CDS) en de MIVD. Hierbij verdient het een aanbeveling om ook van buitenaf te kijken naar wat de meest effectieve en efficiënte manier is deze capaciteiten op te hangen, zodat eigen belang niet meespeelt. Hierbij zal wederom ook kritisch gekeken moeten worden hoe eventuele wettelijke beperkingen verholpen kunnen worden. Hierna zal deze offensieve cybercapaciteit ook daadwerkelijk ingevuld moeten gaan worden. Dit betekent onder andere dat er mensen opgeleid moeten worden en middelen aangeschaft moeten worden. Om deze offensieve capaciteit uiteindelijk doeltreffend te kunnen gebruiken, moeten de Nederlandse militairen bekend zijn met de mogelijkheden en onmogelijkheden van de inzet hiervan. Aanbeveling verdient het om al te starten met de voorbereidingen van deze laatste stap, aangezien het vaststellen van het ambitieniveau en de ophanging van offensieve cyberoperaties onder andere afhankelijk zijn van politieke processen die nog wel eens lang kunnen duren. 62

63 Bibliografie Albright, D., Brannan, P., & Walron, C. (2010). Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Washington: Institute for Science and International Security. Antonakakis, M., Elisan, C., Dagon, D., Ollmann, G., & Wu, E. (2010). The Command Structure of the Aurora Botnet. Atlanta: Damballa. Bergman, R. (2011). The Dubai Job. Opgeroepen op januari 25, 2011, van Bertelink, Becx, Bijl, Boogaard, Campenhout, Le Clercq, Havinga, Kooij, Veenendaal, & Vos. (2010). Visie op Defensie cyber operations. Ministerie van Defensie. Broad, W., Markoff, J., & Sanger, D. (2011). Israeli Test on Worm Called Crucial in Iran Nuclear Delay. Opgeroepen op februari 3, 2011, van The New York Times: Carr, J. (2008). Russia/Georgia Cyber War - Findings and Analysis. Project Grey Goose. Carr, J. (2009). The evolving state of cyber warfare. Project Grey Goose. CCDCOE. (2009). International cyber incidents, legal considerations. Talinn (Estland): NATO Cooperative Cyber Defence Center of Excellence. Coleman, K. G. (2007). Cyber Weapons. McMurray: The Technolytics Institute. Eshel, D. (2010, september 15). Cyber-Attack Deploys In Israeli Forces. Opgeroepen op januari 26, 2011, van ws/dti/2010/09/01/dt_09_01_2010_p xml&headline=null&next=0 Falliere, N., Murchu, L. O., & Chien, E. (2010). W32.Stuxnet Dossier. Symantec. GOVCERT.NL. (2010). Stuxnet - een geavanceerde en gerichte aanval. Den Haag: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Grant, T.J., Venter, H.S., & Eloff, J.H.P. (2007). Simulating Adversarial Interactions between Intruders and System Administrators Using OODA-RR. Proceedings of the 2007 annual conference of the South African Institute of Computer Scientists and Information Technologists, SAICSIT 2007 (p. 10). Port Elizabeth: ACM. Heickerö, R. (2010). Emerging Cyber Threats and Russian Views on Information Warfare and Information Operations. Stockholm: FOI - Swedish Defence Research Agency. 63

64 Information Warfare Monitor. (2009). Tracking GhostNet. Ottawa & Toronto: TheSecDevGroup & University of Toronto, Munk Centre for International Studies. International Centre for Defence Studies. (2007). Russia s Involvement in the Tallinn Disturbances. Opgeroepen op december 02, 2010, van Janczewski, L., & Colarik, A. (2008). Cyber Warfare and Cyber Terrorism. Hershey: Information Science Reference. Koppelman, H., Baas, N., Oord, P., Sint, H., van der Vrie, E., & Wielders, M. (2005). Inleiding informatica (Vol. 3). Heerlen: Open Universiteit Nederland. Lewis, J. A. (2011). Cyber Events Since Opgeroepen op januari 26, 2011, van Libicki, M. (2009). Cyberdeterrence and Cyberwar. Santa Monica: RAND Corporation. McAfee Labs, & McAfee Foundstone Professional Services. (2010). Protecting Your Critical Assets. Santa Clara: McAfee, Inc. Ministerie van Defensie. (2010). Eindrapport Verkenningen. Den Haag: Ministerie van Defensie. Nagaraja, S., & Anderson, R. (2009). The snooping dragon: social-malware surveillance of the Tibetan movement. Cambridge (Verenigd Koninkrijk): University of Cambridge. Nakashima, E., & Eunjung Cha, A. (2010, januari 14). Google China cyberattack part of vast espionage campaign, experts say. Opgeroepen op januari 26, 2011, van Ottis, R. (2008). Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare Perspective. Tallinn: NATO Cooperative Cyber Defence Centre of Excellence. Owens, W., Dam, K., & Lin, H. (2009). Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of CYBERATTACK CAPABILITIES. Washington: The National Academies Press. Reed, T. C. (2004). At the Abyss: an Insider's History of the Cold War. New York: Ballantine Books. Ruus, K. (2008). Cyber War I: Estonia Attacked from Russia. European Affairs. Volume: 9, Issue: 1. Schneiderhan. (2005). Teilkonzeption Computernetzwerkoperationen. Berlijn, Duitsland: Generalinspekteur der Bundeswehr. 64

65 security.nl. (2010). 'Chinese hackers zochten Google's data-mining geheim'. Opgeroepen op februari 28, 2011, van Silberschatz, A., Galvin, P., & Gagne, G. (2000). Applied operating system concepts. New York: John Wiley & Sons, Inc. Stamos, A. (2010). Aurora Response Recommendations. isec Partners, Inc. Tettero, M., & de Graaf, P. (2010). Het vijfde domein voor de krijgsmacht. Militaire Spectator. 63, The Economist. (2009). KAL's cartoon. Opgeroepen op februari 27, 2011, van The Economist. (2010, oktober 2). A worm in the centrifuge. The Economist, The New York Times. (2011). How Stuxnet Spreads. Opgeroepen op februari 27, 2011, van east Thiadens, T. (2008). Sturing en Organisatie van ICT-voorzieningen. Zaltbommel: Van Haren Publishing. Tikk, E., Kaska, K., Rünnimeri, K., Kert, M., Talihärm, A.-M., & Vihul, L. (2008). Cyber Attacks Against Georgia: Legal Lessons Identified. Tallinn: NATO Cooperative Cyber Defence Center of Excellence. U.S. Cyber Consequence Unit. (2009). Overview by the US-CCU of the Cyber Campaign Against Georgia in August of U.S. Cyber Consequence Unit. US DoD. (2010, november 8). JP 1-02, Department of Defense Dictionary of Military and Associated Terms, 8 november Opgeroepen op februari 23, 2011, van van der Weijden, J. (2009). De verantwoordelijkheden van de overheid in cybersecurity. Den Haag: Ministerie van Defensie. Varma, R. (2010). McAfee Labs: Combating Aurora. Santa Clara: McAfee, Inc. Vatis, M. (2001). Cyber Attacks During The War On Terrorism: A Predictive Analysis. Hanover: Institute for Security Technology Studies At Dartmouth College. Zetter, K. (2010). Google Hack Attack Was Ultra Sophisticated New Details Show. Opgeroepen op februari 12, 2011, van

66 Figuren en Tabellen Figuren Figuur 1 What will the warrior-guardian of the future look like? (The Economist, 2009) Figuur 2 Onderzoeksmodel ter beantwoording van de hoofdvraag RQ Figuur 3 Verduidelijking termen computernetwerk en computersysteem Figuur 4 Afbeelding ter verduidelijking van de verschillende kwetsbaarheden Figuur 5 Hoe Stuxnet zich verspreid. (The New York Times, 2011) & 90 Figuur 6 Model voor de fasering en uitvoering van offensieve cyberoperaties die hebben plaatsgevonden in de context van een internationaal conflict & 59 Figuur 7 The complete steps of Operation Aurora s attack. (McAfee Labs & McAfee Foundstone Professional Services, 2010, p. 3) Figuur 8 Four infection characteristics of Aurora. (Varma, 2010, p. 5) Tabellen Tabel 1 Te bereiken effecten in de verschillende definities van offensieve cyberoperaties Tabel 2 Vergelijking bestaande modellen & 51 Tabel 3 Aanwezigheid van de verschillende fasen in de vijf cases

67 A. Bijlage Estland case Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) Estland case 1. Verkenning 1. Footprinting (CCDCOE, 2009, p. 15): 2. Reconnaissance 3. Vulnerability Identification In various Russian-language Internet forums, calls and instructions were presented to launch ping commands (simple commands to check the availability of the targeted computers) with certain parameters on the MS Windows command line. Later on, executable.bat files were made available for users to copy onto their computers and then launch to carry out automated ping requests. (CCDCOE, 2009, p. 16): In addition to the higher level of sophistication and coordination, the initial model of using Internet forums to distribute instructions and lists of targets to attack was still employed. The instructions were mostly simple, thus not requiring advanced technical knowledge or skill to follow; a computer with an Internet connection was sufficient to participate. Calls for specific timings were issued in order to generate greater volume at a coordinated time. Discussions about how to fund the rental of server farms and botnets were also present. (International Centre for Defence Studies, 2007): The internet was used to distribute detailed instructions on how to act in the Russian language. These instructions covered topics about the nature and execution of attacks (how to attack), as well as information about targets (what to attack) and timing (when to attack). The instructions were disseminated on websites, in forums, and in chat spaces. In most cases, these were very basic instructions, which don t require the user to have particular knowledge or skills. 67

68 This facilitates attacks being carried out at the level of the ordinary citizen. Discussions were also taking place about how to finance the rental of the server farms and botnets needed to carry out massive attacks. Botnets are ordinarily owned by criminal gangs, who rent botnets in order to be able to launch attacks, usually against enterprises, for criminal purposes. Simultaneously, the detailed orders to attack, as described earlier, were being disseminated via the Internet. The attacks were also discussed and coordinated in concert in IRC (Internet Relay Chat) environments, which are intended to be used for group discussions. The attacker or attackers were able to dedicate substantial resources to the attacks against Estonia, which is indicative of the existence of a well organized and financed opponent. (Ottis, 2008, p. 2): Instructions for attacking Estonian sites were disseminated in many Russian language forums and websites. These instructions often included motivation, targeting and timing information, as well as a specific description for launching attacks. (Heickerö, 2010, p. 40): On several web pages and Internet forums hacktivists were encourage to contribute. On mostly Russian websites ordinary people could download attack tools and instructions on how to attack Estonian websites. The target objects were the Estonian Government Briefing Room, the Estonian Ministry of Defence and leading political parties in the country. Especially mission-critical computers, for example the telephone exchanges, were 68

69 targeted. This indicates that the originator of the attackers probably had inside information regarding specific and important systems to approach. 2. Binnendringen 4. Penetration (CCDCOE, 2009, p. 19): Defacements of websites A hacker succeeded at breaking into the Estonian Reform Party website where they placed a forged official apology, signed by Estonian Prime Minister Andrus Ansip. (Ruus, 2008, p. 3): Hacking into the website of the political party that leads Estonia s coalition government, they posted a fake letter of apology there from Prime Minister Andrus Ansip for moving the statue. 3. Uitbreiden 5. Control 6. Embedding 4. Actie 7. Data extraction or modification (Ottis, 2008, p. 3): A few more complex attempts were made to hack into systems, for example using SQL infection. Some of these attacks met with success at non-critical sites. (CCDCOE, 2009, p. 15): The attack had two distinctly different phases, each consisting of several waves of elevated intensity. The first phase took place from April 27 to 29 and was considered emotionally motivated, as the attacks were relatively simple and any coordination mainly occurred on an ad hoc basis. The first phase was followed by the main, coordinated attack phase lasting from April 30 to May 18, which was much more sophisticated, and the use of large botnets and professional coordination was noticed. (CCDCOE, 2009, p. 18): The means of attack included denial of service (DoS) and distributed denial of service (DDoS) attacks, defacement of websites as well as public propaganda distributed on different Internet forums, dissemination of attack instructions, and large amounts of comment and spam. 69

70 (CCDCOE, 2009, pp. 19, 20): The prime targets (and also those that experienced major effect) were information distribution channels of both the government and the private sector, and business sector websites, specifically, the banks. The targets for cyber attack were mainly four-fold: - Servers of institutions that are responsible for the Estonian Internet infrastructure; - Governmental and political targets; - Services provided by the private sector; - Personal and random targets. (CCDCOE, 2009, pp ): INCIDENT TIMELINES Estonia 2007 In deze 3 pagina s wordt een tijdlijn gegeven van de gebeurtenissen van vrijdag 27 april tot vrijdag 18 mei. 5. Bewijs verwijderen (Ottis, 2008, p. 3): In general, the attacks can be described as Denial of Service (DoS) or Distributed Denial of Service (DDoS) attacks. Many well known methods were used, including ping flood, upd flood, malformed web queries, spam, etc. 8. Attack relay (CCDCOE, 2009, p. 17): The attackers covered their tracks by various means: by using global botnets, by routing their attacks through proxy servers in other countries (including those in NATO countries) and likely by spoofing their IP addresses. 9. Attack dissemination (International Centre for Defence Studies, 2007): The attackers covered their tracks by using global bot networks (not all of which are located in Russia), by using proxy servers located in third countries as the channels for their attacks, and by distorting their IP addresses. 70

71 B. Bijlage Georgië case Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) Georgië case 1. Verkenning 1. Footprinting 2. Reconnaissance 3. Vulnerability Identification (Carr, Russia/Georgia Cyber War - Findings and Analysis, 2008, p. 4): We judge with moderate confidence that a journeyman-apprentice relationship will continue to be the training model used by nationalistic Russian hackers. There is a distinct hierarchy within the Russian nationalistic hacker forums examined wherein forum leaders provide the necessary tools, pinpoint application vulnerabilities, and provide general target lists upon which other, less knowledgeable, forum members can act. (Carr, Russia/Georgia Cyber War - Findings and Analysis, 2008, p. 5): 1) Encourage novices through patriotic imagery and rhetoric to get involved in the cyber war against Georgia. 2) Publish a target list of Georgian government Web sites which have been tested for access from Russian and Lithuanian IP addresses. 3) Discuss and select one of several different types of malware to use against the target Web site. Eerste drie van de vijf stappen in de cyber kill chain geïdentificeerd door de Grey Goose analisten. (Tikk, Kaska, Rünnimeri, Kert, Talihärm, & Vihul, 2008, pp. 9, 10) & (CCDCOE, 2009, pp. 81, 82): Distribution of Instructions and Malicious Software Several Russian blogs, forums, and websites spread a Microsoft Windows batch script that was designed to attack Georgian websites. Instructions on how to ping flood Georgian government web sites were also distributed on Russian language websites 71

72 and message boards, as well as lists of Georgian sites vulnerable to remote SQL injections, facilitating automatic defacement of them. According to the analysis of the Swedish National Defence University, and supporting conclusions by Shadowserver, stopgeorgia.ru (also utilizing stopgeorgia.info as a redirect) provided DDoS attack tools for download and indicated a number of.ge web sites as a priority for attack. The findings of an analysis by the Project Grey Goose confirm evidence of co-ordinated targeting and attacking of Georgian websites, and point out that the same sites (stopgeorgia.ru/stopgeorgia.info) also provided the necessary attack tools for the cyber assault against Georgia for hackers. In summary, major web sites were identified as targets for hackers, among those the Embassies of the US and UK in Tbilisi, the Parliament, Supreme Court, and Ministry of Foreign Affairs of Georgia, several news and media resources, and numerous other sites. (Tikk, Kaska, Rünnimeri, Kert, Talihärm, & Vihul, 2008, p. 38): Static lists of targets were distributed in order to eliminate centralised coordination of the attack. DoS tools were provided, available for download from specific sites Instructions on how to ping flood Georgian government web sites were also distributed. Lists of Georgian sites vulnerable to defacement attack were published. Russian hackers started distributing lists of Georgian sites vulnerable to remote SQL injections, allowing them to automatically deface them. (U.S. Cyber Consequence Unit, 2009, p. 3): Many of the cyber attacks were so close 72

73 in time to the corresponding military operations that there had to be close cooperation between people in the Russian military and the civilian cyber attackers. When the cyber attacks began, they did not involve any reconnaissance or mapping stage, but jumped directly to the sort of packets that were best suited to jamming the websites under attack. This indicated that the necessary reconnaissance and the writing of attack scripts had to have been done in advance. Many of the actions the attackers carried out, such as registering new domain names and putting up new websites, were accomplished so quickly that all of the steps had to have been prepared earlier. Given the speed of action, the signal to go ahead also had to have been sent before the news media and general public were aware of what was happening militarily. Social networks operating over the internet were the main tool used to recruit those carrying out the attacks. The civilian cyber attackers were aided and supported in their efforts by Russian organized crime. 2. Binnendringen 4. Penetration 3. Uitbreiden 5. Control 6. Embedding 4. Actie 7. Data extraction or modification (U.S. Cyber Consequence Unit, 2009, p. 5): At least one of the website defacements used in the Georgian campaign was prepared specifically for use against Georgia more then two years before the attacks. The fact that this website defacement was saved, along with the many other signs of advance preparation and planning, suggests that cyber attacks against Georgia had been on the Russian agenda for some time. (Carr, Russia/Georgia Cyber War - Findings and Analysis, 2008, p. 5): 4) Launch the attack 73

74 Vierde stap in de cyber kill chain geïdentificeerd door de Grey Goose analisten. (Tikk, Kaska, Rünnimeri, Kert, Talihärm, & Vihul, 2008, p. 7): Methods of Cyber Attacks The methods of cyber attacks against Georgia primarily included defacement of public websites and launch of Distributed Denial of Service (DDoS) attacks against numerous targets methods similar to those used in attacks against Estonia in A chronological overview of the attacks can be found in Annex III to this paper. Annex III somt in chronologische volgorde de cyber aanvallen op die hebben plaatsgevonden in de periode van 19 juli 2008 tot 28 augustus (Tikk, Kaska, Rünnimeri, Kert, Talihärm, & Vihul, 2008, p. 16): The short-term and long-term effect of cyber attacks must also be kept in mind. While the attacks did not have a permanent or even a long-run devastating effect on the Georgian Internet infrastructure, the damage caused by the attacks was most acutely experienced at the time when Georgia was the most dependent on the availability of their information channels. (CCDCOE, 2009, p. 79): The cyber attacks directed against Georgia primarily involved defacement of public websites and launching Distributed Denial of Service (DDoS) attacks against numerous public and private (financial and media) targets methods similar to those used in attacks against Estonia in Een tijdlijn met de gebeurtenissen wordt gegeven op pagina 120, 121 van dezelfde bron. (CCDCOE, 2009, p. 89): The DoS and DDoS attacks severed communication from crucial Georgian 74

75 government websites in the early days of the Georgian-Russian conflict a period that was doubtless the most critical in the events and where the Georgian government had a vital interest in keeping the information flowing to both the international public and to its own residents. The unavailibility of core state institutions websites can additionally be seen as serving a discouraging effect on Georgian morale and public confidence. 5. Bewijs verwijderen (U.S. Cyber Consequence Unit, 2009, p. 4): The types of cyber attacks used agianst Georgia were limited to denials of service and website defacements, but these relatively unsophisticated types of attacks were carried out in a very sophisticated manner. 8. Attack relay (Carr, Russia/Georgia Cyber War - Findings and Analysis, 2008, p. 3): We assess with high confidence that the Russian government will likely continue its practice of distancing itself from the Russian nationalistic hacker community thus gaining deniability while passively supporting and enjoying the strategic benefits of their actions. (U.S. Cyber Consequence Unit, 2009, p. 3): It appears that Russian criminal organizations made no effort to conceal their involvement in the cyber campaign against Georgia, because they wanted to claim credit for it. 9. Attack dissemination (Carr, Russia/Georgia Cyber War - Findings and Analysis, 2008, p. 4): We estimate with moderate confidence that hacker forums engaged in training Russian cyber warriors will continue to evolve their feedback loop which effectively becomes their Cyber Kill Chain. (Carr, Russia/Georgia Cyber War - Findings and Analysis, 2008, p. 5): 5) Evaluate the results (optional step) Laatste stap in de cyber kill chain 75

76 geïdentificeerd door de Grey Goose analisten. (Tikk, Kaska, Rünnimeri, Kert, Talihärm, & Vihul, 2008, p. 36): The attacks originally started to take place several weeks before the actual intervention with Georgian President s web site coming under DDoS attack executed by Russian hackers in July; followed by active discussions across the Russian web on whether or not DDoS attacks and web site defacements should in fact be taking place, because it would inevitably come as a handy tool to be used against Russia by Western or Pro- Western journalists. 76

77 C. Bijlage GhostNet case Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) GhostNet case 1. Verkenning 1. Footprinting (Nagaraja & Anderson, 2009, p. 6): 2. Reconnaissance 3. Vulnerability Identification The initial break may have been facilitated by the fact that the monks in the OHHDL were not just engaged in administrative tasks but were also active on various discussion sites. A passive observer could easily note their names, their interests and the names of people with whom they interacted. OHHDL staat voor Office of His Holiness the Dalai Lama 2. Binnendringen 4. Penetration (Information Warfare Monitor, 2009, pp. 5, 6): The vector for spreading the GhostNet infection leverages social means. Contextually relevant s are sent to specific targets with attached documents that are packed with exploit code and Trojan horse programmes designed to take advantage of vulnerabilities in software installed on the target s computer (Information Warfare Monitor, 2009, p. 39): The attacker(s) are able to exploit several infection vectors. First, they create web pages that contain drive by exploit code that infects the computers of those who visit the page. Second, the attacker(s) have also shown that they engage in spear phishing in which contextually relevant s are sent to targets with PDF and DOC attachments which, when executed, create back doors that cause the infected computer to connect to a control server and await further instructions (Nagaraja & Anderson, 2009, pp. 5, 6): attachments appear to have been the favoured strategy to deliver malicious payloads. This worked because the attackers took the trouble to write s 77

78 that appeared to come from fellow Tibetans and indeed from co-workers. s were sent to monks, purporting to come from other monks, but that had in fact come from outside. We assume that one monk clicked on an infected attachment, giving the attackers their first foothold. It is possible that the initial break came from somewhere else, such as a guessed password for the mail server, or a mail server compromise; but we did not see evidence of the pattern of compromise likely after a passive wiretap, or of malware attacks on the mail servers themselves. 3. Uitbreiden 5. Control 6. Embedding (Information Warfare Monitor, 2009, p. 6): Once compromised, files located on infected computers may be mined for contact information, and used to spread malware through and document attachments that appear to come from legitimate sources, and contain legitimate documents and messages. It is therefore possible that the large percentage of high value targets identified in our analysis of the GhostNet are coincidental, spread by contact between individuals who previously communicated through e- mail. (Information Warfare Monitor, 2009, p. 39): With each succesful infection the attacker(s) may use any contextually relevant data to further exploit the targeted community and may also impersonate the initial target in order to infect all the targets contacts. Finally, the targets themselves may infect others by forwarding infected documents to their contacts. In this way, the network of infected computers grows organically. The first stage of infection focuses on getting targets to execute mailicious code. Once infected, the target s computer routinely checks in with a control server in order to receive further instructions. 78

79 The attacker(s) directs the infected computers to download and install a remote administration Trojan. The attacker(s) have demonstrated a preference for Gh0st Rat but may choose from a variety of Trojans. The attacker(s) simply browses to the send command interface and pastes in a link to a version of gh0st RAT on a command server under his or her control. The next time the infected computer checks in to the control server, it will be instructed to download and execute gh0st RAT 4. Actie 7. Data extraction or modification (Nagaraja & Anderson, 2009, p. 6) Our analysis strongly suggested that once they has secured an initial foothold, the attackers gained access to the mailboxes of several users at the mail server. The successful logon attempts from China recorded from the mail server log point to this. They then used social engineering based on the contents of internal s to expand this compromise to infect many other machines at the OHHDL. In particular, they targeted the addresses of prominent members of the OHHDL and of key support staff including the system administration team. (Information Warfare Monitor, 2009, p. 39): When the attacker(s) turns on gh0st RAT, he or she is able to see all the infected machines that have established connections to him or her. The attacker(s) may then execute a wide variety of command, including file manager, screen capture, keylogger, remote shell, system, webcam view, audio capture, as well as the ability to force the infected host to download and execute additional malware, such as a gh0st RAT update. The attacker(s) may also secretly execute programs on the target computer. (Information Warfare Monitor, 2009, p. 47): Almost certainly, documents are being removed without the targets knowledge, 79

80 keystrokes logged, web cameras are being silently triggered, and audio inputs surreptitiously activated. (Nagaraja & Anderson, 2009, p. 7): During our initial network monitoring exercise, we observed sensitive files being transferred out of the OHHDL using a modified HTTP protocol: the malware picked up files from local disks and sent them to three servers which, according to APNIC, were in China's Sichuan province, using a custom protocol based on HTTP. The malware uses HTTP GET and HTTP POST messages to transfer les out and also appears to verify successful transmission. Sichuan, by the way, is the location of the Chinese intelligence unit specically tasked with monitoring the OHHDL. 5. Bewijs verwijderen We then examined samples of attachments from the local filesystems with the expert help of Mikko Hypponen at F-Secure Corporation, who determined that they could support file search and retrieval operations and also function as keyloggers. This confirms that the attackers had pretty much full access to the data on the infected computers. 8. Attack relay (Information Warfare Monitor, 2009, p. 48): Who is ultimately in control of the GhostNet system? While our analysis reveals that numerous politically sensitive and high-value computer systems were compromised, we don t know the motivation or the identity of the attacker(s) or how to accurately characterize this network of infections as a whole. We have not been able to ascertain the type of data that has been obtained by the attacker(s), apart from the basic system information and file listings of the documents located on the target computers. Without this data we are unable to deduce with any certainty what kind of data the attacker(s) were after. 9. Attack dissemination 80

81 D. Bijlage Aurora case Fasen (Janczewski & Colarik, 2008, p. xv) Fasen (Grant, Venter, & Eloff, 2007, pp. 4, 5) Aurora case 1. Verkenning 1. Footprinting (security.nl, 2010): 2. Reconnaissance 3. Vulnerability Identification Een Amerikaanse beveiligingsexpert ziet in de gebruikte technieken duidelijk de hand van het Chinese leger of inlichtingendiensten. Er zat hier een grote militaire of inlichtingendienst achter, zegt Gary Elliott. Het zou maanden of jaren kosten om een operatie Aurora voor te bereiden en de infrastructuur van bedrijven in kaart te brengen. Iets waar zelfs de Russische maffia niet toe in staat is. 2. Binnendringen 4. Penetration (McAfee Labs & McAfee Foundstone Professional Services, 2010, p. 3): How Aurora Worked Operation Aurora included numerous steps that all occurred invisibly in an instant from the user s perspective. As you can see in the illustration below, without any apparent signs of malicious intent or actions, Operation Aurora completed its attack in six simple steps: 1. A targeted user received a link in or instant message from a trusted source. 2. The user clicked on the link which caused them to visit a website hosted in Taiwan that also contained a malicious JavaScript payload. 3. The user s browser downloaded and executed the malicious JavaScript, which included a zero-day Internet Explorer exploit. 4. The exploit downloaded a binary disguised as an image from Taiwan servers and executed the malicious payload. 5. The payload set up a backdoor and connected to command and control servers in Taiwan. Zie figuur 8 te verduidelijking. Stap 6 kan zowel uitbreiden als de actie zijn. 81

82 (Varma, 2010, p. 5): Figuur Aurora 2 four infection characteristics of Aurora (Stamos, 2010, p. 1): Despite the diversity of victims in these attacks, we have seen a common pattern in the attacks, which generally proceed like this: 1. The attacker socially engineers a victim, often in an overseas office, to visit a malicious website. 2. This website uses a browser vulnerability to load custom malware on the initial victim s machine. 3. The malware calls out to a control server, likely identified by a dynamic DNS address. Deze bron beschrijft zeven stappen waarvan de overige 4 stappen betrekking hebben op de uitbreiding en de actie. 3. Uitbreiden 5. Control 6. Embedding (McAfee Labs & McAfee Foundstone Professional Services, 2010, p. 3): How Aurora Worked 6. As a result, attackers had complete access to internal systems. They targeted sources of intellectual property, including software configuration management (SCM) systems accessible by the compromised system. The compromised system could also be leveraged to further penetrate the network. (Stamos, 2010): 4. The attacker escalates his privilege on the corporate Windows network, using cached or local administrator credentials. 5. The attacker attempts to access an Active Directory server to obtain the password database, which can be cracked onsite or offsite. 6. The attacker uses cracked credentials to obtain VPN access, or creates a fake user in the VPN access server. 7. At this point, the attack varies based upon the victim. The attacker may steal administrator credentials to access production systems, obtain source code 82

83 4. Actie 7. Data extraction or modification from a source repository, access data hosted at the victim, or explore Intranet sites for valuable intellectual property. Afhankelijk van de invulling kan stap 7 zowel uitbreiden als actie zijn. (McAfee Labs & McAfee Foundstone Professional Services, 2010, p. 3): How Aurora Worked 6. As a result, attackers had complete access to internal systems. They targeted sources of intellectual property, including software configuration management (SCM) systems accessible by the compromised system. The compromised system could also be leveraged to further penetrate the network. 5. Bewijs verwijderen (Stamos, 2010): 7. At this point, the attack varies based upon the victim. The attacker may steal administrator credentials to access production systems, obtain source code from a source repository, access data hosted at the victim, or explore Intranet sites for valuable intellectual property. Afhankelijk van de invulling kan stap 7 zowel uitbreiden als actie zijn. 8. Attack relay (Antonakakis, Elisan, Dagon, Ollmann, & Wu, 2010, p. 1): The major pattern of attacks previously identified as occuring in mid-december 2009 targeting Google appear to originate in July 2009 from mainland China. Host compromised with Aurora botnet agents and rallied to the botnet Command-and-Control (CnC) channels were distributed across multiple countries before the public disclosure of Aurora, with the top five countries being the United States, China, Germany, Taiwan and the United Kingdom. (Zetter, 2010): The encryption was highly succesful in obfuscating the attack and avoiding common detection methods, he said. We haven t seen encryption at this level. It 83

84 9. Attack dissemination was hihgly sophisticated. De persoon die deze uitspraak deed is Dmitri Alperovitch, McAfee s vice president of threat research. Figuur 8 The complete steps of Operation Aurora s attack. (McAfee Labs & McAfee Foundstone Professional Services, 2010, p. 3) Figuur 9 Four infection characteristics of Aurora. (Varma, 2010, p. 5) 84