Ook zonder smoking gun is twijfel over Huawei terecht

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

Laten we er even vanuit gaan dat de journalist in kwestie een kloppend verhaal van zijn bronnen (zonder geopolitieke belangen) heeft gehad en het verhaal correct heeft begrepen en opgetekend. Dan vallen er een paar observaties te maken.

Rol Huawei onduidelijk

Er is nog veel onduidelijk. Om gegevens te stelen is gebruik gemaakt van een achterdeur. Zit de zwakheid in de software, in de hardware, is het een zwakheid die is misbruikt of echt een ingebouwde functionaliteit? We weten het niet. Of Huawei hier zelf slachtoffer van een hack is, actief betrokken, gedwongen betrokken of buiten hun weten om betrokken, is ook niet duidelijk. Beide scenario’s zijn realistisch.

Recentelijk werd een belangrijke modus operandi van de Chinezen bekend. Ze breken in bij makers van soft- en hardware, plaatsen malware in het productieproces. Onwetende fabrikanten – in dat geval het Taiwanese Asus en het Zuid-Koreaanse NetSarang – distribueerden de achterdeur zonder het zelf te weten. De verspreide software werd door de bedrijven wel voorzien van een digitale handtekening. Wie niet verder kijkt, verdenkt de Taiwanezen en de Koreanen. Uiteindelijk werd bewezen dat het de Chinezen waren. Huawei kan in zo’n scenario zelf slachtoffer zijn.

Aan de andere kant bleek recentelijk uit een (door experts omstreden) rapportage van de Britse overheid dat er diverse beveiligingsproblemen zijn met Huawei. Het bedrijf maakt nauwelijks voortgang met het oplossen van die problemen. Het niet oplossen van problemen kan opzettelijk zijn om spionage mogelijk te maken of laksheid zijn. Het is sowieso problematisch.

Huawei is – voor zover bekend – in één concrete zaak in verband gebracht met economische spionage. Dat werd duidelijk na de arrestatie van Meng Wanzhou, Huawei’s CFO, in Canada. Het bedrijf zou test-technologie van T-Mobile hebben gestolen. Deze zaak is civielrechtelijk in 2014 afgehandeld, maar de diefstal van technologie vormt nu een van de Amerikaanse aanklachten.

Klantgegevens

Een ander onduidelijk punt in het verhaal is wat voor klantgegevens zijn gestolen. Betreft het hier persoonsgegevens of gaat het om zakelijke informatie? Gaat het om administratie van het bedrijf, informatie over communicatie of zelfs de inhoud van communicatie?

Als het om persoonsgegevens gaat dan heeft de telecomprovider onder de AVG een meldplicht bij in ieder geval de toezichthouder. Bij ernstige inbreuken – en dat lijkt het wel te zijn als de AIVD betrokken is – moeten de betrokkenen op de hoogte worden gebracht door de provider. Mogelijk krijgt een grote groep mensen binnenkort bericht.

Daarnaast heeft een telecomprovider nog een meldplicht onder de Wet beveiliging netwerken en infrastructuren (Wbni). Bij grote hacks moeten telecomproviders in ieder geval een melding doen bij het National Cyber Security Center. Zo’n melding kan leiden tot aanvullende onderzoeken, zoals bijvoorbeeld van de AIVD.

Verder is onduidelijk wat de bron van het verhaal is. De gebruikte term ‘inlichtingenbronnen’ kan duiden op medewerkers van inlichtingendiensten, de nationale politie en zelfs inlichtingenafdelingen (telecom)bedrijven.

Door te stellen dat het hier mogelijk spionage betreft, moeten we er reken mee houden dat als dat zo is de aanvallende partij hoogwaardige expertise in de strijd kan werpen en over grote budgetten beschikt om tot een doel te komen.

Smoking gun

In de Volkskrant wordt gesproken van een smoking gun. Met de informatie die nu beschikbaar is, is het voorbarig om die conclusie te trekken. Er loopt nog een onderzoek bij in ieder geval de inlichtingendienst AIVD. Wat de onderzoeksvraag is, is onduidelijk.

Het is onbekend wat er is gebeurd, welke gegevens er zijn gestolen, wie er achter de aanval zit. Natuurlijk is het niet vreemd dat er naar China wordt gekeken.

Huawei heeft kennelijk een beveiligingsprobleem. Dat op zichzelf is reden tot zorg. Of de digitale inbraak de leverancier te verwijten is, moet blijken. In het verleden trad het kabinet met inhoudelijke informatie naar buiten toen ze de operatie van de Russen bij de OPCW onthulden. Als grote delen van een land betrokken zijn, is het niet onlogisch te verwachten dat die helderheid ons binnenkort weer wordt geboden.

Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

De oude tijden herleven nu blijkt dat de Russische inlichtingendienst GRU precies deze methode gebruikt om her en der in te breken op netwerken van organisaties. Ze gebruiken daarbij de zeer populaire WiFi Pineapple, een kastje dat vaak opduikt bij presentaties over beveiliging om de gevaren van draadloze netwerken te demonstreren.

De zaak maakt duidelijk dat de GRU gevoelige documenten prima via een draadloze verbinding op afstand kan ophalen. Goede beveiliging zou wifiverbindingen anders behandelen dan fysieke verbindingen en er in een aantal gevallen zelfs voor kiezen om documenten in het geheel niet via een netwerk toegankelijk te maken. In al die jaren is er maar weinig verbeterd.

Dankzij onze laksheid kunnen inlichtingendiensten, criminelen en anderen kinderlijk eenvoudig toegang krijgen om documenten te stelen, beschadigen, vernietigen of te plaatsen. Het schokkende ervan is dat het niet meer vereist dan vaak gratis software, goedkope standaardcomputers of een WiFi Pineapple en een beetje knappe antenne. Sterker nog: in de tijden van het wardriven waren we in de hackerscene dol op Pringles-chips. Niet zozeer omdat ze lekker zijn, maar vooral omdat de blikken perfecte richtantennes zijn voor wifi. We krikten er de reikwijdte van netwerken fors mee op van enkele honderden meters tot zelfs enkele kilometers.

Het is nog een geluk dat de Russen vanuit een auto besloten te hacken. Ze hadden ook kunnen kiezen voor de patser-optie: niet alleen parkeren bij het Marriott Hotel, maar er meteen in te checken om vanuit een knappe kamer voorzien van deugdelijk roomservice en een kaartje ‘niet storen’ aan de deur rustig te hacken. Eerst bij het OPCW om vervolgens de doos Pringles een kwart slag te draaien naar het Catshuis toe.

Maar goed, de hackers zaten wel in de auto en werden bovendien gestoord. “Met het onthullen van de werkwijze van de GRU maken we het de GRU moeilijker en vergroten we tegelijkertijd onze eigen weerbaarheid,” zei de Minister van Defensie trots. Ik onderschrijf die boodschap en pleit al langer voor meer openheid over hoe incidenten verlopen. Maar het is ook onze collectieve taak om twintig jaar na het wardriven eindelijk eens de naïviteit van ons af te schudden. Laten we onze beveiligingsmaatregelen nu écht richten op dreigingen die we al ruim twintig jaar in het vizier hebben.

De nauwelijks te ontdekken hack

Het is de nachtmerrie van iedere organisatie: je neemt beveiliging serieus en doet al het juist en toch ben je kwetsbaar voor de digitaal kraak die niet of nauwelijks te ontdekken is. Wie een virtuele dienst heeft, kan bedrijfsgegevens zo in handen van andere gebruikers geven. De Meltdown-aanval maakt dat nachtmerriescenario realiteit.

Meltdown is een aanval, waarbij de onderzoekers niet het besturingssysteem of de software aanvallen, maar de processoren. Dit ligt een niveau dieper dan het besturingssysteem. De processor kun je niet updaten zonder de hardware te vervangen. Er is dan ook geen simpele oplossing. Wie braaf heeft geupdate, de computer bewaakt en eigenlijk alles doet wat zo belangrijk is, blijkt toch kwetsbaar.

Veel scenario’s

Het besturingssysteem kan – zolang dit probleem niet bekend is – deze aanval ook niet ontdekken en zeker ook niet stoppen. Alles wat met de processor gebeurt is niet alleen te volgen. Wachtwoorden zijn af te tappen en daarmee wordt de ramp groter. In veel gevallen kun je dan inloggen of op andere manieren misbruik maken. Deze aanval is een opstapje naar veel en veel meer.

In een donker scenario kun je de werking van een computer aanpassen. Een bank die saldi verkeerd weergeeft, een zelfrijdende auto met een eigen wil, een vliegtuig dat de weg kwijt is, een administratie die niet meer klopt of een mobiele telefoon die telefoonnummers wist, zijn voorbeelden van aanvallen die mogelijk worden.

Wie een computer deelt door bijvoorbeeld gebruik te maken van een virtuele server is extra kwetsbaar. De buurman op dezelfde set aan machines kan meekijken bij andere gebruikers. En het slechtste nieuws van alles is: dit zijn aanvallen die je mogelijk in de toekomst wel kunt detecteren, maar niet zomaar in logboeken terugvindt. De aanval is gericht tegen de processor niet het besturingssysteem. Wie het netwerk niet actief bewaakt en weet waar te zoeken zal niets door hebben.

NSA-stijl

Dit is de droom van iedere kwaadwillende aanvaller: inbreken, misbruik maken van systemen en nagenoeg niet te detecteren zijn. De natte droom van een inlichtingendienst alla NSA. Of die dit soort mogelijkheden hebben op dit moment weten we niet. Maar het onderzoek naar Meltdown maakt pijnlijk duidelijk hoe belangrijk het is dat we aanvalsscenario’s beter leren te begrijpen.

Erik de Jong: Economische Spionage hoe de Chinezen het doen Mo Fang

Hoe werkt economische spionage? Mó fáng is een Chinese groepering die zich richt op economische spionage. Erik de Jong van Fox-it legt aan Brenno de Winter hoe Mó fáng te werk gaat.
Doelgroep: management en security officers van bedrijven waar veel innovatieve kennis beschikbaar is.

Leerpunten:
· Economische spionage is een langlopende operatie;
· APT Advanced Persistent Threat;
· Breng je medewerkers op de hoogte van mogelijke economische spionage.

Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert. Ga verder met “Digitale stormvloed: Beveiliging is wachten op de Titanic” lezen