De lessen over cyber-oorlog die Anonymous ons leerde

"Cyberoorlog" is een zwaar beladen term, die door Hollywood geïnspireerde beelden van hackers oproept die veroorzaken dat olieraffinaderijen exploderen. Enige beveiligingsberoemdheden waren zeer sterk tegen de gedachte daarvan en beweerden dat cyberoorlog niet zozeer wetenschap maar meer science fiction was.

Vorig jaar op 21 mei rapporteerde het United States Cyber Command (USCYBERCOM) dat het initiële operationele capaciteit had bereikt en het wemelde van nieuwsberichten over Amerikaanse soldaten die een basis cyber-opleiding kregen, dat alles wees op het idee dat de traditionele grootmachten begonnen waren deze arena te verkennen.

Uit recente activiteiten met een aannemer van de overheid en Anonymous blijkt echter duidelijk dat cyber-operaties al een lange tijd gaande zijn en dat de particuliere sector maar al te bereid is om de cyber-huurling rol te vervullen voor stapels geld.

Anonymous vs HBGary

Begin 2011 legde Aaron Barr een toespraak voor op een veiligheidsconferentie waarin hij van plan was om "zich richten op uitlatingen van de belangrijkste spelers van de anonymous groep". Barr, de CEO van de in Washington gevestigde HBGary Federal, had tijd gespendeerd om "te infiltreren in de groep" met het gebruik van meerdere identiteiten op sociale netwerken en anonieme IRC kanalen.

Hij was voldoend overtuigd van zijn analyse om delen ervan te publiceren via de Financial Times. Barr (en inderdaad de rest van het bedrijf) waren van plan om de onthullingen uit te melken en te profiteren van het onderzoek via een programma van een reeks van vergaderingen, een interview met 60 Minutes tot meerdere potentiële transacties met federale agentschappen.

De CEO van HBGary prepareerde een post met de uitleg hoe zij vandaag hun "spierballen hadden laten zien door het onthullen van de identiteit van het hele topmanagement binnen de groep Anonymous".

Anonymous waren snel met een reactie.

Zelfs terwijl Barr de overwinning verkondigde en dreigde om "zonder enige terughoudendheid te strijden", groeven Anonymous dieper in zijn netwerk.

Tegen het einde van de aanval was naar verluidt Barr's iPad gewist, waren zijn LinkedIn en Twitter accounts gekaapt, de HBGary federale website was onleesbaar, HBGary?s eigen broncode was gestolen en met meer dan 71.000 particuliere e-mails nu op het internet gepubliceerd was HBGary in zijn hemd gezet

Hiermee was onze eerste les: De asymmetrie van cyber-oorlogvoering.

HBGary, een goed gefinancierd rasecht veiligheidsbedrijf met sterke offensieve cyber mogelijkheden kreeg een pak slaag door een ongefinancierde, losjes georganiseerd hackerscollectief.

Het incident bevat een reeks lessen voor diegenen die hun netwerken wensen te beveiligen tegen aanvallen maar wat veel interessanter is zijn de gelekte e-mails die ons inzicht geven in de duistere wereld van "cyber-aannemers" en wat "het militaire digitale complex" wordt genoemd.

HBGary: cyberoorlog wapenhandelaar

HBGary werd opgericht door veiligheidsonderzoek veteraan Greg Höglund, die door de jaren naam heeft gemaakt voor zichzelf met het doen van onderzoek naar rootkittechnologie.

Een rootkit is een stukje geïnstalleerde software om ervoor te zorgen dat een aanvaller in staat is om controle over een besmette computer te behouden. Rootkits zijn ontworpen om detectie te vermijden nadat ze eenmaal geïnstalleerd zijn.

Wat is wel schokkend is zijn enkele van de andere details die in het kielzog naar boven kwamen.

Höglund's e-mails beweren dat zijn huidige producten werden gebouwd met "ongeveer 2 miljoen aan belastingsgeld ", maar dit alleen is niet schokkend. Overheden financieren constant technologisch onderzoek en HBGary waren ook een commercieel product aan het bouwen.

De e-mails maken duidelijk dat HBGary rootkits en keyloggers (software voor het vastleggen en stiekem doorsluizen van toetsaanslagen) aan de overheidsaannemers had verkocht voor prijzen tussen de 60.000 en 200.000 dollar per stuk.

Deze stukken "malware" worden speciaal afgestemd op de behoeften van cliënten, welke ongetwijfeld de staat van de uiteindelijke doelen reflecteren bijvoorbeeld: ".. het testen van de software tegen McAfee en Norton." Sommige rootkits waren redelijk routine, terwijl anderen duidelijk specifieke behoeften verraden: "Werkt op MS Windows XP SP2 en Office 2003, vindt MS Office bestanden die XRK techniek gebruiken om bestanden door te sluizen".
Zelfs de volgende generatie rootkits werden onderzocht - om actief te blijven, ondanks de verwijdering van een harde schijf of op een machine te persisteren via de videokaart. Vergis je niet, dit waren op bestelling gemaakte offensieve cyber-instrumenten,.

0day exploits

Rootkits stellen je in staat om controle van een gecompromitteerde machine te handhaven, maar iemand zou nog steeds een initiale gecompromitteerde vector nodig hebben. Nogmaals, de e-mail archieven presenteren: dat gezien kan worden dat HBGary verkoopspersoneel verwijzingen maakt naar "Juicy Fruit", hun interne naam voor door HBGary geleverde 0day exploits.

0day verwijst naar exploits die op dit moment onbekend zijn door de softwareleverancier, wat de verdediging tegen 0day aanvallen soms onmogelijk maakt. Eén e-mail inventariseert hun 0day arsenaal, die aanvallen tegen Adobe Flash, Windows 2003, Sun Java en tal van andere producten omvat. De e-mails maken zelfs een onderscheid tussen exploits die aan een klant zijn verkocht en degene die nog steeds exclusief zijn.

Andere e-mails bevatten gesprekken over verkoop van back-doored software aan buitenlandse regeringen en plannen om "thema's voor video games en films die geschikt zijn voor het Midden-Oosten en Azië te maken. Deze themapakketten zou back doors bevatten". Het is duidelijk dat cyber-aanvallen tegen buitenlandse burgers eerlijk spel lijkt te zijn.

Als de ethische lijn op dit gebied een beetje wazig is, de lijn volledig was verdwenen met plannen om WikiLeaks te bestrijden door zich te richten aanhangers van de zaak:

From - Tue Feb 08 09:06:48 2011

Subject: Re: first cut
From: Aaron Barr
Date: Fri, 3 Dec 2010 08:32:12 -0500
Cc: Eli Bingham , BERICO-Sam.Kremin
To: Matthew Steckman

Een ander ding. Ik denk dat we de nadruk op mensen als Glenn Greenwald moeten leggen. Glenn was kritisch in de Amazon over de OVH overgang en hielp WikiLeaks toegang te leveren tot informatie tijdens de overgang.

Het is dit niveau van hulp dat we moeten aanvallen. Dit zijn gevestigde professionelen die een liberale inslag hebben, maar uiteindelijk zullen de meeste van hen kiezen voor professioneel behoud over de zaak als ze onder druk gezet worden, dat is de mentaliteit van de meeste zakelijke professionals. Zonder de steun van mensen als Glenn zou WikiLeaks instorten.

Aaron.

(Uit latere e-mails blijkt dat het project om WikiLeaks op de korrel te nemen was om voor 2 miljoen dollar te worden verkocht.)

Misschien was HBGary een uitzondering?

Op dit punt konden we de gedachtesprong maken dat HBGary een enkele rotte appel is die in zijn eentje aan de andere kant van de ethische lijn opereerde, maar we zouden het mis hebben.

De e-mail hierboven geeft aan dat het project 0m WikiLeaks (en hun aanhangers) in diskrediet te brengen een gezamenlijke operatie was door HBGary Federal, Palantir en BericoTechnologies hoewel de andere bedrijven die betrokken waren snel afstand namen van HBGary na de Anonymous hack.

Endgame Systems, een bedrijf met bijna geen publieke zichtbaarheid, werd ook in de schijnwerpers geplaatst toen enkele van hun eerder goed bewaakte rapporten en bedrijfspresentaties aanwezig waren tussen de e-mails.

In een vroege e-mail aan Aaron Barr maakte Endgame Systems duidelijk dat zij "heel voorzichtig waren geweest geen openbaar zicht op ons bedrijf te hebben". De CEO van Endgame Systems was duidelijk: "Laat HBgary ze weten dat we nooit onze naam willen zien in een persbericht".

Dus wat doet het geheimzinnige Endgame Systems precies? Het bedrijf is opgericht door ex ISS en de CIA directeuren met de (privé) belofte "om onze klanten te voorzien van de hoogste kwaliteit offensieve CNA / CNE (Computer Network Attack / Computer Netwerk Exploitatie) software in de wereld".

Hun overzicht maakt duidelijk dat zij "de bijzondere eisen van het Ministerie van Defensie van de Verenigde Staten en inlichtingendiensten" dienen.

Hun gelekte PowerPoint afdeling adverteert met abonnementen van $ 2.500.000 per jaar voor toegang tot 0day exploits, met iets meer betaalbare "intelligentie feeds" verkopen zij in werkelijkheid informatie over kwetsbare servers per geografische regio. Met een enkel verslag (en een groot genoeg chequeboek) kan je alle servers in de Venezolaanse regering te weten komen die kwetsbaar zijn voor aanvallen, samen met de software die nodig is om ze te exploiteren.

Zelfs alleen de CV's die naar HBGary waren verzonden voor sollicitaties bleken leerzaam te zijn met onthullend details die niet vaak circuleren in de publieke arena. Een kandidaat had "een team van 15 personen geleid dat verantwoordelijk was voor de coördinatie van offensieve computernetwerkactiviteiten voor het Amerikaanse ministerie van Defensie en andere federale instanties".

Het is duidelijk dat offensieve cyber-operaties dateren van ver vóór de oprichting van USCYBERCOM in 2009. De e-mail gesprekken maken duidelijk wat velen al bekend was, dat offensieve cyber-operaties tegen individuen en nationale staten al een lange, lange tijd aan de gang zijn.

Deskundigen die anders beweren zijn, op zijn best, fout geïnformeerd of verspreiden, in het slechtste geval, actief onjuiste informatie. Als het gaat om cyberoorlog wordt de materie het beste onder woorden gebracht door de beroemde uitspraak van William Gibson: "De toekomst is er alreeds - hij is slechts niet erg gelijkmatig verdeeld".

Door, Haroon Meer.

english.aljazeera.net