Al eens gehoord van het Monstermind-project? Klokkenluider Edward Snowden heeft 'verklapt' dat de Amerikaanse spionagedienst NSA een systeem zou ontwikkelen dat op Amerikaanse organisaties gerichte cyberaanvallen niet alleen kan neutraliseren, maar zelfs een tegenaanval kan inzetten.
Het concept van Monstermind is niet nieuw. In de beveiligingsindustrie worden er regelmatig discussies gevoerd over de voors- en tegens van een offensieve strategie. Dit is echter de eerste keer dat naar buiten komt dat een staat deze tactieken wil inzetten. Uiteraard is het nu nog alleen een speculatie, maar als dit waar is, spelen er een aantal issues waardoor ik van mening ben dat een dergelijke aanvallende strategie zeker geen goed idee is.
Privacy
Het eerste issue is privacy. Als Monstermind bovenstaande taken moet vervullen, moet de NSA toegang krijgen tot al het verkeer dat van buitenaf Amerika binnenkomt en dit daarnaast allemaal monitoren. Alleen dan kunnen ze bepalen wat onbetrouwbaar is en wat niet. Snowden zelf gaf al aan dat dit in strijd zou zijn met het vierde amendement. En gezien de onthullingen rond de NSA die tot nu toe zijn gedaan, heeft niemand de illusie dat privacy van burgers en organisaties één van de prioriteiten is van de NSA.
Mijn tweede zorg wat betreft Monstermind is dat er nog niet bekend is aan welke voorwaarden een aanval moet voldoen voordat er terug mag worden gehackt. Zo’n dergelijke tegenaanval kan namelijk tot een ware cyberoorlog leiden. Wie beslist er in dit geval dus om actie te ondernemen? Zal de NSA experts uit de industrie vragen naar hun mening? Ik denk het niet.
Domino-effect
Een ander belangrijk issue is het domino-effect. Vandaag de dag gebruiken de meeste mensen die werken voor de Staat gecompromitteerde machines, zogenaamde botnets, om aanvallen uit te voeren. Deze verhullen keurig de oorsprong van de aanval doordat een botnet gebruik maakt van computers van vaak onschuldige burgers en biedt ook nog de middelen om op afstand zaken te manipuleren. Dit betekent ook dat als je terug slaat naar de bron van de aanval, er een grote kans is dat burgers onterecht worden aangevallen. Ik vrees dat de middelen om de echte bron van een botnet te achterhalen, helaas nog niet ver genoeg ontwikkeld zijn.
Stel dat de VS er bijvoorbeeld 100 procent zeker van is dat een overheidsinstelling wordt aangevallen door cybercriminelen uit Noord-Korea, dan zou het niet slim zijn om met een automatisch systeem als Monstermind terug te slaan naar de meest voor de hand liggende bron. Dit zou enorme gevolgen kunnen hebben en het zou zeker niet hierbij blijven.
Als laatste wil ik nog graag mijn zorg delen dat het direct terugslaan door middel van een automatische cyberaanval ervoor kan zorgen dat belangrijk bewijsmateriaal om de bron te identificeren wordt vernietigd. Microsoft’s Digital Crimes Unit is er in het verleden wel eens van beschuldigd hetzelfde te hebben gedaan. In feite is dit precies wat er vorig jaar met het Citadel botnet gebeurde. Het vernietigde de zogenaamde ‘sinkholes’ die andere security-onderzoekers hadden geïnstalleerd in hun zoektocht naar de breinen achter het bot. Als je opzoek bent naar de drugsbaron, ga je ook niet de koeriers neerschieten. Vaak is het dan slimmer om eerst te zorgen dat je precies snapt hoe het hele netwerk werkt zodat je dan de masterminds kunt opsporen.
Dit betekent niet dat Monstermind geen potentie heeft. Het is in principe ontworpen om traffic te analyseren en potentiële cybercriminelen op te sporen en hun werkzaamheden te blokkeren en dat is ook precies wat er nodig is. Dit is zelfverdediging en volledig acceptabel. Maar als je met iemand in de security-wereld spreekt, is de kans groot dat die persoon twijfels kenbaar maakt over het automatisch terugslaan bij een cyberaanval. De gevolgen gaan een stuk verder dan de cyber wereld en zijn daarom niet te overzien...
