Het verhaal dat Richard Clarke draait, heeft alle spanning van een postmoderne geopolitieke thriller. Het verhaal gaat over een spookachtige cyberworm die is gemaakt om de nucleaire centrifuges van een schurkenstaat aan te vallen - die vervolgens ontsnapt uit het doelland en zichzelf repliceert in duizenden computers over de hele wereld. Misschien ligt het nu op de loer in de jouwe. Onschadelijk inactief ... of in afwachting van verdere bestellingen.
gerelateerde inhoud
- Risico's en raadsels
Een geweldig verhaal, toch? De wereldveranderende computerworm met de naam 'bewapende malware', Stuxnet, is zelfs heel reëel. Het lijkt medio 2009 te zijn gelanceerd, heeft in 2010 enorme schade aan het nucleaire programma van Iran toegebracht en vervolgens naar computers over de hele wereld verspreid. Stuxnet heeft mogelijk een nucleaire vuurzee afgewend door de perceptie van Israël van de noodzaak van een dreigende aanval op Iran te verminderen. En toch kan het op een dag snel beginnen als de replicaties kwaadaardig worden gemanipuleerd. En de kern van het verhaal is een mysterie: wie heeft Stuxnet in de eerste plaats gemaakt en gelanceerd?
Richard Clarke vertelt me dat hij het antwoord weet.
Clarke, die drie presidenten diende als tsaar voor terrorismebestrijding, heeft nu een cybersecurity-adviesbureau genaamd Good Harbor, gevestigd in een van die anonieme kantoortorens in Arlington, Virginia, die het Pentagon en het Capitool op meerdere manieren driehoeken. Ik was gekomen om met hem te praten over wat er is gebeurd sinds het dringende alarm dat hij in zijn recente boek Cyber War had gegeven . Het centrale argument van het boek is dat, hoewel de Verenigde Staten de mogelijkheid hebben ontwikkeld om een aanstootgevende cyberwar te voeren, we vrijwel geen verdediging hebben tegen de cyberaanvallen die volgens hem nu op ons zijn gericht en in de toekomst zullen zijn.
De waarschuwingen van Richard Clarke kunnen overdreven dramatisch klinken totdat je je herinnert dat hij de man was, in september 2001, die probeerde het Witte Huis te laten reageren op zijn waarschuwingen dat Al Qaida een spectaculaire aanval op Amerikaanse bodem voorbereidde.
Clarke bracht later een beroemde verontschuldiging aan het Amerikaanse volk in zijn getuigenis aan de 9/11 Commissie: "Uw regering heeft u gefaald."
Clarke wil ons nu dringend waarschuwen dat we opnieuw in de steek worden gelaten, weerloos worden achtergelaten tegen een cyberaanval die de gehele elektronische infrastructuur van ons land, inclusief het elektriciteitsnet, banken en telecommunicatie, en zelfs ons militaire commandosysteem ten val zou kunnen brengen.
"Zijn we als een natie in ontkenning over het gevaar dat we lopen?" Vroeg ik Clarke terwijl we aan een vergadertafel in zijn kantoorsuite zaten.
“Ik denk dat we in de wereld van non-respons leven. Waar je weet dat er een probleem is, maar je doet er niets aan. Als dat ontkenning is, dan is dat ontkenning. '
Toen Clarke naast een raam stond en koffiecapsules in een Nespresso-apparaat deed, werd ik herinnerd aan de opening van een van de grootste spionagefilms aller tijden, Funeral in Berlijn, waarin Michael Caine stil, precies, zijn ochtendkoffie maalt en brouwt . Hightech Java lijkt daarbij te passen.
Maar zeggen dat Clarke een spion was, doet hem geen recht. Hij was een meta-spion, een meester tegen-spionage, savant tegen terrorisme, het centrale knooppunt waar alle geheime, gestolen, met beveiliging versleutelde stukjes informatie verzameld door ons menselijke, elektronische en satellietintelligentienetwerk van triljoen dollar uiteindelijk samenkwamen. Clarke is waarschijnlijk op de hoogte geweest van zoveel "boven topgeheim" - graad spionage-intelligentie als iedereen in Langley, NSA of het Witte Huis. Dus ik was geïntrigeerd toen hij ervoor koos om met me te praten over de mysteries van Stuxnet.
"De afbeelding die u in uw boek schildert, " zei ik tegen Clarke, "is van een VS die volledig kwetsbaar is voor cyberaanvallen. Maar er is echt geen verdediging, toch? 'Er zijn miljarden portalen, valluiken, ' exploits ', zoals de cybersecurity-jongens ze noemen, klaar om te worden gehackt.
"Er is geen vandaag, " gaat hij akkoord. Erger nog, vervolgt hij, catastrofale gevolgen kunnen het gevolg zijn van het gebruik van onze cyberoffense zonder cyberdefense: terugslag, wraak die onze verbeelding te boven gaat.
"De Amerikaanse regering is betrokken bij spionage tegen andere regeringen", zegt hij botweg. “Er is echter een groot verschil tussen het soort cyberespionage dat de Amerikaanse overheid doet en China. De Amerikaanse regering hackt Airbus niet en geeft Airbus de geheimen aan Boeing [velen geloven dat Chinese hackers Boeing-geheimen aan Airbus hebben gegeven]. We hacken ons niet in een Chinees computerbedrijf als Huawei en geven de Amerikaanse concurrent Cisco de geheimen van de Huawei-technologie. [Hij gelooft dat ook Microsoft het slachtoffer was van een Chinese cyberoproep.] Dat doen we niet. "
"Wat doen we dan?"
“We hacken onze weg naar buitenlandse overheden en verzamelen de informatie van hun netwerken. Dezelfde soort informatie die een CIA-agent vroeger probeerde te kopen van een spion. '
"Dus je hebt het over diplomatieke zaken?"
"Diplomatieke, militaire dingen maar geen commerciële dingen van de concurrent."
Terwijl Clarke verder ging, onthulde hij een overtuiging dat we bezig zijn met een heel andere, zeer dramatische nieuwe manier om onze cyberoffense-mogelijkheden te gebruiken - het verhaal van de legendarische cyberworm, Stuxnet.
Stuxnet is een digitale geest, talloze regels code die zo geniaal zijn vervaardigd dat het in staat was zich een weg te banen naar de nucleaire brandstofverrijkingsfaciliteit van Iran in Natanz, Iran, waar gascentrifuges draaien als wervelende derwisjen en bomvrije uranium-235 isotopen scheiden van de meer overvloedige U-238. Stuxnet greep de bedieningselementen van de machine die de centrifuges liet draaien en desynchroniseerde in een delicate, onzichtbare werking de snelheden waarmee de centrifuges draaiden, waardoor bijna duizend van hen vast kwamen te zitten, crashten en anders zelfvernietigend werden. De Natanz-faciliteit werd tijdelijk gesloten en de poging van Iran om voldoende U-235 te verkrijgen om een kernwapen te bouwen, werd vertraagd door wat deskundigen schatten dat het maanden of zelfs jaren was.
De vraag wie Stuxnet heeft gemaakt en wie het op Natanz heeft gericht, is nog steeds een veelbesproken mysterie in de IT- en spionagegemeenschap. Maar vanaf het begin was Israël de hoofdverdachte, waarvan bekend is dat deze openstaat voor het gebruik van onconventionele tactieken om zich te verdedigen tegen wat het als een existentiële bedreiging beschouwt. De New York Time publiceerde een verhaal dat wees op de Amerikaans-Israëlische samenwerking op Stuxnet, maar met de rol van Israël benadrukt door de bewering dat een bestand begraven in de Stuxnet-worm een indirecte verwijzing bevat naar "Esther", de bijbelse heldin in de strijd tegen de genocidale Perzen.
Zouden de Israëli's zo dwaas zijn geweest om zo'n flagrante handtekening van hun auteurschap achter te laten? Cyberwapens worden meestal gereinigd van alle identificerende kenmerken - het virtuele equivalent van de "bom van de terrorist zonder retouradres" - dus er is geen zekere plaats om vergeldingsgevolgen op te leggen. Waarom zou Israël zijn handtekening zetten op een cybervirus?
Aan de andere kant, was de handtekening een poging om de Israëliërs in te kaderen? Aan de andere kant, was het mogelijk dat de Israëliërs het inderdaad hadden geplant in de hoop dat het zou leiden tot de conclusie dat iemand anders het had gebouwd en probeerde het op hen te pinnen?
Als je te maken hebt met virtuele spionage, is er echt geen manier om zeker te weten wie wat heeft gedaan.
Tenzij je Richard Clarke bent.
"Ik denk dat het vrij duidelijk is dat de Amerikaanse overheid de Stuxnet-aanval heeft uitgevoerd", zei hij kalm.
Dit is een vrij verbazingwekkende uitspraak van iemand in zijn positie.
"Alleen of met Israël?" Vroeg ik.
“Ik denk dat er een kleine Israëlische rol in zat. Israël heeft bijvoorbeeld een testbed verstrekt. Maar ik denk dat de Amerikaanse regering de aanval heeft gedaan en ik denk dat de aanval heeft bewezen wat ik in het boek zei [dat uitkwam voordat de aanval bekend was], wat betekent dat je echte apparaten kunt veroorzaken - echte hardware in de wereld, in echte ruimte, niet cyberspace - om op te blazen. '
Komt Clarke er niet meteen uit en zegt ze dat we een daad van niet-aangegeven oorlog hebben gepleegd?
"Als we met een drone naar binnen gingen en duizend centrifuges uitschakelen, is dat een oorlogsdaad", zei ik. "Maar als we bij Stuxnet ingaan en duizend centrifuges uitschakelen, wat is dat dan?"
"Wel, " antwoordde Clarke gelijkmatig, "het is een geheime actie. En de Amerikaanse regering heeft zich voordien sinds het einde van de Tweede Wereldoorlog beziggehouden met heimelijke acties. Als de regering van de Verenigde Staten Stuxnet deed, was er volgens mij een geheime actie die door de president onder zijn bevoegdheden onder de Intelligence Act was uitgegeven. Wanneer is een oorlogsdaad een oorlogsdaad en wanneer is het een geheime actie?
“Dat is een juridische kwestie. In de Amerikaanse wet is het een geheime actie wanneer de president zegt dat het een geheime actie is. Ik denk dat als je aan de ontvangende kant bent van de geheime actie, het een oorlogsdaad is. '
Toen ik het Witte Huis e-mailde voor commentaar, ontving ik dit antwoord: "U weet waarschijnlijk dat we geen commentaar geven op vertrouwelijke zaken." Geen ontkenning. Maar zeker geen bevestiging. Waar baseert Clarke zijn conclusie op?
Een reden om aan te nemen dat de Stuxnet-aanval in de VS plaatsvond, zegt Clarke, "was dat het erg aanvoelde alsof het was geschreven door of bestuurd door een team van advocaten in Washington."
"Waarom zeg je dat?" Vroeg ik.
“Wel, in de eerste plaats heb ik veel vergaderingen met advocaten van het [Washington / regering / Pentagon / CIA / NSA-type] overleg gehad over heimelijke actievoorstellen. En ik weet wat advocaten doen.
“De advocaten willen ervoor zorgen dat ze de effecten van de actie zeer beperken. Zodat er geen nevenschade is. 'Hij verwijst naar juridische zorgen over de Law of Armed Conflict, een internationale code die is ontworpen om burgerslachtoffers te minimaliseren die Amerikaanse advocaten in de meeste gevallen willen volgen.
Clarke illustreert dit door me te leiden door de manier waarop Stuxnet de Iraanse centrifuges heeft neergehaald.
“Wat doet dit ongelooflijke Stuxnet-ding? Zodra het in het netwerk komt en wakker wordt, verifieert het dat het zich in het juiste netwerk bevindt door te zeggen: 'Ben ik in een netwerk dat een SCADA [Supervision Control and Data Acquisition] software controlesysteem draait?' 'Ja.' Tweede vraag: 'Heeft het Siemens [de Duitse fabrikant van de Iraanse fabriekscontroles]?' 'Ja.' Derde vraag: 'Gebruikt het Siemens 7 [een genre van softwarebesturingspakket]?' 'Ja.' Vierde vraag: 'Komt deze software in contact met een elektromotor van een van de twee bedrijven?' 'Hij wacht even.
“Nou, als het antwoord daarop 'ja' was, zou er maar één plaats kunnen zijn. Natanz.”
"Er zijn berichten dat het los is geraakt, " zei ik, rapporten van Stuxnet-wormen die overal in de cyberwereld opduiken. Waarop Clarke een fascinerend antwoord heeft:
"Het raakte los omdat er een fout was gemaakt, " zegt hij. "Het is me duidelijk dat advocaten erover zijn gegaan en het een zogenaamde TTL hebben gegeven."
"Wat is dat?"
"Als je Blade Runner zag [waarin kunstmatige intelligentie androïden een beperkte levensduur kregen - een" tijd om te sterven "], is het een 'Time to Live.'" Doe het werk, pleeg zelfmoord en verdwijn. Geen schade, onderpand of anderszins.
"Dus er was een TTL ingebouwd in Stuxnet, " zegt hij [om te voorkomen dat de internationale wetgeving tegen bijkomende schade wordt geschonden, zeg maar tegen het Iraanse elektriciteitsnet]. En op de een of andere manier werkte het niet. "
"Waarom zou het niet hebben gewerkt?"
“TTL werkt op een datum op uw computer. Nou, als je in China of Iran bent of ergens waar je bootleg-software gebruikt waar je niet voor hebt betaald, dan kan je date op je computer 1998 zijn of zoiets omdat anders de bootleg 30-daagse trial TTL-software zou verlopen.
"Dus dat is een theorie, " gaat Clarke verder. “Maar in elk geval, je hebt gelijk, het is uitgekomen. En het liep over de hele wereld en infecteerde veel dingen, maar richtte geen schade aan, want elke keer dat het wakker werd in een computer, stelde het zichzelf die vier vragen. Tenzij je uranium-nucleaire centrifuges had, zou je je geen pijn doen. '
"Dus het is geen bedreiging meer?"
"Maar je hebt het nu, en als je een computer bent, kun je het uit elkaar halen en je kunt zeggen: 'Oh, laten we dit hier veranderen, laten we dat daar veranderen.' Nu heb ik een echt geavanceerd wapen. Dus duizenden mensen over de hele wereld hebben het en spelen ermee. En als ik gelijk heb, het beste cyberwapen dat de Verenigde Staten ooit heeft ontwikkeld, gaf het de wereld vervolgens gratis. "
De visie die Clarke heeft is een moderne technologische nachtmerrie, die de Verenigde Staten werpt als Dr. Frankenstein, wiens wetenschappelijke genialiteit miljoenen potentiële monsters over de hele wereld heeft gecreëerd. Maar Clarke maakt zich nog meer zorgen over 'officiële' hackers zoals die waarvan men denkt dat ze in dienst zijn bij China.
"Ik sta op het punt iets te zeggen waarvan mensen denken dat het overdreven is, maar ik denk dat het bewijs behoorlijk sterk is, " vertelt hij me. "Elk groot bedrijf in de Verenigde Staten is al gepenetreerd door China."
"Wat?"
“De Britse regering zei eigenlijk [iets soortgelijks] over hun eigen land. ”
Clarke beweert bijvoorbeeld dat de fabrikant van de F-35, onze volgende generatie jachtbommenwerper, is gepenetreerd en F-35-details zijn gestolen. En laat hem niet beginnen met onze supply chain van chips, routers en hardware die we importeren van Chinese en andere buitenlandse leveranciers en wat er in kan worden geïmplanteerd - 'logic bombs', trapdoors en 'Trojan horses', allemaal klaar om te worden geactiveerd op commando zodat we niet weten wat ons overkomt. Of wat ons al raakt.
"Mijn grootste angst, " zegt Clarke, "is dat, in plaats van een cyber-Pearl Harbor-evenement, we in plaats daarvan deze dood van duizend bezuinigingen zullen hebben. Waar we ons concurrentievermogen verliezen door al onze onderzoeks- en ontwikkelingsactiviteiten te laten stelen door de Chinezen. En we zien nooit echt één gebeurtenis waardoor we er iets aan doen. Dat het altijd net onder onze pijngrens ligt. Dat bedrijf na bedrijf in de Verenigde Staten besteedt miljoenen, honderden miljoenen, in sommige gevallen miljarden dollars aan R&D en die informatie gaat gratis naar China .... Na een tijdje kun je niet meer concurreren. ”
Maar de zorgen van Clarke reiken verder dan de kosten van verloren intellectueel eigendom. Hij voorziet het verlies van militaire macht. Stel dat er nog een confrontatie was, zoals die in 1996 toen president Clinton twee vliegdekschepen naar de Straat van Taiwan haastte om China te waarschuwen voor een invasie van Taiwan. Clarke, die zegt dat er oorlogsgames zijn geweest over precies zo'n nieuw leven ingeblazen confrontatie, gelooft nu dat we misschien moeten stoppen om zo'n rol te spelen uit angst dat de verdediging van onze carrier-groep zou worden verblind en verlamd door Chinese cyberinterventie. (Hij citeert een recent oorlogsspel dat is gepubliceerd in een invloedrijk tijdschrift over de militaire strategie, Orbis genaamd getiteld "How the US Lost the Naval War of 2015.")
Praten met Clarke geeft een kijkje in het gloednieuwe spel van geopolitiek, een gevaarlijk en beangstigend nieuw paradigma. Met de komst van "bewapende malware" zoals Stuxnet moet alle eerdere militaire en veel diplomatieke strategieën volledig worden herleefd - en de tijd dringt.
Ik verliet het kantoor van Clarke met het gevoel dat we heel erg op de zomer van 2001 lijken, toen Clarke zijn laatste ernstige waarschuwing maakte. "Een paar mensen hebben me een Cassandra genoemd, " zegt Clarke. 'En ik ben teruggegaan en mijn mythologie over Cassandra gelezen. En zoals ik de mythologie lees, is het vrij duidelijk dat Cassandra gelijk had. '
Noot van de redactie, 23 maart 2012: Dit verhaal is aangepast om te verduidelijken dat de Natanz-faciliteit slechts tijdelijk werd afgesloten en dat de naam "Esther" alleen indirect werd vermeld in de Stuxnet-worm.
