Met de hand geselecteerde longreads over 0days

In vijf artikelen worden 0days van alle kanten belicht: de legale maar duistere handel, het inzetten van 'exploits' als wapen en de ethiek van hackers.

Van een persoonlijk relaas met veel humor tot een doorwrocht artikel over de ontwikkeling van digitale oorlogsvoering. In vijf uitgebreide artikelen kunt u zich verder verdiepen in het fenomeen zero days, de handel in deze veiligheidslekken, online veiligheid en cyberoorlog.

Everything is broken

Quinn Norton beschrijft op haar Medium-pagina kleurrijk over zero days en vertelt eerstehands anekdotes over bevriende computerexperts. "A friend of mine accidentally shut down a factory with a malformed ping. (...) It took them a day to turn everything back on." Journalist Norton had drie jaar lang een relatie met Aaron Swartz en ze heeft vele contacten in de computerbeveiliging- en hackerwereld.

In dit ontnuchterende artikel beschrijft ze de menselijke factor bij het ontstaan van fouten in software en ze gebruikt daarbij de nodige humor: "Computer experts like to pretend they use a whole different, more awesome class of software that they understand, that is made of shiny mathematical perfection and whose interfaces happen to have been shat out of the business end of a choleric donkey. This is a lie."
 

Computers have gotten incredibly complex, while people have remained the same gray mud with pretensions of godhood.

Quinn Norton, Everything is broken

Met veel kennis van zaken beschrijft ze hoe goed beveiligde software samenwerkt met compleet onveilige software en daarmee eigenlijk nutteloos is. Hoe zelfs de meest ervaren beveiligingsexperts nog wel eens per ongeluk een bestand op hun computer met malware openen, die ze eigenlijk wilden onderzoeken. En uiteindelijk komt ze bij de hamvraag uit: alles is kapot, maar is het nog te maken? En door wie, computerexperts, de overheid of door ons, de burgers?

Everything is broken - Quinn Norton - Medium.com
circa 4.000 woorden, geschatte leestijd: 20 minuten

The secret war

Inmiddels afgetreden, maar zijn erfenis zal nog jarenlang zichtbaar en voelbaar blijven. Viersterren-generaal Keith Alexander was baas van de NSA en hij zorgde ervoor dat het Amerikaanse budget voor digitale oorlogsvoering drastisch werd uitgebreid. In dit uitvoerige portret van Wired schetst auteur James Bamford niet alleen een beeld van Alexander als persoon, maar ook zijn rol in de ontwikkeling van het Stuxnet-virus, het afluisterschandaal van de NSA en verschuiving van digitale defensie naar het ontwikkelen van offensieve cyberwapens. 
 

We jokingly reffered to him as emperor Alexander, because whatever Keith wants, Keith gets. 

Wired, The secret war

In zijn zoektocht naar digitale wapens wakkert Keith Alexander de handel in zero days flink aan. Hij beschrijft de mogelijkheid van het in verkeerde handen vallen van de veiligheidslekken als zijn grootste zorg. De generaal heeft een bepalende rol gespeeld in de vercommercialisering van de lekken met zijn bij het Amerikaanse congres losgepeuterde dollars. James Bamford weet in dit Wired-artikel een uitvoerig en goed leesbaar beeld te schetsen van de stappen die het Amerikaanse leger aan de hand van Keith Alexander neemt op gebied van cyberoorlog. 

Saillant detail: inmiddels heeft Keith Alexander een commercieel bedrijf opgericht dat gebruik maakt van baanbrekende software om je mee te wapenen tegen cyberaanvallen. Lees voor meer details het artikel Ex-NSA Chief's anti-hacker patent sparks ethics questions van Bloomberg.

The secret war - James Bamford - Wired
circa 5.200 woorden, geschatte leestijd: 26 minuten

Shopping for zero-days

Amerikaanse en Europese overheden betalen beter dan Russische en Chinese. Een hack voor de iPhone is meer waard dan voor het minder goed beveiligde Android. En een goede zero day kan 250.000 Amerikaanse dollars opleveren. Wie meer wil weten over de handel in veiligheidslekken in software leest het artikel Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits van Andy Greenberg voor Forbes. In gesprek met de van origine Zuid-Afrikaanse hacker the Grugq geeft het artikel een goed inzicht in hoe de handel concreet werkt.
 

Selling a bug to the Russian mafia guarantees it will be dead in no time, and they pay very little money.

Hacker 'the Grugq', Shopping For Zero-Days

Dat artikel hoort bij een ander artikel op Forbes.com van Andy Greenberg: Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees). Dit artikel gaat specifiek over Frans beveiligingsbedrijf Vupen. Dit bedrijf handelt ook in beveiligingslekken en speelt overheden tegen elkaar uit om de prijs op te drijven. Vupen zegt veel klanten te weigeren en alleen te verkopen aan regeringen van NAVO-landen en partners van de NAVO. In dit artikel maken we al kennis met hacker 'the Grugq' (die ook te zien is in de Tegenlicht-aflevering over Zero Days) en met criticaster Chris Soghoian. 

Soghoian is uitgesproken tegenstander van de handel in zero days en noemt een bedrijf als Vupen "handelaren in dood" die de "kogels voor cyberoorlog" verkopen. De privacy-onderzoeker en activist bekritiseerd ook Kevin Mitnick. Mitnick was een fameuze black hat hacker, vond zichzelf opnieuw uit als white hat hacker en begeeft zich nu in het grijze gebied van de handel in zero days. Over hem kun je meer lezen in het artikel Kevin Mitnick, Once the World’s Most Wanted Hacker, Is Now Selling Zero-Day Exploits van Wired.

Shopping for zero-days - Andy Greenberg - Forbes
circa 1340 woorden, geschatte leestijd: 7 minuten

Meet the hackers who sell spies the tools to crack your pc - Andy Greenberg - Forbes
circa 1.200 woorden, geschatte leestijd: 6 minuten

Network insecurity

In dit zeer gedegen artikel van The New Yorker schetst John Seabrook een beeld van de ontwikkelingen die internetbeveiliging heeft doorgemaakt. De bedreigingen die zijn ontwikkeld van de Nigeriaanse spammails met taalfouten tot programma's die dankzij zero days computers overnemen zonder dat iemand het door heeft. Seabrook beschrijft hoe zelfs een bedrijf als RSA werd gehackt, terwijl het bedrijf tokens maakt die computernetwerken moeten beschermen.
 

The idea that any company in the world is going to be able to protect itself against an intelligence service or an armed military unit of another country is, quite frankly, ridiculous. 

Beveiligingsexpert Dmitri Alperovitch, Network insecurity

Een andere anekdote die in het artikel wordt beschreven is van Eric Grosse, een leidinggevende in het beveiligingsteam van Google. Hij vertelt dat hij tweehonderd verschillende wachtwoorden heeft, allemaal sterke wachtwoorden. Die onthoudt hij door ze op te schrijven. "But then that piece of paper could be stolen", zegt Seabrook. “Yeah, but if your adversary is somebody on the other side of the ocean he can’t get the piece of paper you have in a safe at home. If you’re trying to guard against your roommate, then you need a new roommate.”

Seabrook heeft voor zijn artikel met veel mensen over computerbeveiliging gesproken. Van de FBI tot Google. Van beveiligingsbedrijf CrowdStrike tot en met professor Orin Kerr van de George Washington universiteit. Dit goed onderbouwde en gedegen artikel bouwt op naar een dreigende cyberoorlog en schetst een weinig hoopgevend beeld. Om met de woorden van topman Tom Kellerman van antivirusbedrijf Trend Micro te eindigen: "We’re completely fucked".

Network insecurity - John Seabrook - The New Yorker
circa 6.400 woorden, geschatte leestijd: 32 minuten

Silent war

Auteur Michael Joseph Gross schreef in 2011 in Vanity Fair een uitgebreid artikel over het virus Stuxnet: A declaration of cyber-war. Dat hij het onderwerp van digitale oorlogsvoering al jaren volgt, blijkt uit ook het artikel Silent war, the changing and terrifying nature of the new cyber-warfare, geschreven in 2013. In dit bloemrijk geschreven artikel beshrijft Gross gedetailleerd het ontstaan van cyberoorlog; ironisch genoeg door een Amerikaanse poging om nucleaire oorlogsvoering tegen te gaan.
 

Stuxnet was “the first autonomous weapon with an algorithm, not a human hand, pulling the trigger.”

Voormalig medewerker Witte Huis, Silent War

Gross beschrijft hoe Stuxnet een succes was voor de Amerikaanse overheid door de effectiviteit van dit computervirus. Tegelijkertijd was het een mislukking omdat het ontdekt is en met redelijke zekerheid aan de Amerikanen kan worden toegeschreven. Met veel oog voor details beschrijft de auteur van Vanity Fair de werking van de digitale wapens, zoals Flame, een voorloper van Stuxnet. De betrokkenheid van Russische virusbestrijder Eugene Kaspersky wordt beschreven, wanneer hij wordt benaderd door Hamadoun Touré van de Verenigde Naties. Gross weet zo een goed beeld te schetsen van de uitdijende cyberoorlog.

In het artikel is ook aandacht voor de Nederlandse DigiNotar-hack. Het stelen van honderden digitale certificaten, die gebruikt werden om Iraanse burgers te bespioneren. De hack werd opgeëist door een 21-jarige Iraanse hacker genaamd Comodohacker. Een analist die deze zaak maanden bestudeerde denkt dat de Iraanse overheid erachter zit en dat de hacker als dekmantel is gebruikt: "Twenty-one-year-old hackers are the new stealth".

Wie zich vast wil bijten in een goed geschreven artikel over deze onzichtbare oorlog, doet er goed aan Silent War van Michael Gross te lezen. Een oorlog die overigens niet langer is voorbehouden aan natiestaten: "You don’t have to be a nation-state to do this. You just have to be really smart."

Silent war - Michael Joseph Gross - Vanity Fair 
Circa 7.100 woorden, geschatte leestijd: 35 minuten