‘Er is nog geen achterdeur gevonden in de apparatuur van Huawei’
Is Europa klaar om een grote cyberaanval te verwerken en moet ons land Chinese telecomspelers weren om spionage te beperken? Data News legt het voor aan Bart Preneel, hoogleraar aan de KU Leuven en cryptograaf.
Cyberaanvallen en spionage door buitenlandse overheden zijn geen uitzondering meer. Moeten bedrijven of burgers zich daar zorgen over maken?
BART PRENEEL: Economische spionage is in eerste instantie een zorg van bedrijven en de overheid. Maar als je economie niet draait, dan ga je daar natuurlijk ook als burger aan verliezen. Daarnaast is er de massasurveillance van de burger. Iets waar men in de VS en het Verenigd Koninkrijk vandaag mee bezig is, en voor zover ze kunnen ook China, Rusland en een aantal Europese landen. Dan probeer je alles over iedereen te weten te komen om de veiligheid te garanderen. De technologie daarvoor is vandaag zo goedkoop en krachtig dat overheden niet aan de verleiding kunnen weerstaan. Maar daar tegenover staat wel dat je de privacy van elke burger schendt en er zijn ook grote vraagtekens bij de effectiviteit ervan: maakt massasurveillance ons veiliger?
Van Cisco en Juniper weten we dat er achterpoortjes zijn. Dat is ook uitgebreid gedocumenteerd door wetenschappers, al doen ze zelf alsof er niets aan de hand is. Haal je zo’n toestel in huis, dan zit er een achterdeur in
Zijn er, naar spionage toe, sectoren die gevoeliger liggen dan anderen?
PRENEEL: Je kan daar twee domeinen in onderscheiden. Als het over technologie gaat, dan zijn vooral bedrijven die onderzoek en ontwikkeling doen van belang. Hoe beter hun research, hoe beter ze kunnen concurreren. Dat is een wapenwedloop die je in ICT of chemie ziet. Die sectoren zijn kwetsbaar omdat ze die informatie kunnen verliezen en zo hun voordeel kunnen kwijtspelen.
Het andere domein zit meer op manipulatie. We hebben gezien hoe via het Cambridge Analytica-schandaal (waar een testje op Facebook gegevens verzamelde die nadien werden ingezet om zeer gericht politiek te adverteren, nvdr.) verkiezingen worden gemanipuleerd. Het is geen industriële spionage, maar het komt wel in de buurt van oorlogsvoering waarbij iedereen kwetsbaar is en betrokken kan worden.
In 2007 en 2008 kregen zowel Estland als Georgië een zware cyberaanval vanuit Russische hoek over zich heen. Gaan we zo’n aanpak vaker zien? En hoe groot is de kans dat zo’n digitale oorlog ook kritieke netwerken zoals het stroomnetwerk, communicatielijnen of het hele internet plat legt?
PRENEEL: Ik denk dat dat bijna onvermijdelijk is. De Amerikanen hebben intussen een cyberforce opgericht. De Navo hoopt tegen 2023 klaar te zijn maar ook China en Rusland hebben dat vandaag als extra component. Cyberoorlog gaat in eerste instantie om het ontregelen van de communicatie en informatica van raketsystemen, radarsystemen of slagschepen. Maar daarnaast wordt hij voor een groot deel uitgevochten op civiele infrastructuur.
Je hoeft zelfs niet zo ver terug te gaan in de tijd. In 2016 was er Stuxnet, malware die uiteindelijk als enige doel had om specifiek Iraanse installaties voor uraniumverrijking te treffen. In Zero Days, een documentaire daarover, zegt een klokkenluider dat ze niet enkel uraniumverrijking hadden geïnfiltreerd, maar ook hun banksystemen, telecomsystemen, ziekenhuizen… Ze konden heel het land platleggen.
Enkele jaren geleden zei iemand me op een cybersecurityconferentie dat de meeste grote landen bij elkaar spioneren en dat het stroomnetwerk platleggen perfect kan, maar dat het niet gebeurt omdat zoiets een oorlogsdaad zou zijn. Klopt dat?
PRENEEL: Dat kan absoluut. In Oekraïne is de stroom uitgevallen en achteraf bleek dat door een cyberaanval te zijn. Daar hebben ze alles manueel weer moeten inschakelen. Het grote probleem daarbij is dat je het niet met zekerheid aan iemand kan toewijzen. De VS, die bijna alle communicatie beheerst en afluistert, kan nog wel kijken via welke landen zo’n aanval komt, maar zelfs zij kunnen het niet feilloos uitsluiten.
Is Europa klaar voor een grote cyberaanval, en kan het zich daar überhaupt op voorbereiden?
PRENEEL: Qua verdediging denk ik dat we heel slecht staan. Landen die het meest gedigitaliseerd zijn, hebben het meest te verliezen. Het gaat om bedrijven, telecomoperatoren, universiteitsnetwerken, die beperkte budgetten hebben voor beveiliging en niet door militairen worden beveiligd.
Maar ik vermoed wel dat een gevorderd land zoals de VS, Rusland, China of Duitsland, waar er grote budgetten zijn, wel in staat is om bij een aanval haar netwerken af te sluiten van de buitenwereld (Rusland zou zo’n test momenteel bekijken, nvdr.). Maar als dat gebeurt via krachtige malware die in het land zelf rondgaat, dan is dat moeilijk om zoiets snel onder controle te krijgen. Dan kan het dagen of weken duren voor ze wordt gevonden en geneutraliseerd.
Maakt dat de bezorgdheid van de VS over het Chinese Huawei terecht? Is het veiliger om hen te mijden, of is dit een deel van de economische oorlog met China?
PRENEEL: Als je kritieke infrastructuur van buitenlandse spelers afkomstig is, dan is dat een bijkomende kwetsbaarheid, bijvoorbeeld via achterpoortjes om achteraf in te breken of het netwerk plat te leggen. De VS heeft meer middelen om wereldwijd af te luisteren en in te breken, maar voor de Chinezen zou de positie van Huawei hen wel handig uitkomen.
Huawei heeft grote stappen vooruit gezet
De bezorgdheid is er, maar is het ook al gebeurd?
PRENEEL: Wat Huawei betreft is er, voor zover ik weet, nog geen achterdeur gevonden in hun apparatuur. Ik weet wel van insiders dat ze een paar jaar geleden een pak minder veilig waren dan Amerikaanse spelers, maar dat komt omdat China toen nog een zekere leercurve had af te leggen. Intussen hebben ze wel grote stappen vooruit gezet. Ze hebben onder meer daarom ook een labo opgericht in het Verenigd koninkrijk waar ze samen met GHCQ hun routers veiliger maken. Wij werken met de KU Leuven overigens ook samen met hen voor onderzoek.
Maar er is een verschil tussen een toestel voldoende beveiligen en bewust een achterpoortje inbouwen.
PRENEEL: Dat is inderdaad de grote vraag. Van Cisco en Juniper weten we dat er achterpoortjes zijn. Dat is ook uitgebreid gedocumenteerd door wetenschappers, al doen ze zelf alsof er niets aan de hand is. Haal je zo’n toestel in huis, dan zit er een achterdeur in, vermoedelijk voor de VS. Er zijn zelfs vermoedens dat de Chinezen die ooit hebben overgenomen en dat ze later weer is teruggezet.
Hoe is dat kunnen gebeuren?
PRENEEL: Het zijn geruchten natuurlijk, maar een paar jaar geleden kwam er een update voor een NetScreen-router van Juniper. Academici zijn beginnen kijken wat die update precies deed en ontdekten daarbij dat de achterdeur die eerder was ingezet, voortaan door een andere partij kon worden gebruikt, en intussen is die weer teruggezet voor de originele ‘persoon’.
Dus een achterpoortje, vermoedelijk om de Amerikanen toegang te geven, is gekaapt door de Chinezen en later weer hersteld voor de Amerikanen?
PRENEEL: We weten niet met zekerheid wie die achterdeur heeft gemaakt en genomen, maar ze zou nu wel terug in handen zijn van de VS. Maar zo’n dingen tonen aan dat als België Amerikaanse routers koopt, ze er de achterdeur gratis bij krijgen en dat de Chinezen die even goed kunnen overnemen. Is dat zoveel beter voor ons?
Het argument is ook wel dat de VS nauwere bondgenoten zijn dan de Chinezen.
PRENEEL: En wat is er enkele jaren geleden bij Belgacom gebeurd? Daar zijn ze gehackt door GHCQ, de Britse inlichtingendienst.
Dus het maakt niet uit wie ze levert, maar wel of er een gaatje in komt?
PRENEEL: Er zijn gradaties in. Het kan perfect zijn dat een apparaat van Huawei geen achterdeur bevat en dat de VS er gewoon een maakt. Daarnaast kan iedereen die een router kan updaten -in de eerste plaats de producent- altijd zo’n achterdeur toevoegen. Op het moment dat de relaties met een bepaald land verslechteren sta je in een zwakke positie.
Zorg voor open routers
Wat is de oplossing om het te voorkomen?
PRENEEL: Je kan in theorie updates weigeren, maar ze dienen ook om gekende veiligheidsproblemen op te lossen dus dat is niet zo vanzelfsprekend. Het is eigenlijk een debat dat Europa niet kan winnen, tenzij ze hun eigen routers bouwen.
Mijn persoonlijk standpunt is: zorg voor open routers. Europa moet pleiten voor open software en open hardware (waarbij de code voor de software op zo’n toestellen in detail kan worden gecontroleerd, nvdr.). Dan kunnen we zelf zien of we bepaalde patches aanvaarden en hebben we meer controle.
Als we dat vertalen naar onze mobiele netwerken? Vandaag worden die gekocht bij Huawei en ZTE. Moet Europa pleiten om de voorkeur te geven aan Europese spelers als Nokia en Ericsson?
PRENEEL: Dat is één oplossing. Een andere is dat we zoals het Verenigd Koninkrijk doen en samen met een Huawei of ZTE labs opzetten waar overheden en universiteiten kunnen komen kijken en doorlichten. Wil je als Europese fabrikant iets op de Chinese markt brengen dan moet je ook alles opengooien voor hen. Maar zelfs dan is het zoeken naar een entiteit die door alle landen wordt vertrouwd. Voor ons land is er zelfs geen keuze want België heeft de middelen niet om elke router uit elkaar te halen en tientallen miljoenen lijnen code te analyseren.
Dus het is open hard- en software, of een Europese entiteit die alles controleert?
PRENEEL: Ja. Zij die zeggen dat het niet op te lossen valt zijn naïef. Als Europa daar een politiek probleem van maakt, dan kan het zeggen “binnen tien jaar alleen nog open systemen, en tot die tijd gaan we alles grondig inspecteren of het komt niet op de markt”. Maar dat vraagt politieke wil en een Europa dat aan één zeel trekt en dat is niet makkelijk. En als je alles bij elkaar neemt dan vraag ik me af of we niet beter naar open systemen gaan. Misschien is dat een naïeve academische redenering, maar Linux heeft wel 12 jaar in München gedraaid (de stad is toen afgestapt van Microsoft-software en koos voor open source software, nvdr.). Oké, ze zijn daar intussen ook weer van afgestapt, maar het is niet onmogelijk om het te doen.
Ook qua functionaliteit? Commerciële softwaremakers zeggen graag dat hun technologie meer kan dan een open source alternatief.
PRENEEL: Dat is wat zij beweren, maar dat wil niet zeggen dat alles onder GPL (General Public License) moet vallen. Je kan je technologie beschermen met patenten, en toch open zijn zodat iedereen alles kan bekijken. Open source vraagt investeringen in een goede governance, maar het Linux systeem toont aan dat dat mogelijk is.
Fout opgemerkt of meer nieuws? Meld het hier