De cyberoorlog van Israël

Websites van de Mossad en de Israel Defense Forces worden duizend keer per minuut aangevallen. Cyberwarfareexpert Gaby Siboni (zie foto) vertelt over de positie van Israël in de digitale oorlogsvoering.

Auteur: Jan Franke

Achtentachtig,” zegt Siboni lachend in accentloos Nederlands in een café in de buurt van Kfar Saba als we mekaar de hand schudden. Tijdens de correspondentie voorafgaand aan dit interview heeft Siboni niet laten doorschemeren dat hij Nederlands spreekt. „Ik heb na mijn diensttijd bij de Golani-brigade tien jaar als bestuurder van een Nederlands bouwbedrijf in Amersfoort gewerkt. Ken je Laan 1914-1918? Ik vind Nederland een geweldig land en heb nog steeds goede vrienden uit die tijd.” 
Tegenwoordig leidt Siboni een prestigieus onderzoeksprogramma over cyberwarfare aan de universiteit van Tel Aviv. Ook schrijft hij regelmatig over militaire strategie en de toekomst van oorlogsvoering in de kranten Ha’aretz en Ma’ariv.

Uit een recent rapport van de Brusselse denktank ‘Security and Defense Agenda’ blijkt dat officiële Israëlische websites gemiddeld duizend keer per minuut worden aangevallen. Hoe bedreigend zijn deze aanvallen? 

„Dat hangt af van het doel en de soort aanval. Je kunt de cyberspace van Israël onderverdelen in drie lagen. De eerste, relatief goed beveiligde laag betreft de digitale infrastructuur van de IDF en de veiligheidsdiensten. Deze zijn zo goed beveiligd dat ze moeilijk zijn te ontwrichten. De tweede laag omvat de besturingssystemen van belangrijke maatschappelijke voorzieningen zoals energieleveranciers, ministeries en waterbedrijven. Sinds 2004 worden deze volgens overheidsvoorschriften beschermd. De derde laag, en hieronder valt minstens 95 procent van de Israëlische websites, bestaat uit websites van ondernemingen en particulieren. Deze worden natuurlijk niet door de overheid gereguleerd. In deze kwetsbare laag vinden de meeste aanvallen plaats.”

U zegt dat de systemen in de tweede laag via overheidsregulering worden beveiligd. Toch werden een aantal websites in deze laag in november 2010 gehackt. 

„Dit waren aanvallen op de ‘buitenkant’ van deze websites. De sites waren tijdelijk niet bereikbaar voor bezoekers, maar de processen in de organisaties werden gelukkig niet verstoord. De meeste aanvallen zijn gericht tegen deze buitenkant, omdat zulke aanvallen betrekkelijk eenvoudig zijn uit te voeren. Zo’n aanval is hinderlijk, maar vormt geen langetermijnbedreiging. Zorgwekkend is wel dat er tegenwoordig gecoördineerde aanvallen op particuliere Israëlische websites plaatsvinden door landen of terroristische groeperingen met veel middelen. Dat is ernstig, want websites over bijvoorbeeld Joodse geschiedenis en cultuur hebben grote symbolische betekenis voor onze samenleving. Ook een gecoördineerde aanval op de websites van Israëlische kranten kan ernstige gevolgen hebben vanwege het grote aantal Israëli’s dat deze sites dagelijks bezoekt. Helaas is het te kostbaar en ingewikkeld om voor al dit soort websites afdoende beveiliging te installeren. In de toekomst kunnen deze aanvallen een flink probleem worden.”

Kunt u een profiel schetsen van de uitvoerders van deze aanvallen? 

„Dat is lastig. Wanneer de site van bijvoorbeeld een Israëlische krant wordt aangevallen, gaat het personeel het probleem oplossen. Ze kunnen meestal niet achterhalen wie achter de aanval zit. Daarvoor zijn immers veel middelen en internationale samenwerking nodig. Daar komt bij dat justitiële vervolging alleen in bepaalde gevallen mogelijk is. Ik maak mij sterk voor een draaiboek voor cyberaanvallen, maar vermoed dat het nog wel vijf jaar duurt voor dit wordt toegepast. Voor het gemak maak ik een grof onderscheid tussen de aanvallers. In de eerste plaats zijn er cyberaanvallen door staten. Daar heeft Israël, dat zal je niet verbazen, vaak last van. Daarnaast zijn er criminele groeperingen. Zij besmetten bijvoorbeeld ongemerkt computers van grote bedrijven en stelen zo geheime informatie. Deze informatie verkopen ze op internet aan de hoogste bieder of gebruiken ze om het bedrijf af te persen. In de derde plaats zijn er terroristen, in ons geval meestal groeperingen met een anti-Israëlische ideologie. Deze groep voert steeds vaker cyberaanvallen uit. De laatste groep ten slotte bestaat uit individuen met persoonlijke motieven, jonge hackers die het gewoon voor de kick doen of indruk willen maken op andere hackers.”

De Financial Times schreef onlangs dat Israël tot de landen met de best beveiligde cyberspace behoort. Maar de ontwikkelingen gaan razendsnel. Kan Israël haar voorsprong behouden? 

„Israël is een hoogtechnologische samenleving. We lopen wereldwijd voorop in de ontwikkeling van computerhardware en ontwikkelen zelf uitstekende softwarebeveiliging. Ik denk dat Israël zich in een goede positie bevindt in het huidige speelveld en de toekomstige uitdagingen goed begrijpt. Israël is een potentiële supermacht in cyberwarfare. Ons land is klein, maar voor cyberwarfare zijn geen grenzen of grondstoffen nodig, alleen kennis.”

Deze voorwaarden gelden toch ook voor Israëls vijanden? 

„Natuurlijk. Landen als Iran kunnen hiervoor veel meer mensen inzetten, omdat er nu eenmaal meer mensen wonen. Maar ook voor cyberwarfare geldt, net als voor bijvoorbeeld de economie, dat allerlei factoren een rol spelen in het succes zoals geschiedenis, buitenlandse relaties en cultuur. Ik ben al met al zeer optimistisch.”

IDF Team 

Intussen zijn er ook pro-Israëlische groeperingen actief die cyberaanvallen uitvoeren. Zo hackte in januari een beweging die zich ‘IDF Team’ noemt de websites van Iraanse en Saoedische ministeries. Op de site van de Iraanse staatsomroep verscheen een Israëlische vlag en de boodschap: ‘Wat heb je hierop te zeggen, Ahmadinejad?’ Het ‘IDF Team’ verklaarde te handelen uit vergelding voor eerdere aanvallen op Israëlische sites.

Is het wenselijk dat pro-Israëlische groeperingen op eigen houtje aanvallen uitvoeren? 

„Absoluut niet. Aanvallen in de cyberspace moe ten worden beschouwd als conventionele oorlogshandelingen. Stel je voor dat er vanuit Gaza een raket op een kibboets valt. Mag een kibboetsnik dan zelf terugvuren? Nee. Een land mag nooit accepteren dat burgers op eigen houtje cyberaanvallen uitvoeren tegen andere landen. Laten we aannemen dat dit IDF-team zo goed is dat ze erin slaagt om een watervoorziening in Saoedi-Arabië lam te leggen. De Saoedi’s gaan op zoek naar de dader en zetten de tegenaanval in. Niemand kan dan garanderen dat de krijgshandelingen beperkt blijven tot de cyberspace. Misschien schieten ze wel raketten af! Zie je het gevaar?”

Stuxnet en Iran

‘Stuxnet’ is de naam van een computervirus dat experts beschouwen als de oorzaak van ernstige vertraging in het Iraanse kernwapenprogramma. In de zomer van 2010 berichtten diverse media over vreemde ontploffingen in Iraanse nucleaire installaties. Korte tijd later probeerden Iraanse overheidsfunctionarissen op internet anoniem informatie te verkrijgen over een mysterieus computervirus dat de controle over industriële besturingssystemen op onverklaarbare wijze had overgenomen. Hun inspanningen lekten uit. Al snel maakte een computerbeveiligingsbedrijf het virus openbaar en doopte het Stuxnet.
‘s Werelds meest vooraanstaande computerexperts konden hun ogen niet geloven. Stuxnet was zo geavanceerd dat het alleen kon zijn ontwikkeld door een partij met vrijwel onbeperkte middelen en de beste computerprogrammeurs. Israël en de Verenigde Staten waren de belangrijkste verdachten, maar hulden zich in stilzwijgen. De omvang van de schade aan het Iraanse atoomprogramma door Stuxnet is onderdeel van een geraffineerd politiek spel tussen Iran en de ontwikkelaars van het virus. De belangrijkste troef van de Iraniërs in dit spel is geheimzinnigheid over hun werkelijke nucleaire capaciteiten. Zolang de rest van de wereld hierover in het duister tast, kunnen zij effectief blijven dreigen. Wie weet hebben ze ‘de bom’ immers al. Over de schade door Stuxnet zullen zij daarom zo min mogelijk loslaten.
Maar geheimzinnigheid is ook een troef van de ontwikkelaars van Stuxnet. Zolang de Iraniërs niet weten van welke kant de digitale aanval komt, kunnen zij zich er moeilijker effectief tegen wapenen. Zo houden Iran en haar politieke tegenstanders elkaar in een stilzwijgende houdgreep. Dat hoge Iraanse regeringsfunctionarissen in het najaar van 2010 publiekelijk erkenden dat er ‘onvoorziene problemen’ waren met het atoomprogramma lijkt een teken dat zij de eerste slag in dit steekspel hebben verloren en dat de schade door Stuxnet zeer omvangrijk is. De successen van Stuxnet en de mogelijkheden van digitale oorlogsvoering kennen echter een gevaarlijke keerzijde.
Kort na de ontdekking en analyse van Stuxnet verklaarden veel computerexperts dat Stuxnet de ‘Doos van Pandora’ heeft geopend. Zodra een computervirus wordt gebruikt, is het openbaar en kan in principe iedereen de werking van het virus analyseren en met de opgedane kennis een soortgelijk digitaal wapen ontwikkelen. Gaby Siboni is minder pessimistisch: „De doos van Pandora was allang open, maar dit wist men nog niet. De kwetsbaarheden bestonden namelijk al voor Stuxnet en ze bestaan nu nog. Ook wij werken met de industriële aansturingsapparaten die door Stuxnet werden aangevallen. Als een van onze grote voedingsfabrikanten wordt aangevallen door zo’n virus hebben wij, net als andere landen, een groot probleem. Maar ik denk dat Israël zijn beveiliging goed op orde heeft.”
Over de betrokkenheid van Israël bij Stuxnet houdt Siboni zich op de vlakte: „Hier mag ik geen antwoord op geven. Ik kan alleen zeggen dat als je een missie uitvoert je alle middelen die je tot je beschikking hebt, dient te gebruiken. Ook computervirussen. Ik weet niet wie voor Stuxnet verantwoordelijk is, maar ik neem aan dat diegene deze filosofie deelt.” Hij lacht er veelbetekenend bij. Naar verluidt zijn er sinds de ontdekking van Stuxnet in 2010 al verschillende, nog geavanceerdere opvolgers van het virus gelanceerd.