Attributie is
zo’n woord dat gewoon in het woordenboek staat, maar dat mijn pad pas kruiste
toen ik het in mijn eigen vakgebied tegenkwam. Het is een oud woord: Van Dale
noemt het jaartal 1553 met een verwijzing naar het Franse woord attribution. Volgens datzelfde woordenboek
betekent het: toekenning, toedeling. De psychologie kent de
attributietheorie, zo souffleert Wikipedia mij, “die de wijze waarop mensen het
gedrag van zichzelf en van anderen verklaren in termen van oorzaak en gevolg,
en hoe dit van invloed is op hun motivatie, wil begrijpen.” Ook het staatsrecht
kent de term attributie, aldus dezelfde encyclopedie, en dan is het “de
rechtstreekse toekenning van een bevoegdheid tot rechtspraak of bestuur aan
Nederlandse overheidsorganen.”
Met deze encyclopedische definities kan ik niets in de
informatiebeveiliging. In mijn vakgebied is attributie de kunst van het aanwijzen
van de aanvaller. Die aanvaller is bijvoorbeeld een hacker of iemand die een
DDoS-aanval heeft uitgevoerd. Je hoort dan vaak uitspraken als “het waren de
Russen”. Dát is attributie, maar wel op een hoog abstractieniveau – je bent
natuurlijk niet door het gehele Russische volk gehackt, maar bijvoorbeeld door
functionarissen van de regering of door een groep cybercriminelen uit het land
waar de beschuldigende vinger naar wijst.
Attributie is moeilijk. Mijn Finse held Mikko Hypponen zegt: “Cyber attacks are effective, affordable
and deniable.” Cyberaanvallen zijn dus effectief en goedkoop en je kunt
gemakkelijk ontkennen dat je het gedaan hebt – want attributie is moeilijk. Als
ik google op “attribution is hard” krijgt ik 167 duizend hits, waarbij deze
mooie zin kwam bovendrijven: “Het is gemakkelijker om aarde-achtige planeten
buiten ons zonnestelsel te vinden dan erachter te komen wie een hack heeft
uitgevoerd” (Quinn Norton, journaliste). De artikelen die ik gelezen heb –
toegegeven, ik heb een selectie gemaakt – leggen allemaal uit dat attributie zo
lastig is omdat het zo gemakkelijk is om je sporen te wissen. Als hacker ga je
niet rechtstreeks op je doel af, maar via een omweg. Dat maakt het al lastig om
de weg naar de bron terug te volgen. De omweg loopt liefst ook nog eens via de
infrastructuur van een land dat geen enkel belang heeft om te helpen bij de
opsporing. Syrië schijnt een erg populair tussenstation te zijn, maar je kunt
zelf wel nog een paar landen bedenken die in hun vuistje lachen als in het
Westen een grote aanval heeft plaatsgevonden.
Amerika heeft een flinke kater opgelopen door de hack bij Sony Pictures Entertainment in 2014. De
beschuldigende vinger wees naar Noord-Korea, nog zo’n land dat hoog op de
shortlist van te attribueren landen staat. Uiteraard ontkennen ze in alle
toonaarden, maar er zijn ook westerse beveiligingsexperts die twijfelen aan de
juistheid van deze attributie. Dat weerhield president Obama er niet van om extra
sancties tegen het land te treffen.
Voor slachtoffers is het prettig om iemand te kunnen beschuldigen. Je
zag dat ook bij de recente DDoS-aanvallen op Nederlandse banken en
overheidsinstellingen. Het lag zo voor de hand: wij hadden de Russen gehackt en
nu sloegen zij terug. Zo’n abstracte attributie is ook lekker makkelijk, want
zij is zo vaag dat je hulpeloos je schouders kunt ophalen en geen verdere actie
richting de vermeende dader hoeft te ondernemen. En voor bloggers en zo kan het
koppelen van een daad aan een vermeende dader ronkende teksten opleveren
(ahum). Maar in het echt heeft de politie een achttienjarige scholier uit
Oosterhout aangehouden op verdenking van het uitvoeren van de aanvallen.
Misschien is het voor sommige slachtoffers wel een geruststelling dat de
dader tóch niet kan worden opgespoord. Stel dat ze hem of haar te pakken
krijgen en dat vervolgens naar buiten komt hoe gemakkelijk het was om bij dat
bedrijf in te breken. Dat is geen goede reclame. Een generieke dader als “de”
Russen of “de” Chinezen impliceert dat je tegen zo’n overmacht toch niet
opgewassen bent en dat jou niets te verwijten valt.
Kortom: attributie is altijd moeilijk, vaak een politiek spelletje en
soms een handige smoes.
En in de grote boze buitenwereld …
... is de vermoedelijke dader van de recente DDoS-aanvallen dus
aangehouden.
... mailde een journalist met de jongen die banken en
overheidsinstellingen DDoS’te. [Achter betaalmuur, maar misschien krijg je het
artikel net als ik cadeau.]
... werd ook tech-website Tweakers ge-DDoS’t. Zij lieten het er niet bij
zitten en droegen zo bij aan de arrestatie van de verdachte.
... spot deze striptekenaar met de verkeerde attributie van de
DDoS-aanvallen.
... sleept beveiligingsbedrijf Kaspersky Nieuwsuur-‘expert’ Van Rijbroek
mogelijk voor de rechter.
... geeft dit lange artikel een aardig inkijkje in de Noord-Koreaanse
hackwereld.
... wordt de Chrome-browser strenger voor onbeveiligde websites.
... kan crypto-mining de
fysieke wereld bedreigen.
... verwijzen criminelen in phishingmails graag naar de actualiteit.
... heeft AV-TEST Android- en iOS-apps voor ouderlijk toezicht getest.
... maken jongeren vaak gebruik van onveilige wifi-netwerken.
... zijn er veel jonge cyberboefjes in Nederland.
Geen opmerkingen:
Een reactie posten