De USA en Rusland zijn gesprekken begonnen over de versterking van Internet Security en de beperking van het militair gebruik van het internet. Dat meldt de New York Times zondag. De gesprekken zijn een belangrijke koerswijziging van de USA, tot nu toe waren zij daar niet toe bereid. De regering Obama is zich bewust van de grootschalige ontwikkeling van cyberwapens.

Een nieuwe aanpak moet een internationale wapenwedloop op het web voorkomen. In de afgelopen jaren zijn er dagelijks duizenden aanvallen op computer systemen van de overheid en grote bedrijven ontstaan. Deze aanvallen resulteren in vastlopende systemen en websites, gestolen gegevens en de ontvreemding van industriële geheimen. Binnenkort zal Obama een speciale adviseur aanstellen die de nationale aanpak moet coördineren. Afgelopen maanden zijn er diverse gesprekken geweest tussen de Russen en Amerikanen om de tot nu bestaande tegenstellingen te overbruggen. De Russen vinden dat de veiligheid op internet het best gediend is met een internationale aanpak resulterend in een verdrag vergelijkbaar met het non-proliferatie verdrag voor nucleaire, chemische en biologische wapens.

Volgens de New York Times ontwikkelen veel landen, waaronder de USA wapens die gebruikt kunnen worden op computernetwerken. De wapens zouden banksystemen maar ook elektriciteitsmaatschappijen en overheden kunnen lamleggen. De gebruikte wapens zijn zgn ‘logic bombs’ die verstopt worden in computers en op een nader te bepalen tijdstip schade aan kunnen richten. Ook ‘botnets’ kunnen websites en netwerken onklaar maken of gebruikt worden voor spionage. Ook wordt gewerkt aan Microgolven die op kilometers afstand computers kunnen vernietigen.

Rusland is er veelvuldig van beschuldigd achter de DDoS-aanvallen op Estland begin 2007 te zitten. Dit werd tot nu toe echter bij hoog en laag ontkent door de Russische autoriteiten. Uiteindelijk werd er een student in Estland met een Russische achtergrond voor veroordeeld. Volgens journalist Nargiz Asadova van de Echo van Moskow heeft een belangrijke partijfunctionaris tijdens een paneldiscussie over cyberoorlog toegegeven achter de DDoS-aanvallen te zitten, meldt Radio Liberty.

Asadova die de paneldiscussie leidde, stelde aan Sergei Markov, Russisch parlementariër van de pro-Kremlin partij Verenigd Rusland, de vraag waarom Rusland continue van de DDoS-aanvallen op Estland beschuldigd wordt. Markov stelde dat de aanval door zijn assistent is uitgevoerd. De naam van de assistent wilde Markov echter niet noemen, omdat hij mogelijk anders problemen krijgt bij het aanvragen van visa.

Wel voegde Markov daar veelvuldig aan toe dat, zijn assistent zelf van mening was dat er iets moest gaan worden tegen de fasisten. Daarom blijkt het toch een reactie vanuit de burgermaatschappij te zijn, aldus Markov. Volgens Estse militaire functionarissen is de claim van Markov onmogelijk. Het was een zeer gecordineerde aanval, die niet het werk van een persoon kan zijn. Een enorm botnet kan echter prima door één persoon worden aangestuurd.

Rusland is niet gelukkig met het feit dat een Amerikaanse organisatie aan de touwtjes op internet trekt. De Russische minister van telecommunicatie Igor Shchegolev stelt dat de huidige situatie waar “één organisatie, uit één land defacto de controle uitoefent op internet” verkeerd is, meldt Russia Today. Het gaat hier uiteraard om ICANN, dat onder meer verantwoordelijk is voor de uitgifte van top-level domeinnamen en het beheer van de DNS rootzone.

Shchegolev heeft aangekondigd tijdens de komende ICANN meeting in Mexico suggesties gaat doen om het internet te demonopoliseren. Om te weten te komen wat deze suggesties zijn moeten we de ICANN meeting afwachten. Rusland staat niet alleen in de kritiek op ICANN, maar bevind zich in het gezelschap van onder meer Brazilië, China en India.

De kwestie over de invloed van de Amerikaanse overheid op ICANN speelt al vele jaren. Het meest zichtbaar werd deze invloed bij de afwijziging van het .xxx top-level domein door ICANN. Naar verluidt zou de Amerikaanse overheid hierbij een belangrijke rol hebben gespeeld. Ook lopen procesen die ICANN los zouden moeten maken van de Amerikaanse overheid maar moeizaam. Dit is voornamelijk aan de laatstgenoemde toe te schrijven.

In de voormalige Sovjetrepubliek Kirgizië met 5,3 miljoen inwoners ligt het internet sinds 18 januari vrijwel plat, door massale DDoS-aanvallen op de twee belangrijkste Kirgizische ISP’s (www.domain.kg, www.ns.kg) die 80 procent van al het internet verkeer afhandelen. Daarnaast zijn er nog twee kleine ISP’s in het land die nog wel in de lucht zijn.

De DDoS-aanvallen zijn volgens Don Jackson, director of threat intelligence van SecureWorks Inc, afkomstig van Russiche IP-adressen én de DDoS-aanvallen zijn in bepaalde opzichten identiek aan de DDoS-aanvallen op Georgië  in augustus 2008. Het vermoeden bestaat dan ook dat de Russische overheid er meer vanaf weet en dat er door de Russische overheid zelfs (onofficieel) verzocht is aan de cyberonderwereld om Kirgizië aan te vallen.

De reden voor de DDoS-aanvallen op Kirgizië zijn onbekend, maar het vermoeden bestaat dat men hiermee probeert om de oppositie dwars te zetten, gezien die grotendeels afhankelijk zijn van het internet, terwijl de zittende regering het internet juist links laat liggen. Een andere lezing is dat de Rusland door de DDoS-aanvallen Kirgizië onder druk probeert te zetten om een Amerikaanse luchtmachtbasis in het land te sluiten.

Wie er ook precies achter zit, en wat hun motieven ook mogen zijn. Na de voormalige Sovjetrepublieken Estland en Georgië is nu ook Kirgizië het slachtoffer van de Russische cybermilitie die DDoS-aanvallen gebruikt tegen haar vijanden.

De afgelopen dagen lag Georgië onder Russisch vuur, naast de kogels en bommen die ook een Nederlandse journalist fataal zijn geworden, beschuldigd Georgië Rusland er ook van een digitale oorlog gevoerd te hebben, met als doel om Georgische (overheids) websites plat te leggen. Gezien dit gelukt is heeft de Georgische president Mikheil Saakashvili een alternatieve website ingericht bij Google Blogspot:

A cyber warfare campaign by Russia is seriously disrupting many Georgian websites, including that of the Ministry of Foreign Affairs. If you cannnot access official Georgian government websites, please go to the following sites for the latest official Government of Georgia news.

De aanvallen zijn bevestigd door Shadowserver Foundation, dat onderzoek doet naar ‘de duistere zijde’ van het internet. Volgens Shadowserver werden de website van de Georgische president Mikheil Saakashvili (www.president.gov.ge) en andere Georgische overheids websites op 20 juli dit jaar al met DDOS-aanvallen bestookt, die snel weer voorbij waren, omdat de enige Command & Control server die de aanval orkestreerde offline werd gehaald.

Toen Rusland echter Georgië binnenviel begonnen ook de DDOS-aanvallen weer, dit keer echter veel heviger met veel meer Command & Control servers, waarvan er volgens Shadowserver tenminste 6 werden ingezet om Georgische websites aan te vallen die niet van de overheid zijn. Ondanks dat de DDOS-aanvallen op het zelfde moment zijn begonnen als de Russische inval in Georgie denkt Shadowserver niet dat de Russische overheid achter de aanvallen zit noch heeft Shadowserver vermoedens over de identiteit van de daders.

De beschikbaarheid van stroomcapaciteit is het aller belangrijkste voor een datacentrum. Echter in de meeste westerse landen begint stroom telkens schaarser te worden. Rusland daarentegen heeft volop energie en zelfs een energiebedrijf dat met behulp van waterkracht zo’n 25 Gigawatt aan stroom weet op te wekken, waarvan een groot deel nog niet gebruikt wordt.

Datacentra vestigen zich daardoor telkens meer op locaties waar stroomcapaciteit voorhanden is, in de Verenigde Staten bijvoorbeeld op locaties waar vroeger hoogovens gevestigd waren, die vrijwel net zulke grote stroombehoefte hadden als datacentra.

In dat opzicht is Rusland een paradijs voor datacentrum operators, al blijft het lastig met Rusland, want ZDnet wijst er op dat de privaat-publieke samenwerking van de olie industrie, langzaam maar zeker werd genationaliseerd door de Russische overheid. De vraag is dus of datacentra net zo eenvoudig te gijzelen zijn? Hoe dan ook die zelfde olie industrie laat zien, dat onze honger naar energie er voor zorgt dat we roerige situaties in de regio’s waar we actief zijn voor lief nemen.

China en Rusland zijn samen verantwoordelijk voor ruim de helft van alle malware die op internet te vinden is. China doet het met 26,5 procent iets minder slecht dan Rusland dat als belangrijke malware bron verantwoordelijk is voor 28 procent van de rommel.

De volledige top 10 van malware bronnen volgens PC Tools:

1. Rusland – 27.89%
2. China – 26.52%
3. Verenigde Staten – 9.98%
4. Brazilië – 6.77%
5. Oekraïne – 5.45%
6. Verenigd Koninkrijk – 5.34%
7. Frankrijk – 3.81%
8. Duitsland – 2.14%
9. Zweden – 1.6%
10. Spanje – 1.37%

Dat Nederland (0.96%) en België (0.29%) niet voorkomen in de top 10, komt volgens ZDnet waarschijnlijk omdat PC Tools in haar onderzoek het land waar de malware is geschreven als bron neemt en niet het land waar de malware voor het eerst werd aangetroffen. Daarmee komt Nederland er (terecht) een stuk beter vanaf dan in een eerder onderzoek.

Een Estse student met een Russische achtergrond is veroordeeld voor zijn aandeel in de DDoS-aanvallen op Estland vorig jaar.

Dmitri Galushkevich heeft een boete van 17.500 kronen (1050 euro) gekregen, een jaarsalaris op basis van het Estse minimumloon, voor het dagenlang DDoS’en van de website van de politieke partij van minister-president Andrus Ansip, zo meldt Infoworld.

De DDoS-aanvallen begonnen nadat een Russisch oorlogsmonument was verplaatst en Galushkevich heeft zelf ook tegenover de politie verklaard dat de verplaatsing van het oorlogsmonument zijn motief was. Ondanks dat de Estse politie geen andere verdachten in het vizier heeft, is het waarschijnlijk dat er meerdere daders zijn. Wel is het nu nog maar de vraag of de beschuldiging van Estland, dat Rusland achter de DDoS-aanvallen zou zitten, terecht is.

Het toevluchtsoord voor cybercriminelen, Russian Business Network (RBN), heeft na het verliezen van zijn belangrijkste upstream-providers de meeste van zijn IP Adressen opgegeven en lijkt daarmee zijn activiteiten te hebben gestaakt, zo meldt The Times. Een aantal websites waarvan bekend is dat deze gebruikt worden voor illegale activiteiten zijn hierbij uit de lucht gegaan.

Volgens beveiligingsexperts heeft RBN de handdoek echter nog niet in de ring gegooid. De organisatie zou bezig zijn met een nieuwe basis in China, waar een nog groter platform zal worden opgezet. Het World Wide Web zal hierdoor opnieuw worden overspoeld met illegale acties en activiteiten van de lugubere organisaties die RBN huisvest. Het is een kwestie van tijd voordat we zullen ontdekken wat deze mogelijke reorganisatie van RBN zal betekenen.

Als spammer, phisher, malware verspreider of kinderporno aanbieder wil geen enkele ISP je in zijn netwerk hebben. In het Russische Sint Petersburg is er echter een ISP die cybercriminelen graag host. Volgens onderzoekers is de helft van de phishing-incidenten vorig jaar terug te leiden naar klanten die gebruik maken van de faciliteiten van het Russian Business Network, zo meldt The Washington Post.

Het bedrijf is zo opgezet dat het vervolgen of zelfs maar een halt toe roepen vrijwel onmogelijk is. Daarnaast ontplooit het bedrijf zelf geen illegale activiteiten, maar is het enkel een paradijs voor cybercriminelen, die voor 600 dollar per maand terecht kunnen bij het bedrijf. Echter is klant worden zelf ook niet eenvoudig, eerst moet er contact worden gezocht via dubieuze fora, waarbij bewezen moet worden dat men geen undercover agent is.

In het artikel van The Washington Post geeft een systeembeheerder aan dat sinds ze het dataverkeer vanaf het netwerk van het Russian Business Network blokkeren, de hoeveelheid spam en geïnfecteerde computers drastisch gedaald is. Mijn eerste gedachte was ook, als een netwerk álleen maar voor cybercrime wordt gebruikt, dan zou je het dataverkeer van dat netwerk kunnen blokkeren. Daar toe overgaan is echter een etisch dilemma. Is het blokkeren van het dataverkeer van een heel netwerk ethisch verantwoord?