Cyberoorlog

Speervissen en cyberhaviken

Door de Russische hacks tijdens de Amerikaanse verkiezingen staat cyberoorlog volop in de schijnwerpers. In hoog tempo formeren landen cybereenheden en ontwikkelen cyberwapens voor als ze nodig zijn. Hoe lang gaat dat goed?

Om half drie lokale tijd, op 24 oktober 2008, zagen veiligheidsanalisten van het Amerikaanse leger in Fort Meade, ten noorden van Washington, iets vreemds. Ze hadden controlesoftware geïnstalleerd in het netwerk van het US Central Command, het netwerk van het Amerikaanse leger waarmee destijds de oorlogen in Irak en Afghanistan werden gecoördineerd. Het netwerk was niet verbonden met het publieke internet. Zelfs ’s werelds beste hackers konden niet inbreken in een netwerk dat fysiek van het internet gescheiden was (een air gap in jargon). Alleen doordat iemand fysiek achter een computer van het Amerikaanse leger zou gaan zitten zou een inbraak mogelijk zijn – en dat zou worden opgemerkt.

Medium 2017 04 03 cyber war1

Het netwerk was zo goed beveiligd dat controle overbodig was. Maar bij de National Security Agency (nsa) liep een onderdirecteur wiens taak het was om paranoïde gedachten te vormen over bressen in de digitale beveiliging van de VS. Misschien, zo redeneerde hij, was een vijand al binnen toen de verdedigingswal werd opgetrokken. Daarom liet hij het US Central Command toch doorlichten. En zo stuitte zijn team op een ‘baken’ dat een signaal uitzond: een van buiten in het systeem binnengedrongen programma dat af en toe een berichtje naar zijn ‘moedercomputer’ stuurt om te laten weten dat hij actief is en klaar staat om te doen waarvoor hij ontworpen is. Zulke wormen infecteren computers die zich er niet tegen hebben beschermd. Maar dit signaal kwam van binnen het netwerk van het US Central Command zelf, iets dat volgens de heersende ideeën onmogelijk zou moeten zijn.

Het spionageprogramma dat tegen de lamp was gelopen heette agent.btz en medewerkers van de nsa waren nog maanden bezig om het uit ’s werelds best beveiligde netwerk te wieden. Een analyse wees uit dat agent.btz waarschijnlijk door een vijandig land op verder lege usb-sticks was gezet, die vervolgens in gewone fabrieksverpakking werden verspreid bij kiosken in de buurt van de Amerikaanse basis in Kabul. Op enig moment had een Amerikaanse soldaat kennelijk een goedkope usb-stick gekocht en die in zijn beveiligde computer gedaan. Vervolgens sloop het programma door het Amerikaanse netwerk, informatie verzamelend uit duizenden, misschien miljoenen bestanden, en zoekend naar een raam om open te zetten om weer naar buiten te glippen.

Het was een van de mijlpalen in de ontwikkeling van het militaire gebruik van computer- en communicatienetwerken, oftewel cyberoorlog. Deze inbraak maakte duidelijk dat computerprogramma’s niet alleen in theorie, maar ook in praktijk de oorlogsinfrastructuur van een ander land konden binnendringen en zo een oorlogswapen worden. En het bewees ook dat geen enkel land ter wereld, zelfs niet het machtigste en rijkste, zich daarvoor immuun kon maken.

Negen jaar later staat cyberoorlog in de aandacht zoals nooit tevoren. De directe aanleiding is de winst van Donald Trump in de Amerikaanse verkiezingen. Zeventien Amerikaanse veiligheidsdiensten hebben de conclusie onderschreven dat Rusland zich via inbraak in computers van de Democratische Partij in de verkiezingen heeft gemengd. Volgens nogal wat Amerikaanse analisten en functionarissen uit de vorige regering is die inmenging deel van een groter Russisch plan om de Amerikaanse macht en de door de VS geleide wereldorde te ondergraven. Voormalig vice-president Dick Cheney noemde de Russische inmenging vorige week ‘een oorlogsdaad’, uitgevoerd door cybersoldaten van de Russische staat, die om wraak roept. Het lijkt zowaar alsof er zomaar oorlog zou kunnen uitbreken op een nieuw en ongewis terrein.

Maar zo nieuw is dat terrein inmiddels helemaal niet meer. ‘Er is nu inderdaad veel meer aandacht voor cyberveiligheid vanwege de Amerikaanse verkiezingen. Vaak wordt daarbij gesproken over cyber als “een nieuw terrein van oorlogvoering”. Maar dat illustreert vooral dat veel mensen zich nu pas realiseren dat deze dimensie van oorlog bestaat’, zegt Michael Sulmeyer, in een telefonisch gesprek. Onder president Obama was Sulmeyer hoofd cyberplanning, nu leidt hij het Cyber Security Project aan Harvard University. ‘De mogelijkheden voor cyberoorlog zijn een logisch gevolg van de toegenomen connectiviteit in de afgelopen dertig jaar. In alle landen van de wereld zijn computernetwerken aangelegd die ook weer onderling verbonden zijn. Het zou niet mogen verbazen dat die netwerken militair worden gebruikt: het internet is immers ter wereld gebracht door het Amerikaanse leger.’

Evengoed is een groot publiek er nu op gewezen dat cybersoldaten uit het ene land geheime operaties kunnen uitvoeren in een ander. ‘De Russische hacks tijdens de Amerikaanse verkiezingen zijn natuurlijk nieuw en schokkend. Maar nieuw zijn de middelen waarmee het is gebeurd, niet de doelstellingen zelf’, vervolgt Sulmeyer. ‘In de Koude Oorlog probeerden Rusland en de VS ook elkaars informatie te stelen en nepnieuws in elkaars land te verspreiden. Door het internet zijn die middelen exponentieel talrijker dan daarvoor.’ In vakjargon: het ‘aanvalsoppervlak’ in de VS is veel groter geworden. En vanwege de maatschappelijke polarisatie, het wantrouwen in de media en het prestigeverlies van politici, rechters, en andere instituties is de Amerikaanse samenleving een vruchtbare bodem voor desinformatie.

Maar hoe ernstig het hacken van de Amerikaanse verkiezingen ook is, het stelen en publiceren van e-mails is niet iets dat grote vrees bij een breed publiek zal opwekken. Dat is anders bij de term ‘cyberoorlog’, dat visioenen oproept van enorme rampen die over onze computergestuurde samenleving worden uitgestort. Veel mensen hebben er een vaag vermoeden van dat computers betrokken zijn geraakt bij bijna elk moment dat we wakend doorbrengen. Computernetwerken worden niet alleen gebruikt voor communicatie, maar ook bij de productie en distributie van het graan in het brood dat we eten, om water, elektriciteit en gas naar ons huis te krijgen, voor de vliegtuigen in de lucht en de metro onder de grond, voor politie en brandweer, bij elke aankoop die we doen. En dan hebben we het nog niet over kerncentrales en chemische industrie. Al die computers zijn natuurlijk kwetsbaar en in onze voorstelling (en in rampenfilms zoals Blackhat) kunnen ze worden platgelegd, stort onze façade van beschaving in en gaan we er allemaal aan. Dat zeggen sommigen ook, zoals Richard Clarke, de ex-nationale veiligheidsadviseur van de VS, die een paar jaar geleden een ‘cyber war disaster’ en een ‘digitaal Pearl Harbor’ voorspelde.

Ter geruststelling: zulke megarampen zullen niet gebeuren. Cyber War Will Not Take Place, noemde een Britse hoogleraar zijn boek over dat onderwerp, om geen twijfel te laten bestaan over de boodschap. Weliswaar bieden alle computernetwerken van nu nieuwe mogelijkheden om vijanden aan te vallen, sabotage te plegen en te spioneren, maar die zijn niet destructiever – vaak juist minder destructief – dan de conventionele middelen om hetzelfde te doen.

Dat laat onverlet dat die nieuwe cybermogelijkheden er zijn en dat er al ruim honderdtwintig landen zijn die hebben aangekondigd om zich daarop toe te leggen. Daar zit de grote moloch bij van de Amerikaanse nsa, die alleen al in 2015 133 nieuwe cyberteams creëerde, en China, met ‘informatieveiligheidsonderzoek’ aan vijftig universiteiten. Er zitten groepen bij met een mythische bijklank, zoals Fancy Bear en Cozy Bear uit Rusland, Unit 8200, de grootste eenheid uit het Israëlische leger, of het Noord-Koreaanse Bureau 121. En naast landen maken ook terreurgroepen, cybercriminelen, hackers en soms dubieuze veiligheidsfirma’s de computernetwerken van de wereld onveilig.

Cyberoorlog is een kwart eeuw oud, en heeft opmerkelijk genoeg dezelfde bedenker als kernoorlog: namelijk de Amerikaanse militaire denktank RAND. Die kondigde het in 1993 in een rapport aan: Cyberwar Is Coming! Het inbreken in een computer of netwerk, hacken, werd al gedaan sinds eind jaren zeventig. Het werd in de jaren negentig steeds duidelijker dat dit met politieke doeleinden kon. Voor de klassieke operaties van geheime diensten: spionage, sabotage, subversie. Maar wellicht ook als wapen om de infrastructuur, het leger of de gevechtscapaciteit van een vijand aan te vallen. Of juist als verdediging daartegen. Eind jaren negentig richtten de eerste landen hun militaire cyberafdelingen op, tussen 2000 en 2005 volgden de meeste andere landen ter wereld.

‘In de Koude Oorlog probeerden Rusland en de VS ook elkaars informatie te stelen en nepnieuws te verspreiden’

Die nieuwe cyberlegers leggen zich toe op verdediging van de computernetwerken in hun eigen land en op offensieve maatregelen. Dat laatste kan grofweg op drie manieren. Ten eerste via malware: virussen en andere programma’s die een netwerk binnendringen en daar informatie weghalen of schade aanrichten. Ten tweede via ‘speervissen’. Dat is via nep-e-mails, geïnfecteerde attachments of links de wachtwoorden van iemand stelen of zijn computer en netwerk binnenkomen. Ten derde via zogenaamde zero day exploits: misbruik maken van fouten in Windows of andere software die niemand eerder heeft opgemerkt en waarmee ongemerkt in dat programma kan worden ingebroken.

Het bleek al snel dat deze cybermiddelen zich fantastisch lenen voor werk van geheime diensten. Met name spionage: via servers konden ongemerkt e-mails worden verzameld, computerbestanden gescand, de microfoon, camera, en bluetooth van computers en smartphones afgetapt, en nog veel meer. Uit de onthullingen van klokkenluider Edward Snowden bleek al in 2013 op wat voor schaal de Amerikaanse nsa dat had gedaan – tot in de telefoon van Angela Merkel toe. En er komen telkens nieuwe manieren voor spionage en surveillance. Onlangs werd bekend dat zelfs smart-tv’s afluisterpalen kunnen worden.

Het bleef langer onduidelijk of die cybermiddelen konden dienen als oorlogswapen, en wat zij dan precies zouden moeten aanvallen. Alleen militaire doelwitten of ook overheid, defensie-industrie, bedrijfsleven? En andere infrastructuur van een land? In april 2007 werd dit voor het eerst in de praktijk beantwoord. De regering van Estland had besloten om een controversieel oorlogsmonument te verplaatsen, tot woede van Rusland. Het was aanleiding voor een dagenlange cyberaanval die de websites, computers en netwerken van de Estse overheid, media en bankensector onbruikbaar maakte. Het was duidelijk dat die aanval uit Rusland kwam. Een jaar later was het opnieuw raak. Toen raakte Rusland in conflict met Georgië over de provincie Zuid-Ossetië. Terwijl Russische tanks zuidwaarts rolden, legden hackers het Georgische internet plat.

‘Dit waren allebei belangrijke stappen, die duidelijk maakten dat Rusland bereid was heel agressief op te treden in cyberspace’, zegt Michael Sulmeyer. ‘De aanval op Estland was de eerste door een staat uitgevoerde cyberaanval met een politiek oogmerk. De aanval op Georgië was de eerste die op deze schaal grondoperaties koppelde aan een cyberoffensief. Het was de wisselwerking tussen die twee die nieuw was.’

Ook de Verenigde Staten betraden nieuw cyberterrein. Ze gebruikten digitale middelen om Iraakse vijanden op te sporen of tegen te werken. Maar een echte mijlpaal werd de cyberaanval op Iran. De Amerikaanse regering wilde voorkomen dat Iran een kernwapen zou ontwikkelen. Zowel vice-president Cheney als Israël wilde een Iraanse kernreactor bombarderen, maar Bush wilde geen derde Midden-Oosten-oorlog. Hij was blij toen de nsa een andere optie op tafel legde: een cyberaanval op de Iraanse kerninstallatie in Natanz. Specifiek: op de centrifuges die uranium verrijkten. Via rommelen met hun elektriciteitstoevoer en hun draaisnelheid kon de nsa die laten ontploffen. Maar als dat ongemerkt moest gaan, was een ongekend geavanceerd programma nodig.

De nsa werkte er jaren aan, samen met de Israëlische Unit 8200, en produceerde in Operatie Olympic Games een ongekend geavanceerd virusprogramma. Het telde 650.000 regels code (vierduizend keer zo lang als een standaard hackerprogramma) en bevatte maar liefst vijf zero day exploits. Stuxnet, zoals het virus later werd genoemd, werd door een Israëlische spion in het afgeschermde systeem van Natanz ingebracht. Daar begon het, inmiddels in 2009 onder Obama, flinke schade aan te richten, maar wel op een manier die verhulde dat dat door een computervirus kwam. Het zou het Iraanse programma twee tot drie jaar terug moeten zetten. Toen maakte Stuxnet, onbedoeld, de sprong vanuit Natanz naar buiten en begon zich door de wereld te verspreiden. Het richtte daar geen schade aan, omdat het alleen werkte op bepaalde onderdelen van Iraanse atoomcentrifuges, maar het viel wel op. Een Wit-Russisch beveiligingsbedrijf trok aan de bel, later het Russische Kaspersky en het Amerikaanse Symantec. Het meest geavanceerde cyberwapen ooit lag op straat.

Small 2017 04 03 cyberwar 2

‘Eerdere cyberaanvallen hadden alleen effecten op computers’, zei cia-directeur Michael Hayden, voormalig directeur van de nsa, daarover tegen The New York Times. ‘Dit was de eerste cyberaanval die fysieke destructie aanrichtte in kritieke infrastructuur van een ander land. We zijn de Rubicon over gegaan. Op een bepaalde manier lijkt het op augustus 1945.’ Op het eerste gebruik van de atoombom.

Sindsdien zijn de ontwikkelingen in overdrive gegaan. Het bronprogramma van Stuxnet, Flame, werd ook gebruikt om het Iraanse ministerie van Olie en de grootste Iraanse olieterminal plat te leggen. Iran zelf begon woest aan een eigen cyberleger te bouwen. Inmiddels is dat naar eigen zeggen het derde van de wereld. In 2012 infecteerde Iran met een eigen geavanceerd virus de computers van Aramco, het oliebedrijf van Saoedi-Arabië. De bestanden van bijna alle Aramco-computers werden gewist en vervangen door een brandend Amerikaans vlaggetje: de kostbaarste hack ooit. Een jaar later was het Qatarese RasGas aan de beurt.

De Iraanse cybereenheid is nog altijd een stuk kleiner dan die van China. Het in een buitenwijk van Shanghai gevestigde Unit 61398 brak al in 2001 in in westerse commandocentra, onderzoekslabs, defensiebedrijven en overheden – zo vaak dat de vingers bij een cyberinbraak meestal vanzelf naar China wijzen. Het legde China geen windeieren. Zo stal China in 2006 bij Lockheed Martin ontwerpen van de Joint Strike Fighter, en vloog al met een budgetversie daarvan terwijl Nederland zijn staatskas nog leegtrok voor het origineel. Vorig jaar tekende China een overeenkomst met de VS om wederzijdse cyberinbraken te staken. Sindsdien zijn het de buurlanden van China die het te verduren hebben.

Sinds kort trekt vooral Rusland de aandacht. In 2013 begon het leger daar ‘informatiebataljons’ te vormen en legde de Russische stafchef, Valery Gerasimov, ook de basis onder een nieuwe militaire doctrine. In een inmiddels berucht artikel in een militair magazine schreef Gerasimov over een ‘nieuwe tijd’ waarin een land voor zijn veiligheid een ‘strategische mix’ moest gaan inzetten: militaire middelen, technologie, media, (des)informatie, politiek en inlichtingen en die allemaal tegelijk. Gerasimov noemde dit ‘hybride oorlogvoering’. Hij voorspelde dat in deze eeuw conflicten zouden worden uitgevochten ‘met ratio van 4:1 tussen niet-militaire en militaire maatregelen’.

‘Ik zie geen enkel verschil tussen de zwarte markt voor conventionele wapens en die voor cyberwapens’

Rusland wierf honderden programmeurs uit het bedrijfsleven en bouwde, zo schreef een ex-kgb-kolonel onlangs in een Russisch blad, zijn cyberleger uit tot zo’n duizend man. En die begonnen bijzonder actief op te treden, met (beweerde) ‘actieve maatregelen’ tegen uiteenlopende doelen als de Navo, het Wereld Dopingbureau, het Witte Huis en het Nederlandse ministerie van Algemene Zaken. Vooral de groepen met de bijnamen Fancy Bear (waarschijnlijk onderdeel van de militaire inlichtingendienst gru) en Cozy Bear (waarschijnlijk van de geheime dienst fsb) vielen hierbij op. Net als het feit dat de twee kennelijk niet samenwerken, maar afzonderlijk dezelfde doelwitten aanvallen.

Naast deze landen zijn er talloze kleinere die hun cybereenheden uit de modder trekken. Een centraal probleem om zicht op dit veld te krijgen is dat totaal onduidelijk is wat elk land precies uitspookt en wat nou precies valt onder ‘gewone’ spionage en wat neerkomt op agressie of een oorlogsdaad. Het ‘forensisch’ natrekken van sporen op internet is extreem moeilijk, zoals de inbraak bij de Democratische Partij in de VS laat zien: driekwart jaar en heel veel onderzoek later is er nog steeds geen bewijs dat Rusland hier achter zat. En zelfs als de sporen naar Rusland leiden, is het onduidelijk in hoeverre de staat verantwoordelijk is. In Rusland zijn vele meer of minder met de staat verbonden groepen actief op internet, net als een brede waaier van hackers en cybercriminelen. De cyberaanval op Estland in 2007 werd bijvoorbeeld opgeëist door Nasji, een nationalistische jongerenbeweging die loyaal is aan Poetin, maar niet formeel deel uitmaakt van de staat. Ook vermoeden veel experts dat Rusland cybercriminelen met rust laat als zij ook af en toe westerse doelen hacken. De oud-president van Estland noemt dit ‘publiek-private samenwerking’. Maar in hoeverre is Rusland daarop aanspreekbaar?

De consensus in Rusland is in ieder geval: niet. En niet alleen regeringswoordvoerders zeggen dat. ‘Rusland krijgt in westerse media opeens van van alles de schuld. Dat is voor sommige zaken terecht, want Rusland voert inderdaad cyberacties uit in westerse landen. Maar de voorstelling dat Rusland aan een ontketend cyberoffensief bezig is, is totaal overdreven’, zegt Vitaly Kabernik, cyberexpert aan de Moskouse denktank pir. ‘Dat beeld ontstaat ook doordat de meeste mensen totale IT-onbenullen zijn. Ze kunnen zelf geen afweging maken over forensisch IT-bewijs of de ernst van een cyberactie. En ze zijn onbekend met de Russische werkelijkheid waarin het onduidelijk is waar de grens tussen overheid, semi-overheid, en autonome groepen loopt. Ze willen weten: heeft Rusland ons aangevallen?, maar begrijpen alle nuances niet.’

Zoals veel Russen vind Kabernik de opwinding over gehackte verkiezingen maar onzin. Er zijn toch geen doden of gewonden gevallen? Veel meer zorgen maakt hij zich over het ontbreken van cyberregels. ‘Cyberwapens zijn vrijwel ongereguleerd. Steeds meer van de ruimte die er voor cyberwapens bestaat wordt nu militair ingevuld. Daar zijn Rusland, de VS en andere landen allemaal schuldig aan. Maar om die schuld gaat het niet. De landen moeten over hun politieke conflicten heen stappen en cyberregels afspreken. Bijvoorbeeld dat ze van elkaars kritische infrastructuur afblijven: ziekenhuizen, elektriciteit, dammen en kerninstallaties. Er zijn toch ook verdragen mogelijk over kernwapens?’

Maar in de Amerikaanse politiek is de animo daarvoor klein. Daar heerst wrok over wat eerst China en daarna Rusland in cyberspace hebben uitgespookt. Michael Sulmeyer, verantwoordelijk voor cyberplanning onder Obama, ergert zich als het over Russische pleidooien over regels gaat. ‘Er wordt in Rusland heel licht gesproken over wat er met de Amerikaanse verkiezingen is gebeurd. Maar daar is Rusland in mijn ogen een zeer, zeer belangrijke grens over gegaan en dat moet consequenties hebben. Ik denk dat we een stuk veiliger zouden zijn als we de energie die we nu steken in discussies over gedragsregels zouden steken in het beschermen van onze overheden, instituties en bedrijven tegen cyberacties uit Rusland en elders.’

Voor- en tegenstanders van internationale regels zijn het er in ieder geval over eens dat de kans dat cyberacties op korte termijn in internationale wetten worden verankerd praktisch nul is. Dit is niet ongevaarlijk. Er vinden dagelijks tientallen, misschien honderden cyberacties plaats tussen landen onderling. Wat gaat over de schreef? En wat is daarop een geoorloofde reactie? Er is geen enkel land dat daar een bevredigend antwoord op heeft. Het is niet eens duidelijk of de cyberaanval met Stuxnet een internationale wet heeft geschonden, laat staan wat minder agressieve cyberacties betekenen. En dus bereiden legers, overheden, en andere betrokkenen zich voor op een ongereguleerde, onoverzichtelijke toekomst – op ‘een zwerftocht in duister gebied’, zoals onderzoeksjournalist Fred Kaplan het noemt in zijn boek Dark Territory.

Militairen en staten doen in dat duistere gebied wat hun taak is: zich voorbereiden op cyberoorlog voor het geval dat nodig mocht zijn. Dit opbouwen van een oorlogscapaciteit verschilt van cyberdefensie of cyberaanval. ‘Computernetwerkexploitatie’, heet het in jargon. Dit betekent: zwakheden vinden in de netwerken van mogelijke vijanden, om te kijken wat die van plan zijn en om pre-emptieve aanvallen voor te bereiden voor als de nood aan de man komt. Via ‘speervissen’ proberen cybereenheden binnen te dringen bij de vijand om daar ‘slapende’, kwaadaardige programma’s te planten voor eventueel gebruik later. En ze proberen zero day exploits te vinden voor eventueel gebruik tegen een vijand.

Dit alles kost veel tijd en mankracht en het nut ervan is ongewis. Een zero day exploit kan op elk moment door een software- of beveiligingsfirma worden gevonden en gerepareerd. Net als slapende malware. Maar niets doen betekent dat een land zich alleen kan proberen te verdedigen tegen een cyberaanval en werkloos moet afwachten wat een ander doet.

Deze onduidelijke, ongereguleerde situatie heeft nog een ander groot nadeel: het creëert een grijs gebied waar hackers, criminelen en beveiligingsbedrijven van profiteren. Hackers kunnen tot wel een ton verdienen als ze een zero day exploit in populaire software vinden: ze kunnen terecht bij legers, criminelen, de softwaremaker zelf, beveiligingsbedrijven, of ‘ethische malware’-bedrijven. Fouten in iPhones zijn nog veel duurder. De fbi heeft naar eigen zeggen meer dan 1,3 miljoen dollar betaald aan hackers voor een beveiligingsgat dat hen de telefoon van een dode terrorist in bracht. ‘Ethisch malware’-bedrijf Zerodium betaalt voor die gaten een miljoen, en verkoopt ze vervolgens door aan overheden.

Dergelijke ‘ethische malware’-bedrijven ontwikkelen snel een heel dubieuze reputatie. FinFisher is zo’n bedrijf, dat in dienst van overheden via malware, ‘speervissen’ en beveiligingsgaten in software inbreekt in de computers en telefoons van burgers. Onderzoek van een Canadese universiteit wees uit dat 25 landen van FinFisher gebruik maken. Daaronder zitten Nederland en tal van andere westerse landen, maar ook landen waar tegenstanders van het regime worden gemarteld en vermoord, zoals Egypte en Turkmenistan. Het Italiaanse Hacking Team levert zijn diensten aan westerse overheden en politiediensten, en een hele waslijst nare regimes – zelfs voor Soedan haalt het niet de neus op. In 2015 werd het bedrijf zelf gehackt en kwamen honderden gigabytes aan documenten online te staan – onder meer e-mails waarin de directeur schreef dat Hacking Team ‘the evilest technology on earth’ verkoopt. Weer andere softwarebedrijven richten zich expliciet op offensieve of defensieve cyberwapens voor staatsgebruik.

Sommige experts maken zich juist zorgen over die bedrijven en groepen die zich op cyberwapens toeleggen. ‘Ik zie geen enkel verschil tussen de zwarte markt voor conventionele wapens en die voor cyberwapens. Als iemand ze wil, is er altijd iemand om ze te verkopen’, zegt cyberexpert Elena Tsjernenko, chef buitenland van de Russische krant Kommersant telefonisch vanuit Moskou. ‘Makers van cyberwapens en beveiligingsbedrijven hebben er beide baat bij om de dreiging van cyberwapens zo groot mogelijk voor te stellen. Dat maakt landen nerveus, en vergroot de kans dat zij overreageren op een cyberaanval. Daar ligt dan weer een kans voor cyberterroristen. Ik denk dat iedereen baat heeft bij meer rust over cyberwapens.’

Waar het heen gaat, is echter een open vraag. De twee grootste hackerlegers ter wereld, die van de VS en China, hebben een bestand getekend. Maar wat de Verenigde Staten gaan doen, is volstrekt onhelder. Tijdens zijn presidentscampagne droomde Donald Trump hardop dat hij ‘zo ontzettend graag’ de cyberwapens zou willen ‘ontketenen’ die de VS nu hebben, en hij beloofde ‘vernietigende, vernietigende’ cyberaanvallen op iedereen die een cybervinger naar de VS uitstak. Hij propte zijn kabinet ook vol met cyberhaviken, die vinden dat elke cyberaanval op de VS mag worden beantwoord met bommenwerpers.

Dit zijn mannen die gewend zijn aan het idee van Amerikaanse superioriteit en van een overweldigend militair overwicht van de VS op welk terrein zij zich ook begeven. Op cybergebied is daar geen sprake van. De VS hebben het grootste hackerleger ter wereld maar dat wordt, vanwege het open, connected karakter van de VS, ook vaak afgeschilderd als een leger in een groot glazen huis. ‘Het helpt in dit opzicht niet dat de Republikeinen de afgelopen acht jaar in de oppositie zaten, precies de jaren waarin cyberwapens een hoge vlucht namen’, constateert Michael Sulmeyer droogjes. Het wordt een precaire wandeling door het donker.