Afhaal:
Orkaan Sandy had grote aantallen mensen die internettoegang eisten als een door God gegeven grondwettelijk recht.
Ik zit in een Barnes & Noble in Mohegan Lake, NY, en het is als een vluchtelingenkamp omdat geen huizen in de omliggende Westchester / Putman-provincies in New York stroom hebben vanwege orkaan Sandy. Dat betekent ook geen internetverbinding in de huizen van mensen, dus ze komen massaal naar openbare wifi-sites. Helaas heeft deze Barnes & Noble zeer weinig openbare stopcontacten. Er zijn maar liefst 15 mensen verzameld rond degenen die beschikbaar zijn, en ze zijn in serie verbonden met meerdere elektrische strips voor laptop- en tabletverbinding.Vanwege de honderden mensen hier (met minstens de helft die probeert verbinding te maken), is de internetverbinding dubieus en, zelfs na verbinding, is het gebruikelijk om te vallen en de dobbelstenen opnieuw te gooien om opnieuw verbinding te maken. De gratis verbinding van Barnes & Nobles is gebaseerd op een AT & T-service en is meestal redelijk betrouwbaar. Tegenwoordig is het echter duidelijk overweldigd.
Nog maar vijf jaar geleden zouden orkanen ons thuis hebben gehouden. Het is duidelijk dat de tijden zijn veranderd. Ondanks onze mobiele telefoons en smartphones, die vaak zijn uitgerust met toegang, vragen we volledige toegang, een echte verbinding. En dus is deze boekwinkel gevuld met studenten die papieren en opdrachten doen, zakenmensen orders invoeren en systemen controleren, en niet te vergeten andere maniakale excentrieken, zoals deze schrijver, die toegang eisen als een constitutionele, door God gegeven recht. (Internettoegang is tegenwoordig zo belangrijk voor ons, sommige jonge professionals vinden het belangrijker dan salaris als het gaat om het aanvaarden van een baan.)
Er zijn minstens 50 mensen in de rij om koffie en gebak te krijgen, en het jockeyen voor winkels wordt steeds erger. Hoe hebben we deze fase bereikt waarin we allebei zo afhankelijk en kwetsbaar zijn? En wat betekent dit als we ons in een tijdperk bevinden waarin we ons zorgen maken over cyberoorlogvoering? We krijgen tenslotte te horen dat een cyberaanval waarschijnlijk het elektriciteitsnet zal aanvallen, net zoals orkaan Sandy doet, maar op een veel grotere schaal. (Meer informatie hierover in The New Face of 21st Century Warfare.)
Het is duidelijk dat een betere computerbeveiliging niet kan helpen bij het verwerken van de schade veroorzaakt door orkanen, en het heeft geen stroom tegen elektrische storingen veroorzaakt door omgewaaide bomen en draden. Maar deze ramp is niet alleen een bewijs van onze machteloosheid tegenover de natuur; het laat ook zien hoeveel afhankelijker we nu zijn van elektriciteit dan ooit tevoren. Deze storing was relatief klein; men kan zich alleen maar voorstellen hoe het zou zijn als het hele netwerk offline zou worden gehaald.
De huidige stroomstoring is beperkt tot een klein, zij het dichtbevolkt deel van de oostkust. Toen ik 8 km naar ons plaatselijke 'vluchtelingencentrum' reed, zag ik gesloten bedrijven, ter zake doende verkeerslichten en benzinestations die geen benzine konden pompen. In New York City is het hele gebied ten zuiden van 34th Street zonder elektriciteit, met duizenden bedrijven en honderdduizenden personen zonder stroom. Men kan zich alleen maar voorstellen wat de impact van een landelijke elektrische uitschakeling zou zijn. Een storm kon het niet, maar dat netwerk wordt bestuurd door computersystemen, wat betekent dat een cyberaanval dat waarschijnlijk wel zou kunnen.
Wat onze technologen ook doen, hackers, crackers en virusschrijvers, enz. Lijken allemaal rond de muren te kunnen komen die zijn opgezet om ze buiten te houden. Als voorbeeld waarschuwt het Computer Emergency Response Team (CERT) gebruikers al jaren voor beveiligingsproblemen in Microsoft-producten, met name Internet Explorer en Outlook. Maar hoewel het zeker is dat Microsoft deze problemen heeft aangepakt terwijl het erachter komt, heeft het op 25 oktober 2012 een nieuw rapport uitgegeven: "Kwetsbaarheidsnotitie VU # 948750 - Microsoft Outlook Web" waarin een systeemgat wordt uitgelegd waaronder een aanvaller kan "willekeurige scriptcode uitvoeren."
Microsoft is zeker niet de enige boosdoener op het gebied van beveiliging. We hebben allemaal gehoord van infiltratie van banken, creditcards, online services en zelfs federale overheidssystemen, infiltratie die leidt tot identiteitsdiefstal, financieel verlies, wachtwoordcompromissen en vandalisme. En wat we eigenlijk hebben gehoord, is slechts het topje van de ijsberg. 2600: het Hacker Quarterly-magazine publiceert regelmatig systeemkwetsbaarheden, waarvan de meeste niet in grote nieuwsbronnen terechtkomen. De publicatie heeft nooit een tekort aan materiaal.
Het is duidelijk dat wat onze virusprogramma's, beveiligingssystemen en systeembeheerders hebben gedaan niet werkt, althans niet 100 procent van de tijd. Helaas is dat echt nodig om onze cyberinfrastructuur te beschermen.
Dus wat te doen? Dr. Peter G. Neumann volgt al 40 jaar de computerbeveiliging van SRI International en heeft RISKS Digest, een online tijdschrift en forum dat zich bezighoudt met beveiliging en veiligheid in computers, software en andere technische systemen, sinds 1985 bewerkt.
Hij leidt een team van onderzoekers - samen met Robert N. Watson van het computerlaboratorium van Cambridge University - in een poging om volledig te heroverwegen hoe computers en netwerken kunnen worden beveiligd als onderdeel van een vijfjarig project dat wordt gefinancierd door het Pentagon's Defense Advanced Research Projects Agency (DARPA).
"Ik heb eigenlijk 40 jaar lang op dezelfde windmolens gekanteld", zei Neumann onlangs tijdens een lunchinterview in een Chinees restaurant in de buurt van zijn met kunst gevulde huis in Palo Alto, Californië.
"Ik krijg de indruk dat de meeste verantwoordelijke mensen niet willen horen over complexiteit. Ze zijn geïnteresseerd in snelle en vuile oplossingen." (Voor een volledig profiel over Dr. Neumann, bekijk Killing the Computer om het op te slaan in The New York Times.)
In het Times-profiel beschrijft Neumann een complete oplossing voor het computerbeveiligingsprobleem: Cherry kiest de beste ideeën van de afgelopen 50 jaar om iets geheel nieuws te bouwen. Dat klinkt behoorlijk eng, en zou een enorme inspanning vergen. Ik kende Peter echter alleen voor 21. (Hij en ik maakten deel uit van de oprichtingsgroep van de eerste Computers and Privacy Conference, die werd voorgezeten door microcomputerpionier Jim Warren in 1991.) Ik ken hem goed genoeg om te weten dat hij niet een "visionaire" met grote ogen maar eerder een zeer praktische, goed onderbouwde en zeer intelligente beveiligingsprofessional.
Ondanks de vereiste inspanningen is Richard A. Clarke, de voormalige terroristische tsaar van de natie en auteur van "Cyberoorlog: de volgende bedreiging voor de nationale veiligheid en wat eraan te doen" (2010), het eens met Neumann en wordt geciteerd in de Hetzelfde stuk als de opmerking dat Neumanns "schone leisteen inspanning, zoals het wordt genoemd, essentieel is. Fundamenteel is alles wat we vandaag doen om netwerken te beveiligen verband om te zetten en onze vingers in de dijk te leggen, en de dijkveren een lek ergens anders. We hebben onze netwerken al 45 jaar niet fundamenteel opnieuw ontworpen, "zei hij. "Natuurlijk, het zou een enorm bedrag kosten om opnieuw te architecten, maar laten we beginnen en kijken of het beter werkt en de markt laten beslissen."
Clarkes boek benadrukt dat de volgende oorlog zal worden gebaseerd op bytes in plaats van bommen. Als dat een reëel risico is - en ik ben niet de enige die dat gelooft - zijn veel experts het erover eens dat we slecht voorbereid zijn. Voor het grootste deel lijken mensen zich geen zorgen te maken. Maar als u tijdens de ramp ergens in de buurt van een bibliotheek, coffeeshop of Barnes & Noble was, is één ding duidelijk: loskoppelen is geen optie.