Historien Richard Clarke drejer har hele spændingen for en postmoderne geopolitisk thriller. Historien involverer en spøgelsesagtig cyberorm, der er oprettet for at angribe de nukleare centrifuger fra en rogue nation - som derefter slipper ud fra mållandet og replikerer sig selv i tusinder af computere over hele verden. Det lurer muligvis i dit lige nu. Ufarligt inaktivt ... eller afventer yderligere ordrer.
Relateret indhold
- Risici og gåder
En god historie, ikke? Faktisk er den verdensforandrende “våbeniserede malware” -computerorm, der hedder Stuxnet, meget reel. Det ser ud til at være lanceret i midten af 2009, gjort enorm skade på Irans nukleare program i 2010 og derefter spredt til computere over hele verden. Stuxnet kan have afværget en nuklear forbrænding ved at mindske Israels opfattelse af et behov for et forestående angreb på Iran. Og alligevel kan det ende med at starte en dag snart, hvis replikationerne bliver manipuleret ondsindet. Og i hjertet af historien er et mysterium: Hvem lavede og lancerede Stuxnet i første omgang?
Richard Clarke fortæller mig, at han ved svaret.
Clarke, der tjente tre præsidenter som zter for bekæmpelse af terrorisme, driver nu et cybersecurity-konsulentfirma kaldet Good Harbor, beliggende i et af de anonyme kontortårne i Arlington, Virginia, der triangulerer Pentagon og Capitol på flere måder end et. Jeg var kommet for at tale med ham om, hvad der er gjort siden den presserende alarm, han havde lydt i sin nylige bog, Cyber War . Bogens centrale argument er, at selvom De Forenede Stater har udviklet evnen til at udføre et stødende cyberwar, har vi næsten intet forsvar mod cyberangrebene, som han siger, der er målrettet mod os nu, og vil være i fremtiden.
Richard Clarkes advarsler kan lyde alt for dramatiske, indtil du husker, at han var manden, i september 2001, der forsøgte at få Det Hvide Hus til at handle på grund af hans advarsler om, at Al Qaida forberedte et spektakulært angreb på amerikansk jord.
Clarke leverede senere en berømt undskyldning til det amerikanske folk i hans vidnesbyrd for Kommissionen den 11. september: ”Din regering svigtede dig.”
Clarke ønsker nu hurtigst muligt at advare os om, at vi mislykkes, at være forsvarsløse mod et cyberangreb, der kan nedbryde vores lands hele elektroniske infrastruktur, herunder elnettet, bank og telekommunikation og endda vores militære kommandosystem.
”Lever vi som en nation i benægtelse af den fare, vi er i?” Spurgte jeg Clarke, da vi sad ved et konferencebord i hans kontorpakke.
”Jeg tror, vi lever i en verden af manglende respons. Hvor du ved, at der er et problem, men du gør ikke noget ved det. Hvis det er benægtelse, er det benægtelse. ”
Da Clarke stod ved siden af et vindue og indsatte kaffekapsler i en Nespresso-maskine, blev jeg mindet om åbningen af en af tidenes store spionagefilm, Begravelse i Berlin, hvor Michael Caine tavs, præcist, maler og brygger hans morgenkaffe . High-tech java ser ud til at gå med jobbet.
Men at sige, at Clarke var en spion, gør ham ikke retfærdighed. Han var en meta-spion, en mester modspionering, bekæmpelse af terrorbekæmpelse, den centrale knude, hvor alle de mest hemmelige, stjålne, sikkerhedskrypterede bits information indsamlet af vores billioner dollar menneskelige, elektroniske og satellit efterretningsnetværk til sidst konvergerede. Clarke har sandsynligvis været interesseret i lige så meget "over top secret" - spionageinformation som nogen som helst i Langley, NSA eller Det Hvide Hus. Så jeg blev fascineret, da han valgte at tale med mig om Stuxnets mysterier.
”Det billede, du maler i din bog, ” sagde jeg til Clarke, ”er af en USA, der er helt sårbar over for cyberangreb. Men der er ikke noget forsvar, er der virkelig? ”Der er milliarder af portaler, faldedøre, ” udbytter ”, som cybersikkerhed fyre kalder dem, klar til at blive hacket.
”Der er ikke i dag, ” er han enig. Værre er, fortsætter han, katastrofale konsekvenser kan være resultatet af at bruge vores cyberoffense uden at have en cyberdefense: blowback, hævn ud over vores forestillinger.
”Den amerikanske regering er involveret i spionage mod andre regeringer, ” siger han fladt. ”Der er dog en stor forskel mellem den type cyberespionage, som De Forenede Staters regering gør, og Kina. Den amerikanske regering hacker ikke sin vej ind i Airbus og giver Airbus hemmelighederne til Boeing [mange mener, at kinesiske hackere gav Boeing hemmeligheder til Airbus]. Vi hacker ikke vores vej ind i et kinesisk computerselskab som Huawei og leverer hemmelighederne ved Huawei-teknologi til deres amerikanske konkurrent Cisco. [Han mener, at Microsoft også var et offer for et kinesisk cyber-con-spil.] Det gør vi ikke. ”
”Hvad gør vi så?”
”Vi hacker os ind i udenlandske regeringer og indsamler oplysningerne fra deres netværk. Den samme type information som en CIA-agent i gamle dage ville prøve at købe fra en spion. ”
”Så du taler om diplomatiske ting?”
"Diplomatiske, militære ting, men ikke kommercielle konkurrerende ting."
Da Clarke fortsatte, afslørede han en tro, vi er engageret i en meget anderledes, meget dramatisk ny måde at bruge vores cyberoffense-evne på - historien om den legendariske cyberorm, Stuxnet.
Stuxnet er et digitalt spøgelse, utallige kodelinjer, der er udformet med et så genialt, at det var i stand til at snegle sig ind i Irans anrikningsanlæg med atombrændstof i Natanz, Iran, hvor gascentrifuger roterer som hvirvlende dervisher og adskiller bombe-uranium-235 isotoper fra den mere rigelige U-238. Stuxnet greb kontrollerne på maskinen, der kørte centrifugerne, og i en delikat, usynlig operation desynkroniserede de hastigheder, hvormed centrifugerne drejede, hvilket fik næsten tusind af dem til at gribe fat, gå ned og ellers selvdestruere. Natanz-anlægget blev midlertidigt lukket ned, og Irans forsøg på at få tilstrækkelig U-235 til at bygge et atomvåben blev forsinket af, hvad eksperter vurderer at var måneder eller endda år.
Spørgsmålet om, hvem der lavede Stuxnet, og hvem der målrettede det mod Natanz, er stadig et meget omdiskuteret mysterium inden for it- og spionagesamfundet. Men fra begyndelsen har den største mistænkte været Israel, som vides at være åben for at bruge ukonventionelle taktikker til at forsvare sig mod det, det betragter som en eksistentiel trussel. The New York Time offentliggjorde en historie, der pegede på USA-israelsk samarbejde om Stuxnet, men med Israels rolle fremhævet af påstanden om, at en fil begravet i Stuxnet-ormen indeholdt en indirekte henvisning til "Esther", den bibelske heltinde i kampen mod de folkedrab persere.
Ville israelerne have været tåbelige nok til at efterlade en så åbenlys underskrift af deres forfatterskab? Cybervåben rengøres normalt for ethvert identifikationsmærke - det virtuelle ækvivalent til terroristens "bombe uden returadresse" - så der er ikke et sikkert sted at påføre gengældende konsekvenser. Hvorfor skulle Israel lægge sin underskrift på et cybervirus?
På den anden side var underskriften et forsøg på at ramme israelerne? På den anden side, var det muligt, at israelerne virkelig havde plantet det i håb om, at det ville føre til den konklusion, at en anden havde bygget det og forsøgte at sætte det fast på dem?
Når du beskæftiger dig med virtuel spionage, er der virkelig ingen måde at vide med sikkerhed, hvem der gjorde hvad.
Medmindre du er Richard Clarke.
”Jeg synes, det er ret klart, at den amerikanske regering gjorde Stuxnet-angrebet, ” sagde han roligt.
Dette er en temmelig forbløffende erklæring fra en person i hans position.
”Alene eller med Israel?” Spurgte jeg.
”Jeg tror, at der var en mindre israelsk rolle i det. Israel har muligvis leveret en prøvebed. Men jeg tror, at den amerikanske regering gjorde angrebet, og jeg tror, at angrebet beviste det, jeg sagde i bogen [som kom ud før angrebet blev kendt], hvilket er, at du kan forårsage reelle enheder - ægte hardware i verden, i det rigtige rum, ikke cyberspace - at sprænge. ”
Kommer ikke Clarke lige ud og siger, at vi begik en handling med ikke-erklæret krig?
”Hvis vi gik ind med en drone og bankede tusind centrifuger ud, er det en krigshandling, ” sagde jeg. ”Men hvis vi går ind med Stuxnet og slår tusind centrifuger ud, hvad er det?”
”Nå, ” svarede Clarke jævnt, ”det er en skjult handling. Og den amerikanske regering har lige siden slutningen af 2. verdenskrig før da engageret sig i skjult handling. Hvis De Forenede Staters regering gjorde Stuxnet, var det under en skjult handling, tror jeg, udstedt af præsidenten under hans magt i henhold til efterretningsloven. Hvornår er en krigshandling en krigshandling, og hvornår er det en skjult handling?
”Det er et juridisk spørgsmål. I amerikansk lovgivning er det en skjult handling, når præsidenten siger, at det er en skjult handling. Jeg tror, at hvis du er i den modtagende ende af den skjulte handling, er det en krigshandling. ”
Da jeg mailede Det Hvide Hus til kommentar, modtog jeg dette svar: ”Du er sandsynligvis opmærksom på, at vi ikke kommenterer klassificerede efterretningsspørgsmål.” Ikke en benægtelse. Men bestemt ikke en bekræftelse. Så hvad baserer Clarke sin konklusion på?
En af grundene til at tro, at Stuxnet-angrebet blev foretaget i USA, siger Clarke, "var, at det meget havde fornemmelsen af at være blevet skrevet af eller styret af et team af advokater fra Washington."
”Hvad får dig til at sige det?” Spurgte jeg.
”Nå, først og fremmest har jeg siddet gennem en række møder med advokater fra Washington [regeringen / Pentagon / CIA / NSA-typen], der behandler forslag til skjulte handlinger. Og jeg ved, hvad advokater gør.
”Advokaterne vil sikre sig, at de i høj grad begrænser virkningen af handlingen. Så der er ingen sikkerhedsskade. ”Han henviser til juridiske betænkeligheder ved loven om væbnet konflikt, en international kode, der er designet til at minimere civile skader, som amerikanske regeringsadvokater i de fleste tilfælde søger at følge.
Clarke illustrerer ved at gå gennem mig, hvordan Stuxnet tog ned de iranske centrifuger.
”Hvad gør denne utrolige Stuxnet-ting? Så snart det kommer ind i netværket og vågner op, verificerer det, at det er i det rigtige netværk ved at sige, 'Er jeg i et netværk, der kører et SCADA-softwarekontrolsystem til [Supervisory Control and Data Acquisition]?' 'Ja.' Andet spørgsmål: "Kører det Siemens [den tyske producent af det iranske anlægskontrol]?" 'Ja.' Tredje spørgsmål: 'Kører det Siemens 7 [en genre af softwarekontrolpakke]?' 'Ja.' Fjerde spørgsmål: 'Er denne software i kontakt med en elektrisk motor lavet af et af to virksomheder?' ”Han sætter en pause.
”Ja, hvis svaret på det var” ja ”, var der kun et sted, det kunne være. Natanz.”
”Der er dog rapporter om, at det er løsnet, ” sagde jeg, rapporter om Stuxnet-orme, der dukker op over hele cyberworld. Som Clarke har et fascinerende svar til:
”Det løsnet, fordi der var en fejl, ” siger han. ”Det er klart for mig, at advokater gik over det og gav det, der kaldes, inden for it-branchen, en TTL.”
"Hvad er det?"
”Hvis du så Blade Runner [hvor kunstige intelligens androider fik en begrænset levetid - en" tid til at dø "], er det en 'Time to Live'.” Gør jobbet, begå selvmord og forsvind. Ikke mere skade, sikkerhed eller andet.
”Så der var en TTL indbygget i Stuxnet, ” siger han [for at undgå krænkelse af international lovgivning mod sikkerhedsskader, sig til det iranske elektriske net). Og det fungerede på en eller anden måde ikke. ”
”Hvorfor ville det ikke have fungeret?”
”TTL fungerer fra en dato på din computer. Nå, hvis du er i Kina eller Iran eller et sted, hvor du kører bootleg-software, som du ikke har betalt for, kan din dato på din computer muligvis være 1998 eller noget, fordi ellers bootleg-30-dages prøveperiode TTL-software udløber.
”Så det er en teori, ” fortsætter Clarke. ”Men under alle omstændigheder har du ret, det kom ud. Og det løb rundt i verden og inficerede mange ting, men gjorde ikke nogen skade, for hver gang det vågnede op på en computer stillede det sig de fire spørgsmål. Medmindre du kørte atomkraftcentrifuger i uran, ville det ikke skade dig. ”
”Så det er ikke en trussel mere?”
”Men du har det nu, og hvis du er en computer-whiz, kan du adskille det fra hinanden, og du kan sige, 'Åh, lad os ændre dette herover, lad os ændre det derovre.' Nu har jeg et rigtig sofistikeret våben. Så tusinder af mennesker over hele verden har det og spiller med det. Og hvis jeg har ret, det bedste cybervåben, som USA nogensinde har udviklet, gav det verden gratis. ”
Visionen Clarke har er om et moderne teknologisk mareridt, der kaster USA som Dr. Frankenstein, hvis videnskabelige geni har skabt millioner af potentielle monstre over hele verden. Men Clarke er endnu mere bekymret for "officielle" hackere som dem, der menes at være ansat i Kina.
”Jeg er ved at sige noget, som folk synes er en overdrivelse, men jeg synes bevisene er ret stærke, ” fortæller han mig. ”Ethvert større firma i De Forenede Stater er allerede blevet penetreret af Kina.”
"Hvad?"
”Den britiske regering sagde faktisk [noget lignende] om deres eget land. ”
Clarke hævder for eksempel, at producenten af F-35, vores næste generations fighter bombefly, er blevet gennemtrængt og F-35 detaljer stjålet. Og lad ham ikke komme i gang med vores forsyningskæde af chips, routere og hardware, vi importerer fra kinesiske og andre udenlandske leverandører, og hvad der kan blive implanteret i dem - “logiske bomber, ” faldedøre og “trojanske heste”, alt sammen klar til at blive aktiveret på kommando, så vi ved ikke, hvad der ramte os. Eller hvad der allerede rammer os.
“Min største frygt, ” siger Clarke, “er, at vi i stedet for at have en cyber-Pearl Harbor-begivenhed i stedet har denne død på tusind snit. Hvor vi mister vores konkurrenceevne ved at få al vores forskning og udvikling stjålet af kineserne. Og vi ser aldrig den eneste begivenhed, der får os til at gøre noget ved det. At det altid er lige under vores smertetærskel. Det firma efter selskab i USA bruger millioner, hundreder af millioner, i nogle tilfælde milliarder af dollars på F&U, og disse oplysninger går gratis til Kina .... Efter et stykke tid kan du ikke konkurrere. ”
Men Clarkes bekymringer når ud over omkostningerne ved mistet intellektuel ejendomsret. Han forudser tab af militær magt. Lad os sige, at der var en anden konfrontation, som den i 1996, da præsident Clinton skyndte to flyveflåde til Taiwan-strædet for at advare Kina mod en invasion af Taiwan. Clarke, der siger, at der netop har været krigsspil om netop en sådan genoplivet konfrontation, mener nu, at vi måske bliver tvunget til at opgive at spille en sådan rolle af frygt for, at vores forsvarsgruppeforsvar kan blendes og lammes af kinesisk cyberintervention. (Han citerer et nyligt krigsspil, der er offentliggjort i et indflydelsesrig militært strategitidsskrift kaldet Orbis med titlen ”Hvordan USA mistede marinekrigen i 2015.”)
At tale med Clarke giver et glimt af det splinternye geopolitiske spil, et farligt og skræmmende nyt paradigme. Med fremkomsten af "våbenvåben malware" som Stuxnet, skal alle tidligere militære og meget diplomatiske strategier genskabes omfattende - og tiden er ved at løbe ud.
Jeg forlod Clarkes kontor og følte, at vi i et øjeblik er meget ligesom sommeren 2001, da Clarke fremsatte sin sidste dystre advarsel. ”Et par mennesker har mærket mig en Cassandra, ” siger Clarke. ”Og jeg er gået tilbage og læst min mytologi om Cassandra. Og hvordan jeg læser mytologien, er det temmelig tydeligt, at Cassandra havde ret. ”
Redaktører Bemærk 23. marts 2012: Denne historie er blevet ændret for at tydeliggøre, at Natanz-anlægget kun blev midlertidigt lukket ned, og at navnet “Esther” kun blev indirekte henvist til i Stuxnet-ormen.
