Historien Richard Clarke snurrer har hele spenningen til en postmoderne geopolitisk thriller. Historien involverer en spøkelsesaktig nettworm som ble opprettet for å angripe kjernesentrifugene til en useriøs nasjon - som deretter rømmer fra mållandet, og replikerer seg i tusenvis av datamaskiner over hele verden. Det lurer kanskje i deg akkurat nå. Ufarlig inaktiv ... eller avventer flere ordrer.
Relatert innhold
- Risiko og gåter
En flott historie, ikke sant? Faktisk er den verdensforandrende datamaskinormen "våpnet malware" som heter Stuxnet veldig ekte. Det ser ut til å ha blitt lansert i midten av 2009, gjort enorme skader på Irans atomprogram i 2010 og deretter spredt til datamaskiner over hele verden. Stuxnet kan ha avverget en atomkonfigurasjon ved å redusere Israels oppfatning av et behov for et forestående angrep på Iran. Og likevel kan det ende opp med å starte en dag snart, hvis replikkene blir manipulert ondsinnet. Og kjernen i historien er et mysterium: Hvem laget og lanserte Stuxnet i utgangspunktet?
Richard Clarke forteller meg at han vet svaret.
Clarke, som tjente tre presidenter som tster mot terrorisme, driver nå et konsulent for cybersikkerhet kalt Good Harbor, som ligger i et av de anonyme kontortårnene i Arlington, Virginia, som triangulerer Pentagon og Capitol på flere måter enn ett. Jeg hadde kommet for å snakke med ham om hva som er gjort siden den presserende alarmen han hadde gitt lyd i sin nylige bok, Cyber War . Bokens sentrale argument er at selv om USA har utviklet evnen til å drive et støtende cyberwar, har vi praktisk talt ikke noe forsvar mot nettangrepene som han sier retter seg mot oss nå, og vil være i fremtiden.
Advarslene til Richard Clarke kan høres for dramatiske ut til du husker at han var mannen, i september 2001, som prøvde å få Det hvite hus til å handle etter advarslene hans om at Al Qaida forberedte et spektakulært angrep på amerikansk jord.
Clarke leverte senere en berømt unnskyldning til det amerikanske folket i sitt vitnesbyrd for kommisjonen den 11. september: "Din regjering sviktet deg."
Clarke ønsker nå raskt å advare oss om at vi mislykkes, og blir forsvarsløse mot et cyberangrep som kan få ned hele nasjonens elektroniske infrastruktur, inkludert strømnettet, bank og telekommunikasjon, og til og med vårt militære kommandosystem.
“Lever vi som nasjon i fornektelse av faren vi er i?” Spurte jeg Clarke da vi satte oss over et konferansebord i kontorpakken hans.
”Jeg tror vi lever i en verden av manglende svar. Der du vet at det er et problem, men du ikke gjør noe med det. Hvis det er fornektelse, så er det fornektelse. ”
Da Clarke sto ved siden av et vindu og satte inn kaffekapsler i en Nespresso-maskin, ble jeg påminnet om åpningen av en av tidenes store spionasjefilmer, Funeral in Berlin, der Michael Caine stille, presist, maler og brygger morgenkaffen hans . High-tech java ser ut til å gå med jobben.
Men å si Clarke var en spion gjør ikke ham rett. Han var en meta-spion, en mester motspionasje, sparsom for bekjempelse av terrorisme, den sentrale noden der all den mest hemmelige, stjålne, sikkerhetskrypterte informasjonsbiten samlet inn av vårt billioner dollar menneskelige, elektroniske og satellitt etterretningsnettverk til slutt konvergerte. Clarke har sannsynligvis vært interessert i like mye "over hemmelighet" - spionasjeinformasjon som noen som helst på Langley, NSA eller Det hvite hus. Så jeg ble fascinert da han valgte å snakke med meg om mysteriene til Stuxnet.
"Bildet du maler i boken din, " sa jeg til Clarke, "er av et USA som er helt utsatt for nettangrep. Men det er ikke noe forsvar, er det egentlig? "Det er milliarder av portaler, fellerdører, " utnyttelser ", som cybersecurity-gutta kaller dem, klare til å bli hacket.
"Det er ikke i dag, " er han enig. Verre, fortsetter han, katastrofale konsekvenser kan være resultat av å bruke vår cyberoffense uten å ha en cyberdefense: blowback, hevn utover vår forestillinger.
"Den amerikanske regjeringen er involvert i spionasje mot andre regjeringer, " sier han flat. “Det er imidlertid en stor forskjell mellom hva slags nettespionasje USAs regjering gjør og Kina. Den amerikanske regjeringen hacker ikke veien inn i Airbus og gir Airbus hemmelighetene til Boeing [mange mener at kinesiske hackere ga Boeing hemmeligheter til Airbus]. Vi hacker oss ikke inn i et kinesisk dataselskap som Huawei og gir hemmelighetene til Huawei-teknologien til deres amerikanske konkurrent Cisco. [Han mener Microsoft også var et offer for et kinesisk cyber con-spill.] Vi gjør ikke det. ”
"Hva gjør vi da?"
“Vi hacker oss inn i utenlandske myndigheter og samler informasjonen fra nettverkene deres. Den samme typen informasjon som en CIA-agent i gamle dager ville prøve å kjøpe fra en spion. ”
"Så du snakker om diplomatiske ting?"
"Diplomatiske, militære ting, men ikke kommersielle konkurrenter."
Mens Clarke fortsatte, avslørte han en tro på at vi er engasjert i en veldig annen, veldig dramatisk ny måte å bruke vår cyberoffense-evne - historien om den legendariske nettwormen, Stuxnet.
Stuxnet er et digitalt spøkelse, utallige kodelinjer laget med et slikt geni at det var i stand til å snekre seg inn i Irans anrikningsanlegg for kjernebrensel i Natanz, Iran, der gassentrifuger snurrer som virvlende dervisher, og skiller bombe-uran-235-isotoper fra den mer rikelig U-238. Stuxnet grep kontrollene på maskinen som kjørte sentrifugene, og i en delikat, usynlig operasjon, desynkroniserte de hastighetene som sentrifugene snurret, og fikk nesten tusen av dem til å gripe, krasje og ellers selvdestruksjon. Natanz-anlegget ble midlertidig lagt ned, og Irans forsøk på å skaffe nok U-235 til å bygge et atomvåpen ble forsinket av hva eksperter anslår var måneder eller år.
Spørsmålet om hvem som laget Stuxnet og hvem som målrettet det mot Natanz, er fremdeles et mye omdiskutert mysterium i IT- og spionasjefellesskapet. Men fra begynnelsen av har den viktigste mistenkte vært Israel, som er kjent for å være åpen for å bruke ukonvensjonelle taktikker for å forsvare seg mot det den ser på som en eksistensiell trussel. New York Time publiserte en historie som pekte på USA-israelsk samarbeid om Stuxnet, men med Israels rolle fremhevet av påstanden om at en fil begravet i Stuxnet-ormen inneholdt en indirekte referanse til "Esther", den bibelske heltinnen i kampen mot de folkemordede perserne.
Ville israelerne ha vært tåpelige nok til å etterlate en så åpenlyst signatur av forfatterskapet sitt? Cybervåpen blir vanligvis renset for identifikasjonsmerker - det virtuelle ekvivalentet til terroristens "bombe uten returadresse" - så det er ikke noe sikkert sted å påføre gjengjeldende konsekvenser. Hvorfor skulle Israel sette sin signatur på et nettvirus?
På den annen side, var signaturen et forsøk på å ramme inn israelerne? På den annen side, var det mulig at israelerne faktisk hadde plantet den i håp om at det ville føre til konklusjonen at noen andre hadde bygd den og prøvde å feste den på dem?
Når du arbeider med virtuell spionasje, er det virkelig ingen måte å vite hvem som gjorde hva.
Med mindre du er Richard Clarke.
"Jeg tror det er ganske tydelig at USAs regjering gjorde Stuxnet-angrepet, " sa han rolig.
Dette er en ganske forbløffende uttalelse fra noen i hans posisjon.
“Alene eller med Israel?” Spurte jeg.
”Jeg tror det var en mindre israelsk rolle i det. Israel kan ha gitt en prøveseng, for eksempel. Men jeg tror at den amerikanske regjeringen gjorde angrepet, og jeg tror at angrepet beviste det jeg sa i boken [som kom ut før angrepet ble kjent], som er at du kan forårsake ekte enheter - ekte maskinvare i verden, i det virkelige rommet, ikke nettområdet - for å sprenge. ”
Kommer ikke Clarke rett ut og sa at vi begikk en handling av ikke-erklært krig?
"Hvis vi gikk inn med en drone og slo ut tusen sentrifuger, er det krigshandling, " sa jeg. "Men hvis vi går inn med Stuxnet og slår ut tusen sentrifuger, hva er det da?"
“Vel, ” svarte Clarke jevnt, “det er en skjult handling. Og den amerikanske regjeringen har, helt siden slutten av andre verdenskrig, før den gang engasjert seg i skjult handling. Hvis USAs regjering gjorde Stuxnet, var det under en skjult handling, tror jeg, utstedt av presidenten under hans makt under etterretningsloven. Når er en krigshandling en krigshandling, og når er den en skjult handling?
“Det er et juridisk spørsmål. I amerikansk lov er det en skjult handling når presidenten sier det er en skjult handling. Jeg tror at hvis du er i ferd med å få den hemmelige handlingen, er det en krigshandling. ”
Da jeg sendte Det Hvite Hus på e-post for kommentar, mottok jeg dette svaret: "Du er sannsynligvis klar over at vi ikke kommenterer klassifiserte etterretningsspørsmål." Ikke noe avslag. Men absolutt ikke en bekreftelse. Så hva baserer Clarke sin konklusjon på?
En grunn til å tro at Stuxnet-angrepet ble gjort i USA, sier Clarke, "var at det veldig hadde følelsen av å ha blitt skrevet av eller styrt av et team av advokater fra Washington."
“Hva får deg til å si det?” Spurte jeg.
”For det første har jeg sittet gjennom mange møter med advokater fra Washington [regjeringen / Pentagon / CIA / NSA-typen] som går over skjulte handlingsforslag. Og jeg vet hva advokater gjør.
Advokatene ønsker å sørge for at de i stor grad begrenser virkningen av handlingen. Så det er ingen sikkerhetsskader. ”Han viser til juridiske betenkeligheter rundt loven om væpnet konflikt, en internasjonal kode som er utformet for å minimere sivile tap som amerikanske regjeringsadvokater i de fleste tilfeller søker å følge.
Clarke illustrerer ved å gå meg gjennom måten Stuxnet tok ned de iranske sentrifugene.
“Hva gjør denne utrolige Stuxnet-tingen? Så snart den kommer inn i nettverket og våkner, bekrefter den at den er i riktig nettverk ved å si: 'Er jeg i et nettverk som kjører et SCADA [Supervisory Control and Data Acquisition] programvarekontrollsystem?' 'Ja.' Andre spørsmål: 'Driver det Siemens [den tyske produsenten av det iranske anleggskontrollen]?' 'Ja.' Tredje spørsmål: "Kjører det Siemens 7 [en sjanger for programvarekontrollpakke]?" 'Ja.' Fjerde spørsmål: 'Kontakt denne programvaren med en elektrisk motor laget av et av to selskaper?' »Han tar en pause.
“Vel, hvis svaret på det var 'ja', var det bare ett sted det kunne være. Natanz.”
“Det er imidlertid rapporter om at det har løsnet, ” sa jeg, rapporter om Stuxnet-ormer som dukker opp over hele nettverdenen. Som Clarke har et fascinerende svar til:
"Det løsnet fordi det var en feil, " sier han. "Det er klart for meg at advokater gikk over det og ga det som heter IT-bransjen en TTL."
"Hva er det?"
"Hvis du så Blade Runner [hvor kunstig intelligens androider ble gitt en begrenset levetid - en" tid til å dø "], er det en 'Time to Live.' 'Gjør jobben, begikk selvmord og forsvinner. Ingen flere skader, sikkerhet eller annet.
"Så det var en TTL innebygd i Stuxnet, " sier han [for å unngå å krenke folkeretten mot sikkerhetsskader, si til det iranske elektriske nettet]. Og på en måte fungerte det ikke. ”
"Hvorfor hadde det ikke fungert?"
“TTL fungerer fra en dato på datamaskinen din. Vel, hvis du er i Kina eller Iran eller et sted der du kjører bootleg-programvare som du ikke har betalt for, kan datoen din på datamaskinen din være 1998 eller noe, ellers vil bootleg 30-dagers prøveperiode TTL-programvare utløpe.
"Så det er en teori, " fortsetter Clarke. “Men i alle fall har du rett, den gikk ut. Og den løp rundt i verden og smittet mange ting, men gjorde ikke noen skade, for hver gang den våknet på en datamaskin spurte den seg de fire spørsmålene. Med mindre du kjørte kjernefysiske sentrifuger i uran, ville det ikke skade deg. ”
"Så det er ikke en trussel lenger?"
"Men du har det nå, og hvis du er en datamaskin, kan du ta det fra hverandre, og du kan si: 'Å, la oss endre dette her, la oss endre det der borte.' Nå har jeg et virkelig sofistikert våpen. Så tusenvis av mennesker rundt om i verden har det og leker med det. Og hvis jeg har rett, det beste nettvåpenet USA noensinne har utviklet, ga det verden gratis. ”
Visjonen Clarke har er om et moderne teknologisk mareritt, og kaster USA som Dr. Frankenstein, hvis vitenskapelige geni har skapt millioner av potensielle monstre over hele verden. Men Clarke er enda mer bekymret for "offisielle" hackere som de som antas å være ansatt i Kina.
"Jeg skal til å si noe som folk synes er en overdrivelse, men jeg synes bevisene er ganske sterke, " sier han. "Hvert større selskap i USA er allerede blitt penetrert av Kina."
"Hva?"
"Den britiske regjeringen sa faktisk [noe lignende] om sitt eget land. ”
Clarke hevder for eksempel at produsenten av F-35, vår neste generasjons jagerbomber, har blitt penetrert og F-35 detaljer stjålet. Og ikke få ham i gang med vår forsyningskjede med sjetonger, rutere og maskinvare vi importerer fra kinesiske og andre utenlandske leverandører, og hva som kan implanteres i dem - “logiske bomber, ” trapdoors og “Trojan hester, ” alt klart til å bli aktivert på kommando slik at vi ikke vet hva som rammet oss. Eller hva som allerede treffer oss.
"Min største frykt, " sier Clarke, "er at vi, i stedet for å ha et cyber-Pearl Harbor-arrangement, i stedet vil ha denne døden på tusen kutt. Hvor vi mister konkurranseevnen ved å få all vår forskning og utvikling stjålet av kineserne. Og vi ser aldri den eneste hendelsen som får oss til å gjøre noe med det. At det alltid er rett under smerteterskelen vår. Det selskapet etter selskapet i USA bruker millioner, hundrevis av millioner, i noen tilfeller milliarder av dollar på FoU, og at informasjonen går gratis til Kina .... Etter en stund kan du ikke konkurrere. ”
Men Clarkes bekymringer strekker seg over kostnadene ved tapt åndsverk. Han ser for seg tap av militærmakt. Si at det var en annen konfrontasjon, som den i 1996 da president Clinton stormet to båterkampflåter til Taiwansundet for å advare Kina mot en invasjon av Taiwan. Clarke, som sier at det har vært krigsspill om nettopp en slik gjenopplivet konfrontasjon, mener nå at vi kan bli tvunget til å gi opp å spille en slik rolle av frykt for at forsvarsgruppen vår kan bli blindet og lammet av kinesisk nettintervensjon. (Han siterer et nylig krigsspill publisert i et innflytelsesrikt militært strategitidsskrift kalt Orbis med tittelen “How US Lost the Naval War of 2015.”)
Å snakke med Clarke gir et glimt av det splitter nye spillet geopolitikk, et farlig og skremmende nytt paradigme. Med bruk av "våpnet skadelig programvare" som Stuxnet, må all tidligere militær og mye diplomatisk strategi gjengis omfattende - og tiden går ut.
Jeg forlot Clarkes kontor og følte at vi i øyeblikket er veldig lik sommeren 2001, da Clarke sendte sin siste alvorlige advarsel. "Et par mennesker har merket meg en Cassandra, " sier Clarke. ”Og jeg har gått tilbake og lest mytologien min om Cassandra. Og måten jeg leste mytologien på, er det ganske tydelig at Cassandra hadde rett. ”
Redaktører Merk 23. mars 2012: Denne historien er endret for å tydeliggjøre at Natanz-anlegget bare ble midlertidig lagt ned, og at navnet “Esther” bare ble referert indirekte i Stuxnet-ormen.
