Hoe Rocky de Belgische cyberspace bewaakt

Wanneer België getroffen wordt door een ernstig cyberincident, is de kans groot dat Rocky De Wiest de boel moet gaan oplossen –Rocky of een van zijn directe collega’s. In een uitzonderlijk interview vertelt de 28-jarige luitenant over zijn baan als ‘malware analist’ bij de militaire inlichtingendienst ADIV. Welkom in de duistere krochten van cyberspace.

Nu de regering-Michel extra budget heeft vrijgemaakt om de cyberveiligheid in België te verhogen, mag de militaire inlichtingendienst ADIV 24 nieuwe cyberspecialisten rekruteren.

Tegen eind juni wil de dienst voldoende geschikte kandidaten vinden. Ze moest dus wel naar buiten treden en openheid verschaffen over het werk van haar computerexperts.

De IT-specialisten van de militaire inlichtingendienst zijn aan de slag bij het zogenaamde Cyber Security Operations Centre (CSOC), dat dit najaar zijn intrek neemt in de volledig hernieuwde blok negen van het Koningin Elisabeth-kwartier in Evere.

© ADIV

De militaire inlichtingendienst ADIV is in België mee verantwoordelijk voor cyberveiligheid.

De persconferentie over de vacatures voor cyberspecialisten zit erop. Afspraak met Rocky De Wiest en kolonel Peter De Vliegher –de nummer twee van de ADIV– voor een uitgebreid interview. Ik doe meteen een kleine test. Ik open mijn MacBook Air en toon hoe die beveiligd is met een paswoord. Of Rocky misschien mijn laptop kan kraken?

In één oogopslag weet Rocky wat de achilleshiel is van mijn laptop.

Op dit moment niet, want ik heb geen instrumenten bij’, zegt hij. ‘Bovendien ben ik gespecialiseerd in malware-analyse en heb ik eigenlijk geen offensieve capaciteiten. Maar uit persoonlijke interesse volg ik wel zo veel mogelijk blogposts.’

En zo weet Rocky in één oogopslag wat de achilleshiel is van mijn laptop. Hij wijst naar het firewire-poortje. ‘Daar zijn effectief problemen mee geweest.’ De toon is meteen gezet.

En ja, deze cyberspecialist heeft een eigen smartphone, ook al staan die toestellen in veiligheidskringen eigenlijk gekend als spion-in-je-broekzak. De Wiest: ‘Mijn toestel is wel volledig geëncrypteerd. En dat is niet alles. Het vergrendelingsscherm van mijn smartphone maakt gebruik van scrambling –het voortdurend verplaatsen van cijfers. Als je dan de code intypt om je toestel te ontgrendelen, laat je niet steeds vingerafdrukken na op dezelfde plaats. Dat maakt het alvast moeilijker om te bruteforcen.’

Al snel wordt duidelijk dat bij deze cyberwereld een geheel eigen jargon hoort. Een bruteforce-aanval is simpelweg het uitproberen van alle mogelijkheden om in een systeem binnen te geraken.

20.000 pc’s beschermen

Sinds twee jaar werkt u als cyberspecialist bij de militaire inlichtingendienst. Hoe belandt iemand op zo’n geheimzinnige plek?

De Wiest: Ik ben via de Koninklijke Militaire School binnengekomen als polytechnieker –het militaire equivalent van burgerlijk ingenieur. In mijn laatste jaar heb ik een eindwerk geschreven over informatieveiligheid. Daarna ben ik een tijdlang aan de slag gegaan op het Air Traffic Control Centre in Semmerzake bij Gent. Tot ik plots een telefoontje kreeg van luitenant-kolonel Miguel De Bruycker, hoofd van het Cyber Security Operations Centre. Hij had mijn eindwerk gelezen en bood me een baan aan.

Net zoals de meeste nieuwkomers stond ik eerst een half jaar in voor incident response. Zo leer je onze dienst het best kennen. Na een half jaar kon ik aan de slag in mijn huidige functie als malware analist. Mijn huidige werk bestaat erin malware-bedreigingen in kaart te brengen en gepaste maatregelen te nemen.

U werkt in het Cyber Security Operations Centre (CSOC). Leg eens uit in mensentaal.

‘Ook gepantserde voertuigen of fregatten intergeconnecteerd met netwerken moet je beschermen tegen cyberaanvallen.’

De Wiest: Het CSOC moet de netwerken en wapensystemen van Defensie monitoren en beveiligen tegen elke vorm van cyberaanval. Bovenop de 20.000 individuele pc’s van militairen komen daar nog eens de wapensystemen bij –zoals gepantserde voertuigen of fregatten die intergeconnecteerd zijn met netwerken. Ook die moeten beschermd worden tegen intrusies.

Hoeveel cyber-experts telt de ADIV?

De Vliegher: Dat is geclassificeerd. Maar het is duidelijk dat de huidige rekrutering een structurele verhoging zal betekenen van onze capaciteit. Ze zal ons in staat stellen om op een deftige manier de verschillende netwerken te beveiligen, evenals de wapensystemen.

We hebben natuurlijk ook een rol als inlichtingendienst, en daar gaat onze opdracht iets ruimer dan enkel het beschermen van de netwerken. 

De rekrutering maakt het bovendien mogelijk voor ons om binnen de nationale strategie als ADIV de specialisatie ‘malware analyse’ op te nemen zoals beschreven in de regeringsverklaring.

© Kristof Clerix

Op een persconferentie in Evere beschrijven kolonel Peter De Vliegher (ADIV) en luitenant Rocky De Wiest (ADIV) de cyberbedreigingen voor het Belgische leger.

Luxehotels bespioneerd

Tegen welke bedreigingen moet u de netwerken van Defensie beschermen?

De Wiest: In de dreigingen die we vandaag vaststellen, wordt steeds gebruik gemaakt van malware (kwaadaardige software). De Russische veiligheidsexperts van Kaspersky Lab verdelen die malware in drie categorieën in.

Zeventig procent van alle malware kan met traditionele middelen bestreden worden: antivirus, firewall, commercieel beschikbare oplossingen… Vervolgens heb je 29 procent malware die niet gekend is, en waar je met een gespecialiseerde ploeg tegen moet optreden om de anomalieën op je netwerk te detecteren. Ten slotte is er nog de één procent: de advanced persistent threats (geavanceerde en persistente bedreigingen). Het gaat om groeperingen die specifieke malware-tools gebruiken om ergens binnen te geraken, voor spionage-, sabotage- of financiële doeleinden.

Ons team, het CSOC,  richt zich op die laatste twee groepen malware. Op de 30 procent dus.

Geef eens voorbeelden van die allerergste cyberdreigingen, de beruchte één procent.

De Wiest: Een buitenlands voorbeeld is de malware die gebruikt werd om gevoelige informatie uit luxehotels te halen. Deze malware is liefst zeven jaar lang ongedetecteerd gebleven. Een ander voorbeeld is Shamoon, de malware die in 2012 aangetroffen werd bij het staatsoliebedrijf Saudi Aramco, een van de grootste petroleumbedrijven ter wereld. Daar hebben hackers 30.000 pc’s gewiped: alle informatie op die computers –bijvoorbeeld over leveranciers of openstaande facturen– is onherstelbaar uitgewist. Weg. Voor altijd. Stel je voor dat dat op onze netwerken zou gebeuren. Dan zouden we met heel wat schade zitten.

‘Een bepaalde paranoia hoort bij deze baan. Ik zie steeds meer zwakheden in systemen.’

Nog een ander voorbeeld is de malware die gevonden is op de netwerken van Buitenlandse Zaken: Epic Turla. Het gaat telkens om dreigingen die ongedetecteerd hun werk kunnen doen. En daar willen wij ons dus tegen verdedigen. Je mag niet vergeten dat Defensie een geprivilieerd doelwit is en blijft voor advanced persistent threats. We zien ook verhoging in het aantal bedreigingen en het aantal incidenten.

Binnen de wereld van computerbeveiliging worden aan de lopende band allerhande ICT-zwakheden publiek aangekaart.

De Wiest: Klopt, en wij monitoren dat natuurlijk ook. Vorig jaar zijn er wereldwijd twee of drie grote IT-zwakheden opgedoken, die ons ertoe hebben gebracht om volledige systemen te patchen en upgraden. Een voorbeeld dat is blootgelegd in september 2014 is Shellshock. Het liet iedereen toe om eender welke code te kunnen uitvoeren op een Linux-systeem. Nu moet je weten dat de meeste online servers Linux-systemen zijn.

Dat zijn zaken waar wij naar kijken en waar we direct op moeten reageren. Voor onze eigen netwerken trachten we dit zo snel mogelijk te doen.

Hoe kijk jij als IT-veiligheidsexpert naar de wereld? Zie je overal bedreigingen?

De Wiest: Ja. Een bepaalde paranoia hoort er bij. Ik zie steeds meer zwakheden in systemen. Denk dan aan een veiligheidscamera op de hoek van de straat, die je zomaar kan overnemen doordat de gebruikersnaam en het paswoord simpelweg ‘admin’ zijn bijvoorbeeld.

Recent hoorde ik op een conferentie het voorbeeld van twee Spanjaarden die in Madrid zijn gaan rondlopen en zoveel mogelijk embedded Windows-systemen hebben proberen exploiteren. Ze hebben dan uiteindelijk het systeem gekraakt dat de tickets van de metro uitprint. Ze hebben het berichtje ‘Hello world!’ laten afprinten door de ticketbox.

© ADIV

De cyberunit van het leger opereert in alle discretie vanop het Koningin Elisabethkwartier in Evere.

Das war alles nur ein Scherz

Zo onschuldig is het helaas niet altijd. Recent onthulde een Oostenrijks parlementslid dat de Duitse Bundesnachrichtendienst (BND) de data op Belgische glasvezelkabels zou hebben afgetapt, in samenwerking met de NSA. Was de ADIV hiervan op de hoogte?

De Vliegher: Neen, we waren daarvan niet op de hoogte. De Staatsveiligheid heeft intussen van de minister van Justitie de opdracht gekregen om dit te onderzoeken. Het is ook duidelijk dat wij daarbij zullen helpen indien de Staatsveiligheid onze expertise zou vragen. Het is belangrijk dat de twee Belgische inlichtingendiensten goed samenwerken.

De geschiedenis herhaalt zich. Na de Snowden-onthullingen over de Amerikaanse NSA, de Belgacom-case met mogelijke betrokkenheid van de Britse GCHQ en het recente spionageschandaal rond de Duitse BND, is nogmaals duidelijk dat ook onze NAVO-bondgenoten bijdragen tot de cyberdreiging. Hoe ga jullie om met die schizofrene situatie?

De Vliegher:  We zijn inderdaad bondgenoten en partners. Maar als het over economische belangen gaat, is de soevereiniteit van een land nog altijd primair. Het is heel moeilijk om daar mee om te gaan.

Zijn de Duitsers intussen al bij jullie langsgeweest? ‘Herr De Vliegher, das war alles nur ein Scherz?’

De Vliegher: Er wordt gepraat. Informeel.

‘Onze prioriteit moet eigenlijk niet gaan naar onze medestanders –onze bondgenoten– maar naar onze tegenstanders.’

Hebben jullie Duitse collega’s zich geëxcuseerd?

De Vliegher: Wat er precies besproken is, behoort tot de geclassificeerde sfeer.

Het is natuurlijk zo dat we alert moeten zijn voor wat er gebeurt. Maar als je een beperkte capaciteit hebt, ben je ook niet in staat om alle mogelijke dreigingen te volgen. Onze prioriteit moet eigenlijk niet gaan naar onze medestanders, onze bondgenoten, maar naar onze tegenstanders.

Langs de andere kant: heel de problematiek van de NSA is aan het evolueren. De NSA en zijn cybercapaciteit was een voorloper op al de rest. De dienst heeft onder president George W. Bush een zeer open wetgeving gekregen, die nu echter teruggeschroefd wordt.

© Kristof Clerix

Rocky De Wiest (28): een van de cyberspecialisten van de militaire inlichtingendienst.

Nulletjes en eentjes

Mijnheer De Wiest, wat moeten we ons concreet voorstellen bij analyse van malware? Zit u de hele dag achter het beeldscherm naar lijnen code te staren?

De Wiest: (lacht) Eigenlijk wel, ja. De bedoeling is om na te gaan wat de capaciteiten zijn van kwaadaardige software. Hoe installeert het zich op een pc? Hoe kan het het heropstarten van een pc overleven? Hoe kan het gedetecteerd worden op het systeem zelf? Waar schrijft het bepaalde zaken weg? Hoe communiceert het naar buitenuit? Wat zijn de servers die daar achter zitten?

Je moet dus computertaal interpreteren?

De Wiest: Nulletjes en eentjes kunnen we niet lezen. Maar door een bepaalde software kan je het interpreteren. Op basis van het gezamelijke van de instructies, kan nagegaan worden voor welke reden de malware bedoeld is.

Blijkbaar is bij het onderzoek naar malware ook een soort handschriftanalyse mogelijk?

De Wiest: Ja. Je kan het vergelijken met een politie-inspecteur. In sommige onderzoeken zal hij werkmethodes herkennen van een bepaalde crimineel. Hij weet niet per se wie de crimineel is, maar kan de zaken wel linken aan mekaar. Hetzelfde geldt voor malware. Tijdens het analyseren kan je zien dat sommige dingen vaak terugkomen, en sommige manieren van werken ook.

‘Het is niet omdat de kalasjnikov van Rusissche makelij is, dat het ook een Rus is die ermee heeft geschoten.’

Vreemd vind ik dat de oorsprong –de bron– van malware zo moeilijk te achterhalen is, terwijl je toch altijd sporen nalaat eens je online gaat?

De Wiest: Het is net moeilijk te achterhalen omdat er te véél sporen zijn.

Kijk, in pakweg China of de VS kan je heel makkelijk een server kopen, waar je vervolgens de malware mee kan laten communiceren. Vraag is of de creditcard, waarmee hackers zo’n server kopen, niet gestolen is. Dan moeten we eventueel via de juridische weg gaan onderzoeken wie er zich geconnecteerd heeft. En meestal zit daar nog een tweede, derde of vierde stap achter. Besluit: op netwerkniveau is het heel moeilijk de bron te achterhalen.  

Op softwareniveau zijn er wel bepaalde zaken die je kan identificeren. Wanneer ik een malware-sample krijg, kan ik nagaan welke taal stond ingesteld op het computersysteem waarmee die malware is samengesteld. Russisch? Chinees? Maar het is natuurlijk makkelijk om een pc te installeren met Russisch als standaardtaal. Begrijp je? Het blijft flou.

Het zijn indicatoren, die je er wel uithaalt natuurlijk om een concreet rapport te maken. Maar het is niet omdat de kalasjnikov van Rusissche makelij is, dat het ook een Rus is die ermee heeft geschoten.

Belgacom

Af en toe wordt jullie expertise ook ingeroepen door het federaal parket, bijvoorbeeld bij gerechtelijke onderzoeken naar de hacking van Belgacom, Buitenlandse Zaken en hoogleraar databeveiliging Jean-Jacques Quisquater. Zijn er zo nog andere cases?

De Wiest: Een handvol.

De Vliegher: Er zijn inderdaad nog nieuwe voorbeelden, maar die zitten momenteel onder juridisch embargo zolang het onderzoek loopt. We mogen er als technisch expert niet over communiceren. Maar dat er incidenten zijn in België, dat is duidelijk.

Zonder in detail te treden: waarover gaan die cases dan?

De Vliegher Het gaat meestal over spionage. Het gaat altijd over malware die spionage-gerelateerd is. Ik kan niet zeggen of het overheidsdiensten zijn. Het gaat over individuen of bedrijven die klachten neerleggen bij Justitie. Daar gaat het over. Slachtoffers zijn trouwens niet happig om dit publiek te maken –zeker in de private sector niet.

Ook de Staatsveiligheid treedt soms op als juridisch expert. Hebben zij cyberspecialisten van hetzelfde kaliber als jullie in huis?

De Vliegher: Het ICT-departement van de Staatsveiligheid heeft zich via bijkomende vormingen bekwaamd in de monitoring en het inlichtingenwerk bij cyberincidenten. Malware-analyse is echter nog iets anders. Het vergt zeer diepgaande vormingen. In België zijn er maar een handvol mensen zeer professioneel in malware-analyse. En Rocky is een van die aan het worden. Hij is nog geen twee jaar bij ons. Hij heeft het onderzoek naar de hacking van Buitenlandse Zaken meegevoerd. En hij is nu aan het leren.

‘In België zijn er maar een handvol mensen zeer professioneel in malware-analyse.’

De Wiest: Na de hacking van Buitenlandse Zaken is de ADIV opgeroepen om een task force te leiden, omwille van onze ervaring en expertise.

Bij het onderzoek naar de Belgacom-hacking deed België een beroep op de expertise van het Nederlandse bedrijf FOX-IT. Kan uw team ook wat FOX IT kan?

De Wiest: Daar kan ik moeilijk op antwoorden.

FOX IT heeft in ieder geval meer volk in dienst.

De Wiest: Ik denk niet dat wij de middelen hebben die zij hebben.

Maar binnen België zijn jullie dé specialisten?

De Wiest: Het enige dat wij misschien op de anderen voor hebben, is de ervaring.

Jullie team is pas zeven jaar geleden opgericht in de schoot van de militaire inlichtingendienst. Zeven jaar, dat is toch niet zo veel ervaring?

De Wiest: In de IT-sector gaat het snel. Heel snel.

© ADIV

‘Defensie is en blijft een belangrijk doelwit voor cyberaanvallen.’

2300 euro netto per maand                                                                   

‘Onze topexpert is onlangs naar de privé vertrokken. Als onafhankelijk consultant kan hij tot 850 euro per dag verdienen.’

Hoeveel verdient een cyberspecialist bij het Belgische leger?

De Wiest: Ik ben luitenant polytechnieker met een aantal jaren ervaring. Ik zit momenteel op 2300 euro netto. Mijn 24 nieuwe collega’s zijn geen militairen maar burgers. Al zal hun loon ongeveer in dezelfde orde-grootte als het mijne liggen, afhankelijk van het aantal jaren ervaring.

In de privé kan u meer verdienen. Waarom blijft u dan bij het leger?

De Wiest: Omdat we dagelijks bezig zijn met zaken die zeer interessant zijn. Bovendien zijn de vormingsmogelijkheden ver ontwikkeld. En dan heb je nog de boeiende nationale en internationale contacten.

De Vliegher: Jonge mensen die bij ons aan de slag willen, kunnen door hun werk echte experts worden in hun vakgebied. Wij weten bij het leger ook wel dat we budgettair niet kunnen concurreren met een aantal grote multinationals. Maar daar kunnen we wel van alles tegenover stellen: zeer goede vorming en elke dag boeiende inhoud. Het is niet gewoon het monitoren van een klassiek netwerk.

Toegegeven: onze topexpert inzake cyberveiligheid –een jonge dertiger– is onlangs naar de privé vertrokken, waar hij als onafhankelijk consultant tot 850 euro per dag kan verdienen. Toch blijft hij nog halftijds voor ons werken en is hij bereid om onmiddellijk opnieuw voltijds aan de slag te gaan. Ik ben aan het onderhandelen om hem een hoger statuut te kunnen geven.

Belgische F16’s in Jordanië

Momenteel loopt er nog een andere rekrutering in de Belgische cyberwereld: de regering zoekt een directeur en adjunct voor het nog op te richten Coördinatiecentrum Cyberveiligheid. Uw dienst zetelt in de jury; hoe staat het met de rekrutering?

De Vliegher: De mondelinge proeven zijn bezig. Er zijn tientallen kandidaten, met verschillende profielen: management, technisch… Ik vermoed dat de regering de invulling rond wil hebben voor het zomerreces. Dat gebeurt onder leiding van de premier.

‘Als je kijkt naar het profiel van de IS-strijders, dan is het absoluut niet onmogelijk dat ze in staat zijn cyberactiviteiten uit te voeren.’

Het is nog niet duidelijk waar het nieuwe Coördinatiecentrum Cyberveiligheid uiteindelijk zal ondergebracht worden –bij het Crisiscentrum of elders. In ieder geval zal het bij een cyberincident moeten coördineren op nationaal niveau. Heel die concete samenwerking moet nog op punt gezet worden. Ze bestaat al in de nationale strategie rond cyberveiligheid, maar de implementatie moet nog gebeuren. Dat is net de hoofdopdracht van de nieuwe directeur en zijn adjunct.

Tot slot: gelet op de aanwezigheid van Belgische F16’s in Jordanië, hoe staat het met de cybercapaciteit van terreurbeweging IS?

De Vliegher: Ze zijn in ieder geval heel actief op sociale media. Als je kijkt naar het profiel van de IS-strijders, dan is het absoluut niet onmogelijk dat ze in staat zijn cyberactiviteiten uit te voeren. Uit alle lagen van de bevolking trekken mensen naar die regio. Dat betekent dat er ook intellectuelen tussen zitten, die misschien ook wel actief zijn in het cyberdomein. Al denk ik niet dat cyberaanvallen voor IS momenteel dé prioriteit uitmaken.

Opluchting: IS heeft niet stiekem een cyberleger klaargestoomd?

De Vliegher: Inderdaad. Daar hebben we alleszins geen indicaties voor. De stand van zaken vandaag is dat IS de meest complexe malware niet onder de knie heeft.

Bedankt voor het gesprek.

Ik ben proMO*

Nu je hier toch bent

Om de journalistiek van MO* toekomst te geven, is de steun van elke lezer meer dan ooit nodig. Vind je dat in deze tijden van populisme en nepnieuws een medium als MO* absoluut nodig is om de waarheid boven te spitten? Word proMO*.

Wil je bijdragen tot de mondiale (onderzoeks)journalistiek in het Nederlandstalig taalgebied? Dat kan, als proMO*.

Wil je er mee voor zorgen dat de journalistiek van MO* mogelijk blijft en, ondanks de besparingspolitiek, verder uitgebouwd wordt? Dat doe je, als proMO*.

Je bent proMO* voor € 4/maand of € 50/jaar.

Word proMO* of Doe een gift