CrowdStrike verder besmet door wereldwijde crash

Het bedrijf CrowdStrike  met banden met de FBI was verantwoordelijk voor een enorme computerstoring die luchtvaartmaatschappijen, banken en ziekenhuizen trof, na zijn dubieuze rol in de Russiagate-affaire.

Het cyberbeveiligingsbedrijf CrowdStrike, dat midden in het nep-Russiagate-schandaal zat, kreeg donderdagavond een flinke klap te verduren toen een defecte update van de beveiligingssoftware die het had verstuurd ervoor zorgde dat Microsoft-computers over  de hele wereld vastliepen . Dit had ernstige gevolgen voor onder meer vlieg- en treinreizen, de banksector, de omroepsector, de gezondheidszorg en andere sectoren. 

De verwoestende  episode  was kostbaar voor  het bedrijf : het verloor 12 procent van zijn waarde op de beurs. Het bedrag dat de getroffen bedrijven verloren, is nog niet berekend. Het is niet de eerste keer dat het 13 jaar oude bedrijf in controverse is verwikkeld.  

We herdrukken hier een artikel dat in 2020 voor  Consortium News werd geschreven  door voormalig CIA-analist Ray McGovern. Hierin wordt de besloten getuigenis van CrowdStrike-directeur Shawn Henry tegenover de inlichtingencommissie van het Amerikaanse Huis van Afgevaardigden onthuld. Hierin zegt hij dat er geen definitief bewijs is dat e-mails van de Democratische Partij van de servers van de partij zijn gehackt.

Die explosieve getuigenis, die bijna drie jaar geheim bleef, ontkrachtte de mythe dat Rusland de DNC had gehackt en zijn e-mails aan  WikiLeaks had gegeven.

* * *

Uit documenten die donderdag zijn vrijgegeven, blijkt dat de commissie tweeënhalf jaar geleden te horen kreeg dat de FBI geen concreet bewijs had dat Rusland de computers van het Democratisch Nationaal Comité had gehackt om de DNC-e-mails te stelen die WikiLeaks  in juli 2016 publiceerde.

De tot nu toe verborgen, achter gesloten deuren gehouden getuigenis kwam op 5 december 2017 van Shawn Henry, een protegé van voormalig FBI-directeur Robert Mueller (van 2001 tot 2012), voor wie Henry hoofd was van de afdeling cybercriminaliteitsonderzoeken van het Bureau.

Henry ging in 2012 met pensioen en kreeg een hoge functie bij CrowdStrike, het cyberbeveiligingsbedrijf dat door de DNC en de campagne van Clinton was ingehuurd om onderzoek te doen naar de cyberinbraken die vóór de presidentsverkiezingen van 2016 plaatsvonden.

De volgende  fragmenten  uit Henry’s getuigenis spreken voor zich. De dialoog is geen toonbeeld van helderheid; maar als je het zorgvuldig leest, kunnen zelfs cyber-neofieten het begrijpen:

Ranglid de heer [Adam] Schiff:  Weet u op welke datum de Russen de gegevens van de DNC hebben geëxfiltreerd? … wanneer zou dat zijn geweest?

Dhr. Henry:  De advocaat herinnerde mij er net aan dat we, wat betreft de DNC, indicatoren hebben dat data is geëxfiltreerd van de DNC, maar we hebben geen indicatoren dat het is geëxfiltreerd (sic). … Er zijn momenten waarop we kunnen zien dat data is geëxfiltreerd, en we kunnen dat definitief zeggen. Maar in dit geval lijkt het erop dat het was opgezet om te worden geëxfiltreerd, maar we hebben gewoon geen bewijs dat het daadwerkelijk is vertrokken.

Dhr. [Chris] Stewart uit Utah:  Oké. Wat dacht je van de e-mails waar iedereen zo, weet je wel, verstand van heeft? Waren er ook aanwijzingen dat ze waren voorbereid, maar geen bewijs dat ze daadwerkelijk waren geëxfiltreerd?

Dhr. Henry:  Er is geen bewijs dat ze daadwerkelijk zijn geëxfiltreerd. Er is indirect bewijs … maar geen bewijs dat ze daadwerkelijk zijn geëxfiltreerd. …

Dhr. Stewart:  Maar u bent er veel minder zeker van dat deze gegevens daadwerkelijk zijn achtergelaten dan dat u er bijvoorbeeld zeker van bent dat de Russen de beveiliging hebben omzeild?

Dhr. Henry:  Er zijn aanwijzingen dat die gegevens uit het netwerk zijn gefilterd.

Dhr. Stewart:  En indirect bewijs is minder zeker dan het andere bewijs dat u hebt aangegeven. …

Dhr. Henry:  “We hadden geen sensor die zag dat data wegging. We zeiden dat de data wegging op basis van het indirecte bewijs. Dat was de conclusie die we trokken.

In antwoord op een vervolgvraag op deze reeks vragen, gaf Henry het klassieke antwoord: “Mijnheer, ik probeerde alleen maar feitelijk correct te zijn, dat we de gegevens niet hebben zien vertrekken, maar we geloven dat ze zijn vertrokken, op basis van wat we hebben gezien.”

Henry benadrukte onbedoeld de wankele onderbouwing van CrowdStrike’s “geloof” dat Rusland de DNC-e-mails heeft gehackt, en voegde toe: “Er zijn zeker andere natiestaten die dit soort inlichtingen verzamelen, maar de – wat wij de tactieken en technieken zouden noemen – waren consistent met wat we hadden gezien in verband met de Russische staat.”

Interessante bekentenis in de getuigenis van Crowdstrike CEO Shaun Henry. Henry wordt gevraagd wanneer “de Russen” de data van DNC hebben geëxfiltreerd.

Henry: “We hadden geen concreet bewijs dat de gegevens van de DNC waren gejat, maar we hebben wel indicatoren dat het wel zo was.” ?  pic.twitter.com/TyePqd6b5P

— Aaron Maté (@aaronjmate)  8 mei 2020

Niet transparant

Hoe je het ook probeert, sommige getuigenissen blijven ondoorzichtig. Een deel van het probleem is de dubbelzinnigheid van het woord “exfiltratie.”

Het woord kan duiden op (1) het overbrengen van gegevens van een computer via internet (hacken) of (2) het fysiek kopiëren van gegevens naar een extern opslagapparaat met de bedoeling deze te lekken.

Zoals de Veteran Intelligence Professionals for Sanity al meer dan drie jaar meldt, wijzen metadata en ander hard forensisch bewijs erop dat de DNC-e-mails niet zijn gehackt – door Rusland of iemand anders.

In plaats daarvan werden ze gekopieerd naar een extern opslagapparaat (waarschijnlijk een thumb drive) door iemand met toegang tot DNC-computers. Bovendien zou elke hack via internet vrijwel zeker zijn ontdekt door de dragnet-verslaggeving van de National Security Agency en de samenwerkende buitenlandse inlichtingendiensten.

Henry getuigt dat “het er op lijkt dat [de diefstal van DNC-e-mails] zo was opgezet dat ze konden worden geëxfiltreerd, maar we hebben gewoonweg geen bewijs dat het daadwerkelijk is verdwenen.”

Dit suggereert, vanuit het oogpunt van VIPS, dat iemand met toegang tot DNC-computers geselecteerde e-mails heeft “ingesteld” voor overdracht naar een extern opslagapparaat — een thumb drive bijvoorbeeld. Voor een dergelijke overdracht is internet niet nodig. Het gebruik van internet zou zijn gedetecteerd, waardoor Henry elke “exfiltratie” via dat netwerk had kunnen lokaliseren.

Bill Binney, voormalig technisch directeur van de NSA en lid van VIPS, diende een beëdigde verklaring in in de zaak Roger Stone. Binney zei: “WikiLeaks heeft geen gestolen gegevens van de Russische overheid ontvangen. Intrinsieke metadata in de openbaar beschikbare bestanden op WikiLeaks tonen aan dat de bestanden die door WikiLeaks zijn verkregen, zijn geleverd op een medium zoals een thumbdrive.”

De zogenaamde Intelligence Community Assessment

Er valt niet veel goeds te zeggen over de beschamend gebrekkige bewijsvoering in de Intelligence Community Assessment (ICA) van 6 januari 2017, waarin Rusland ervan wordt beschuldigd de DNC te hacken.

Maar de ICA heeft wel twee passages opgenomen die zeer  relevant  en aantoonbaar waar zijn:

(1) In inleidende opmerkingen over “toeschrijving van cyberincidenten” maakten de auteurs van de ICA een zeer relevant punt: “De aard van cyberspace maakt toeschrijving van cyberoperaties moeilijk, maar niet onmogelijk. Elke vorm van cyberoperatie — kwaadaardig of niet — laat een spoor achter.”

(2) “Wanneer analisten woorden gebruiken zoals ‘wij beoordelen’ of ‘wij oordelen’, [bedoelen] ze niet dat we bewijs hebben dat aantoont dat iets een feit is. … Beoordelingen zijn gebaseerd op verzamelde informatie, die vaak onvolledig of fragmentarisch is … Een groot vertrouwen in een oordeel betekent niet dat de beoordeling een feit of een zekerheid is; zulke oordelen kunnen onjuist zijn.” [En men zou kunnen toevoegen dat ze vaak onjuist ZIJN wanneer analisten bezwijken onder politieke druk, zoals het geval was met de ICA.]

De inlichtingendienstvriendelijke bedrijfsmedia kenden desalniettemin onmiddellijk de status van Heilige Schrift toe aan de verkeerd benoemde “Intelligence Community Assessment” (het was een primitieve poging die was voorbereid door “met zorg uitgekozen analisten” van alleen de CIA, FBI en NSA), en kozen ervoor om de banale, volledige openbaarmakingsachtige kanttekeningen die in de beoordeling zelf waren opgenomen, over het hoofd te zien.

Vervolgens informeerden de directeur van de nationale inlichtingendienst, James Clapper, en de directeuren van de CIA, FBI en NSA president Obama op 5 januari 2017 over de ICA, de dag voordat ze deze persoonlijk aan de verkozen president Donald Trump overhandigden.

Op 18 januari 2017, tijdens zijn laatste persconferentie, vond Obama het nodig om juridische taal te gebruiken over de cruciale kwestie van hoe de DNC-e-mails op  WikiLeaks terechtkwamen . Dit deed hij kennelijk in een poging om zijn eigen kont te bedekken.

Obama: “De conclusies van de inlichtingendienst met betrekking tot de Russische hacking waren niet doorslaggevend wat betreft de vraag of WikiLeaks bewust of onbewust het kanaal was waardoor wij hoorden over de gelekte e-mails van de DNC.”

Dus we eindigden met “niet-sluitende conclusies” over dat toegegeven cruciale punt. Wat Obama zei, is dat de Amerikaanse inlichtingendienst niet precies wist – of beweerde niet te weten – hoe de vermeende Russische overdracht aan  WikiLeaks  zou zijn gedaan, via een derde partij of via een knip, en hij vertroebelde het water door eerst te zeggen dat het een hack was, en vervolgens een lek.

Vanaf het begin, bij gebrek aan hard bewijs, van de NSA of haar buitenlandse partners, van een internethack van de DNC-e-mails, berustte de bewering dat “de Russen de DNC-e-mails aan  WikiLeaks gaven ” op dunne pap.

In november 2018 vroeg ik Clapper tijdens een openbaar forum om uit te leggen waarom president Obama eind januari 2017 nog steeds ernstige twijfels had, minder dan twee weken nadat Clapper en de andere inlichtingenchefs de vertrekkende president uitgebreid hadden geïnformeerd over hun bevindingen die ‘zeer betrouwbaar’ waren.

Clapper  antwoordde : “Ik kan niet uitleggen wat hij [Obama] zei of waarom. Maar ik kan je vertellen dat we, we zijn er vrij zeker van dat we weten, of wisten op dat moment, hoe  WikiLeaks  aan die e-mails is gekomen.” Vrij zeker?

Voorkeur voor CrowdStrike; ‘Leg uit aan het Congres’

CrowdStrike had al een bezoedelde reputatie wat betreft geloofwaardigheid toen de DNC en de campagne van Clinton het kozen om werk te doen dat de FBI had moeten doen om te onderzoeken hoe de DNC-e-mails op  WikiLeaks terechtkwamen. Het beweerde dat de Russen een Oekraïense artillerie-app hadden gehackt, wat resulteerde in zware verliezen aan houwitsers in de strijd van Oekraïne tegen separatisten die door Rusland werden gesteund. Een rapport van Voice of America   legde uit waarom CrowdStrike gedwongen werd die bewering in te trekken.

Waarom heeft FBI-directeur James Comey niet gewoon aangedrongen op toegang tot de DNC-computers? Hij had toch zeker de juiste autorisatie kunnen krijgen? Begin januari 2017, reagerend op mediaberichten dat de FBI nooit om toegang had gevraagd, vertelde Comey aan de Senate Intelligence Committee dat er “meerdere verzoeken op verschillende niveaus” waren voor toegang tot de DNC-servers.

“Uiteindelijk is overeengekomen dat het private bedrijf met ons zou delen wat ze zagen,” zei hij. Comey  beschreef  CrowdStrike als een “zeer gerespecteerd” cybersecuritybedrijf.

Gevraagd door commissievoorzitter Richard Burr (R-NC) of directe toegang tot de servers en apparaten de FBI zou hebben geholpen bij hun onderzoek, zei Comey dat dit het geval zou zijn. “Onze forensische mensen zouden altijd liever toegang krijgen tot het originele apparaat of de server die erbij betrokken is, dus dat is het beste bewijs,” zei hij.

Vijf maanden later, nadat Comey was ontslagen, gaf Burr hem een ​​Mulligan in de vorm van een paar fluwelen handschoenen-vragen, duidelijk goed ingestudeerd:

BURR:  En de FBI, in dit geval, in tegenstelling tot andere zaken die u zou kunnen onderzoeken — had u ooit toegang tot de daadwerkelijke hardware die gehackt werd? Of moest u vertrouwen op een derde partij om u de data te verstrekken die zij hadden verzameld?

COMEY:  In het geval van de DNC, … hadden we geen toegang tot de apparaten zelf. We kregen relevante forensische informatie van een private partij, een high-class entiteit, die het werk had gedaan. Maar we kregen geen directe toegang.

BURR:  Maar geen inhoud?

COMEY:  Juist.

BURR:  Is inhoud niet een belangrijk onderdeel van forensisch onderzoek vanuit het oogpunt van contraspionage?

COMEY:  Dat is zo, hoewel mijn ouders mij hebben verteld dat zij de informatie die zij nodig hadden om de inbraak te begrijpen, al in het voorjaar van 2016 van de private partij hadden gekregen.

In juni vorig jaar werd  bekend  dat CrowdStrike nooit een niet-geredigeerd of definitief forensisch rapport voor de overheid heeft opgesteld, omdat de FBI daar nooit om had gevraagd, aldus het ministerie van Justitie.

Volgens een normale standaard zou voormalig FBI-directeur Comey nu in serieuze juridische problemen zitten, net als Clapper, voormalig CIA-directeur John Brennan, et al. Er lijkt elke week aanvullend bewijs van wangedrag van de FBI onder Comey op te duiken — of het nu gaat om het misbruik van FISA, wangedrag in de zaak tegen generaal Michael Flynn of het misleiden van iedereen over Russische hacking van de DNC. Als ik procureur-generaal was, zou ik Comey tot vluchtgevaar verklaren en zijn paspoort innemen. En ik zou hetzelfde doen met Clapper en Brennan.

Schiff: Alle vertrouwen, maar geen bewijs

Beide pijlers van Russiagate – collusie en een Russische hack – zijn nu vrijwel ingestort.

Uit de openbaarmaking van getuigenissen voor de House Intelligence Committee van donderdag blijkt dat voorzitter Adam Schiff niet alleen heeft gelogen over de ‘collusie’ tussen Trump en Poetin [die het Mueller-rapport niet kon bewijzen en waarvan de beschuldigingen waren gebaseerd op door de DNC en Clinton gefinancierd oppositieonderzoek], maar ook over de nog fundamentelere kwestie van ‘Russisch hacken’ van de DNC.

Vijf dagen nadat Trump aantrad, kreeg ik de kans om Schiff persoonlijk te confronteren met bewijs dat Rusland de DNC-e-mails had “gehackt”. Hij had die onzin herhaaldelijk de schijn van een vaststaand feit gegeven tijdens een toespraak bij de oude “denktank” van Hillary Clinton/John Podesta, The Center for American Progress Action Fund.

Gelukkig stonden de camera’s nog aan toen ik Schiff benaderde tijdens de Q&A: “Je hebt alle vertrouwen, maar geen bewijs, klopt dat?” vroeg ik hem. Zijn antwoord was een voorbode van wat komen gaat. Deze videoclip is de  vier minuten die je nodig hebt om hem te bekijken misschien wel waard.