De rattenvanger van Hamelen en cyberwapens

De legende van de rattenvanger van Hamelen is al eerder gebruikt als allegorie van echte, tragische gebeurtenissen. Dit is onze visie.

In tegenstelling tot wat velen denken, werden sprookjes en volkslegendes niet verzonnen als entertainment, maar juist om kinderen (en volwassenen) belangrijke lessen in eenvoudig te begrijpen vorm te leren. Al sinds mensenheugenis verweven verhaalvertellers cybersecurity-tips in hun sprookjes, in de hoop dat ze het internet (waarvan ze het bestaan al voorspelden) zo tot een veiligere plek kunnen maken. Zo is het verhaal van Roodkapje bijvoorbeeld een waarschuwing voor MitM-aanvallen, en Sneeuwwitje is een voorbode van door de regering gesponsorde APT-campagnes. De lijst gaat door.

Helaas blijft de mensheid dezelfde fouten met bijna manische volharding herhalen, en negeert men de duidelijke lessen van deze sprookjes. Een ander goed voorbeeld hiervan is de legende van de rattenvanger van Hamelen.

De rattenvanger van Hamelen

Zoals vaak het geval is met zeer oude verhalen, hebben we verschillende versies overgeleverd gekregen, allemaal varianten op hetzelfde basisthema. De belangrijkste verhaallijn gaat ongeveer zo: het Duitse stadje Hamelen heeft last van een rattenplaag, die al het voedsel opeten, mensen en huisdieren aanvallen en gewoon erg veel overlast veroorzaken.

De plaatselijke autoriteiten die niet meer weten wat ze ermee aan moeten, huren de diensten van een specialist in: een prachtig geklede rattenvanger die een magische fluit gebruikt om de ratten uit de stad naar een nabije rivier te leiden, waar ze verdrinken.

Na afloop weigert de gierige burgemeester om zijn kant van de afspraak na te komen, en biedt hij de rattenvanger een veel lagere vergoeding aan dan in het contract was overeengekomen. De rattenvanger zegt niets. In plaats daarvan neemt hij wraak door met zijn magische fluit dit keer de kinderen van Hamelen weg te lokken, net zoals met de ratten gebeurde.

Het einde van het verhaal hangt af van waar de verteller woonde en hoe optimistisch die was (vaak niet heel erg optimistisch). De kinderen verdrinken ofwel in de rivier de Wezer, net als de ratten, of ze worden diep de heuvels van de Koppenberg mee ingenomen, of (in de meest recente en minst sombere versie) ze gaan door de heuvels heen naar een afgelegen land waar ze een stad vinden.

De betekenis achter de allegorie

Het incident heeft opmerkelijk genoeg een precieze datum gekregen: 26 juni 1284. De legende werd voor het eerst vermeld in de stadskronieken in 1375, waarna hij meerdere keren werd herschreven en opnieuw verteld en op die manier extra details en verfraaiingen kreeg. De meeste details hebben overduidelijke politieke of religieuze motivaties. Sommige versies focussen op de hebzucht van de inwoners van Hamelen; anderen demoniseren openlijk het personage van de rattenvanger. We slaan de middeleeuwse vooroordelen even over en focussen op de belangrijkste feiten.

Aanvallen op Hamelen

Wij interpreteren dit verhaal als een situatie waarin de infrastructuur van Hamelen aangevallen worden door onbekende schadelijke partijen. Ze verslinden letterlijke materiële activa (graan) en informatie (juridische documenten), en bedreigen de gezondheid van de plaatselijke inwoners.

Er bestaat geen gedetailleerde beschrijving van de aanval, maar het is waarschijnlijk dat de aanvallers “ratten” werden genoemd omdat ze gebruikmaakten van een Remote Access Tool (of Remote Acces Trojan), beide afgekort tot RAT. Over het algemeen kunnen zulke tools/trojans voor allerlei vuile werkjes worden gebruikt, want ze geven aanvallers volledige toegang tot het systeem van hun slachtoffer.

Ingehuurde specialist

Allereerst proberen de inwoners van het stadje een op katten gebaseerde oplossing om hun endpoints te beschermen, maar als die methode niet effectief blijkt te zijn, besluiten ze de hulp van een derde partij in te schakelen die meer weet over een kwetsbaarheid in de RAT van de aanvallers. Hij richt zich op deze kwetsbaarheid en stelt een krachtig cyberwapen samen om op afstand controle over de computers van de RAT-operators te krijgen, en hierdoor verandert hij ze in een soort botnet. Nadat ze allemaal gepenetreerd zijn, is de rattenvanger in staat de dreiging te neutraliseren.

Burgers als doelwit

Nadat de RAT-aanval is afgeslagen, nemen de autoriteiten de onverstandige beslissing om hun contract met de specialist niet na te komen. De meeste versies van de legende spreken over financiële onenigheid, maar dat is natuurlijk onmogelijk te verifiëren. Hoe dan ook, uiteindelijk blijkt dat de apparaten die de kinderen in de stad gebruiken precies dezelfde kwetsbaarheid bevatten.

Helaas geeft het verhaal geen technische details om uit te leggen waarom dezelfde dreiging werkt bij zowel RAT-operators en gewone burgers. Laten we ervan uitgaan dat het een kwetsbaarheid was in iets alom aanwezigs (bijvoorbeeld een populair application-level netwerkprotocol dat wordt gebruikt voor toegang op afstand tot netwerkmiddelen).

Noch is het duidelijk waarom de zogenaamde volwassenen in het sprookje niet getroffen worden door deze kwetsbaarheid. Misschien refereert het verhaal met de “kinderen” niet aan minderjarige gebruikers, maar aan een nieuwe generatie apparaten met een recenter besturingssysteem dat een kwetsbaarheid heeft ontwikkeld na een mislukte update van het zojuist genoemde protocol.

Hoe dan ook, het einde is tragisch: De rattenvanger voert dezelfde botnet-truc uit, maar dit keer niet op RAT-operators, maar op de jongeren in het stadje.

De rattenvanger van Hamelen vandaag de dag

Het voorgaande verhaal doet erg denken aan dat van de hackersgroep de Shadow Brokers en het exploit-lek EternalBlue, wat leidde tot de WannaCry-uitbraak plus nog tal van andere ransomware-epidemieën. Als ik het verhaal van de rattenvanger van Hamelen pas na het EternalBlue-lek had gelezen, had ik het ongetwijfeld geïnterpreteerd als een (allegorisch) rapport over precies dat incident. De verhaallijn is inderdaad identiek: een overheidsinstantie geeft opdracht tot de ontwikkeling van een krachtig cyberwapen dat vervolgens geheel onverwachts tegen de inwoners van datzelfde land wordt gebruikt.

We kunnen dit ongelofelijke toeval toeschrijven aan de gewoonte van de geschiedenis om zich te herhalen. Zestiende-eeuwse Duitse infosec-experts waren zich natuurlijk al bewust van het probleem en probeerden hun nakomelingen (ons) te waarschuwen van de gevaren van door de overheid gesponsorde programma’s voor cyberwapens, die op een dag tégen burgers gebruikt zouden kunnen worden en dan zeer vervelende gevolgen zouden hebben.

Tips