Het hoge woord is eruit: de VS en Israël zitten achter Stuxnet, het computervirus dat het atoomprogramma van Iran even aardig in de war schopte. Op zich is dat geen enorme verrassing – wie is er anders in staat om zo’n complex wapen te maken? Maar met rode oortjes las ik het uitgebreide achtergrondverhaal in de New York Times over hoe de VS Stuxnet hebben ontworpen en hoe ze de controle erover verloren. Als je het verhaal nog niet gelezen heb, doe dat dan. Het is een spannend relaas.
Het programma van waaruit Stuxnet is voortgekomen, is opgestart door president Bush en gretig omarmd door Obama. Eigenlijk dacht niemand dat het zou lukken. Teveel haken en ogen. Kun je een virus ontwikkelen dat zich specifiek op de Iraanse centrifuges richt? Hoe zorg je ervoor dat je niet gesnapt wordt (deniability is wel zo fijn)? En, dat is het lastigste, hoe krijg je de software in de van de buitenwereld afgesloten computers van de verrijkingsfabrieken in Natanz?
Halverwege jaren ’00 gingen Israëlische en Amerikaanse programmeurs aan het coden. Het idee ontstond al snel om de centrifuges, die het uranium verrijken, als doelwit te nemen. Maar hoe doe je dat? Op dat moment werd Libië ontwapend – althans Gaddafi leverde zijn nucleaire faciliteiten in bij de Amerikanen. Waaronder een aantal centrifuges.
De programmeurs wisten een code te ontwerpen die iets heel slims deed. Ze liet de rotaties variëren, maar zorgde ervoor dat de feedback aan de centrale systemen aangaf dat er niets aan de hand was. Achteraf, zo bleek, heeft dit de Iraniërs nog de meeste kopzorgen gekost. De centrifuges sloegen op hol, maar volgens de bedieningspanelen was er niets aan de hand. De fabriek in Natanz moest meermaals worden stilgelegd. Ingenieurs werden ondervraagd en ontslagen. Er ontstond, kortom, grote verwarring. En verwarring bij de vijand is goed.
Mikko Hypponen, directeur van anti-virusbedrijf F-secure, schrijft in Wired dat de code erg goed in elkaar steekt. Sterker nog, hij is er behoorlijk van geschrokken. Volgens hem was de code niet als een normaal virus opgebouwd, maar maakte het gebruik van libraries die in veel normale software voorkomen. Ik kom hier zo nog op terug.
Hoe de Amerikanen Stuxnet in Natanz hebben gekregen is nog niet helemaal duidelijk. Waarschijnlijk is dat een kwestie van ouderwets spionagewerk. Ofwel er is in de levering van de onderdelen van Siemens een virus meegesmokkeld. Ofwel is het virus op een usb-stick door een van de ingenieurs – bewust dan wel onbewust – binnen gebracht.
Wat de programmeurs niet hadden voorzien, is dat Stuxnet zijn kooi is ontsnapt. Op de een of andere manier is het weer buiten de systemen van Natanz terechtgekomen, alwaar het waarschijnlijk zo’n 100.000 computers heeft besmet. Volgens het Times artikel zaten de cyberwarriors in Washington flink peentjes te zweten. Hoeveel schade zou het virus kunnen aanrichten? En hoeveel schade zou het aanrichten op eigen systemen? Een code trekt zich immers weinig aan van grenzen.
Terug naar wat de toepassing van Stuxnet betekent.
Ten eerste kun je blijkbaar een wapen maken dat lange tijd niet wordt opgemerkt en dat alleen door een beetje pech terug te voeren is op jou. Dat is behoorlijk eng.
Ten tweede werpt dat de vraag op welke virussen er nog meer rondwaren, op wie die zijn gericht en waar ze vandaan komen. Waar komt bijvoorbeeld het recent ontdekte Flame-virus vandaan? Hypponen: ,,The truth is, consumer-grade antivirus products can’t protect against targeted malware created by well-resourced nation-states with bulging budgets. They can protect you against run-of-the-mill malware: banking trojans, keystroke loggers and e-mail worms. But targeted attacks like these go to great lengths to avoid antivirus products on purpose. And the zero-day exploits used in these attacks are unknown to antivirus companies by definition. As far as we can tell, before releasing their malicious codes to attack victims, the attackers tested them against all of the relevant antivirus products on the market to make sure that the malware wouldn’t be detected. They have unlimited time to perfect their attacks. It’s not a fair war between the attackers and the defenders when the attackers have access to our weapons.”
Ten derde heeft het ook politieke gevolgen. Amerika heeft een wapen ingezet dat flinke schade heeft veroorzaakt in een soeverein land. Zoals Karin Spaink vorige week hier al opmerkte: ,,Wijzelf moeten intussen als de sodemieter debatten over cyberwarfare eisen, zowel nationaal als internationaal. Sinds wanneer kunnen onze overheden achter onze rug om een oorlog beginnen? Waarom breken onze overheden alle beginselen van het internationaal recht? Lokken zulke achterbakse aanvallen niet juist een tegenreactie uit?”
Reacties (6)
Ik vind het een hele geruststellende gedachte te weten dat de raketjes van malloten als Noord-Korea en de Ayatolla’s in zee belanden in plaats van op hun doel.
Ja, tot dat dat zelfde progje eventjes jouw bestraling apparatuur in de war schopt en je een lekkere overdosis geeft. Ga dan maar eens als familie die schade verhalen op iemand.
De middelen zijn wat geavanceerder, maar het komt gewoon neer op de aloude sabotage. Het is een tool van asymmetrische oorlogsvoering. Volgens mij worden de acties van Obama nu in het zonnetje gezet ten behoeve van zijn herverkiezing. Democraten hebben toch de naam wat softer te zijn op het vlak van defensie en met deze track record kan je dat bepaald niet stellen van Obama. Wel dat hij slimmer oorlog voert dan zijn voorganger.
Met de drie punten kan ik niet veel:
1) Dat het eng is als je het wapen niet kan herleiden naar de maker. Vind ik niet. Ik vind een atoomexplosie of een bunkerbuster die je wel kan herleiden stukken enger. Veel doden zijn eng en kapotte spullen zijn dat niet. Het gaat volgens mij pas eng worden, als ze met zo’n virus een nucleaire meltdown wisten te veroorzaken. Daar is geen sprake van.
2) Er waren ongetwijfeld nog veel meer en geavanceerdere virussen rond waar we nooit wat over zullen weten. Ehh.. blessed ignorance? Moeten we het weten? Want als ze publiek bekend raken werken ze al niet meer. Ik vind dat we in zijn algemeenheid wat “do’s & dont’s” moeten afspreken over zulk soort methodes en dat verder alleen de commissie stiekem op de hoogte hoeft te zijn van zulke projecten.
3) Het heeft zeker politieke gevolgen en ik ben er een voorstander van als we die gaan bespreken. Zo zou ik als beperking aan willen brengen, dat het effect van zo’n virus “non lethal” moet zijn. Wat mij betreft kan je op deze manier best de bijl zetten in de infrastructuur van een land als Iran, maar het moet bij kapotte spullen blijven. de kerncentrale mag best kapot, maar een tweede Tsjernobyl veroorzaken kan weer niet. Daar kan je afspraken over maken.
,,Wijzelf moeten intussen als de sodemieter debatten over cyberwarfare eisen, zowel nationaal als internationaal. Sinds wanneer kunnen onze overheden achter onze rug om een oorlog beginnen? Waarom breken onze overheden alle beginselen van het internationaal recht? Lokken zulke achterbakse aanvallen niet juist een tegenreactie uit?”
Hold on. Het gaat hier over Iran, weet je nog wel? Dat land dat dreigt met kernwapens israel van de kaart te vegen.
Ik zou zeggen: kunnen we de amerikanen niet wat subsidie geven.
Dat land dat dreigt met kernwapens israel van de kaart te vegen
Dat is een, door de VS en Israël steeds weer opgerakelde, leugen gebaseerd op een slechte vertaling.