tekst mr. Richard Donk

Zomer 2008. Agenten van een buitenlandse inlichtingendienst laten een besmette usb-stick achter op een parkeerplaats van een Amerikaanse legerbasis in het Midden-Oosten. Een nietsvermoedende medewerker stopt het apparaatje in een computer. Binnen de kortste keren tast het virus het netwerk van het Centrale Commando aan en wordt geheime informatie naar vijandelijke servers gekopieerd.

Het Pentagon reageert geschokt en lanceert een massieve tegenoperatie onder de naam Operation Buckshot Yankee om zijn computersystemen te beschermen. Nu worden Amerikaanse militaire netwerken duizenden keren per dag gescand, op zoek naar virussen en andere inbrekers. Het speciaal opgerichte Cyber Command ziet toe op een geïntegreerde verdediging van de Amerikaanse bits en bytes.

Bijbelboek Esther

Dat die maatregelen geen overbodige luxe zijn, liet ook afgelopen maand weer zien. De uiterst agressieve computerworm Stuxnet dook her en der in de wereld op, vooral in Iran. De indringer nestelt zich in besturingssystemen en kan de controle over apparaten en zelfs over complete fabrieken en andere grote installaties overnemen.

Iran schreeuwde direct moord en brand. Westerse en Israëlische inlichtingendiensten zouden achter de digitale aanval zitten en het op de systemen van de Iraanse nucleaire faciliteiten hebben voorzien. Diep verborgen in het virus zou volgens sommige experts zelfs een verwijzing naar het Bijbelboek Esther zitten, een saillante hint naar de strijd van de Joden in het oude Perzië, waar de historische wortels van Iran liggen.

Hoewel Israël elke betrokkenheid bij Stuxnet ontkent, zou het voor Jeruzalem en andere belanghebbenden een ‘gemakkelijk’ middel zijn om het Iraanse kernprogramma te dwarsbomen, zeker nu blijkt dat de internationale sancties tegen Teheran nauwelijks effect sorteren.

Wie er ook achter Stuxnet zit, feit is dat zo’n worm onvoorstelbare schade kan aanrichten, waarschuwt de Amerikaanse onderminister van Defensie William J. Lynn in het jongste nummer van het blad Foreign Affairs. „De digitale dreiging beperkt zich niet tot militaire doelen. Hackers en buitenlandse inlichtingendiensten zijn steeds beter in staat om in te breken in netwerken van belangrijke civiele infrastructuren. De moderne informatietechnologie verhoogt ook het risico op spionage en het stelen van bedrijfsinformatie.”

Goed stel hersens

Digitale oorlogvoering is per definitie asymmetrisch, een strijd tussen ongelijke partijen. In plaats van peperdure straaljagers en hypermoderne raketsystemen in te zetten, kan de vijand volstaan met een computer en een goed stel hersens.

Die vijand is voortdurend in de aanval. Dag in, dag uit proberen hackers, al dan niet van staatswege daartoe opgedragen, wereldwijd grote computernetwerken binnen te dringen. De kunst is om met de beveiliging van computersystemen de inbrekers steeds een slag voor te zijn.

Pessimisten, zoals de Amerikaanse voormalige veiligheidsadviseur Richard Clarke, voorspellen dat de Verenigde Staten kunnen wachten op een „elektronisch Pearl Harbor.” In zijn boek ”Cyber War” beschrijft hij een waar horrorscenario waarin digitale terroristen in een kwartier tijd het openbare leven in de Verenigde Staten lamleggen en vele duizenden slachtoffers maken. Vliegtuigen vallen uit de lucht, doordat hun navigatiesystemen worden ontregeld. De stroom valt in grote delen van het land uit. En chemische fabrieken stoten grote hoeveelheden giftige gassen uit doordat hun beveiliging wordt gekraakt.

Onzin

Dat de volgende grote oorlog in cyberspace wordt beslecht is echter onzin, meent Myriam Dunn Cavelty, onderzoeker bij het Zwitserse Centrum voor Veiligheidsstudies CSS. „Aanvallen op computernetwerken vormen slechts een van de vele instrumenten om oorlog te voeren. Het belang van deze vorm zal de komende jaren zeker toenemen. Maar scenario’s van een strategische cyberwar, een conflict dat alleen maar in de virtuele wereld wordt uitgevochten, zijn op dit moment onrealistisch.”

Hoewel sommige experts al waarschuwen voor een digitale wapenwedloop, betwijfelt Dunn Cavelty dat er een strategische cyberwar tussen landen zal uitbreken. „Het is nog steeds niet mogelijk om precisieaanvallen uit te voeren. Dus blijf je bij de huidige vorm altijd met oncontroleerbare neveneffecten zitten, die ook grote risico’s voor de aanvallende staat met zich mee brengen.”

„Landen die het meest voor de hand liggen om technologie voor digitale oorlogvoering te ontwikkelen zijn zelf ook zeer afhankelijk van hun eigen informatie-infrastructuur en dus ook heel kwetsbaar in een cyberwar”, vervolgt Dunn Cavelty. „Door onbedoelde neveneffecten zal zo’n oorlog het vertrouwen in de digitale wereld op de lange termijn ondermijnen, met mogelijke schadelijke economische effecten voor alle betrokken partijen.”

Oorlog voeren met wormen

tekst Gerard ten Voorde

Schieten met kogels, raketten en torpedo’s lijkt hopeloos ouderwets. De nieuwste wapens voor militairen op het slagveld zijn… wormen. Stuxnet, de moeder aller wormen, is vooral verwoestend. De i-oorlog is begonnen.

Lang niet alles is bekend over de uiterst geavanceerde computerworm die complete industriële complexen kan saboteren. De beschikbare informatie doet echter het ergste vrezen. Steeds duidelijker wordt dat deze kwaadaardige, agressieve software een stuk venijniger is dan aanvankelijk gedacht.

Stuxnet duikt vooral op in Siemenssoftware voor industriële processen, onder andere in India, Maleisië en Iran. Het grootste aantal besmette pc’s bevindt zich in Iran en bedraagt inmiddels zo’n 60.000. Die omvang wijst op een gerichte aanval, met mogelijk de kerncentrale van Bashehr als doelwit.

Stuxnet is uniek, om meerdere redenen. De malware is geruisloos, onzichtbaar en ongrijpbaar en combineert verschillende aanvalstechnieken om zeer doelgericht te werk te gaan. Stuxnet is de eerste bekende worm die erin slaagt ongemerkt de besturing van een industrieel proces over te nemen en zelfstandig te herprogrammeren. „Zeer gevaarlijk, uniek en angstaanjagend”, stellen antivirusproducenten Symantec en Kaspersky Labs.

Bijzonder virus

Stuxnet is een worm, een bijzonder type virus dat geen computerbestanden nodig heeft om zich aan vast te hechten, maar zich zelfstandig door een netwerk kan bewegen. Stuxnet onderscheidt zich door z’n specifieke gerichtheid op Scada-systemen in grote industriële processen, zoals in elektriciteitscentrales of grootschalige assemblagelijnen. Deze systemen stellen fabrikanten in staat via internet op afstand computers uit te lezen en eventueel reparaties uit te voeren.

De verbazingwekkende geavanceerdheid van Stuxnet blijkt bijvoorbeeld uit het feit dat het is geschreven in verschillende programmeertalen, is opgebouwd uit meerdere modules om uiteenlopende doelen te bereiken en zich via een ingebakken functionaliteit langere tijd verborgen kan houden. Stuxnet blijft net onder de radar van antivirusprogramma’s, waardoor het maandenlang onopgemerkt kon blijven, voordat het in juli werd ontdekt.

De intelligente worm is zich bewust van zijn omgeving. Stuxnet weet wat het wil en waar het is. „Het programma onderscheidt bedrijfsnetwerken van industriële netwerken en weet op welke van de twee het zich bevindt”, legt principal consultant Lex Borger van softwarebeveiligingsbedrijf Domus Technica uit. De worm kijkt om zich heen en zoekt andere netwerken om te infecteren.

Doel is niet om zich zo snel en zo veel mogelijk te verspreiden, maar veelmeer om onopgemerkt gericht schade toe te brengen. Hoe groot de verwoestende uitwerking van het agressieve virus op dit moment is, valt moeilijk vast te stellen. De Iraanse nucleaire installaties zouden enige vertraging hebben opgelopen. „Iran is daar niet echt open in.”

Onduidelijk

Security-experts weten inmiddels uit laboratoriumonderzoek welke commando’s Stuxnet geeft. Vooralsnog blijft echter onduidelijk waar deze toeslaan en welke uitwerking ze hebben. „Het is net een meterkast met tientallen stopcontacten. We weten dat er een stekker niet goed is, maar we weten niet welke en van welke ruimte deze is.”

Een usb-stick is voldoende om een netwerk te besmetten. De bron van de infectie blijkt vervolgens buitengewoon lastig te traceren. Via een zogenaamde ”selfdestruct”-opdracht is Stuxnet in staat zichzelf na drie infecties te verwijderen van de usb-stick. Bovendien kan Stuxnet oudere versies via een update vervangen door nieuwe.

De kwaadaardige software maakt handig misbruik van vier nog niet bekende ontwerpfouten in Windows. De Stuxnetprogrammeurs zijn er bijvoorbeeld in geslaagd de programmaatjes achter de icoontjes op een bureaublad voor het opstarten van Outlook of internet, aan te vullen met eigen commando’s. „Niet eerder was bekend dat deze mogelijkheid bestond”, verklaart Borger. Microsoft heeft inmiddels twee van de vier softwarelekken gedicht.

Het virus nestelt zich zo diep in het besturingsysteem, dat het bijna niet is te verwijderen zonder het systeem te beschadigen. Zelfs bij volledige de-installatie zou Stuxnet actief blijven. De worm blijkt ook ontsmette pc’s via eerder gemaakte backups opnieuw te kunnen belagen.

Cyberwar

Het grote aantal aanvalstactieken geeft aan dat hooggekwalificeerde programmeurs een grondige kennis van Siemens-software moeten hebben gehad om dit technische hoogstandje te produceren. „Dit is niet de actie van één hacker, maar een gerichte schrijfactie van een overheidsgesponsorde organisatie”, vermoedt Borger.

Stuxnet geldt als de eerste echte aanval in een cyberwar. Slechts enkele mogendheden zijn in staat een dergelijke kunststukje uit te voeren. De VS, China, India en Israël staan hierbij in het verdachtenbankje, waarbij er vooral voor de westerse mogendheden grote belangen op het spel staan. Waarschijnlijk zal nooit helemaal duidelijk worden wie de aanval heeft uitgevoerd. „Dat geeft Stuxnet zo’n magisch karakter.”