Waarom een cyberwapen gevaarlijker is dan gedacht
Het eerste grote cyberwapen Stuxnet blijkt ingewikkelder en gevaarlijker dan gedacht.
In 2010 werd het bestaan van Stuxnet bekend, een zeer geavanceerd cyberwapen dat opdook in fabrieken en energiecentrales in verschillende landen. Cybersecurity-experts braken zich het hoofd over de oorsprong van het computervirus. In 2012 gaf de regering-Obama min of meer toe dat het wapen van Amerikaanse makelij was en dat het was gericht tegen het Iraanse atoomprogramma. Stuxnet zou ervoor hebben gezorgd dat de Iraanse bouw van een atoomwapen minstens twee jaar vertraagd werd. Wellicht heeft het zelfs een rol gespeeld in de Iraanse bereidheid om te onderhandelen.
Eerder deze week werd bekend dat Stuxnet nog veel meer verrassingen in petto heeft. In een goed artikel in Foreign Policy presenteert security-onderzoeker Ralph Langner het resultaat van drie jaar onderzoek van Stuxnet. Zijn opmerkelijke conclusie: er waren twee varianten van het virus en Stuxnet is gevaarlijker dan tot nu toe is aangenomen.
Het oude verhaal gaat dat Stuxnet door de NSA en de Israëlische veiligheidsdiensten is ontworpen. In een laboratorium werd een centrifuge nagebouwd dat in het Iraanse atoomprogramma wordt gebruikt om uranium te verrijken. De centrifuges worden gemonitord met apparatuur van Siemens. Dat bedrijf is onder druk gezet om een achterdeur aan te wijzen in zijn computersysteem.
Verwarring
Aangezien de centrifuges zich diep onder de grond bij de Iraanse stad Natanz bevinden, moest het virus op een usb-stick worden meegesmokkeld. Eenmaal besmet werden de centrifuges op hol gebracht door sneller te draaien, dan weer plots af te remmen, waardoor ze kapot gingen. Stuxnet was zo ontworpen dat de meetapparatuur niets raars aangaf, zodat de ingenieurs in verwarring raakten.
Uit het onderzoek van Langner blijkt dat er twee Stuxnetten waren. Stuxnet 1 werd inderdaad hoogstwaarschijnlijk per usb binnengesmokkeld. Dit virus was echter juist ontworpen om detectie te voorkomen. Het werkte niet op de centrifuges zelf, maar op de leidingkleppen. Het kon enorme schade aanrichten, maar deed dit niet. Om nog onduidelijke redenen is later Stuxnet 2 losgelaten. Dit virus was ontworpen om zichzelf te verspreiden en werkte op de centrifuges. Dit virus deed ook geen enkele poging om zichzelf te verbergen. Waarschijnlijk is het binnengebracht, onbewust, door een besmette computer van een onderaannemer. Het is ook dit agressieve virus dat uiteindelijk wereldwijd is opgedoken. En deze versie is erg gevaarlijk.
Gevaarlijk
Tot nu toe werd verondersteld dat het Stuxnet-virus niet zo makkelijk door anderen nagemaakt of bewerkt kon worden omdat de ontwikkelingskosten zo hoog lijken. Die kosten blijken nu vooral gemaakt voor Stuxnet 1 dat onzichtbaar moest blijven. Stuxnet 2 is vermoedelijk veel goedkoper na te maken en komt daarmee ook binnen het bereik van minder geavanceerde staten en mogelijk criminele of terroristische groepen. Daarnaast plant deze versie zich dus makkelijk voort.
Mondiaal gezien zijn veel industriële complexen afhankelijk van onderaannemers, die vaak goed zijn in de specifieke taak waarvoor ze worden ingehuurd, maar die dikwijls niets van cybersecurity weten. De flamboyante Russische veiligheidsdeskundige Eugene Kaspersky vertelde vorige week dat Stuxnet ook al in een Russische centrale is opgedoken. Nu moet je zijn woorden nog wel eens met een korrel zout nemen, maar het zou zomaar kunnen.
Terroristen en criminelen zullen zich juist op civiele doelen willen richten. En dat zijn nu net doelen die gebruik maken van gestandaardiseerde apparatuur van een beperkt aantal aanbieders. Wie een zwakte vindt in een stuk apparatuur, kan flinke schade veroorzaken, potentieel in honderden objecten.
Met de onthulling in 2012 heeft de regering-Obama zijn visitekaartje aan de wereld willen afgeven: besef wat wij kunnen doen. Maar ik heb zo’n vermoeden dat Stuxnet ons nog wel eens lelijk in de staart kan bijten. Misschien had Obama de wijze woorden van CIA-avonturier Gust Avrakotos in Charlie Wilson’s War ter harte moeten nemen. Avrakotos (gespeeld door Philip Seymour Hoffman) en parlementslid Charlie Wilson (gespeeld door Tom Hanks) vieren de overwinning van de Mujehadin (door hen bewapend) op de Russen in Afghanistan. Maar Avrakatos heeft een belangrijke waarschuwing waar Wilson niet naar wil luisteren.