Boekbespreking

Stuxnet: de thriller

14 maart 2016
In dit artikel:

Schermafbeelding 2016-03-09 om 16.42.04Countdown to zero day is een fascinerend boek. Het gaat over Stuxnet en andere, daaraan verwante malware. Het in 2010 ontdekte Stuxnet is niet zomaar de zoveelste vorm van malware maar een regelrecht cyberwapen, ontwikkeld om het Iraanse nucleaire programma te saboteren. Schrijfster Kim Zetter is uitstekend geïnformeerd over ontwikkelingen op gebieden als cybercrime, privacy en informatieveiligheid. Ze is een Amerikaanse freelance journaliste die onder meer verbonden is aan het vermaarde blad Wired, dat technologische ontwikkelingen bespreekt in relatie tot cultuur en politiek. Ze heeft haar sporen verdiend als gezaghebbend auteur, wat haar bij haar onderzoek toegang gaf tot directbetrokkenen en andere bronnen die de publiekelijk beschikbare informatie konden aanvullen.

Wat het boek zo fascinerend maakt, is dat Kim Zetter niet alleen uitgebreid ingaat op de details van Stuxnet en de andere leden van deze malware-familie, maar en passant ook nauwgezet de omslag beschrijft die de Amerikaanse en Israëlische geheime diensten in het eerste decennium van deze eeuw maakten. Het boek is ook nog eens vlot geschreven met vele cliffhangers en losse eindjes die later in het boek worden opgepakt. En het verhaal wordt niet verteld als een gortdroge techneutenverhandeling, maar als een spannend verhaal vanuit het perspectief van al de verschillende betrokken personen. Het zijn namelijk de personen die centraal staan en niet de bedrijven waar ze werkzaam waren, dus: Sergey Ulasen, Oleg Kupreev, Eric Chien, Liam O’Murchu, Nicolas Falliere, Alexander Gostev, Costin Raiu, Boldizsár Benscáth en Ralph Langner (van de bedrijven Virus-BlokAda, Symantec, Kaspersky Lab, CrySyS Lab en Langner Communications).

Het boek leest hierdoor als een spionagethriller en ik kijk uit naar de filmversie – de tekst zal met weinig moeite om te werken zijn tot een filmscript. Neem bijvoorbeeld de typering van Ralph Langner, de onderzoeker die er als eerste achter kwam dat het Iraanse kernprogramma het doelwit van Stuxnet was: ‘Gewoonlijk was hij onberispelijk gekleed en alert. Maar vandaag zag hij er haveloos uit na een nacht van online-onderzoek, die hij zonder te slapen, gebogen over zijn computer had doorgebracht’.

Uraniumverrijking

Sterk vereenvoudigd komt het verrijkingsproces op het volgende neer (zie ook [UREN16]). Uranium in zijn natuurlijke vorm bestaat maar uit 0,7 procent splijtbaar materiaal. Dat percentage moet flink worden verhoogd om het te kunnen gebruiken als brandstof voor een kerncentrale (3 á 5 procent) of als explosieve lading voor een kernbom (weapon grade: 90 procent). [GLAS10, p. 354], [IPFM11, p. 28] Deze ‘verrijking’ gebeurt in snel ronddraaiende trommels: ultracentrifuges. De middelpuntvliedende kracht scheidt het splijtbare uranium van het niet splijtbare uranium. Voor het verrijkingsproces is een hele fabriek met enkele duizenden centrifuges nodig en het totale proces duurt een aantal maanden tot jaren, afhankelijk van het gewenste percentage. Het hoge toerental van de ultracentrifuges, de omvang van de totale installatie en de lange duur van het verrijkingsproces maken de fabriek kwetsbaar voor sabotage. Zie figuur 1 voor een indruk hoe ultracentrifuges eruitzien (voor een blik in de verrijkingsfabriek bij Natanz: zie wired.com).

Irans nucleair programma

Iran wordt al vele jaren in de gaten gehouden door de International Atomic Energy Agency (IAEA) omdat het land actief is op het gebied van nucleaire technologie. Mohamed ElBaradei, Director General van de IAEA van 1997 tot 2009, is een bekende naam in dit verband. Iran houdt al vanaf het begin vol dat het land vreedzame bedoelingen heeft met de inzet van kerntechnologie, namelijk de opwekking van elektriciteit. Het hiervoor cruciale proces van uraniumverrijking (zie tekstkader) is echter ook bruikbaar voor de productie van splijtstof voor kernwapens.1 Deze nucleaire wapenpotentie vormt op zich al voldoende reden voor toezicht vanuit de internationale gemeenschap. Voortdurende obstructie van dat toezicht heeft het wantrouwen in de vreedzame bedoelingen van dat land gevoed en daarom houdt de IAEA het Iraanse nucleaire programma extra nauwlettend in de gaten. Saillant detail: de verrijkingstechnologie die Iran gebruikt is afkomstig uit Nederland.2

Schermafbeelding 2016-03-09 om 16.13.48

Stuxnet

Stuxnet is halverwege het eerste decennium van deze eeuw ontwikkeld om de fabriek voor uraniumverrijking nabij de stad Natanz in Iran te saboteren. Het duurde een jaar of vijf voordat Stuxnet werd ontmaskerd. De malware kwam via internet binnen en installeerde zich op de computers van de operators van de fabriek. Deze computers waren niet rechtstreeks gekoppeld aan de apparatuur in de fabriek. De air gap werd echter eenvoudig overbrugd doordat Stuxnet de usb flash drives besmette die de operators gebruikten om scripts over te zetten van hun computer naar de PLC’s (de besturingschips) van de apparatuur. Voor de details van (de varianten van) Stuxnet verwijs ik kortheidshalve naar het boek – verwacht overigens geen details in de vorm van programmacode of concrete exploits (zie daarvoor het technische rapport van onderzoeker Langner: [LANG13]). Zie ook twee artikelen in eerdere nummers van dit blad: [JANS14] en [KRAM15]. Wat ik hier alleen nog wil vermelden is dat Stuxnet zich onder meer bediende van valse digitale certificaten voor de ondertekening van programmacode. Dat is opnieuw een wake-up call na eerdere hacks, onder meer bij RSA en Verisign in 2010 en de Diginotar-affaire in 2011 (er was bij die hack trouwens een link met Iran): de kritische rol van internettechnologie brengt substantiële risico’s met zich mee voor het veilig en ordelijk functioneren van onze samenleving.

Schermafbeelding 2016-03-09 om 16.19.04

Uitdagingen voor de malwarebestrijders

De malwarebestrijders die doel en mechanismen van de programmacode wilden achterhalen waren vooral thuis in malware die zich op standaardcomputers en computernetwerken nestelen om daar hun kwaadaardige werk te doen. Bij de ontrafeling van Stuxnet zagen ze zich voor geheel nieuwe uitdagingen gesteld. Zo moesten ze de hand leggen op exemplaren van PLC’s van het aangevallen type, technische programmatuur leren kennen (SIMATIC Step 7, SIMATIC WinCC van Siemens) en zich exotische programmeertalen eigen maken (STL, MC7). De onderzoekers werden niet alleen geconfronteerd met deze uitdagingen, met het betreden van dit voor de internationale verhoudingen bijzonder gevoelige terrein dreigden ze pionnen in een internationaal schaakspel te worden. Zo werden de Symantec-onderzoekers ervan beschuldigd de veiligheidsbelangen van de VS te verkwanselen. En Costin Raiu van het Russische Kaspersky Lab trok zich terug omdat hij zich bedreigd voelde – al dan niet terecht. In een later artikel signaleerde Kim Zetter bovendien de opmerkelijke constatering van Kaspersky Lab dat halverwege 2015 een nieuwe versie van Duqu-spyware hun netwerk was binnengedrongen. [ZETT15] Kennelijk was dit Russische bedrijf zelf doelwit geworden.

Cyberwar

De geheime diensten van de VS en Israël zijn al geruime tijd actief met spionage- en undercoveractiviteiten, gericht tegen het Iraanse nucleaire programma. Aanvankelijk gebeurde dat old-school style door spionnen in te zetten, apparatuur onklaar te maken en huurmoordenaars op pad te sturen. Maar als snel vulden de diensten hun repertoire aan met digitale tools. Aanvankelijk waren dat tools voor spionage, bijvoorbeeld de malware die we kennen onder de naam Duqu. Later werd Stuxnet ontwikkeld, vermoedelijk door een aan de makers van Duqu gelieerde groep programmeurs. Stuxnet werd ontwikkeld om de verrijkingsfabriek in Natanz via een cyberaanval onklaar te maken en zo het Iraanse nucleaire programma te vertragen. Duqu, Stuxnet en ook de latere leden van dezelfde malwarefamilie zoals Flame, maken gebruik van technieken die we ook van malware uit het criminele circuit kennen (zie bijvoorbeeld [SCHI07]). Denk aan stealth via rootkits, encryptie en modulaire opbouw (primair wordt een dropper geïnstalleerd die de configuratie onderzoekt en op basis daarvan naar behoefte modules kan downloaden en installeren voor allerlei subversieve acties). Een andere parallel met criminele malware is het gebruik van command and control servers voor de aansturing van de malware en het binnenhalen van gestolen informatie.

Het boek gaat over een cyberaanval die gelanceerd is door het westen, maar het is natuurlijk niet alleen het westen dat zich bezighoudt met cyberwar.3 Overigens woedt er een in mijn ogen voornamelijk semantische discussie over de vraag of het woord ‘war’ in het begrip ‘cyberwar’ wel op zijn plaats is.4

Lezen of niet?

Zeker doen: combineer business and pleasure en lees dit boek! Het geeft veel concrete informatie over de Stuxnetfamilie en de achtergronden ervan. Verder stemt het tot nadenken: over de relevantie van technische automatisering voor IT-auditors, over de rol van ICT in internationale betrekkingen en nationale veiligheid, over de rol van veiligheidsdiensten … en over de politisering van de wereld van malwarebestrijders. Tegelijkertijd is het ook een plezier om te lezen. Tot slot: het boek is zo geraffineerd opgebouwd dat het leest als een thriller. Mijn advies is dan ook om het te lezen op de enige manier die daarbij past: van kaft tot kaft.

Noten:

  1. Zie voor informatie over nucleaire wapens en verrijkingstechnologie bijvoorbeeld [IPFM11], p. 24 e.v.
  2. In 1975 verdween de bij het Nederlandse bedrijf Urenco werkzame Pakistaan Abdul Qadeer Khan richting zijn vaderland met gestolen geclassificeerde kennis over de technologie van ultracentrifuges. Hij verkocht deze kennis aan zijn overheid en aan die van enkele andere landen zoals Iran. Deze affaire bracht Nederland destijds internationaal behoorlijk in verlegenheid.
  3. Denk bijvoorbeeld aan de wekenlange aanvallen op Estland in 2007 (toegeschreven aan Rusland), voornamelijk in de vorm van DDOS-aanvallen. Een ander voorbeeld is de (aan China toegeschreven) inbraak op personeelsdatabases van de Amerikaanse federale overheid in 2014. Volgens de Washington Post lag daarbij gevoelige informatie voor het grijpen over ruim 22 miljoen personen, waaronder familieleden en vrienden van federaal overheidspersoneel. [NAKA15]
  4. Zo zijn er auteurs die zich op het standpunt stellen dat tot nog toe de berichten over cyberwar weinig meer zijn dan bangmakerij (en bedoeld om fondsen te werven voor defensieve en/of offensieve cyberwar-programma’s). Een van hen is Thomas Rid, die betoogt dat de bekende cyber attacks niet voldoen aan een van de gangbare criteria die een oorlogsdaad definiëren, namelijk gewelddadigheid (de andere twee criteria zijn opzettelijkheid en een politiek doel dienend). Zie bijvoorbeeld het (ook in het hier besproken boek genoemde) artikel van Thomas Rid [RID12], die hiermee reageerde op het volgens hem ‘alarmistische’ boek van Richard Clarke [CLAR10].

Literatuur

[CLAR10] Richard A. Clarke and Robert K. Knake, ‘Cyber war; The next threat to national security and what to do about it’. New York: Ecco Paperback Edition, 2012 (oorspronkelijke uitgave: Harper Collins, 2010).
 
[GLAS10] Alexander Glaser en Zia Mian, ‘Appendix 7A. Global stocks and produc-
tion of fissile materials, 2010’, in SIPRI Yearbook 2011, Oxford University Press, 2011. http://fissilematerials.org/library/SIPRIYB1107A.pdf (geraadpleegd op 11 januari 2016).
 
[IPFM11] ‘Global fissile material report 2011; Nuclear weapon and fissile material stockpiles and production’ – Sixth annual report of the International Panel on Fissile Materials. http://www.princeton.edu/sgs/faculty-staff/zia-mian/gfmr11.pdf (geraadpleegd op 11 januari 2016).
 
[JANS14] L. Jansen en N. Zegers, Digitale beveiliging van industrial control systems, de It-Auditor, 2014, nr. 2. https://www.deitauditor.nl/informatiebeveiliging/digitale-beveiliging-van-industrial-control-systems/ (geraadpleegd op 19 januari 2016).
 
[KRAM15] J.C.L. Kramer en H.A.J. Raaphorst, ‘Interview with Klaus Kursawe; Smart grid requires smart auditors’, de IT-Auditor, 2015, nr. 4. https://www.deitauditor.nl/business-en-it/smart-grid-requires-smart-auditors/ (geraadpleegd op 19 januari 2016).
 
[LANG13] Ralph Langer, ’To kill a centrifuge; A technical analysis of what Stuxnet’s creators tried to achieve’. http://www.langner.com/en/wp-content/uploads/2013/11/To-kill-a-centrifuge.pdf (geraadpleegd 25 januati 2016).
 
[NAKA15] Ellen Nakashima, ‘Hacks of OPM databases compromised 22.1 million people, federal authorities say’. Washington Post 9 juli 2015. https://www.washingtonpost.com/news/federal-eye/wp/2015/07/09/hack-of-security-clearance-system-affected-21-5-million-people-federal-authorities-say/ (geraadpleegd op 22 januari 2016).
 
[RID12] Thomas Rid, ‘Think Again: Cyberwar; Don’t fear the digital bogeyman; Virtual conflict is still more hype than reality’, http://foreignpolicy.com/2012/02/27/think-again-cyberwar/ (geraadpleegd op 18 januari 2016).
 
[SCHI07] Schiller, Craig A. e.a, ‘Botnets; The killer web app’, Syngress Publishing, 2007.
 
[UREN16] ‘Enrichment process’. http://www.urenco.com/about-us/business-activity/nuclear-fuel-supply-chain/enrichment-process (geraadpleegd op 23 januari 2016).
 
[ZETT15] Kim Zetter, ‘Attackers Stole Certificate From Foxconn to Hack Kaspersky With Duqu 2.0’. http://www.wired.com/2015/06/foxconn-hack-kaspersky-duqu-2/ (geraadpleegd 24 januari 2016).

Geen categorie

Drs. Th. (Thomas) Wijsman RE

Thomas Wijsman werkt zelfstandig als coach en strategisch adviseur/onderzoeker.