Deze week is er een worm aangetroffen op Iraanse computers welke gericht is op zeer specifieke software en industriële systemen, onder meer gebruikt om kerncentrales te besturen. De zeer geavanceerde worm lijkt te zijn gemaakt door een ontwikkelaar of zelfs een team van ontwikkelaars met zeer specifieke kennis, maar men had ook de beschikking over diverse (gestolen) driver certificaten. De worm lijkt dan ook op het product van een partij met genoeg kennis en mogelijkheden die wijzen in de richting van bijvoorbeeld nationale veiligheid- of spionage diensten die de bouw van controversiële kerncentrales en opwerkingsfabrieken in Iran proberen te dwarsbomen.
Als we de berichten mogen geloven dan zal het in ieder geval duidelijk zijn dat een worm als deze niet door de eerste de beste script-kiddie is gemaakt met behulp van een tooltje geplukt van het internet. Uiteraard zijn er zieke geesten die er van dromen om net als in de film een kerncentrale over te nemen of om banktransacties te onderscheppen en te manipuleren. Pogingen daartoe stranden in de meeste gevallen omdat de benodigde technisch specifieke informatie niet vrij beschikbaar is, fysieke toegang of connecteren erg lastig of niet mogelijk is, of omdat het risico op ontdekking en de gevolgen te groot zouden zijn.
De gemiddelde huis, tuin en keuken hacker zal dus niet zo gauw een kabel opgraven, of met gevaar voor aanhouding inbreken bij een kerncentrale. Alleen criminelen of terroristische eenheden of misschien wel overheidsdiensten hebben genoeg motivatie om op basis van financieel gewin, ideologische gronden of onder het mom van veiligheid dit soort wormen te ontwikkelen.
Zonder dit nu meteen de eerste cyberoorlog, digitale wapen wedloop, te noemen, allerlei complot theorieen aan te halen of in de wereld te helpen, zal het hoogst waarschijnlijk wel waar zijn dat met name veiligheidsdiensten en 'vage'-overheden steeds meer gebruik maken van dergelijk hoog-specialistische software (je mag het malware noemen) om inlichtingen te vergaren of zelfs bepaalde doelwitten aan te vallen. Er worden miljarden uitgegeven aan hardware om oorlog mee te voeren, het is naïef om te denken dat voor het ontregelen van een specifiek object als een kerncentrale tot zelfs een complete economie, geen manieren worden ontwikkeld aan de software kant.
Het probleem dat dit soort software zal hebben is dat je het maar één keer kunt gebruiken, na de eerste aanval of na ontdekking wordt het onbruikbaar omdat je systemen snel kan aanpassen, isoleren of in het ergste geval zelfs uitzetten. De eerste klap op het digitale slagveld moet dus een daalder waard zijn. Daarom zal dit soort code, dat met veel moeite is ontwikkeld, ook niet gauw 'in het wild' worden losgelaten. Traditionele virusscanners zullen deze code dus ook niet gauw in hun signature database hebben zitten, simpelweg omdat ze nooit eerder zijn gebruikt. Het detecteren moet gaan gebeuren op basis van technieken die ook voor 'zero day exploit'-aanvallen worden gebruikt. Deze techniek is meer gebaseerd op het monitoren van baseline gedragingen van een systeem en zal alarm slaan als er afwijkend systeem of proces gedrag wordt gedetecteerd.
Net zo goed dat de ontwikkelaars van dergelijke malware voor specifieke systemen schaars zijn geldt ook voor de commerciële aanbieder van virusscanners; voor hen is het helemaal niet interessant om zich te richten op dit soort specifieke systemen. De vraag dringt zich hier wel op hoe systemen die gebruikt worden om dit soort installaties te besturen dan wel adequaat te beschermen. Voor buitengewone dreigingen zullen hier dus ook buitengewone beveilingingscontrols ingezet moeten worden. Dus toch een cyber wapen wedloop?
Het is vreemd dat nergens in de berichtgeving duidelijk gemaakt wordt dat het om windows-systemen gaat. Wie Mac of linux gebruikt (met een unix variant als OS) heeft veel minder kans op dit soort problemen. Deze “monokultuur” is een risiko op zich, wanneer die stuur-elektronika van siemens daarvan niet afhankelijk was, had zich het probleem niet voor gedaan.
Voor de laatste stand in Cyber Warfare:
– http://staff.washington.edu/dittrich/cyberwarfare.html
De USAF / Het Pentagon heeft in haar mission statement staan, dat ze het volledige internet willen kunnen domineren tegen het jaar 2025 (zie de volume 3: downloadble pdf’s)
– http://csat.au.af.mil/2025/index.htm
Daarnaast is het niet zo handig van die Iraniers (en andere betrokken partijen) om je “mission critical systems” op wind-hoos besturings systeem te laten draaien. Das vragen om een “digital can of wurms” op bezoek te krijgen 🙂
Vanuit beheers aspect zal er in Iran gekozen zijn voor een eenduidig besturingssysteem. Of dit nou Windows, Linux of wat dan ook is, is niet van belang. Daarnaast ben je vaak afhankelijk van de leverancier van je processystemen. Als die een controle-computer alleen met Windows levert, ja, dan zit je daar wel aan vast.
Stuxnet had zijn werk ook wel gedaan op Linux. Feit blijft dat het een zeer specialistische worm is, die ontwikkeld is op basis van bekende ogevingsvariabelen. Met andere woorden, als men in die centrale Linux op de PC had gehad, was Stuixnet wel een Linux worm geweest.