De krabbenmand van Stuxnet

Aanvallen op ict-systemen zijn zo oud als informatica zelf. Informatie is immers waardevol en ict-systemen met een rijkdom aan informatie zijn even aantrekkelijke doelwitten als brandkasten en ladenkasten dat waren doorheen de eeuwen.

Aanvallen op ict-systemen zijn zo oud als informatica zelf. Informatie is immers waardevol en ict-systemen met een rijkdom aan informatie zijn even aantrekkelijke doelwitten als brandkasten en ladenkasten dat waren doorheen de eeuwen. U en ik en iedereen worstelen dan ook al jaar en dag om ict-systemen te vrijwaren van alle mogelijke aanvallen. Stuxnet voegt helaas aan die strijd nu een compleet nieuwe dimensie toe.

Even recapituleren voor de goede orde. Stuxnet vormt een complexe en blijkbaar uiterst gerichte aanval op industriële installaties die gebruik maken van Siemens industriële automatiseringsproducten. Daardoor kan de werking van die installaties worden gesaboteerd. Het betreft een complexe aanval, die zowel lacunes in Windows als in producten die op Windows draaien aanwendt en in staat is de werking van de industriële sturingselementen zelf (de Programmable Logic Controllers, PLC’s) te beïnvloeden (*).

Over aanvallen op industriële installaties werd in de voorbije jaren al bij herhaling bericht. Zo zou al jaren geleden de sturing van satellieten zijn belaagd en werden blijkbaar de verdeelnetwerken van de elektriciteitsvoorziening verkend, om slechts een paar voorbeelden te noemen.

Stuxnet is evenwel een ‘gamechanger’ en vormt om meer dan een reden een verontrustende krabbenmand.

Werk van een team Alle experts zijn het eens dat de complexiteit en de gesofisticeerde aard van Stuxnet, en dus de vereiste expertise en middelen, wijzen op een overheid als opdrachtgever en/of bouwer van deze malware. Stuxnet combineert vier ongepatchte zwakheden in Windows, waaronder een paar die nog niet werden gepubliceerd (en allicht voor een stevig bedrag werden aangeschaft), naast het naast een malafide manipuleren van industriële automatiseringssoftware, in casu de Siemens Simatic Step 7 engineering software en WinCC, de beheersoftware voor de sturingselementen (SCADA, Supervisory Control and Data Acquisition).

Bovendien blijkt een bedrijf in Rusland, actief in de kernenergie-industrie, te zijn meegesleept in deze aanval. Een dergelijke combinatie wijst op het werk van een team, en niet van een individuele nerd in een donker hoekje. Kortom, achter deze aanval gaat een organisatie schuil, die het niet ontbreekt aan middelen en expertise, wat de dreiging die ervan uitgaat meteen groter maakt.

Israël?

De suggestie dat het om een overheidsproject gaat, gecombineerd met het hoge aantal besmettingen in Iran, roept bij heel wat experts meteen ook het idee van cyberoorlogsvoering op. Er zijn inderdaad tal van landen die Iran niet meteen een warm hart toedragen, in het bijzonder omwille van het omstreden kernenergieprogramma van dat land.

En blijkbaar zou precies in de locale Iraanse projecten rond kernenergie Stuxnet zich hebben laten voelen. Waarnemers wezen bijvoorbeeld op het kleiner aantal gascentrifuges die werden ingezet voor het verrijken van Uranium (een proces nodig voor de aanmaak van zowel kernbrandstof als kernwapenmateriaal).

Als mogelijke agressors werd gedacht aan de Verenigde Staten, maar ook Israel. Dat laatste land heeft zelf een ‘cyberwarfare’-eenheid, maar heeft tevens in het verleden al bewezen op te treden tegen nucleaire dreigingen vanuit andere landen (cfr. de aanval op de Irakese Osirak kernreactor nabij Baghdad in 1981). Dat vermoeden werd extra leven ingeblazen door de naam van een bestand in Stuxnet, Myrthus. Dat zou dan een verwijzing zijn naar het ‘boek van Esther’ uit het Oud Testament, waarin wordt verhaald hoe tijdens de ballingschap in Babylonië de Joden de toestemming kregen hun vijanden om te brengen.

Kritieke infrastructuur Ongeacht wie de agressor zou zijn, blijft wel het feit dat dit een eerste duidelijk, althans in brede kring bekend, voorbeeld zou zijn van een (behoorlijk succesvolle) aanval in de cyberruimte. Voorgaande voorvallen, zoals de aanval op Estland in 2007, en een reeks aanvallen op een aantal Amerikaanse en Westerse overheidsinstellingen en bedrijven, werden wel mogelijkerwijze toegeschreven aan een agressie door landen, maar dat kon niet onweerlegbaar worden aangetoond. Met Stuxnet zou dan ook definitief het tijdperk van cyberoorlog zijn aangebroken, en kunnen landen (en bedrijven) daar echt niet meer de ogen voor sluiten.

Dat leidt tot bedenkingen over de kwetsbaarheid van de ‘nationale kritieke infrastructuur’. Dat is het geheel van systemen en diensten die de normale werking van onze maatschappij mogelijk maken en dat betreft zowat alles: elektriciteitsvoorziening, water, gas, telecom, transport, brandstofvoorziening, voedseldistributie en ga maar door. Al sinds jaar en dag vragen specialisten om een beveiliging van die infrastructuur, die zich overigens voor het overgrote deel in handen van bedrijven bevindt. Stuxnet maakt duidelijk dat op dit punt nu echt dringend vooruitgang moet worden geboekt, want de “gratieperiode is nu wel definitief voorbij,” zoals een Duitse security-expert het stelde.

Concreet betekent dat niet alleen een oproep om het geheel beter te beschermen, zoals Europa al een hele tijd vraagt. In België publiceerden een security-gerelateerde organisaties in 2008 nog een oproep om terzake een betere strategie te voeren in ons land. Dat zal onder meer een veel grotere inspanning en bewustwording in de bedrijven zelf vergen, want heel wat van de vitale installaties werden ontwikkeld en gebouwd zonder oog voor gevaar van buitenaf. Dat betekent aandacht voor systemen die allicht wel op een of andere wijze met de buitenwereld zijn verbonden, maar ook voor de bescherming van interne systemen en het aanpassen van interne procedures.

Blinde vlek Uit eerste reacties op vragen rond Stuxnet blijkt in ieder geval een schier universele ‘blinde vlek’ bij bedrijven en organisaties op dit punt. Toegegeven, er werd al vaker ‘wolf’ geroepen, zonder dat vervolgens de wereld tot stilstand kwam (heel wat mensen blijven nog steeds sceptisch inzake de reële dreiging van het ‘Jaar 2000’-probleem, eertijds), maar Stuxnet toont onomstotelijk aan dat het gevaar reëel is en ‘hier en nu’. Dit is een ‘wolf’ die ook echt zijn tanden heeft laten zien. Het zou dan ook ietwat geruststellend zijn als de wereld van de industriële automatisering hieromtrent wat meer studiewerk zou leveren. Is men daartoe bereid? Of werd al meer werk verricht, waarover nog niet werd gecommuniceerd? Dan lijkt dit wel het geschikte ogenblik om hiermee over de brug te komen.

Halftijds boosaardig

En voorts is er nog een laatste en bijzonder heikel punt. Algemeen wordt gesteld dat de Stuxnet malware blijk geeft van een bijzonder hoog niveau van expertise en kennis. Laat het duidelijk zijn dat ik absoluut niemand wil beschuldigen of verdacht maken. Maar het ligt voor de hand dat bedrijven – zeker voor securitygerelateerde aspecten – geen gekende malafide hackers in dienst nemen. Om te weten hoe je schade kan berokkenen, hoef je evenwel niet meteen een hacker te zijn. Een expert terzake kent gewoonlijk wel de punten waarop een systeem of product in de fout kan gaan.

Natuurlijk zorgen bedrijven voor een doorlichting van mensen die ze in dienst nemen voor gevoelige jobs, maar mensen kunnen veranderen. Om welke reden dan ook, kan zich zo een toestand van ‘white hat by day, black hat by night’ ontwikkelen. Zeg maar halftijds ‘boosaardig’. Zonder te beweren dat dit sowieso en/of op grote schaal het geval is, maar feit is dat de expertise ergens vandaan moet komen.

Om vervolgens de volgende logische stap te zetten, nogmaals zonder dit als beschuldiging te bedoelen: wie heeft allicht de meeste expertise inzake een bepaald product? Tja, dat is allicht de ontwerper en producent van het product. En dan hebben we helemaal een krabbenmand geopend, want wat als de producent van een product hand en spandiensten verleent aan een militaire overheid om een aanval in cyberspace op te zetten? Meteen zit men dan tot over de oren in een moeras van wantrouwen, rond ‘achterpoortjes’ en dies meer. Een probleem dat zich ook al lang stelt bij de ontwikkeling van software voor bedrijven door derden, dus helemaal nieuw is zo’n opstoot van wantrouwen niet. Maar het blijft een heikel punt: wie is op een bepaald ogenblik nog te vertrouwen?

De moraal van het verhaal is dan ook dat elke gebruiker, elk bedrijf, elk land voor zijn eigen stoep moet vegen. Zijn eigen belangen moet behartigen en verdedigen. En dat Stuxnet een finale alarmbel is om die aandacht ook buiten de klassieke wereld van informatiesystemen te besteden! Er werd al vaak ‘wolf’ geroepen, maar Stuxnet bewijst dat er wolven in meer hoeken schuilen dan allicht gedacht.

(*) Over Stuxnet werd ondertussen op heel wat plaatsen uitvoerig geïnformeerd. Onder meer Symantec publiceerde een uitgebreide ‘white paper’.