Tussen de wereld zoals we die nu kennen en totale vernietiging staat bar weinig, zo schetst de documentaire Zero Days, die donderdag in de bioscoop verschijnt. De film gaat over Stuxnet: een computervirus dat omstreeks 2010 werd ontdekt. (nos.nl)

Het virus saboteert kerncentrifuges in Iran en vertraagt daarmee de nucleaire ontwikkeling van het land. Over het algemeen wordt aangenomen dat de Verenigde Staten en Israël achter het virus zitten. De documentaire laat zien dat de Amerikanen tot veel meer in staat waren.

Eén van de sprekers in de documentaire is de Amerikaan David Sanger. Hij schrijft voor de New York Times over de cyberoorlog en heeft het Stuxnet-dossier destijds gerapporteerd.

“Het Stuxnet programma begon onder George Bush Jr., die er aanvankelijk weinig vertrouwen in had. Toen bouwden programmeurs een miniatuurversie van de Iraanse kerncentrale na vlakbij Tennessee. Ze infecteerden de centrale met de Stuxnet-software en alle centrifuges ontploften. Ze namen wat scherven mee naar het Witte Huis, legden ze op tafel en nodigden Bush uit er naar te kijken. Die gaf toen toestemming.”

Zwakte

Het virus werkt met een aantal zogeheten zero days. Bijna altijd bevat software een aantal fouten, waarvan de maker niet op de hoogte is. Die fouten maken de software kwetsbaar, omdat ze een ingang bieden waar nog geen ‘patch’ voor is; de maker is immers niet op de hoogte dat de zwakte bestaat.

Zero Days

De term zero days staat voor het feit dat een door een hacker ontdekte kwetsbaarheid of achterdeur in een systeem nog maar ‘nul dagen’ in de buitenwereld bekend is. Er is dus ook nog geen anti-virus software tegen ontwikkeld.

Hackers kunnen met de verkoop van zo’n nog niet ontdekte kwetsbaarheid veel geld verdienen. De kopers kunnen via de kwetsbare plek inbreken in een systeem, om bijvoorbeeld data te stelen of cyberaanvallen uit te voeren.

Op deze manier kon het virus binnendringen bij de Iraanse kerncentrales. “Per definitie kun je je niet beschermen tegen een zero day“, zegt Sanger. “Antivirussoftware kijkt naar kwetsbaarheden uit het verleden, het is volstrekt nutteloos tegen nieuwe dreigingen.”

Is er dan geen denkbare oplossing?  “Absoluut”, zegt Sanger. “Gebruik geen computer, smartphone, televisie. Met andere woorden: verstop je ergens in een grot. Iedereen die een apparaat gebruikt is op een gegeven moment kwetsbaar voor virussen. Het goede nieuws is dat staten vaak niet geïnteresseerd zijn in personen als jij of ik.”

In de toekomst zal elke oorlog een cyberelement hebben.

David Sanger, journalist New York Times

Verontrustend is wat anonieme bronnen binnen de NSA en CIA in de documentaire beweren: de Verenigde Staten hadden plannen op tafel liggen om complete energie- en watervoorzieningen in Iran plat te leggen. Cyberaanvallen zijn een nieuwe vorm van oorlogsvoering.

“In de toekomst zal elke oorlog een cyber-element hebben”, zegt Sanger. Op die manier is onze kritische infrastructuur kwetsbaar: wie een kerncentrale kan hacken, kan dat ook met energie- en watervoorzieningen. Op die manier kan een heel land platgelegd worden, beaamt ook Sanger. “Alles dat met het internet verbonden is, kan worden gehackt. De Iraniërs dachten dit probleem op te lossen door hun kerncentrale offline te halen. Maar als iemand met een USB-stick binnenkomt kunnen ze er alsnog in.”

Verouderd

Volgens Sanger is cyberoorlog nog geen ‘zilveren kogel’, een wapen dat aanvallers altijd maar kunnen inzetten “Het is moeilijk om een systeem binnen te komen. Maar als je er eenmaal bent, is het moeilijk er te blijven. Wat op dinsdag werkte, kan op vrijdag al veranderd zijn.”

“Het is alsof je in een oud huis met de bouwtekeningen van vijftig jaar terug wil gaan verbouwen. In de tussentijd hebben klusjesmannen compleet andere bedrading aangelegd; dan klopt niets meer van die tekening. Dat gebeurt in de cyberwereld continu. Je komt in een systeem en ontdekt dat iemand daar maanden aan heeft gesleuteld.”

Het is goedkoop, het is moeilijk te zien wie het gebruikt en dus zijn de kansen op een wraakactie relatief laag.

David Sanger, journalist New York Times

“De reden dat er geen grote nucleaire oorlog meer is sinds Hiroshima en Nagasaki, is dat er geen winnaars zijn wanneer jij je wapen gebruikt en iemand terugvuurt. Maar dat geldt niet voor cyberoorlog: het is niet als een bom die je wel of niet gooit, maar als de verwarming in je woonkamer die je naar wens aanpast. Het is goedkoop, het is moeilijk te zien wie het gebruikt en dus zijn de kansen op een wraakactie relatief laag.”

Regels en normen

Dat maakt het gebruik dus ook aantrekkelijker dan dat van een atoombom. “Een van de redenen dat we zoveel over cyberwapens schrijven, is dat we een globale overeenkomst moeten hebben van de regels voor deze wapens”, zegt David Sanger. “Regeringen hebben daar erg weinig aan gedaan, omdat ze niet beperkt willen worden in welke wapens ze gebruiken.”

“Naar mijn mening hebben we juist van de nucleaire dreiging vorige eeuw geleerd dat je de wapendetails uiterst geheim kan houden en toch openlijk het debat over het gebruik van wapens kunt voeren. We hebben regels en gedragsnormen nodig. Veel landen zijn het er over eens dat je in vredestijd nooit een elektriciteitsnetwerk moet platleggen. Dan leg je ook ziekenhuizen en transportsystemen stil. En dan sterven er mensen, daar is geen twijfel over mogelijk.”