Ralph Lange: Stuxnet, een 21e-eeuws cyberwapen, kraken

Het idee achter de Stuxnet-computerworm is eigenlijk heel simpel. We willen niet dat Iran de bom krijgt. Hun belangrijkste troef voor de ontwikkeling van nucleaire wapens is de fabriek in Natanz voor de verrijking van uranium. De grijze dozen die je ziet, zijn de real-timebesturingssystemen. Als we erin slagen de systemen, die de draaisnelheden en kleppen controleren, in de war te sturen, dan kunnen we een boel problemen met de centrifuge veroorzaken. Die grijze dozen gebruiken geen Windows-software; ze draaien op een compleet andere technologie. Maar we kunnen proberen om een goed Windows-virus op een notebook te plaatsen. Als een ingenieur dat notebook gebruikt om die grijze doos te configureren, dan zijn we binnen. Dat is de plot achter Stuxnet.

We beginnen met een Windows-dropper (software met malware). De worm komt terecht in de grijze doos, beschadigt de centrifuge, en het Iranese nucleaire programma loopt vertraging op: missie volbracht. Da's makkelijk, hè? Ik wil jullie vertellen hoe we daarop zijn gekomen. Toen we ons onderzoek op Stuxnet zes maanden geleden begonnen, was het volkomen onbekend wat dit ding moest doen. Het enige dat bekend was was dat dat zeer complexe Windows-onderdeel, het dropperdeel, meerdere zero-day kwetsbaarheden kon uitbuiten. Het leek iets te willen doen met deze grijze dozen, deze real-time besturingssystemen. Daar richtten we onze aandacht op. We begonnen een lab-project waar we ons systeem besmetten met Stuxnet en keken wat er gebeurde. Er gebeurden een aantal zeer grappige dingen. Stuxnet gedroeg zich als een lab-rat die onze kaas niet lustte - hij snoof eraan, maar wilde er niet van eten. Ik kon er kop noch staart aan krijgen. Nadat we met verschillende smaken van kaas hadden geëxperimenteerd, besefte ik dat dit is een gerichte aanval was. Volledig doelgericht. De dropper tast de grijze doos actief af tot een specifieke configuratie wordt gevonden, terwijl het eigenlijke programma, dat het probeert te infecteren, nog loopt op dat doelwit. Zo niet doet Stuxnet niets.

Dat trok pas echt mijn aandacht en we begonnen hier bijna de klok rond aan te werken. We hadden er geen idee van wat het doelwit is. Het zou bijvoorbeeld ook een Amerikaanse kerncentrale of een chemische fabriek in Duitsland kunnen zijn. We konden maar beter snel te weten komen wat het doel was. We haalden de aanvalscode eruit en decompileerden ze. We ontdekten dat er twee digitale bommen in te vinden waren: een kleine en een grote. We zagen ook dat ze erg professioneel waren ontworpen door mensen die duidelijk alle voorkennis hadden. Ze kenden alle bits en bytes die ze moesten aanvallen. Ze kenden waarschijnlijk zelfs de schoenmaat van de bediener. Ze wisten alles.

Als je zou hebben gehoord dat de dropper van Stuxnet complex en high-tech is, laat me je dan dit vertellen: dat ding is van de bovenste plank. Het staat ver boven alles dat we ooit eerder zagen. Hier zie je een staaltje van deze feitelijke aanvalscode. We praten over ongeveer 15.000 regels code. Ziet er nogal uit als ouderwetse assembler. Ik wil jullie vertellen hoe we in staat waren om deze code te begrijpen. Waar we naar zochten waren ten eerste systeemfunctiecalls. Omdat we weten waar die voor dienen.

Daarna zochten we naar timers en datastructuren en probeerden ze te relateren aan de echte wereld - aan potentiële doelwitten in de echte wereld. We hadden doelwittheorieën nodig die we konden bewijzen of weerleggen. Om achter die doelwittheorieën te komen, bleven we voor ogen houden dat het hier zeker om sabotage ging. Het moest een doelwit van hoge waarde zijn, en het was zeer waarschijnlijk in Iran gelegen. Daar werd namelijk het merendeel van de infecties gemeld. Nu ga je in dat gebied geen duizenden doelen vinden. Eigenlijk draait het vooral om de kerncentrale van Bushehr en om de fabriek voor splijtstofverrijking in Natanz.

Ik zei tegen mijn assistent, "Haal uit ons klantenbestand een lijst van alle centrifuge- en kerncentraledeskundigen op." Ik belde hen op en hoorde hen uit om hun expertise te vergelijken met wat we gevonden hadden in de code en data. Dat werkte behoorlijk goed. Zo konden we de kleine digitale bom linken aan de rotorcontrole. De rotor is het bewegende deel in de centrifuge. Het zwarte ding dat je daar ziet. Als je de snelheid van deze rotor kan aansturen, ben je eigenlijk in staat om de rotor te beschadigen en de centrifuge zelfs te laten ontploffen. Wat we ook zagen was dat het de bedoeling was de aanval langzaam en op een sluipende manier te laten gebeuren. Uiteraard met de bedoeling de onderhoudsmonteurs met de handen in het haar te laten zitten, zodat ze er niet snel zouden achterkomen wat er aan de hand was.

De grote digitale bom vonden we door de data en datastructuren zeer nauwkeurig te analyseren. Zo komt het getal 164 vaak voor in die code. Je kunt het niet over het hoofd zien. Ik begon aan wetenschappelijk literatuuronderzoek over hoe dat deze centrifuges in Natanz eigenlijk gebouwd zijn. Ik vond dat ze in wat een cascade wordt genoemd waren opgesteld. Elke cascade bevat 164 centrifuges. Dat was al één logische overeenkomst.

Het werd zelfs nog beter. Deze centrifuges in Iran zijn onderverdeeld in 15 zogenoemde trappen. Raad eens wat we vonden in de aanvalscode? Een bijna identieke structuur. Dat stemde zeer goed overeen. Dit gaf ons heel veel vertrouwen dat we op het juiste spoor zaten. Begrijp me niet verkeerd, zo simpel was het niet. Deze resultaten zijn verkregen na een aantal weken van hard werken. Vaak volgden we een doodlopend spoor en moesten we opnieuw beginnen.

Hoe dan ook visten we uit dat beide digitale bommen op één en hetzelfde doelwit gericht zijn. Maar vanuit verschillende invalshoeken. De kleine bom pakt één cascade aan, door de rotors te versnellen of af te remmen, en de grote bom pakt zes cascades aan door het manipuleren van kleppen. Al met al hebben we er alle vertrouwen in dat we het doel hebben gevonden. Het is Natanz en alleen maar Natanz. We hoefden ons dus geen zorgen meer te maken dat andere doelen zouden kunnen worden getroffen door Stuxnet.

Hier een aantal leuke dingen die we tegenkwamen: daar viel ik pas echt van achterover. Daar is de grijze doos, en bovenaan zie je de centrifuges. Dit ding onderschept de input-waarden van sensoren. bijvoorbeeld van druksensoren en trillingsensoren. Het voorziet de legitieme code, die tijdens de aanval nog steeds loopt, van nep-inputdata. In feite zijn deze nep-inputdata vooraf opgenomen door Stuxnet. Het is net als in die Hollywoodfilms waar tijdens een inbraak de observatiecamera wordt gevoed met vooraf opgenomen video. Dat is cool, he?

Het idee hierachter is niet alleen maar de operatoren in de controlekamer te misleiden. Het is veel gevaarlijker en agressiever. Het idee gaat over het omzeilen van een digitaal beveiligingssysteem. We hebben digitale beveiligingssystemen nodig als een menselijke operator niet snel genoeg kan reageren. Bijvoorbeeld in een elektriciteitscentrale moet je, als de grote stoomturbine te snel gaat draaien, de ontlastingskleppen binnen de milliseconde kunnen openen. Uiteraard kan dit niet worden gedaan door een menselijke operator. Daar hebben we digitale beveiligingssystemen voor nodig. Wanneer die in het gedrang komen kunnen vreselijke dingen gebeuren. Je installatie kan ontploffen. Noch je operatoren, noch je veiligheidsysteem zullen het merken. Dat is pas eng.

Maar het wordt nog erger. Wat ik ga zeggen is zeer belangrijk. Denk hier eens over na. Deze aanval is niet specifiek. Dat wil zeggen dat hij niet specifiek gericht is op centrifuges of op de verrijking van uranium. Hij zou even goed kunnen werken bij een energiecentrale of een autofabriek. Hij is niet specifiek. Je hoefde als aanvaller deze software niet door middel van een USB-stick af te leveren, zoals we al zagen in het geval van Stuxnet. Dat kon evengoed via conventionele worm-technologie. Smeer het gewoon zo breed mogelijk uit. Wat krijg je dan? Een cybermassavernietigingswapen. Een cybermassavernietigingswapen. Dat moeten we onder ogen durven zien. Maar helaas bevindt het grootste aantal doelen voor dergelijke aanslagen zich niet in het Midden-Oosten. Maar wel in de Verenigde Staten, Europa en Japan. Alle groene gebieden op de kaart zijn je doelgroeprijke omgevingen. We moeten de gevolgen daarvan onder ogen durven zien. We kunnen er ons maar beter op voorbereiden.

Bedankt.

(Applaus)

Chris Anderson: Ik heb een vraag. Ralph, er wordt vaak beweerd dat het vooral de Mossad is die hierachter zou zitten. Denk je dat ook?

Ralph Langner: Oke, wil je het echt weten? Ja. Oke. Mijn mening is dat de Mossad betrokken partij is, maar dat de voornaamste aanstoker niet Israël is. De voornaamste aanstoker hierachter is 'de' cybersupermacht. Dat is er slechts één: de Verenigde Staten. Gelukkig maar. Want anders zouden onze problemen zelfs nog groter zijn.

CA: Bedankt dat je ons de haren ten berge hebt laten rijzen. Dank je Ralph.

(Applaus)