Inhoudsopgave
    

Hoe malware een wereldoorlog kan ontketenen
Maarten Reijnders
door Maarten Reijnders
leestijd: 7 min

Juist nu onontdekte software-lekken (zero days) in de schijnwerpers staan vanwege het CIA-lek Vault7, draait de docu Zero Days in ons land. De film over staatsmalware Stuxnet waarschuwt voor de gevaren van 'cyberwarfare'.

De documentaire Zero Days vertelt het verhaal van Stuxnet. Van die malware hoorde de wereld in 2010 voor het eerst, nadat securitybedrijven de computerworm, die gebruikmaakte van verscheidene onbekende softwarelekken (zogeheten zero days), hadden aangetroffen bij verschillende klanten.

Regisseur Alex Gibney, die je waarschijnlijk wel kent van zijn documentaires over Scientology (Going Clear), WikiLeaks (We Steal Secrets) of Steve Jobs (The Man in the Machine), gaat in zijn film op zoek naar de herkomst van dit ingenieuze stukje software.

Hij spreekt daartoe met een groot aantal vertegenwoordigers uit de inlichtingen- en veiligheidswereld. Sommigen komen herkenbaar in beeld, anderen wilden alleen op basis van anonimiteit spreken.

Toppunt van vernuft

Het beeld dat uit Gibney's reconstructie opdoemt is dat Stuxnet (ook wel bekend als Olympic Games) het toppunt van vernuft was. Amerikaanse en Israëlische geheime diensten ontwikkelden de malware om Iran te frustreren in zijn pogingen om een atoommacht te worden. Met succes.

De centrifuges in de Iraanse centrale bij Natanz gingen door Stuxnet veel sneller of juist veel trager draaien, waardoor ze ontploften. Dit alles tot ontzetting van de beheerders in de centrale die op hun schermen niets verdachts konden zien.

Debat over cyber-oorlogsvoering

Met dit spannende verhaal over de operatie om te voorkomen dat Iran zijn eigen kernwapen kon ontwikkelen en de ontdekking van de gebruikte malware door security-bedrijven, houdt de film gelukkig niet op. Gibney grijpt Stuxnet namelijk ook aan om een debat op gang te brengen over elektronische oorlogsvoering.

Hebben de Amerikanen en Israëliërs met de inzet van deze malware niet de doos van Pandora geopend? Zij zijn immers niet de enigen die met hackaanvallen zullen proberen om andere landen te treffen. De mogelijkheden om via malware enorme schade toe te brengen zijn eindeloos. Denk maar aan aanvallen op de watervoorziening of het elektriciteitsnet. In Oekraïne kunnen ze er inmiddels over meepraten.

Terwijl er allerlei internationale verdragen zijn voor bijvoorbeeld de inzet van chemische wapens of de omgang met krijgsgevangenen bestaan er nog geen regels voor de inzet van malware bij conflicten. Na het zien van Zero Days zul je geneigd zijn te zeggen dat het hoog tijd wordt om daar verandering in te brengen.

Wat zijn zero days?

Zero days zijn softwarelekken die de ontdekker ervan niet heeft gedeeld met de softwaremaker. Op het moment dat de ontdekker van het lek besluit om misbruik te maken van het lek, dan heeft de softwareproducent dus nul dagen (zero days) om een reparatieprogramma (patch) uit te brengen om zijn gebruikers te beschermen. Dat maakt zero days tot een groot gevaar: wie kwaad wil, kan met behulp van een zero day een succesvolle gerichte aanval uitvoeren of bijvoorbeeld heel veel mensen besmetten.

Wie zijn er geïnteresseerd in zero days?

Om te beginnen zijn zero days natuurlijk interessant voor criminelen die de onbekende lekken kunnen misbruiken om in te breken bij particulieren, bedrijven of organisaties. Maar ook security-bedrijven hebben belangstelling voor zero days. Zo is er het Zero Day Initiative van TippingPoint, dat security-onderzoekers betaalt voor zero days. Dankzij de informatie over nieuwe, onbekende lekken hoopt TippingPoint zijn klanten zo goed mogelijk te beschermen. Daarnaast zijn ook opsporings- en inlichtingendiensten in sommige landen geïnteresseerd in onbekende lekken. Die stellen hen in staat om ongemerkt in te breken bij verdachten of om te spioneren. Zo bleek uit de eerder deze maand door Wikileaks geopenbaarde CIA-documenten dat de Amerikaanse inlichtingendienst zero days in zijn arsenaal heeft om in te breken bij verschillende diensten en apparaten.

Hoeveel zijn zero days eigenlijk waard?

De handel in zero days is een schimmige markt die zich grotendeels aan het zicht onttrekt. Prijzen hangen af van de aard van het opgespoorde lek en van de koper. Anderhalf jaar geleden publiceerde zero-day-handelaar Zerodium een prijslijst voor onbekende lekken. Voor een aanval die een computer via een lek in Safari of Internet Explorer kan overnemen, telt het bedrijf naar eigen zeggen 50.000 dollar neer. Een vergelijkbare aanval via Chrome levert zelfs 80 mille op.

Het hoogste bedrag loofde Zerodium destijds uit voor een lek waarmee het mogelijk is om de beveiliging van iOS compleet te omzeilen: een half miljoen dollar. Wie met een dergelijk iOS-lek aanklopt bij het Zero Day Initiative houdt er aanmerkelijk minder aan over: 10.000 dollar. Ga ermee naar een overheidsinstantie en je kunt er een kwart miljoen mee binnenharken.

Auteur

Maarten Reijnders (@rohy) was in 1996 mede-oprichter van e-zine SmallZine. Toen het eind 2004 stopte, was SmallZine met ruim dertigduizend abonnees één van de grootste Nederlandstalige e-zines. Van 2000 tot 2006 was Reijnders redacteur bij Webwereld. Nu is hij freelance journalist voor onder meer Bright en Wordt Vervolgd.