In de toekomst zullen hackers belangrijker dan tanks zijn als het om militaire conflicten gaat, toch heeft een echte cyberoorlog nog altijd niet plaatsgevonden. Dat zegt Aleks Gostev, analist bij het Russische anti-virusbedrijf Kaspersky Lab, in een interview met Security.nl. Gostev sprak tijdens een studentenconferentie in Delft. Voor Kaspersky analyseerde hij zowel Stuxnet als Duqu.

Twee cyberwapens waarvan de ontwikkeling zeer waarschijnlijk in 2007 begon. Hetzelfde jaar van het conflict in Estland, dat regelmatig als het eerste voorbeeld van een cyberoorlog wordt genoemd. Ook de DDoS-aanvallen op Georgië in 2008 of die op Zuid-Korea en de Verenigde Staten in 2009 worden vaak als cyberoorlog bestempeld. Zelfs Anonymous werd in 2010 beticht van het starten van de eerste cyberoorlog. "Een cyberoorlog bestaat niet zonder echte soldaten op de grond", aldus Gostev. "Tijdens een militair conflict hoort 'cyber' onderdeel van de militaire operatie te zijn. Maar alleen cyberoorlog zonder militair conflict is geen oorlog."

Spionage
In de meeste gevallen gaat het dan ook om spionage of sabotage en niet om een oorlog die alleen via het internet wordt gevoerd. Stuxnet en Duqu zijn in dit opzicht een goed voorbeeld. "Stuxnet was alleen een proof of concept, het gaat hier om industriële sabotage", aldus Gostev. De malware bleef anderhalf jaar voor alle virusscanners onopgemerkt en zat zeer goed in elkaar. Gostev schat dat een team van zo'n 20 a 30 mensen aan de worm heeft gewerkt. Zo'n 2 a 3 mensen voor Command & Control administratie, 7 a 10 voor het verspreiden van de malware, 3 a 4 voor het ontwikkelen van de wormcode, 2 a 3 voor het ontwikkelen van de code die de PLC saboteerde, 1 a 2 voor het ontwikkelen van de exploits en nog eens 7 a 10 voor het testen.

In april 2011 werd Duqu ontdekt, wat volgens velen de zoon van Stuxnet was. Verder onderzoek wees uit dat de zeer geavanceerde malware van een platform afkomstig was. Een malware ontwikkelingsplatform dat al in 2007 zou zijn ontwikkeld. En de aanvallen gaan nog steeds door. Onlangs rapporteerde Iran een nieuwe aanval tegen verschillende oliebedrijven. Daarbij werd informatie van een groot aantal machines 'gewiped'. Niet verwijderd, maar grondig gewist zodat de gegevens niet terug te halen waren.

"Meer landen zijn nu bezig met de ontwikkeling van cyberwapens en volgend jaar zullen we meer incidenten zien waarbij wordt gespioneerd en data vernietigd. Ook zullen we waarschijnlijk een nieuwe aanval op de infrastructuur zien." Daarbij acht Gostev het goed mogelijk dat systemen worden vernietigd door bepaalde onderdelen zoals de BIOS, processor of videokaart te beschadigen.

Hackers
De hele discussie over wie er achter Stuxnet en Duqu zitten mist volgens Gostev het punt. "Het is geen vraag van landen, maar van mensen." Alle landen in de wereld zouden teams kunnen hebben die dit soort zeer geavanceerde malware ontwikkelen, aldus de analist. "Dit verschuift de balans in de echte wereld. Op dit moment zijn de machtigste landen de landen die over de meeste tanks en straaljagers beschikken. Maar in de nabije toekomst gaat dit veranderen. Dan kunnen twintig mensen van een willekeurig land een operatie stoppen in een land met een groot leger."

Landen als China en de VS, die nu militaire supermachten zijn, zullen die macht in de komende tien jaar mogelijk verliezen, gaat Gostev verder. Het gaat dan niet alleen om het aantal hackers dat een land heeft, maar ook het niveau van die hackers. En Stuxnet en Duqu zijn wederom voorbeelden van een hoog niveau bij de programmeurs. "Ik analyseer al sinds 1994 code, maar heb nog nooit het werk van zulke professionals gezien. Het is perfect in termen van complexiteit, kwaliteit van de code, de tests die het uitvoert, etc."

Broncode Stuxnet
Wat betreft de ontdekking van Stuxnet en talloze analyses die volgden, wil dat nog niet zeggen dat alle landen over de mogelijkheid beschikken om Stuxnet te gebruiken. De binaire code van Stuxnet kan niet naar broncode worden omgezet. Slechts een zeer klein gedeelte, een driver van Stuxnet, werd uiteindelijk gereverse engineered en naar broncode omgezet. Het gaat hier om een module van slechts 30 kilobyte, terwijl Stuxnet meer dan 1 megabyte aan code bevat. "Het is onmogelijk om aan de hand van deze informatie een nieuwe Stuxnet te ontwikkelen," merkt de analist op.

Toekomst
Voor de toekomst verwacht Gostev geen universele oplossing die landen, organisaties of kritieke infrastructuur tegen dit soort aanvallen beschermt. "De meeste landen grijpen naar bekende oplossingen. Zo stopt Iran met het gebruik van buitenlandse beveiligingssoftware. In China gebruiken ze een eigen Linux-versie. Maar een aanvaller met voldoende tijd en geld kan ook dit soort platformen onderzoeken."

Toch pleit Gostev voor het gebruik van dit soort onbekende software. "Een werkende oplossing zou geheime informatie zijn." Dat de aanvallers niet weten wat voor software het land gebruikt. Gostev erkent dat dit security through obscurity is, maar vindt het toch de meest praktische oplossing.

Een ander element dat in veel landen speelt is dat overheden meer controle over het internet willen, zoals in de Verenigde Staten. "De VS is, zoals ik het zie, meer bezig met offensieve doeleinden dan met defensieve." De analist denkt dan ook dat de VS goed in het uitvoeren van aanvallen is, maar in het geval van verdediging het met veel problemen te maken heeft. "Dat komt omdat de kritieke infrastructuur in handen van private ondernemingen is. In Rusland is het bijvoorbeeld veel eenvoudiger om de kritieke infrastructuur te beschermen."