De kerncentrale draait een beetje op Windows

Vitale infrastructuren en industrieën zijn goed beveiligd tegen hackers. Maar via een lekke Windows-pc is zelfs een kerncentrale kwetsbaar.

„Een prachtig staaltje techniek, iets geavanceerders heb ik nog nooit gezien.” Veiligheidsexpert Liam O Murchu van Symantec heeft grote bewondering voor de makers van de Stuxnet-worm. Dit computervirus heeft het voorzien op industriële systemen en kwam deze week opnieuw in de aandacht omdat volgens computerspecialisten een Iraanse kerncentrale het doelwit zou zijn. „Maar dat zijn louter speculaties”, zegt O Murchu.

De meeste computervirussen die op internet rondwaren zijn gericht op Windows-pc’s. De Stuxnet-worm neemt echter de controlesystemen op de korrel die gebruikt worden in industriële processen: de geautomatiseerde productie in bijvoorbeeld een bierbrouwerij, een olieraffinaderij, het gasleidingennet of een kerncentrale. Dat een virus zulke installaties kan beïnvloeden is in filmscenario’s al jarenlang gemeengoed. Maar het is voor het eerst dat deze bedreiging ook ‘in het wild’ rondgaat. „Stuxnet is nieuwe stap in de virushistorie”, aldus O Murchu.

Gevoelige industriële infrastructuren staan niet rechtstreeks in verbinding met internet en zijn daarom lastig te besmetten. Maar de Stuxnet-worm is een slimme tweetrapsraket. Het eerste slachtoffer is een Windows-pc met internetverbinding, die besmet wordt via de reguliere methoden van pas ontdekte lekken in het besturingssysteem.

Vervolgens gaat de worm in het bedrijfsnetwerk op zoek naar andere computers die gebruikt worden om industriële controlesystemen te programmeren. De worm heeft het voorzien op de software van Siemens, marktleider in dit segment.

Daarbij worden allerlei methodes gebruikt, zoals besmetting via usb-sticks en gedeelde netwerken. O Murchu: „De worm probeert op zes of zeven manieren tegelijk toegang te verkrijgen tot de computers die het industriële proces bepalen.”

De veiligheidsspecialist studeert nu al twee maanden op de complexe Stuxnet-code: „De hackers moeten met vijf tot zes man een half jaar gewerkt hebben aan deze geavanceerde code en dat is nog een conservatieve schatting. Het vergt enorm veel tijd om te achterhalen wat voor hardware en software er in bedrijven gebruikt wordt.”

Zoveel moeite kan eigenlijk alleen maar gedaan worden door een groep hackers die in opdracht van een land of een geheime dienst werken, beaamt O Murchu. „Het was ook hun bedoeling om de besmetting geheim te houden. Alle veranderingen aan het systeem moesten onder de radar blijven – dat Stuxnet toch uitlekte, moet een tegenvaller geweest zijn.”

De worm is geschreven om één soort doel aan te vallen, maar O Murchu verwerpt de theorie dat Stuxnet het op een Iraanse kerncentrale voorzien had. Volgende week hoopt Symantec bekend te maken wat precies de code is waarmee de hackers probeerden in te breken. Zo zouden veiligheidsspecialisten van andere bedrijven en instellingen kunnen herkennen of de aanval op hun systeem gericht is – alsof je met een sleutel het bijbehorende slot probeert te vinden. Het is nog maar de vraag of dat ooit in de openbaarheid komt: de meeste bedrijven lopen niet met zulke kwetsbaarheden te koop.

Siemens noemt Stuxnet ‘oud nieuws’ omdat de gaten in Windows inmiddels al verholpen zijn door Microsoft. In de praktijk blijken systeembeheerders echter traag met het installeren van de updates, waardoor Stuxnet zich kan blijven verspreiden.

De Nederlandse kerncentrale in Borssele heeft afdoende maatregelen genomen om besmetting van de Stuxnet-worm te voorkomen, laat een woordvoerster weten. Welke dat precies zijn wil ze niet zeggen. Borssele werd tijdig gewaarschuwd door Govcert, een organisatie die namens de overheid cybercriminaliteit in Nederland in de gaten houdt.

Govcert is niet van plan een nieuwe waarschuwing uit te brengen zolang er geen verandering optreedt in de dreiging. Maar volgens Liam O Murchu van Symanetc is de dreiging van Stuxnet nog lang niet verdwenen. „Ook al is de remedie al enkele maanden bekend, het virus blijft zich volgens onze gegevens verspreiden. Ook al zeggen Siemens en Microsoft dat het probleem is opgelost, Stuxnet is absoluut nog niet dood en begraven.”