Digitale bommen en granaten van Rob van Wijk

Via Step7 baant het zich een weg naar de industriële systemen zelf alwaar het ultracentrifuges in een opwerkingsfabriek in Iran zodanig uit balans bracht, dat ze onherstelbaar beschadigd raakten.

Een ander voorbeeld is het Griekse afluisterschandaal dat tussen 2004 en 2005 plaatsvond, de premier werd afgeluisterd, net als de burgemeester van Athene en ten minste honderd andere hoogwaardigheidsbekleders, waaronder een medewerker van de Amerikaanse ambassade. Dit ging via vier Ericssons AXE10 telefooncentrales die – bij wet – ook echt afgeluisterd moeten kunnen worden. Juist die functie werd onder de vloer gebruikt door 26 in PLEX geschreven software-implantaten die de gesprekken naar 14 prepaid mobieltjes dupliceerden. Dit werd ontdekt toen er een paar SMSjes niet aankwamen waarover was geklaagd. Mij werd destijds gevraagd of een Griekse telecomengineer die opgehangen in zijn appartement werd aangetroffen, hier verantwoordelijk voor kon zijn geweest, gegeven zijn CV.

Antwoord: neen, dit moest gaan om een statelijke actor die zowel de PLEX-compiler van Ericsson had en deze uitermate complexe taal beheerste. Er moest de simulatie-omgeving beschikbaar zijn om de modules te testen, en zeer gedetailleerde kennis over het systeem van vele miljoenen regels PLEX-code.

Hoe detecteer je dit soort tijdbommen

Van Wijk waarschuwt dat dit soort digitale tijdbommen al lang aanwezig is in allerlei systemen en naar wens af zal gaan op het uur U. De vraag hoe je kunt weten of dat op je systemen zit, en of, en hoe, je het kunt voorkomen is dus urgent en relevant. Uiteraard is met geavanceerde scanners vast te stellen welke software er allemaal in productie draait, en of daar malware bij zit. Ook op verborgen plekken waar zogenaamde rootkits ongemerkt kunnen huizen (een rootkit werd gebruikt bij het Griekse afluisterschandaal). Dus het is maar helemaal de vraag of dit soort malware zomaar in de achtergrond van je machines kan draaien, en daarnaast zitten veel systemen op de cloud en daarvoor zijn allerlei maatregelen om real-time bescherming te bieden tegen malware attacks.

Maar om zeker te zijn, is er zeker meer mogelijk. Wat niet velen weten is dat je op een iPhone alleen software kan draaien die een cryptografische handtekening van Apple bezit, dus elke andere software kun je er wellicht op zetten maar die zal niet werken. Daarom komt alle Apple-software dus van de App-store. Een dergelijk model kan ook worden toegepast op een productieomgeving.

Digitale vingerafdruk testen

Een andere aanpak is het nemen van een digitale vingerafdruk van alle systemen die thuishoren op de productieomgeving. Voordat een systeem mag worden aangeroepen, wordt de vingerafdruk nogmaals genomen, en vergeleken met die in een lijstje om te kijken of dit ook echt de software is die eerder al geautoriseerd was.

Zulke lijstjes kun je weer zetten op een cryptografische coprocessor die zichzelf chemisch opblaast zodra eraan gerommeld wordt. Dit is geen science fiction: die dingen bestaan al decennia. Met zo'n lijstje op een tamper-resistant coprocessor kunnen software-implantaten nooit tot uitvoering komen, ook al vinden ze alsnog hun weg naar een machine.

Dus, er zijn voorbeelden van digitale tijdbommen waar Rob van Wijk voor waarschuwt. Maar het goede nieuws is: ze zijn te vinden, uit te schakelen en te voorkomen.

Nu nog even doen.