Hij is mislukt!
Waarom? Omdat hij ontdekt is. De geruchten doen de ronde dat hij wel succesvol is geweest, omdat hij zijn 'taken' al heeft uitgevoerd. Maar ten tijden van oorlog is het nog altijd: "Hit & Run". Taak 1: Hit is dan misschien gelukt, maar taak 2 is duidelijk niet gelukt. Stuxnet is zich blijven versprijden en zo uiteindelijk ontdekt.
Geen enkele crimineel of land dat criminele acties onderneemt (en dat is gelijk de overeenkomst) wil ontdekt worden. Wanneer je ontdekt wordt is het enige wat je doet de kans op ontdekking vergroten.
In de stuxnet software zelf is rekening gehouden hiermee. Er is een mechanisme ingebouwt om zichzelf te verwijderen. Deze is echt nooit gebruikt. Waarom niet?
Wat bekend is, is dat de Command en Control servers offline zijn gehaalt ergens in 2009. Waarom?
Werd het de criminelen te heet onder de voeten? Ze moeten geweten hebben dat het offline halen van deze servers zou betekenen dat zij de controle over dit virus zullen verliezen.
Nu zullen sommige verwijzen naar het de P2P functie van de stuxnet software. Dat klopt. Maar deze zal enkel instaat zijn geweest een groot gedeelte van de software te verwijderen maar nooit alle. Waarom niet alle? Stuxnet is vooral geprogrammeerd om zichzelf te verspreiden via USB sticks. Hij vermenigvuldigd zich naar de root van USB-sticks en probeert vanuit daar weer andere systemen te infecteren. Iedereen die zich een aanvals vector inbeeld waarbij USB sticks als primair verspreidings middel worden gebruikt weet dat dit niet de snelste manier is. USB sticks worden nogal eens op een kastje neer gelegd, USB sticks worden nog al eens verloren, en USB sticks worden al helemaal niet regelmatig gebruikt.
Goed, bij een verspreiding van deze omvang moeten de ontwikkelaars van deze software dit zich absoluut gerealiseerd hebben. En zij moeten zich ook gerealiseerd hebben dat het offline halen van de command en control servers hun uiteindelijke ontdekking zou betekenen.
Dit word nog duidelijker versterkt door het feit dat ten tijde van het offline halen van de command en control servers de 4 verspreidings technieken nog steeds niet ontdekt waren door microsoft en het virus zich dus ook nog actief zou vermenigvuldigen.
Welke conclusies we hieruit kunnen trekken vind ik moeilijk te zeggen. Duidelijk is dat de personen aan het hoofd van dit project risico's hebben genomen!
Zeer grote risico's en misschien wel voor een land onaanvaardbaar hoge risico's.
- Het is mogelijk dat een projectleider onder druk heeft gestaan en daardoor risico's heeft genomen.
- Het kan zijn dat een kritieke tijds druk op het project heeft gestaan, en daardoor risico's zijn genomen.
- Het kan zijn dat een project leider de risico's te laag heeft ingeschat, of niet goed duidelijk gemaakt aan de leiding.
Immers, wat als er duidelijk een land aangewezen kan worden als schuldige?
Het opdoeken van de Command and Control servers was uiteraard het laatste zeer duidelijke spoor dat tot de daders geleid zou kunnen hebben. Nu zou het niet zo zeer zijn dat aan het einde van het ip adres iemand gearresteerd zou kunnen worden, maar het zou in ieder geval aanknopings punten kunnen bieden om dichter bij een dader te komen. Wellicht waren er keurig videobeelden beschikbaar van deze criminelen, zoals dat was bij "De Mossad moordaanslag in Dubai". Overigens geeft deze laatste aanslag aan dat Isreal bereid is risico's te nemen.
