Stuxnet: Israel of China

Het eerste stukje bewijs van cyber war in uitvoering: Stuxnet
In dit stukje ga ik enkel kort in op welk land hier mogelijk achter zit. In mijn eerdere rommelige blogs (ieder begin is moeilijk) gaf ik al een voorzetje richting Israel. Vandaag ga ik wat dieper in op China, en zet ik deze 2 tegen elkaar uit.

Verdacht makingen China
Bij cyberwar word al snel richting China gewezen. Dat is de geaccepteerde norm. China bemoeit zich zeer veel met 'het internet' en past strenge censuur toe. Zo worden onder andere google zoek resultaten gefilterd, en heeft China een grote firewall.
Ook wordt veel apparatuur in China gemaakt, wat de mogelijkheid op een backdoor in de firmware hierdoor vergroot, en wat weer de oorzaak van speculaties hierover is. Bewijs dat firmware gemanipuleerd is, is nog niet gevonden, maar ook de FBI blijft op zijn hoede.
De belangrijkste verdenkingen zijn echter naar buiten gekomen door de Wikileaks documenten. Hierin wordt namelijk gesproken over hacker aanvallen van China op google, Amerikaanse overheids computers en diens bondgenoten, de Dalai Lama en Amerikaanse bedrijven, dit alles sinds 2002.
Als laatste zijn er 2 'verdachte' universiteiten, volgens onderzoekers zijn deze scholen 'de bron' van de google aanvallen. Het gaat hier om de Jiaotong-universiteit in Shanghai en de Lanxiang Vocational School in het oosten van de provincie Shandong. Van de Jiaotong-universiteit is bekend dat deze IT opleidingen geeft, van de Lanxiang Vocational School word vermoed dat deze 'verdachte' informatica lessen aanbiedt.
Vooralsnog lijkt de hack motivatie van China vooral te liggen in het vergaren van inlichtingen.
Verder moet worden opgemerkt dat China voor 1999 mee werkte aan de kerncentrale van Bushehr, Iran, maar deze samenwerking uiteindelijk dus op 9 december 1999 beëindigde.

Stuxnet link met China
Er zijn een aantal elementen van Stuxnet die richting China zouden wijzen.
Om te beginnen heeft China grote kennis over de kerncentrale, omdat China zelf geholpen heeft met de bouw ervan. Ze weten dus exact welke apparatuur er gebruikt word.
Tevens valt Stuxnet de frequentie converter drives van het Finse Vacon aan, deze worden niet in Finland, maar in het Chinese Suzhou gemaakt.
In Suzhou bevindt zich eveneens een dochter onderneming van het Taiwanese RealTek, te weten Realsil Microelectronics. De digitale certificaten die stuxnet gebruikte zijn afkomstig van RealTek.
Een ander argument is dat China over de broncode van Windows beschikt, en daardoor de vier 0-day lekken in Stuxnet kon vinden. Echter is het goed te weten dat vele andere landen inmiddels over de broncode beschikken, waaronder ook Nederland.

Verdacht makingen Israel
De moord op Majid Shahriari, een Iranese professor aan de Universiteit van Teheran en nauw betrokken bij het Iranese atoomprogramma, zou wijzen richting de Mossad van Israel. De aanslag zou diverse kenmerken van de Mossad hebben. Van de Mossad is verder bekend dat deze al vaker moord aanslagen in het buitenland heeft uitgevoerd. In veel artikelen word gezegd dat Majid Shahriari verantwoordelijk zou zijn voor de bestrijding van Stuxnet binnen de kerncentrales. Waarom een atoomwetenschapper deze taak toebedeelt zou krijgen is mij onduidelijk. Wat wel opgemerkt moet worden is dat computer sience en nuclear sience overlappende studies zijn met gezamenlijke kenmerken, dus uitgesloten is het niet dat de professor deze taak toebedeelt had gekregen. Echter lijkt mij dit niet het geval, deze gedachte word bij mij vooral ondersteund door een reeds eerder gepleegde moord op 12 Januari 2010 op de Iranese atoom geleerde Masoud Alimohammadi. Deze beide professoren gaven les op de Universiteit van Teheran, en waren beiden gespecialiseerd in de Kwantummechanica.
Iran beweert op 10 Januari 2011 een 'netwerk van Mossad' spionnen opgerold te hebben, dit zou naar boven gekomen zijn door het onderzoek naar de moord op Masoud Alimohammadi.
Om duidelijk te maken waarom bovenstaande moorden richting de Mossad verwijzen, stuur ik je door naar de volgende bizar lange lijst met moorden waarbij de Mossad betrokken zou zijn. Dit geeft duidelijk aan dat Israel niet vies is van moorden buiten de eigen grenzen en bereid is zeer grote risico's te nemen, ook op diplomatiek niveau.
Een andere opmerkelijke gebeurtenis is het spontane verdwijnen van Shahram Amiri. Deze Iranese atoom geleerde, eveneens werkzaam aan de Universiteit van Teheran, verdween tijdens een pelgrimstocht naar Mekka. Volgens diverse media zou dit de grootste tegenslag voor het Iranese atoomprogramma zijn. Echter keerde deze geleerde op 13 Januari 2010 ongedeerd weer terug naar Iran. Hij bleek al die tijd vrijwillig in Amerika ondergedoken te zitten, in ruil voor informatie over het Iranese atoomprogramma zou hij 50 miljoen dollar aangeboden hebben gekregen. Echter zou hij terug gekeerd zijn naar Iran omdat zijn directe familie in dat land dermate onderdruk werd gezet dat hij wel moest. Er zou gedreigd zijn hen te vermoorden.
Dat Israel bereidt is ver te gaan met moorden buiten de grenzen van het eigen grond gebied is één ding. Israel blijkt ook bereid ver te gaan in de bestrijding van mogelijke vijandige landen welke interesse tonen in kernenergie, dan wel kernwapens. Het probeert deze landen op allerlei manieren dwars te zitten. Uit Wikileaks documenten blijkt dat Israel in 2007 zelfs op eigen houtje een luchtaanval heeft gepleegd op een Syrische kernreactor.
Bovenstaande gebeurtenissen schetsen een soort entiteit die over een perfecte motivatie beschikt voor de creatie van: Stuxnet, inclusief de gevolgen ervan. Denk hierbij aan het feit dat de worm ontdekt is en men er ook voor had kunnen kiezen deze worm 'geheim' te houden. De worm is min of meer in het wild los gelaten en heeft diverse niet relevante systemen geïnfecteerd, en op die manier dus zeer veel schade aangericht.

Stuxnet link met Israel
Echt duidelijke aanwijzingen met kenmerken van Israel binnen Stuxnet zijn er niet. Er zou een datum in de code van Stuxnet zitten die zou verwijzen naar de datum 9 mei 1979, op die datum is Habib Elghanian geëxecuteered. Hij was een prominent Iraans joods zakenman die aan het hoofd stond van de Teheranse joodse gemeenschap. Enfin, vast staat dat die datum in de code voorkomt, en als de computer over deze register sleutel beschikt deze word overgeslagen met besmetting van Stuxnet.
Verder werd de bestandsnaam 'Myrthus' aangetroffen. Wat weer een Bijbelse verwijzing zou kunnen zijn. Myrtus is het Latijnse woord voor Myrtle, een andere naam voor Esther (de Joodse koningin die haar volk redde van de Perzen). Maar je zou het natuurlijk ook kunnen lezen als My RTU’s (remote terminal units).
Wat wel met een duidelijke vinger naar Israel wijst is het feit dat Israel beschikt over een groot Cyberarmy. De zogenaamde IDF Unit 8200 is al sinds 1990 bezig hackers (vooral tieners) aan deze unit toe te voegen door hen de mogelijkheid te bieden de gevangenis in te gaan, of voor hen te werken. Deze unit is op dit moment uitgegroeid tot één van de grootste Cyberarmy's in de wereld.
De New York Times onthulde op 17 Januari 2011 dat de Verenigde Staten samen met Israel Stuxnet getest zou hebben. Dit zou gebeurt zijn in de Israëlische Dimona kerninstallatie. Zij hebben dit geconcludeerd uit gesprekken met experts. Wie deze experts precies zijn is niet duidelijk.
Als aller laatste aanwijzing is er een opmerkelijke uitspraak van Meir Dagan. Hij was tot 1 Januari 2011 hoofd van de Israëlische Mossad, en meldde op het allerlaatste moment nog even dat Iran zeker tot 2015 niet over kernwapens kan beschikken. Een opmerkelijke uitspraak waarbij hij met de eer van Stuxnet lijkt te willen strijken.

Conclusie
Vast staat dat er op dit moment geen enkel land beschuldigd kan worden, en of dat ook ooit gaat gebeuren zal de vraag zijn. Landen zullen altijd blijven ontkennen.
Hoewel China de traditionele eer heeft van dit soort daden beschuldigd te worden, schetst het dader profiel een heel andere dader: Israel.