- Dette er cyberkrig
Ralph Lagner mener det bare finnes fem ingeniører i verden som kunne laget Stuxnet-viruset.
- Stuxnet blir som om et F35-jagerfly dukket opp på slagmarken under første verdenskrig, sier Ralph Lagner, en av verdens store Stuxnet-eksperter.
Han er fra talerstolen på Paranoia-konferansen torsdag i ferd med å forklare hvorfor Stuxnet er så avansert at viruset må være skapt av en nasjonalstat.
For det første er det den voldsomme progresjonen. Man kan se trusselbildet gå jevnt og trutt oppover i avanserthet i en fin kurve, helt fra passord-gjetting på 80-tallet og frem til nå. Men Stuxnet er et sjumilssteg som gir en unaturlig peak i progresjonen.
- Det er ingen logisk progresjon bak, sier Lagner.
Så er det prislappen. Den såkalte dropperen, som gjør at viruset klarer å snike seg inn på maskinene, utnytter hele fire nulldagssårbarheter, altså til da ukjente og dermed ikke-sikrede sikkerhetshull. Markedspris ville vært én millioner dollar, mener han.
Bananas payload
Men Lagner er ikke så opptatt av dropperen. Det som er vanvittig i hans øyne, er den såkalte payloaden, eller lasten, hva viruset gjør. Stuxnet er som kjent et målrettet virus mot industrisystemer, nærmere bestemt Siemens SCADA-programvare. Viruset er laget for å ødelegge sentrifuger som brukes til uran-anriking. Helt konkret i Iran.
Det er ikke hvordan Stuxnet kom seg inn som forbauser eksperten, det er hva Stuxnet forsøkte å gjøre på innsiden.
- Lasten er mye mer sofistikert enn dropperen, mener Lagner.
Han snakker om ting som angrepet mot PLS (Programmerbar Logisk Styring) på systemnivå, injisering av kode i PLS-språket STL, angrep på PLS på applikasjonsnivå og rosinen i pølsa – crackingen av IR 1-rotoren, selve sentrifugerotoren som brukes i Iran, to meter lang og med toppfart på 350 meter i sekundet.
- Én million dollar for fire nulldagssårbarheter er ingenting mot rotorcrackingen. Her har det blitt brukt etterretning noen har risikert livet for. Det involverer så konfidensiell informasjon at trolig ikke engang inspektørene på atomkraftverket har tilgang til den, sier Lagner.
- Og STL-injeksjonen er ikke laget av hackere. Dette er laget av ingeniører, og det er trolig bare rundt fem folk i verden som kan klare en slik jobb.
Dette er krig
Han er ikke i tvil:
- Dette er cyberkrig. Vi har diskutert cyberkrig i årevis, men med Stuxnet skjønte vi at dette er ekte vare.
Lagner mener det har forekommet et lettere misbruk av begreper. Han er klar på at den reelle definisjonen av cyberkrig involverer nasjonalstater, har militære mål og forårsaker fysisk skade.
- All annen bruk av ordet cyberkrig er metaforisk. Ellers ville vi vært i cyberkrig hele tiden, sier han.
Likevel frykter han ikke denne formen for krig. Det er bedre enn skarp krig, der kulene flyr og kruttet sprenger. Og det er bedre enn hva de sentrale delene av Stuxnet kan brukes til videre – angrep utført av ikke-nasjonalstater.
- Jeg er bekymret for andre aktører og ser for meg en pyramide som går fra nasjonalstater til terrorister til organisert kriminalitet og til hackere. Cybervåpen er enkle sammenlignet med ekte våpen fordi det er bits og bytes i stedet for fysisk materiale som kan være vanskelig å få fatt på, sier Lagner.
Han mener ikke-nasjonalstatlige aktører kan spille en stor rolle, fordi det er vanskelig å overvåke tilstanden og være aktsomme overfor angrep.
- Selv hvis du komprimerer Stuxnet til minste mulige størrelse, og tar bort det SCADA-spesifikke, kan viruset forvolde skade. Du trenger ikke manipulere en pumpe, det holder om pumpen slutter å pumpe, da kan den feile og skade seg selv, samt mennesker rundt. Verdens største idiot kan angripe enkelt ved hjelp av pek og klikk, ifølge Lagner.