****
recensie Zero Days
Oorlog in het digitale domein
door Alfred Bos
Hoe geheime diensten hun hand overspeelden en een tactisch cyberwapen onbedoeld zich over de hele wereld verspreidde. Zero Days zet het digitale equivalent van de atoombom in de schijnwerpers.
Zero days is het jargon van hackers voor nog niet ontdekte codeerfouten die kunnen dienen als toegangsdeur om in te breken in een computer of computersysteem. Ze zijn de graal voor criminelen en spionnen, want is het gat eenmaal gebruikt dan is het ook bekend bij de gedupeerde en wordt doorgaans snel gedicht. Zero days zijn handel op de illegale marktplaats van internet, het donkere web alias darknet.
Zero Days is de titel van de film die de Amerikaanse documentairemaker Alex Gibney heeft gemaakt over het meest opzienbarende – en angstaanjagende – voorbeeld van cyberwarfare, oorlog die zich afspeelt in het digitale domein maar verregaande consequenties heeft voor de wereld van baksteen en asfalt. Het idee: leg een energiecentrale plat en een stad zit zonder stroom. Dat is een stuk efficiënter en kosteneffectiever dan platbombarderen.
Vernietigende worm
Centraal in Zero Days staat Stuxnet, de naam waaronder een geheimzinnige computercode bekend werd. In 2010 voor het eerst geïdentificeerd als malware (software voor spionage- of sabotagedoeleinden), werd binnen kringen van internetbeveiligers gaandeweg duidelijk wat Stuxnet feitelijk was: een worm die het atoomprogramma van Iran saboteerde. Verbazing, zelfs ontzag, was er over de verfijning en de complexiteit van de worm.
Virussen vallen computers aan en worden door een netwerk verspreid door de gebruikers van de geïnfecteerde computers. Computerwormen attaqueren een netwerk en verspreiden zichzelf, daar zijn geen onwetende gebruikers voor nodig. Stuxnet zat zo sluw in elkaar dat het nooit het product van één hacker kon zijn. Niemand is zo slim en niemand heeft de tijd om zo’n omvangrijk programma te schrijven. Stuxnet moest de creatie van een team zijn.
De sporen wezen naar de geheime diensten van Israël en Amerika, landen die ten koste van alles wilden verhinderen dat het door conservatieve islamitische geestelijken geregeerde Iran over een atoomwapen zou kunnen beschikken. Zero Days opent spectaculair met een nagespeelde aanslag op een Iraanse atoomfysicus en maakt vervolgens veel tijd vrij om het hoe, wat en waarom van de zaak helder te maken.
Bloedstollende implicaties
Het onderwerp van Zero Days staat voor de meeste kijkers wellicht ver van hun bed en de grimmigheid van het Stuxnet-verhaal haaks op het enthousiasme waarmee men zich dagelijks overgeeft aan de virtuele wereld van de sociale media.
Daar is de regisseur – hij maakte recentelijk spraakmakende en onthullende documentaires over Steve Jobs (The Man in the Machine) en de Scientology ‘kerk’ (Going Clear: Scientology and the Prison of Belief ) – zich terdege van bewust en hij steekt veel energie in de uitleg en presentatie van het exotische onderwerp. Pratende hoofden van insiders (technici, politici en spionnen) wisselen af met verhelderende animaties en gestileerde graphics. Saai is Zero Days nimmer.
Dat kan ook nauwelijks, want het verhaal en zijn implicaties zijn bloedstollend. Tussen 2008 en 2010 functioneerde Stuxnet perfect. De centrifuges van het Iraanse atoomprogramma trilden kapot, terwijl de technici op hun monitors niets vreemd aflazen. Toen ging het mis. Men ging aan Stuxnet sleutelen, de nieuwe versie was agressiever dan de vorige en—Stuxnet ontsnapte. De worm vermenigvuldigde zich vanuit Iran en dook op in industriële installaties over de hele wereld, ook Amerika. Zo werd Stuxnet ontdekt.
Officieel is de worm niet meer actief sinds 24 juni 2012; in de code was een einddatum geprogrammeerd. Het is echter niet bekend of alle kopieën van Stuxnet zijn gedetecteerd dan wel verwijderd en in beginsel kan de sluimerende malware opnieuw worden geactiveerd. Dat zou de infrastructuur van menige geïndustrialiseerde natie kunnen platleggen, een grotere nachtmerrie is nauwelijks denkbaar.
Digitale atoombom
Voormalig CIA- en NSA-directeur Michael Hayden spreekt over Stuxnet als het digitale equivalent van de atoombom en pleit voor meer openheid van spionagediensten en overheden over hun cyberwapenprogramma. Net zoals er internationale verdragen zijn voor atoomwapens moet er een verdrag voor cyberwapens komen.
En daar zit het horror-aspect van Zero Days. Het is niet eens de technologie, het is hoe de politiek daar mee omgaat. Ze houden hun speelgoed liever onder de pet en ontkennen de risico’s, ook daar is de documentaire glashelder over. Ondertussen is er vorig jaar ingebroken in de computers van de NSA en zijn cyberwapens – net als Stuxnet – ‘ontsnapt’ naar het publieke domein. De mogelijke consequenties doen de nachtrust geen goed.
Stuxnet ontbreekt geheel in de gesponsorde propagandafilm Lo and Behold die Werner Herzog het afgelopen jaar over internet maakte. Alex Gibney’s Zero Days haalt dat sprookje hard onderuit, in het net slaapt een grote boze wolf. Na het zien van Zero Days kijk je nooit meer hetzelfde naar je smartphone.
24 maart 2017
Ondertussen, op de redactie:
Hoe hebben jullie naar Zero Days gekeken?
MEER RECENSIES