De publieke informatievoorziening vanuit beveiligingsorganisaties van de Amerikaanse overheid schiet tekort. Bevindingen over Stuxnet komen spaarzaam en laat naar buiten, en missen bovendien details. Dit stellen security-onderzoekers uit de private sector. Computers in de kerncentrale van Iran zijn besmet en ondertussen zijn er ook aanvallen waargenomen bij een Nederlands bedrijf.

Knipseldienst, met vertraging

"Het komt op mij over dat ze een knipseldienst hebben met ingebouwde vertraging", klaagt ceo Dale Peterson van beveiligingsbedrijf Digital Bond. Het Amerikaanse blad Christian Science Monitor haalt zijn blogpost van 20 september aan waarin hij fulmineert over het gebrek aan nuttige informatie vanuit de overheid.

Het gaat dan niet eens over falen door een algemene security-instantie zoals het Department of Homeland Security, of een ict-brede organisatie als Govcert. Onder het ministerie voor Homeland Security valt een specifieke dienst voor industriële systemen. Dat ICS-CERT (Industrial Control Systems Computer Emergency Response Team) gaat juist over software als SCADA en WinCC van Siemens waar Stuxnet speciaal voor is gemaakt.

Details bewust weggelaten

"Noem eens één nieuw of nuttig stuk informatie over Stuxnet dat ICS-CERT aan de gemeenschap heeft gegeven. Of een andere nuttige bijdrage aan het grootste security probleem voor control-systems tot op heden", blogt Peterson boos. Hij roemt het rapport van Symantec als meest gedetailleerde en beste Stuxnet-analyse tot op heden.

ICS-CERT weerspreekt de kritiek. Directeur Sean McGurk van Homeland Security vertelt aan de Christian Science Monitor dat het security-team juist tijdig publieke waarschuwingen heeft gegeven. Daarbij zijn bewust details weggelaten als die niet bijdroegen aan het beschermen van kritieke systemen in de Amerikaanse infrastructuur. Hij zegt dat ICS-CERT de Stuxnet-code onmiddellijk is gaan analyseren en "informatie produceren om die in de handen te krijgen van de gemeenschap zodat die beschermende maatregelen kan nemen".

Indicatorenlijst

ICS-CERT heeft slechts één officiële melding gemaakt over Stuxnet die stamt uit juli, toen de geavanceerde worm werd ontdekt. De ernaast staande rss-feed van nieuwsberichten over kritieke infrastructuur loopt over van de Stuxnet-berichten. De waarschuwingsdienst voor industriële systemen heeft wel een viertal rapporten over deze worm.

De meest recente is van 29 september en geeft een lijst indicatoren die wijzen op infectie door Stuxnet. Dat vierde bulletin van ICS-CERT valt in betere aard, dankzij de praktische info hoe Stuxnet te detecteren op een Windows-pc. "Dit is behulpzaam", oordeelt Peterson minzaam in een recentere blogpost.

Maar er ontbreekt nog informatie over de impact op PLC's en ICS-CERT loopt nog altijd weken achter op wat al is gepubliceerd door Langner en Symantec, klaagt de ceo van Digital Bond. De door hem genoemde Langner is de Duitse security-expert Ralph Langner die is gespecialiseerd in industriële beheersystemen (IACS).

Te beperkt, en incompleet

Die specialist houdt de complexe worm gedetailleerd bij. Hij schiet gaten in het tot op heden meest nuttige Stuxnet-rapport van de Amerikaanse overheid. De genoemde testopstelling is volgens hem te beperkt. De worm gedraagt zich namelijk anders op verschillende configuraties: wat betreft infectie maar ook het innestelen van code in het systeem. Daarmee kan het zichzelf na opschoning van de computer herstellen. Die variabele zelfreparatie is begin vorige week publiek gemaakt, door Symantec.

Bovendien is de door ICS-CERT neergezette testopstelling incompleet, merkt Langner op. Het mist een PLC (programmable logic controller). Dat fabriekscomponent wordt aangestuurd door de industriële software waar Stuxnet binnendringt en waar het dus ook invloed op kan uitoefenen. Het uitvallen van een Indiase satelliet zou door infectie van de controle-systemen zijn gebeurd.