26 le Monde diplomatique – mars 2011

Virus som herjet med det iranske atomprogrammet Digitalt angrep mot

Datavirus. Samtidig som forhandlingene om Irans atomprogram startet i Istanbul i januar, dukket det opp noen sensasjonelle avsløringer: Dataviruset som rammet Iran skal ha blitt utviklet i Israel med amerikansk hjelp.

Philippe Rivière ter, fram noen besynderlige variasjoner i de ulike framstillingene av saken: «Både Journalist, franske Le Monde diplomatique. amerikanske og israelske talspersoner har antydet at Stuxnet for øyeblikket har hem- «Et nytt Tsjernobyl!» Nylig skapte Russ­ met Irans anrikningsprogram. […] Men en lands NATO-ambassadør, Dimitrij Rogozin, nylig gjennomgang utført av Federation of sensasjon da han ba om en granskning av American Scientist, på bakgrunn fra data Stuxnet, dataviruset som har angrepet iran- fra FNs atominspektører, indikerer at Iran ske atomanlegg de siste månedene. Viruset i 2010 faktisk økte omfanget og effektivi- kunne ifølge ham ha ført til en kjernefysisk teten til anrikningen, på tross av Stuxnet- nedsmeltning i atomreaktoren i Busher sør angrepet.»� i Iran. En «virtuell» og «fullstendig ubegrun- Disse forskjellene skyldes ifølge Ritter net» påstand, svarer den tyske sikkerhets- «kappløpet» mellom Iran og «P5+1» (de eksperten Ralph Langner, som i september fem permanente medlemmene i FNs sik- laget den første komplette studien av viru- kerhetsråd – Kina, USA, Frankrike, Storbri- set. «For det første var ikke Busher målet tannia og Russland – og Tyskland). «Slike fak- til Stuxnet.» Målet var faktisk Natanz, der tabaserte gjennomganger har blitt ignorert 7000 sentrifuger for anrikning av uran ble til fordel for spekulasjoner om potensielle rammet. «For det andre, selv om dette var scenarier». Siden diplomatene i snart tjue tilfellet, ville det ikke kunne nå systemene år har hevdet at Iran er på nippet til å skaffe i fremste krets [som er i kontakt med det seg en atombombe, har de «begrenset de radioaktive materialet]. Det morsomme er politiske valgmulighetene til de som dreier at russerne vet dette svært godt.»� For Ahmadinejad på besøk i atomanlegget i Natanz, som Stuxnet etter all sannsynlighet var seg om disse overdrevne hypotesene» hev- Russland er Irans viktigste partner på dette programmert til å ramme. Foto: Irans pressetjeneste. der Ritter. Dermed skal de ha innsnevret området. Stuxnet-saken, historien om en debatten. Forsinkelsen som tilskrives sabo- høyteknologisk sabotasje, er som en roman sjekt mellom amerikanerne og israelerne, skal Teheran ha blitt rammet av «en sta- tasjeoperasjonen gir rom for å fortsette der handlingen glir rask fra datakode til et med bevisst eller ubevisst bistand fra tys- dig økende tilbakeslag».4 Rapporten lister forhandlingene uten å miste ansikt. skyggespill av IT og diplomati. kerne og britene».2 opp: «økende vansker med å få tak i uunn- Skal man dermed hylle Stuxnet for å ha Tyskerne det her dreier seg om er fir- værlige deler på det internasjonale mar- minket farene for et «preventivt angrep»? Noen fakta later til å være etablert. De maet Siemens som lager IT-systemene for kedet, driftsproblemer for et stort antall Foruten den åpenbare asymmetrien mellom som laget viruset har brukt mye tid på industriell overvåkning («Scada») som av sentrifugene, og noe som kan ligne på de to naboene – de israelske atombombene det (kildekoden på rundt 15 000 linjer brukes i det iranske atomanlegget. Ifølge hemmelige aksjoner utført av utenland- er verdens «dårligst bevarte hemmelighet», må ha krevd rundt ti «ingeniør-år») og enkelte scenarier skal Stuxnet ha trengt seg ske etterretningsorganisasjoner». Blant de mens det iranske programmet virker å ha et hatt avansert kunnskap (ormen brukte fire inn i Natanz gjennom en USB-nøkkel som sistnevnte finner vi «dataangrep, sabotasje godt stykke igjen – kan sabotasjeaksjoner i ukjente hull i operativsystemet Windows ble infisert av de russiske leverandørene. på nøkkelutstyr Iran leter etter i utlandet, fredstid føre til represalier eller opptrap- for å overføre viruset). «Analysen av koden Deretter skal viruset, etter å ha gjenkjent infiltrasjon og forstyrrelse av Irans smu- ning. Det er altså paradoksalt om de mest indikerer tydelig at Stuxnet ikke har som sitt mål (merket til enkelte frekvenskon- glernettverk, og mord på atomeksperter». avanserte landene, som i utgangspunktet mål å sende et budskap eller demonstrere troller), aktivert en angrepssekvens verdig Det siste rammet fysikeren Majid Shahriari har mest å tape, skulle legitimere slike et konsept,» skriver Langner. «Det dreier en hollywoodfilm: Mens det viste tilsyne- som døde 29. november 2010 da bilen hans aksjoner. Men datapiratvirksomhet er en seg om å ødelegge målene, med en mili- latende normale data på sikkerhetsskjer- eksploderte. Men ifølge rapportens forfat- kampsport, der angrep er det beste forsvar. tær besluttsomhet.» Ifølge en rapport fra mene, skal viruset gjentatte ganger ha økt tere, David Albright og Andrea Stricker, I , der man har friskt i minne antivirusselskapet Kaspersky i Moskva rotasjonsfrekvensen til sentrifugene og «virker det som om de største problemene hvordan Googles e-postsystem ble hacket har Stuxnet-ormen som dukket opp i 2009 kjørt rotorene til tålegrensen for å skape en har blitt forårsaket av Stuxnet, som begynte (sannsynligvis) av kineserne, har presidenten spredt seg i en rekke land, særlig i India, unormal mengde skader. å ramme gassentrifugene i anrikningsan- bedt om en knapp som kan stenge internettet, som er hardest rammet med 8565 infiserte som en siste forsvarslinje i tilfelle «dataan- maskiner (i september 2010), og Indonesia grep fra utlandet». Estland, som i 2007 ble (5148), mens Iran kommer på tredjeplass Etter først å ha kalt det et eventyr, rammet av et ukjent «dataangrep» (som de med 3062 kjente tilfeller. fleste tror stammet fra Russland), huser nå Var målet de iransk atominstallasjone- innrømmet Ahmadinejad at dataormen Natos forsvarssenter for dataangrep. ne? Det hevder en svært detaljert artikkel «hadde skapt «enkelte problemer». Oversatt av R.N. i New York Times 15. januar 2011. Ifølge anonyme amerikanske og israelske kilder skal viruset ha blitt utviklet for formering Israel har ikke sagt at de står bak viruset, legget Natanz i 2009». Etter først å ha 1 «The Virtual Chernobyl», 1. februar 2011, www.langner.com. i et system med samme størrelse som nett- men de har heller ikke benektet det. Stux- kalt det hele et eventyr, innrømmet den 2 WilliamJ. Broad, John Markoff og David E. Sanger, «Israeli Test on verket av sentrifuger i Natanz. Og arbeidet net inngår i utbudet av sabotasjehandlinger iranske statslederen Mahmoud Ahmadine- Worm Called Crucial in Iran Nuclear Delay», NewYork Times, 15. januar 2011. skal ha blitt utført i atomanlegget Dimona, mot det iranske atomprogrammet som tid- jad høsten 2010 at dataormen hadde skapt 3 Haaretz, Tel-Aviv, 7. januar 2011. i hjertet av det israelske militære atom- ligere Mossad-sjef Meir Dagan nylig skrøt «enkelte problemer», som var «blitt løst». 4 «Iran’s Nuclear Setbacks: A Key for U.S. Diplomacy », 18. januar programmet i Negevørkenen. Artikkelen av å ha forsinket «med flere år: iranerne I en artikkel i tidsskriftet Nuclear Intel- 2011, Institute of Peace, www.usip.org. avslutter med at «det hemmelige kappløpet vil ikke ha atomvåpen før i 2015».3 Ifølge ligence Weekly trekker tidligere FN-våpen- 5 Scott Ritter, «In Perspective: The Stuxnet Effect», Nuclear Intelligence Weekly, NewYork, 31. januar 2011. for å skape Stuxnet var et samarbeidspro- en rapport fra American Peace Insitute inspektør for Irak (1991–1998), Scott Rit-

➜ og presidenter, næringslivsledere, mil- Szymielewicz fra Panoptykon Foundation begrense antallet instanser som kan søke om 1 Det dreier seg om dokumentet «Room document. Evaluation of directive 2006/24/EC and of national measures to combat crimi- liardærer og kirkeledere som hadde nær til- mener EU med datalagringsdirektiv har gitt slik adgang og under hvilke omstendigheter nal misuse and anonymous use of electronic communications». knytting til pressen. I mai 2008 ble overvåk- seg selv et mektig overvåkningsredskap, slike data kan blir brukt til å oppklare forbry- 2 Pressemelding 14. juli 2010 ningen avslørt av en varsler. Like etter ble samtidig som det mangler gode mekanis- telser,» mener Szymielewicz. 3 Åpent brev til EU-kommisjonær Cecilia Malmström 22. juni 2010 fem ledere og flere andre ansatte permittert. mer for å beskytte personvernet. «Hvis EU Arnbak fra Bits of Freedom håper EU i 4 AK Vorrat, «There is no such thing as secure data. Refuting the myths of secure IT systems», www. vorratsdatenspeicherung.de. Tyskland implementerte EUs datalagrings- ikke ønsker at direktivet i praksis forblir større grad vil legge begrensninger på bru- 5 Panoptykon og Den polske helsingforskomité, «Joint statement regar- direktiv i 2008, men begrenset lagringsti- et undertrykkende og kontroversielt instru- ken av datalagringsdirektivet i framtiden. ding the evaluation of directive 2006/24/EC», 5. november 2010 den til seks måneder. I mars 2010 vendte ment som begrenser våre grunnleggende Han mener det allerede er endringer på vei 6 PCWorld, 27. januar 2011 imidlertid det tyske rettsvesenet ryggen til rettigheter, må det innføres effektive beskyt- etter Lisboa-traktaten. «Det store problemet 7 Panoptykon, «Åpent brev til statsminister Donald Tusk», 13. oktober 2010. direktivet, da den tyske forfatningsdomsto- telsestiltak. Mangelen på slike tiltak åpner med datalagringsdirektivet i 2005 var at det 8 Gazeta Wyborcza 8. oktober 2010 len erklærte datalagringsdirektivet grunn- for misbruk,» sier Szymielewicz. var det mest enorme stykket EU-lovgiving 9 Human Rights House Foundation, «Surveilance of Polish journa- lovsstridig i forbindelse med en lov som ga Foreløpig ser hun ikke annen utvei enn som har blitt iverksatt. Ingen direktiv har lists case – new developments», 14. januar 2011. myndighetene rett til å lagre data om bor- å kjempe lokalt og nasjonalt for å kunne blitt framforhandlet raskere. Det demokra- 10 Privacy International, «PHR2006: Republic of Poland», 18. desember 2007 11 Polsk radio 3. oktober 2009 gere for anti-terrorismeformål. Domstolen begrense direktivets konsekvenser i Polen. tiske underskuddet har blitt fjernet fordi 12 Bits of Freedom, «What the European Commission owes 500 million kalt loven «en alvorlig innblanding» i «Staten vil alltid være sterkere enn det sivile Europaparlamentet har fått en mer likverdig Europeans». enkeltborgeres personvern.16 samfunnet når det gjelder å utforme lovene. status i forhold til medlemsstatene, og vil ha 13 Nieuwe Revu nr. 51, 2008 Etter at direktivet ble innført gikk antall Direktivet burde heller omformes til et verk- medvirkning i hva som skjer videre. Jeg tror 14 «Bits of Freedom strikes again: Dutch government cancels national database on bank data», 18. november 2010, www.bof.nl. alvorlige forbrytelser i Tyskland opp fra 1,36 tøy for å begrense statens makt til å over- debatten vil bli mer balansert og mer basert 15 Alternet, 25. november 2008. millioner saker i 2007 til 1,42 millioner i våke. Hvis EU velger å beholde datalagrings- på fakta heller enn politiske argumenter,» 16 European Digital Rights, «German Federal Constitutional Court 2009,17 mens oppklaringsprosenten sank fra direktivet, burde de påkreve rettslig kontroll konkluderer Arnbak. rejects data retention law», 10. mars 2010. 77, 6 prosent til 76, 3 prosent i samme periode. over anmodninger om tilgang til trafikkdata, © norske LMD 17 AK Vorrat, «Registered Serious Crime in Germany».