Idfa - Zero Days

Een ballon die knapt

De computerworm Stuxnet was het eerste cyberwapen ter wereld, ontworpen om het Iraanse atoomprogramma te ontwrichten. Maar dat was slechts het topje van de ijsberg, zo blijkt uit Zero Days.

Medium zerodays trailer1

Spycraft, heet het. Of voor insiders: trade craft. In elk geval het vak van het spioneren. Maar hoe spannend dit ook klinkt, op een gegeven moment had documentairemaker Alex Gibney genoeg van het clandestiene gedoe tijdens het draaien van Zero Days, over het kwaadaardige Stuxnet-computerprogramma van Amerika en Israël dat ingezet werd als cyberwapen tegen het nucleair programma van Iran. Het incident, zo’n zeven jaar terug, luidde het tijdperk van informatieoorlogvoering in. Met zijn film zoekt Gibney naar antwoorden over de rol van natiestaten in de cyberoorlog. Die krijgt hij.

Vrijwel iedereen die Gibney voor zijn camera interviewt, begint met een lacherige mededeling met de strekking: je denkt toch niet echt dat ik ga praten terwijl de camera draait; of ik kan je het wel vertellen, maar dat ben je je leven niet meer zeker. Crafty zijn ze, uitgeslapen, deze ‘ambachtelijke’ mannen en vrouwen die werken of werkten bij instanties als de Cyber Operations-eenheid van de National Security Agency (nsa), de Amerikaanse en Israëlische geheime diensten cia en Mossad, of Homeland Security. Maar vertellen doen ze wél in Zero Days. Niet alles, maar uiteindelijk veel. Zoals Gibney zegt: ‘Dit is tenslotte Washington, de stad van het lekken.’

Het verhaal dat zich langzaam maar zeker in de film ontvouwt is inderdaad een cool spy story, zoals een geïnterviewde het stelt. Maar voor wie kijkt, is ‘cool’ relatief. Wat Gibney onthult is niet alleen maar spannend en waar gebeurd, het is vooral door en door angstwekkend.

Het is januari 2010. Inspecteurs van het Internationaal Atoomenergieagentschap zijn op bezoek bij een nucleaire faciliteit in Natanz, een stadje in de Iraanse provincie Esfahan. Ze zijn onder de indruk van de professionaliteit waarmee de wetenschappers omgaan met de complexe processen die nodig zijn voor kernsplijting en uraniumverrijking. En toch merken ze iets zorgwekkends: de ultracentrifuges in de faciliteit falen – de ene na de andere gaat letterlijk kapot.

Vijf maanden later, aldus Kim Zetter in haar boek Countdown to Zero Day (2014), ontdekken virusjagers in Wit-Rusland een rare code terwijl ze het probleem van geïnfecteerde computers in Iran onderzoeken. Het blijkt malware te zijn, software die, eenmaal geïnstalleerd, in staat is autonoom te handelen, bijna als menselijke agenten die zo diep undercover zijn dat ze hun spycraft toepassen zonder dat hun handlers iets hoeven sturen of corrigeren. Desondanks leidt de speurtocht van de virusjagers naar locaties in Iran, waar de digitale indringers de controle hebben overgenomen van zogeheten plc’s, of programmeerbare logische eenheden, elektronische apparaten die allerlei machines in industriële gebieden aansturen. Ook de plc’s in Natanz bevatten de spionagesoftware – die inmiddels de naam Stuxnet heeft gekregen – en dát bleek de reden dat de ultracentrifuges uit elkaar vielen.

Maar waar komt Stuxnet dan vandaan? Tijdens zijn onderzoek stuitte Gibney op een muur van stilte. ‘And it was beginning to piss me off.’ Deze boosheid bleek effectief, want opeens verschijnt een blonde vrouw onherkenbaar in beeld. Ze is – of was, wie zal het zeggen – een werknemer van de nsa. Ze bevestigt dat ‘cyberops’ gevestigd is in precies hetzelfde gebouw waar het beruchte bureau Nationale Veiligheid zijn werk doet en ze windt er verder geen doekjes om en zegt: ‘Wij hebben Stuxnet gemaakt.’

Dan weidt ze uit over ‘wij’. Dat zijn niet alleen de cia en de nsa, maar ook USCyberCom, onderdeel van de Amerikaanse krijgsmacht. En het is mi6 in Groot-Brittannië. En het is de Mossad en het is Yehida Shmoneh-Matayim, oftwel Eenheid 8200, een onderdeel van het Israëlische leger dat zich bezighoudt met informatietechnologie. Maar de ‘vrouw’ had net zo goed kunnen zeggen: het is Washington en Londen en Jeruzalem (en ook Parijs en Berlijn, maar in mindere mate), want het is nu voor het eerst duidelijk dat we hier te maken hebben met natiestaten die direct betrokken zijn bij cyberoorlogvoering.

Het eerste, grote wapen in deze nieuwe strijd heette in de wandelgangen van de nsa geen Stuxnet, onthult de blonde vrouw, maar ‘Olympic Games’. En o, wat waren de scheppers ervan er trots op, geeks die op het nsa-hoofdkantoor in Fort Meade, Maryland, de hele dag achter hun computers zaten, sommigen gehuld in capes, omringd door de parafernalia van hun obsessies zoals Tribbles, de gevaarlijke knuffels uit een beroemde Star Trek-aflevering, en een Star Wars-Death Star gemaakt van legoblokjes. Deze experts wisten niet hoe snel ze naar Washington moesten toen Olympic Games af was. De blonde vrouw vertelt hoe de superprogrammeurs hun kostbare ‘OG’ in het Witte Huis, nota bene in de Situation Room, gingen demonstreren. President George W. Bush was aanwezig, en voor zijn ogen spatten voorbeeld-ultracentrifuges aangedreven door de met OG geïnfecteerde plc’s uit elkaar – net zoals ze dat een paar jaar later in het echt deden in Natanz, Iran.

Opwinding klinkt in haar stem wanneer ze verklaart dat Amerika inmiddels een nieuw cyberwapen heeft: Nitro Zeus

Het ging mis in het Midden-Oosten toen de Mossad de broncode van het Amerikaanse cyberwapen in handen kreeg – en die ging veranderen. Niet alleen werd de code als gevolg hiervan ontdekt, als ‘Stuxnet’, ook verspreidde het programma zich naar computers over de hele wereld. Vice-president Joe Biden was woedend. De vrouw zegt: ‘Hij schreeuwde: “Die verdomde Israëli’s!”’

Op dit punt had Gibney’s film iets van een farce kunnen krijgen. Immers, zoals hij het zelf stelt: ‘We hebben de vijand ontdekt – en wij waren de vijand.’ Deze ironische toon schept een parallel met vragen en dilemma’s in het werk van John Le Carré, vader van de moderne spycraft die in zijn romans de vernietigende effecten van immoreel beleid van zowel spionagechefs als politieke leiders onderzoekt. In The Spy Who Came in from The Cold (1963) zegt agent Alec Leamas: ‘Inlichtingenwerk heeft één morele wet: het wordt gerechtvaardigd door resultaten.’

Medium downloadasset.aspx

Hetzelfde uitgangspunt dringt door in Zero Days: in het ontwikkelen van Stuxnet/OG was álles legitiem; er was geen sprake van regels of regulering of controle. Maar zo kan het niet langer, is het statement dat Gibney maakt. Met zijn film is hij op zoek naar ernst, naar een moreel centrum in een zee van cynisme. En hij vindt dat – opvallend genoeg in dezelfde figuren die aan het begin zo duidelijk stellen dat ze helemaal niets voor de camera gaan onthullen. Zo zegt Michael Hayden, van 2006 tot 2009 directeur van de cia, dat informatie over cyberoorlogvoering onnodig geheim wordt gehouden. Net zoals er een internationaal debat was en is over het gebruik van atoomwapens, zegt Hayden, zo zou er dringend een open gesprek moeten plaatsvinden over het inzetten van wapens als Stuxnet/OG.

Maar Zero Days illustreert nu juist de giftige mix van verborgen beleid en realpolitik, die laatste aangevuurd door de wet van Leamas, namelijk dat alleen resultaten tellen. Op dit moment geldt dat iedereen juist de grenzen van de cyberspycraft zo ver mogelijk wil verleggen, wat New York Times-journalist David Sanger in de film beaamt. Het moet raar lopen als Gibney’s film hier geen verandering in brengt. Met het werk luidt hij hard de noodklok, wat al af te lezen valt aan de apocalyptisch klinkende titel. De term zero day verwijst naar het moment waarop er nog geen patch is voor een gat in de beveiliging van een computer. Gibney: ‘Dit zijn onze zero days; we beginnen op nul wat betreft de nieuwe dreiging van cyberoorlogen.’

Afgezien van een frenetieke opening – de sluipmoorden op Iraanse atoomgeleerden tussen 2010 en 2012 uitgevoerd door de Mossad – is de cyberoorlog in Zero Days in eerste instantie slechts een idee, waardoor het moeilijk is om je zo’n conflict voor te stellen. Gibney visualiseert hoe de strijd in zijn werk zou gaan met flitsende, grafische beelden van digitale informatiestromen. Maar langzaam dringt hij door tot de kern, tot dat wat de pratende hoofden die eerst niets willen zeggen, maar daarna misschien zelfs te veel zeggen, precies onthullen. Deze beweging in Gibney’s film – van abstract naar concreet – werkt uitstekend. Na alle onthullingen en semi-onthullingen, en misschien zelfs leugens, laat hij iets zien van het tastbare gevaar: een ballon die knapt tijdens een experiment ter illustratie van wat er gebeurt wanneer er iets misgaat met een cyberwapen. Flarden van de ballon gaan over in slowmotionbeelden van het nucleaire eindtijdsymbool: de angstwekkende paddenstoelwolk.

Inderdaad, het is tien voor twaalf, zeggen de pratende hoofden. Ze wijzen erop, misschien uit nieuw ontdekte angst voor wat ze allemaal hebben veroorzaakt, dat juist ontwikkelde landen als de Verenigde Staten bevattelijk zijn voor de gevaarlijke gevolgen van het soort oorlog dat in de nabije toekomst werkelijkheid gaat worden. Het moderne leven bestaat immers bij de gratie van industriële controlesystemen die voorzieningen als gaspijplijnen, energie-grids en communicatienetwerken besturen. En spycraft, dat kan de vijand ook. Reeds heeft de ‘Iranian Cyber Army’ van zich laten horen met aanvallen op Twitter en een schijnaanval op Amerikaanse banken, waarbij men ironisch genoeg gebruikmaakte van de broncode van Stuxnet. ‘Het monster keert zich tegen zijn maker’, zegt iemand in Zero Days.

Uiteindelijk onthult Gibney wel de identiteit van de vrouw, en wie ze blijkt te zijn zegt alles over de volledigheid van zijn onderzoek en de integriteit van de film. Ja, opwinding klinkt in haar stem wanneer ze verklaart dat Amerika inmiddels een nieuw cyberwapen heeft met de omineuze naam Nitro Zeus, ontworpen om hele nationale infrastructuren lam te leggen. De vrouw lijkt zelfs trots als ze hierover vertelt, maar er schemert ook iets sardonisch in haar woorden door: ‘De vijand kan dat ook met ons doen.’ Zo buitelen de woorden en concepten van schimmige figuren over elkaar heen in Zero Days. Maar een enkel, praktisch beeld in de film zegt alles. Een ballon. Knapt.


Zero Days draait op 17, 19, 23, 25 en 27 november; locatie en tickets: idfa.nl

Beeld: Zero days (IDFA)