Last Updated on November 23, 2010

Ho già parlato di Stuxnet, il virus prototipo delle nuove Cyber-guerre, che la leggenda vuole essere stato creato da un paese nemico dell’Iran per sabotare i piani di sviluppo nuclerare di quest’ultimo.

Ieri sera leggendo il report di sicurezza Q3 2010 di McAfee sullo stato delle minacce, mi sono imbattuto in una notizia curiosa riguardante Stuxnet (che ha ovviamente vinto il poco ambito premio di peggiore minaccia del 2010) secondo la quale all’interno del malware delle centrali nucleari sarebbero celati alcuni indizi  che, hanno consentito di risalire all’origine del malware .

Prima di addentrarci nella questione, è opportuna una doverosa premessa: la numerologia, ovvero lo studio della possibile relazione mistica o esoterica tra i numeri e le caratteristiche o le azioni di oggetti fisici ed esseri viventi sovente gioca brutta scherzi. Personalmente la considero una delle forme in cui si manifesta l’operazione del reverse engineering, ovvero quel processo usato ormai in molte sfere della scienza che tenta di ricostruire un fenomeno scientifico a partire dalle conclusioni. In parole povere: sapendo come deve evolvere un determinato fenomeno e quali sono le conclusioni, viene costruito un modello ad-hoc che giunga esattamente alle conclusioni riscontrate. Forzando volutamente il paragone, la stessa cosa è applicabile per date, eventi e oscure coincidenze: armatevi di una qualsiasi data, un evento accaduto e un motore di ricerca, e sicuramente sarà possibile trovare dietro quei numeri qualche oscura profezia o qualche improbabile teoria del complotto (chi non ricorda le storie su Bill Gates anticristo, o le oscure coincidenze celate dietro la data dell’11 settembre 2001).

Ma torniamo a Stuxnet e alla sua origine “artificiale” e fantapolitica. La natura bellica del malware (ed in particolare la sua origine da Israele) ha origine da tre indizi riscontrati dai ricercatori, consistenti in altrettanti messaggi oscuri celati dentro le righe di codice del malware: una pianta e due date.

• Myrtus;
• 9 maggio 1979;
• 24 giugno 2012.

La regina di Persia:

Myrtus è il nome di un file all’interno del codice di Stuxnet (il driver del rootkit include il path b:myrtussrcobjfre_w2k_x86i386guava.pdb) e richiama apparentemente una innocua pianta da cui si ricava un gustoso liquore (in realtà anche la pianta guava appartiene alla famiglia del Mirto). Se tuttavia si scava un po’ più in profondità si scopre che il mirto ha per gli Ebrei un significato particolare in quanto richiama il nome di Ester, una eroina ebraica del V secolo a.C. le cui gesta sono descritte nel Libro di Ester. Ester, il cui vero nome era Hadassa (termine che in ebraico significa esattamente Mirto) divenne la sposa del sovrano Assuero (riconosciuto dagli storici con Serse I il re di Persia, ovvero il moderno Iran), ed ha il merito di avere evitato una congiura perpetrata dal perfido consigliere del re Haman, congiura avente come scopo la distruzione del popolo Ebreo. Da allora è stata istituita la festa del Purim, corrispondente al Carnevale Ebreo, e soprattutto nella tradizione giudaica Ester è vista come strumento della volontà di Dio per impedire la distruzione del popolo giudaico.

Piccola parentesi: l’etimologia del nome Ester è incerta, per alcuni deriva dal termine usato dai Medi per indicare, guarda a caso, il mirto, per altri deriva dal termine Ishtar che significa stella in Assiro, ad ogni modo le radici non sono in contraddizione poiché il mirto era chiamato anche fiore a stella. Mi fermo qui ma non posso fare a meno di notare che Ester ha la stessa radice del termine Ishtar con cui i Persiani chiamavano Venere (o Astarte), e chissà che anche il termine “star” che nella lingua anglosassone significa stella non derivi da Ester (o Ishtar) definita “più bella di una stella della notte”.

Ad ogni modo tornando al parallelismo con il virus Stuxnet non si può fare a meno di notare che:

Ester (mirto) sventa un complotto persiano contro il popolo ebreo, ovvero Stuxnet (myrtus) sventa un complotto iraniano (l’odierna persa) contro il popolo ebreo.

 

La data che venne dal passato:

Tre ricercatori Symantec hanno scoperto che il codice di Stuxnet contiene uno strano indicatore cablato al suo interno consistente in una stringa numerica “19790509” che il malware scrive nel registro della macchina infetta e che ha un duplice scopo: indicare che l’host è stato infettato, oppure, se già presente la chiave di registro, impedire l’infezione della macchina vittima.

Ai più attenti non sarà sfuggito che la stringa numerica in questione rappresenta una data; secondo la notazione anglosassone difatti 19790509 corrisponde al 9 maggio 1979. E qui la numerologia la fa da padrona: il 9 maggio 1979 è considerata una data storica per la comunità ebraica in Iran (guarda a caso ancora l’Iran) poiché in quella data è stato ucciso Habib Elghanian, importante uomo d’affari israeliano e soprattutto leader della comunità Ebrea in Iran. L’importanza storica di quell’evento è  particolarmente infausta poiché da allora cominciò l’esodo di 100.000 membri della comunità di Ebrei in Iran.

Certo l’ipotesi di una vendetta informatica a 30 anni di distanza (che richiama il torto subito dal paese vittima) è intrigante, anche se, a onor del vero, il tutto appare poco più che una speculazione, anche se suffragata dalla numerologia.

 

Ritorno al futuro:

Gli stessi ricercatori hanno scoperto che il virus Stuxnet è programmato per “spegnersi” il 24 giugno 2012. Non essendo un bravo numerologo o cabalista non ho trovato nessun evento particolare per questa data se non il termine della fase dei quarti di finale dei campionati europei di calcio del 2012 e l’evento astronomico della cosiddetta “Grand Cross“, ovvero l’incrocio tra Plutone in Capricorno e Uranio in Ariete.

Naturalmente poiché la data di harakiri di Stuxnet fa riferimento al 2012, un accostamento con la presunta fine del mondo del 21 dicembre 2012 non poteva mancare. Ed in effetti secondo alcune interprestazioni, in verità piuttosto scettiche,  il 24 giugno sarebbe la data di inizio di questa fase di rinnovamento.

Voi che ne dite? Pensate che le tracce siano mere coincidenze o indizi appositamente inseriti (ma in questo caso manca ancora l’interpretazione del 24 giugno 2012)? Oppure ritenete che Stuxnet rappresenti l’opera di un programmatore smanettone con conoscenze degli ambienti SCADA, l’hobby delll’astronomia e della botanica (myrtus potrebbe essere la trasposizione di MyRTUs, termine comunemente indicato in ambito SCADA per indicare le Remote Terminal Unit), nato il 9 maggio 1979 (e che magari ha fissato la data di nozze per il 24 giugno 2012)? Si accettano scommesse…