ان الفكرة من وراء دودة ستوكسنت الحاسوبية هي بسيطةٌ جداً ان لا تحصل إيران على القنبلة النووية ان المكان الاساسي الذي من المفترض ان يتم فيه تطوير الاسلحة النووية هو منشأة تخصيب اليورانيوم في منطقة " ناتنز " ان العلب الرمادية التي ترونها هنا انها عبارة عن انظمة تحكم وان استطعت ان تخرب هذه الانظمة والتي تتحكم بسرعة و حركة الصمامات يمكن ان تسبب الكثير من المشاكل في اجهزة الطرد المركزي ان هذه العلب الرمادية لا تعمل حتماً على نظام ويندوز انها تعمل على نظام مختلف جداً ولكن ان استطعنا .. ان نضع فيروس يهاجم نظام ويندوز على جهاز اللابتوب الذي يستخدمه مهندسو ذلك الجهاز لضبط ذلك الجهاز فسنستطيع اختراقه وهذه هي فكرة دودة ستوكسنت الالكترونية
The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
كل ما نحتاجه نظام ويندوز يحوي الدودة ومن ثم يتم تحميله على الاجهزة الرمادية لتعطيل اجهزة الطرد المركزي فيتأخر برنامج إيران النووي وتنجح المهمة يبدو الامر سهلاً .. أليس كذلك ؟ سأخبركم كيف استطعنا ان نكتشف هذه الدودة الالكترونية عندما بدأنا البحث فيما يخص ستوكسنت منذ 6 اشهر كان الهدف الذي تستهدفه هذه الدودة مجهول تماما بالنسبة لنا والشيء الوحيد الذي كنا نعيه .. هو ان هذه الدودة تختبىء في جزء معقد جداً من نظام ويندوز وتستخدمه كناقل وتستخدم عدة نقاط ضعف في النظام لاختراقه وكان جلياً بالنسبة لنا انها - الدودة الالكترونية - تحاول القيام بشيء ما بخصوص هذه العلب الرمادية .. علب التحكم وهذا ما جذب اهتمامنا .. وقد بدأنا البحث المخبري حيث اطلقنا دودة ستوكسنت في انظمتنا اخذنا نراقب التبعات جراء ذلك وقد لاحظنا شيئاً مضحكاً .. ان دودة ستوكسنت كانت تتصرف كـ فأر المختبر الذي لا يحب الجبنة التي نقدمها له .. كان يشتم هذه الجبنة .. ولكنه لا يأكلها لم يكن ذلك منطقيا بالنسبة لنا وبعد عدة نكهات من الجبن التي قدمناها للدودة - عدة انظمة - لاحظنا .. ان هذه الدودة ليست دودة هجوم عشوائية بل موجهة موجهة تحديداً لهدف ما .. انها موجهة تماماً تجاه العلب الرمادية وحتى ان وجدت هذه الدودة الانظمة المستهدفة .. فإن لم يكن هذا النظام يعمل بصورة واقعية ويعمل على اجهزة الطرد المركزي فإن دودة ستوكسنت لن تقوم بشيء ما
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
وهذا فعلاً قد جذب اهتمامي وقد بدأنا العمل على هذا الامر لفهم ماهيته على مدار الساعة لاننا لم نكن نعرف ما هو الهدف فهو يمكن ان يكون .. على سبيل المثال مصنع طاقة في الولايات المتحدة او مصنع كيميائي في ألمانيا لذا كان يتوجب علينا ان نعرف ما هو الهدف باسرع وقت ممكن لذا قمنا بفكه .. فرزه .. وقراءة برمجيته وتحديداً كود الهجوم ولقد وجدنا انه مبرمج على نظامي هجوم - قنبلتين رقميتين - واحدة صغيرة .. وأخرى كبيرة ولقد أدركنا على الفور انها - الدودة - مبرمجة بصورة عالية الاحتراف والتقنية بواسطة اشخاص لديهم كل المعلومات الكافية والوافية عن الهدف فقد تعرفوا كل " البيتات " الموجودة في برمجية الهدف والتي يجب ان تُهاجم ربما كانوا يعرفون حتى مقاس حذاء مشغل الجهاز إذا لقد كانوا يعلمون كل شيء
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
وان كنتم سمعتم ان دودة ستوكسنت وطريقة توجهها ودخولها الى النظام هي معقدة وعالية التقنية دعوني اخبركم ان طريقة " تحميل الدودة الى الجهاز " تفوق برمجة الصواريخ انها متقدمة جداً اكثر من اي شيء انها برمجية لم نرى مثيلاً لها من ذي قبل سوف اريكم جزء من برمجية الهجوم نحن هنا نتحدث عن ما يقارب 1500 سطر من البرمجية الكلية تبدو تماما مثل لغة التجميع القديمة واريد ان اخبركم كيف استطعنا ان نفك شيفرة هذه البرمجية بداية كنا نبحث عن الدوال لاننا كنا نعرف انها " الموجهات "
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
ومن ثم بدأنا نبحث عن العدادات .. وانظمة المعلومات وحاولنا ان نصل بين تلك المعلومات وبين الاهداف .. التي افترضناها من الواقع لذا كنا نفترض مجموعة اهداف ونقوم بفحص الشيفرة هل موافقة ام لا ولكي نمايز بين فرضيات الاهداف وضعنا نصب اعيُننا ان الهدف من عملية التخريب هذه يجب ان يكون هدفاً عالي القيمة جداً وهو على الاغلب موجود في إيران لان معظم الاصابات بهذه الدودة بلغ عنها من تلك المنطقة وحتماً لا توجد في تلك المنطقة .. العديد من الاهداف وفي النهاية قلصت الاهداف المحتملة الى مجمع بوشهر النووي ومركز تخصيب اليورانيوم في " نتناز "
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
لذا اخبرت مساعدي .. أحضر لي قائمة بالخبراء باجهزة الطرد المركزي والطاقة من مركز معلوماتنا " من ثم بدأنا بالاتصال بهم لكي نوفق بين ما وجدناه وبين ما هو موجود في معلومات وكودات التي يعمل عليها هؤلاء الخبراء وقد نجحنا بذلك لقد وجدنا الرابط انه رقم صغير يعمل كرأس حربي يهاجم برمجية تتحكم بعنفة تدور في نظام الطرد المركزي العنصر الاسود الذي ترونه هنا وان استطعت ان تغير او تتلاعب بسرعة هذه العنفة يمكنك ان تدمرها وهذا سيؤدي في النهاية الى تدمير \ انفجار اجهزة الطرد المركزي وما لاحظناه أيضاً ان الهدف من الهجوم هو ان يتم بصورة بطيئة و مخادعة بهدف جعل عمال الصيانة يصابون بالجنون وان لا يستطيعوا ان يميزوا المشكلة بسرعة
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
اما برمجية الهجوم الاكبر بعد النظر اليها جيداً على برمجيتها و هيكليتها وجدنا رقم غريب هو 164 كان جليٌ لنا انه مميز ولم نستطع ان نتجاهله بدأنا نبحث في المحاضرات العلمية عن كيفية عمل أجهزة الطرد المركزي والتي كانت مبنية في منشأة نتناز ولقد وجدنا انها مرتبة بشكل متتالي وكل متتالية تحتوي على 164 من اجهزة الطرد المركزي وكان هذا التوافق الاكبر الذي وجدناه
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
ولكن الامور تغدو أكثر إثارة فأجهزة الطرد المركزي في إيران مقسومة الى 15 .. يمكن ان نقول 15 مرحلة وتوقعوا مالذي وجدناه في شيفرة الهجوم ؟ تطابقٌ تام مرة أخرى .. كان التطابق واضحٌ جداً وقد اعطانا ثقة تامة بأن هذا هو ما نبحث عنه الان لا تفهموني بصورة خاطئة .. ان الامر ليس بهذه السهولة لقد حصلنا على هذه النتائج بعد عدة اسابيع من العمل المضني وبعد ان وصلنا الى عدة نهايات مغلقة وكان علينا البدء من جديد مرة اخرى
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
حسناً .. لقد اكتشفنا إذا ان شيفرتي الهجوم كانتا تستهدفان نفس الهدف كل من زواية خاصة به حيث تهاجم الاولى الصغيرة احد الشلالات " التي تتوزع فيها اجهزة الطرد " ويحاول ان يعبث بالعنفة و يقلل من سرعتها والثانية الكبيرة تهاجم المتتاليات الست وتتلاعب بالصمامات لقد كنا واثقين جداً اننا قد عرفنا الهدف بصورة لا مجال للشك فيها انه في نتناز .. نتناز وحدها لذا لم يكن يتوجب علينا ان نقلق من وجود اهداف اخرى ربما قد تُضرب بواسطة دودة ستوكسنت
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
وهناك شيء رائع مبدع وجدناه ايضاً أطار لنا عقولنا من شدة إبداعه في الاسفل ترون العلب الرمادية وهناك في الاعلى ترون اجهزة الطرد المركزي حسناً .. ماذا يفعل هذا الشيء .. انه يقوم باعتراض المعلومات التي تصدر من مجسات الصمامات على سبيل المثال مجسات الضغط او مجسات الاهتزاز ومن ثم يقوم تبعاً لبرمجية معينة والتي تعمل أثناء الهجوم بإستبدال البيانات ببيانات خاطئة و في الحقيقة، إدخال بيانات وهمية تقوم دودة ستوكسنت بتسجيلها مسبقاً من نفس المجسات كما في افلام هوليود حيث أثناء سرقة، تقوم كاميرة المراقبة بعرض فلم مسبق التسجيل للموقع حتى لا يبدو هناك شيءٌ ما أمرٌ رائع .. أليس كذلك ؟
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
الفكرة ليست فحسب مخادعة للقائمين على المنشأة بل اكثر من هذا عدواة وخطورة .. الفكرة هي مخادعة أنظمة الامان الإلكترونية نحن عادة نحتاج انظمة الآمان الإلكترونية لكي تتصرف أسرع من الانسان لمواكبة للأخطار فعلى سبير المثال في محطات الطاقة عندما يقوم توربين بخاري بالدوران بسرعة اكبر من اللازم يجب على الفور وخلال جزء من الثانية ان يتم فتح صمامات الامان وحتماً هذا لا يمكن القيام به بواسطة البشر لهذا نحتاج أنظمة الآمان الإلكترونية وعندما يتم " مخادعتها \ التحايل عليها " فإن مخاطر جمة قد تحدث .. مثل انفجار المعمل \ المنشأة والمشكلة ان لا مراقب المعمل ولا نظام الآمان سوف يلحظ هذا .. ان هذا خطرٌ جداً
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
والامر يزداد سوءاً وهذا أمرٌ مهم جداً .. واريدكم ان تفكروا بهذا تصورا هذا الهجوم بصورة عامة .. تصوروا .. ان لايكون الامر متعلق بأجهزة الطرد المركزي او بتخصيب اليورانيوم لان هذه الدودة قد تعمل بصورة ممتازة على مصانع الطاقة او مصانع السيارات انها دودة تصيب كل شيء وانت - كمهاجم - لا يتوجب عليك ان تحمل هذه الدودة مباشرة بواسطة " USB " كما رأينا في حالة دودة ستوكسنت الإلكترونية كل ما تريده هو ان تنشر هذه الدودة في فضاء الانترنت ان تنشرها بالقدر الكافي وان استطعت ان تقوم بهذا سوف تحصل في النهاية على سلاح دمار شامل " إلكتروني " ان عواقب هذا هو ما سنواجهه في المستقبل ولسوء الحظ .. ان الاهداف الاكبر لهكذا " برمجيات " ليست في الشرق الاوسط انما هي في الولايات المتحدة .. والاتحاد الاوروبي .. وفي اليابان وكل تلك المناطق " الخضراء " التي هي غنية بالاهداف عالية التقنية .. ! علينا ان نواجه عواقب هذا في المستقبل والافضل ان نبدأ بالاستعداد الآن
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
شُكراً لكم
Thanks.
(تصفيق)
(Applause)
كريس أندرسون : لدي تساؤل رالف .. هناك الكثير من التقارير التي تقول ان " المُوساد الإسرائيلي " وراء هذه الدودة هل هذا هو رأيك ؟
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
رالف لانجير : حسناً .. هل تريد حقاً معرفة وجهة نظري ؟ حسناً .. نعم ان رأي هو ان المُساد مشارك بهذه الدودة ولكن .. القوى العظمى في هذا الخصوص .. ليست إسرائيل ان القوى المحركة لهذه الدودة .. هي قوى عظمى إلكترونياً وهناك قوة واحدة فحسب في هذا العالم وهي الولايات المتحدة الامريكية وهذا لحسن .. الحظ .. نعم لحسن الحظ لانه لو كان الامر غير هذا فإن مشاكلنا سوف تكون أكبر مما يمكن تخيله
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
كيس آندرسون : شكراً لإخافتنا رالف .. شكراً لك
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
(تصفيق)
(Applause)