Идеята зад компютърния червей Stuxnet е всъщност доста проста. Ние не искаме Иран да направи бомбата. Тяхното основно предимство за развитието на ядрени оръжия е съоръжението за обогатяване на уран в Натанц. Сивите кутии, които виждате, това са системи за контрол в реално време. Сега, ако успеем да компрометираме тези системи, които контролират скоростa на движение и клапаните, ние действително може да причиним много проблеми с центрофугите. Сивите кутии не оперират с Windows софтуер; те са напълно различна технология. Но ако успеем да поставим добър Windows вирус в преносим компютър, който се използва от машинен инженер за конфигуриране на тази сива кутия, тогава ние сме в бизнеса. И това е историята зад Stuxnet.
The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Така че започваме със злонамерен софтуер под Windows -- дропър. "Полезният товар" отива в сивата кутия, уврежда центрофугата, и иранската ядрена програма е забавена -- мисията е изпълнена. Лесно, нали? Искам да ви кажа как го открихме. Когато започнахме проучването на Stuxnet преди шест месеца, беше напълно неизвестно каква е целта на това нещо. Единственото нещо, което бе известно е много, много сложна част на Windows, че частта на дропъра, използва множество уязвимости, без ефективна защита. И като че ли искаше да направи нещо с тези сиви кутии, тези системи за управление в реално време. Така че това привлече нашето внимание, и започнахме лабораторен проект, където заразихме нашата среда със Stuxnet и проверихме що за нещо е. И тогава някои много смешни неща се случиха. Stuxnet се държеше като лабораторен плъх, на който не му харесва нашето сирене -- миришеше, но не искаше да яде. Не го сващах. И след като експериментирах с различни вкусове на сиренето, разбрах, добре, това е насочена атака. Тя е изцяло насочена. Дропърът дебне активно сивата кутия, ако специфична конфигурация се установи, и дори ако действителната програма, която се опитва да зарази всъщност работи по тази цел. И ако не, Stuxnet не прави нищо.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Така че това наистина привлече вниманието ми, и започнахме да работим по това почти денонощно, защото си мислех, добре, ние не знаем каква е целта. Тя може да бъде, например, енергийна централа на САЩ, или химически завод в Германия. Така че по-добре да разберем каква е целта по-скоро. Така че извлякохме и декомпилирахме кода на атаката, и открихме, че той е структуриран в две дигитални бомби -- една по-малка и една по-голяма. И ние също видяхме, че те са много професионално проектирани от хора, които очевидно са имали цялата вътрешна информация. Те са знаели всички битове и байтове, които трябва да се атакуват. Те може би дори знаят номера на обувките на оператора. Така че те знаят всичко.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
И ако сте чули, че дропъра на Stuxnet е сложен и високо технологичен, нека да ви кажа следното: "полезния товар" е като ядрена физика. Той е далеч над всичко, което сме виждали досега. Тук можете да видите една проба от действителният код на атаката. Става дума за -- около 15 000 реда код. Изглежда почти като старовременния компютърния език асемблер. И аз искам да ви кажа как ние бяхме в състояние да разгадаем този код. Това, което търсихме на първо място бяха системните извиквания на функциите, защото ние знаем какво правят те.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
И след това търсихме регулатори и структури от данни и се опитвахме да ги свържем с реалния свят -- с потенциални реални цели. Така че ни трябваха теории относно целта, които можехме да докажем или опровергаем. За да получим целеви теории, ние помнихме, че това определено е хардкор саботаж, целта трябваше да бъде с висока стойност, и най-вероятно се намираше в Иран, защото повечето инфекции бяха докладвани там. Сега, не можете да откриете няколко хиляди цели в тази област. По същество това се свежда до атомната електроцентрала Бушер и до завода в Натанц за горивно обогатяване.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Така че аз казах на моя помощник, "Направи списък на всички експерти по центрофуги и централи от нашите клиенти." Обадих им се и ги разпитах в опит да съчетая техния опит с това, което открихме като код и данни. И това се получи доста добре. Така че бяхме в състояние да свържем малката дигитална бойна глава с управлението на ротора. Роторът е движещата се част в рамките на центрофугата, този черен обект, който виждате. И ако се манипулира скоростта на този ротор, вие всъщност сте в състояние да контролирате ротора и в крайна сметка дори да взривите центрофугата. Това, което видяхме също е, че целта на атаката беше наистина да се направи бавно и страховито -- очевидно с намерение да се подлудят инженерите по поддържането, така че те да не са в състояние да разберат това бързо.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Голямата дигитална бойна глава -- направихме това предположение, като разгледахме отблизо данните и структурите от данни. Така например, числото 164 наистина се откроява в този код; не можете да го пренебрегнете. Започнах да изследвам научната литература, за това как тези центрофуги всъщност са построени в Натанц и установих, че са структурирани по начин нарeчен каскада, и всяка каскада съдържа 164 центрофуги. Така че имаше смисъл, беше съответствие.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
И дори стана по-добре. Тези центрофуги в Иран са разделени на 15, така наречени, степени. И познайте какво открихме в кода на атаката? Почти идентична структура. Така че отново, това бе много добро съответствие. И това ни даде много висока степен на увереност за това, което търсихме. Сега, не ме разбирайте погрешно, не стана по този начин. Тези резултати бяха получени в продължение на няколко седмици наистина тежък труд. И ние често се оказвахме в задънена улица и трябваше да се връщаме.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Във всеки случай, така разбрахме, че и двете дигитални бойни глави действително са били насочени към една и съща цел, но от различни ъгли. Малката бойна глава приема една каскада, и върти роторите и ги забавя, а голямата бойна глава е свързана с шест каскади и манипулиране на клапаните. Така че като цяло, сме много уверени, че установихме каква всъщност е целта. Тя е в Натанц, и само в Натанц. Така че не трябва да се притесняваме, че други цели могат да бъдат засегнати от Stuxnet.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Ето някои много интересни неща, които видяхме -- наистина ми падна шапката. Там е сивата кутия и на върха виждате центрофугите. Сега какво прави това нещо, е че то прихваща въведените стойности от датчиците -- така например от сензорите за налягане и вибрациионите датчици -- и осигурява легитимен код, който все още работи по време на нападението, с фалшиво въведени данни. И в интерес на истината, тези фалшиво въведени данни, всъщност са записани предварително от Stuxnet. Така че това е точно като от холивудските филми, когато по време на обир, на камерата за наблюдение се подава предварително записан видеоклип. Това е готино, нали?
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Идеята тук е очевидно, не само да се заблудят операторите в командната зала. Всъщност това е много по-опасно и агресивно. Идеята е да се заобиколи дигиталната система за безопасност. Трябват ни дигитални системи за безопасност, когато човека оператор не може да действа достатъчно бързо. Така например, в една електроцентрала, когато голямата парна турбина стане твърде бърза, трябва да отворите предпазните клапи в рамките на една милисекунда. Очевидно е, че това не може да бъде направено от човек оператор. Така че там е, където ни трябват дигитални системи за безопасност. И когато те са изложени на риск, тогава много лоши неща могат да се случат. Централата ви може да гръмне. И нито операторите ви, нито системата ви за безопасност ще го забележат. Това е страшно.
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Но може да бъде и по-лошо. И това, което ще кажа е много важно. Помислете за това. Тази атака е с широко приложение. Тя няма нищо общо, в особеностите си, с центрофуги, с обогатяване на уран. Така че тя може да работи, например, в електроцентрала, или в автомобилен завод. Тя е обща. И не е нужно -- като нападател -- не е нужно да се достави този "полезен товар" с USB флаш памет, както видяхме в случая със Stuxnet. Вие също може да използвате конвенционални технологии за разпространение на червея. Просто го разпространете колкото е възможно по-широко. И ако направите това, това, което в крайна сметка получавате е кибернетично оръжие за масово унищожение. Това е следствието, пред което трябва да се изправим. Така че, за съжаление, най-големия брой цели за такива атаки не са в Близкия Изток. Те са в САЩ, и Европа, и в Япония. Така че всички тези зелени площи, те са средите, изобилстващи на цели. Ние трябва да се справим с последствията, и по-добре да започнем да се подготвяме сега.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Благодаря.
Thanks.
(Аплодисменти)
(Applause)
Крис Андерсън: Имам един въпрос. Ралф, доста широко бе докладвано, че хората приемат, че "Мосад" е основната организация зад това. Това ли е твоето мнение?
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Ралф Лангнер: Добре, наистина ли искате да чуете това? Да. Добре. Моето мнение е, че Мосад е въвлечен, но че водещата сила не е Израел. Така че водещата сила зад това е кибернетичната суперсила. Има само една, и това е САЩ -- за щастие, за щастие. Защото в противен случай, нашите проблеми ще бъдат дори по-големи.
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
КА: Благодарим ви, че ни изкарахте ангелите. Благодаря ви Ралф.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
(Аплодисменти)
(Applause)