Ideen bag Stuxnet computerormen er faktisk ret simpel. Vi ønsker ikke at Iran skal have bomben. Deres vigtigste aktiv for at udvikle kernevåben er Natanz uranberigelsesanlægget. De grå bokse som I kan se, det er realtids-kontrolsystemer. Hvis det lykkedes os at kompromittere disse systemer som kontrollere omløbshastighed og ventiler, vi kan faktisk skabe en masse problemer for centrifugerne. Disse grå bokse kører ikke på Windows software, det er en helt anden teknologi. Men hvis det lykkedes os at placere en god Windows virus på en Notebook som bruges af vedligeholdelsesingeniøren til at konfigurere den grå boks, så er vi kørende. Og dette er plottet bag Stuxnet.
The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Så vi starter med en Windows-afleveringsdel. Virusen bliver placeret i den grå boks, ødelægger centrifugerne, og det iranske atomprogram er forsinket -- mission fuldført. Det er let, hva? Jeg vil fortælle jer hvordan vi fandt ud af dette. Vi startede vores undersøgelse af Stuxnet for 6 måneder siden. Det var fuldstændigt ukendt hvad formålet med denne ting var. Det eneste man viste var at Windows-delen var meget, meget komplekst - afleveringsdelen, brugte flere zero-day sårbarheder. Og det så ud som om den ville gøre noget med disse grå bokse, disse realtids-kontrolsystemer. Så det fangede vores opmærksomhed, og vi startede et laboratorieprojekt hvor vi inficerede vores miljø med Stuxnet og prøvede tingene af. Og nogle meget mærkelige ting skete. Stuxnet opførte sig som en laboratorierotte som ikke kunne lide vores ost -- den snuste, men den ville ikke spise. Det gav ikke mening for mig. Efter at have eksperimenteret med forskellige smage af ost, gik det op for mig: Dette er et målrettet angreb. Det er fuldstændigt målrettet. Afleveringsdelen snuser aktivt på de grå bokse, og hvis en specifik opstilling er fundet, og hvis den specielle programkode den prøver at inficere faktisk er der på målet. Hvis ikke, gør Stuxnet intet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Så hvad der fangede min opmærksomhed, og hvad vi begyndte at arbejde med næsten i døgndrift, fordi jeg tænkte: "Well, vi ved ikke hvad målet er. men det kunne være f.eks. et amerikansk kraftværk, eller en kemisk fabrik i Tyskland. Så vi må hellere finde målet hurtigt." Så vi udtrak og dekompilerede angrebskoden, og vi opdagede at den var struktureret som to digitale bomber en lille en og en større en. Vi så også at de var meget professionelt fremstillet af folk der åbenlyst havde insider information. De kendte alle biderne af hvad de skulle angribe. De vidste sikkert også skonummeret på operatøren. Så de vidste alt.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Og hvis I har hørt om afleveringsdelen af Stuxnet er kompleks og high-tech, så lad mig fortælle jer: Våbendelen er raketvidenskab. Det var hævet over alt hvad vi har set før. Her har du et udsnit af den faktiske angrebskode. Vi taler om ca 15.000 linjers kode. Det ligner til forveksling gammeldags assemblersprog. Og jeg ønsker at fortælle jer hvordan vi var istand til at få mening ud af denne kode. Så først kiggede vi efter system-funktionskald, fordi vi ved hvad de gør.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Derefter ledte vi efter timere og datastrukturer og prøvede at forbinde dem til den virkelige verden -- til potentielle fysiske mål. Så vi havde behov for teorier om mål vi kunne bekræfte eller afkræfte. For at få nogle teorier om mål huskede vi på at det var definitivt hardcore sabotage, det må være et mål af høj værdi og det er højst sandsynligt placeret i Iran, fordi det var her flest infektioner var rapporteret fra. Man finder ikke mange tusinde mål i det område. Det kan faktisk koges ned til Bushehr atomkraftværket og til brændselsberigelsesfabrikken i Natanz.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Så jeg fortalte min assistent, "Giv mig en liste over alle centrifuger og kraftværkseksperter i vores kundekartotek." Og jeg ringede til dem og prikkede til deres hjerner for at matche deres ekspertise med hvad vi havde fundet i koden og data. Og det virkede ganske godt. Så vi kunne forbinde den lille digitale våbendel med rotorkontrol. rotoren er den bevægelige del inde i en centrifuge, det er det sorte objekt I ser. Og hvis man manipulerer hastigheden af denne rotor, er du faktisk i stand til at ødelægge rotoren og eventuelt få centrifugen til at eksplodere. Hvad vi også så var at målet for angrebet var at gøre det så langsomt og snigende åbenlyst med et formål at drive vedligeholdelsesingeniørene til vanvid, så de ikke ville være istand til at regne det ud for hurtigt.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Den store digitale våbendel -- vi fik et billede af den ved at kigge meget tæt på data og datastrukturer. Så for eksempel: tallet 164 gjorde sig bemærket i programmet, du kan ikke overse det. Jeg kiggede i den videnskabelige litteratur om hvordan disse centrifuger er opbygget i Natanz og fandt at de var opstillet i hvad vi kalder i en kaskade, og hver kaskade indeholder 164 centrifuger. Så det gav mening, det var et sammenfald.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Og det blev bedre. Disse centrifuger i Iran er underinddelt i 15, hvad vi kalder, trin. Og gæt hvad vi fandt i angrebskoden? En nærmest identisk struktur. Så igen, der var et virkeligt godt sammenfald. Og dette gav os en stærk overbevisning om at vi kiggede efter det rigtige. Misforstå mig ikke, det gik ikke bare sådan af sig selv. Disse resultater blev opnået gennem mange uger med virkeligt hårdt arbejde. Og vi kom ofte ind i en blindgyde og måtte starte forfra.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Hvor om alting er, så vi fandt at begge digitale våbendele var rettet mod det ene og samme mål, men fra forskellig vinkler. Den lille våbendel tog en kaskade og kørte op og ned for hastigheden på rotorene og den store våbendel talte til 6 kaskader og manipulerede ventilerne. Så vi var faktisk overbevidste om at vi havde bestemt hvad målet var. Det er Natanz og det er kun Natanz. Så vi skulle ikke bekymre os om at andre mål kunne blive ramt af Stuxnet.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Her er noget virkeligt Cool som vi så -- det virkeligt tog sokkerne af mig. Her nede i den grå boks, og du kan se centrifugerne på toppen. Hvad denne ting gør er at opsnappe data fra sensorerne -- så for eksempel, trykmålerne og vibrationsmålerne og fodrer den oprindelige software, som stadigvæk kører under angrebet, med falsk data. Faktisk, denne falske data er faktisk gemt i Stuxnet. Det er ligesom i en Hollywood film under et indbrud, hvor overvågningskameraet, viser en allerede optaget video. Det er smart, hva?
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Ideen her er åbenlyst ikke kun at narre operatørerne i kontrolrummet. Det er faktisk meget mere farligt og aggressivt. Ideen er at omgå det digitale sikkerhedssystem. Vi har behov for digitale sikkerhedssystemmer hvor en menneskelig operatør ikke kan nå at reagere hurtigt nok. Som for eksempel i et kraftværk, når de store dampturbiner, roterer for hurtigt, så skal du åbne sikkerhedsventilerne indenfor millisekunder. Åbenlyst, dette kan ikke udføres af en menneskelig operatør. Så det er her vi har brug for digitale sikkerhedssystemmer Og når de er kompromiterede så kan der ske rigtigt grimme ting. Dit kraftværk kan eksplodere. Og hverken dine operatører eller dit sikkerhedssystem vil opdage det. Det er skræmmende.
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Men det bliver værre. Og dette jeg siger nu er meget vigtigt. Tænk over dette: Dette angreb var generisk. Det havde intet at gøre, specifikt med centrifuger, med uranberigelse. Så det vil virke, som for eksempel i et kraftværk i en bilfabrik. Det er generisk. Og du har ikke behov for - som angriber - du behøves ikke at aflevere våbendelen med en USB-stick, som vi så det med Stuxnet. Du kan bruge almindelig ormeteknologi til spredning. Bare sprede det så bredt som muligt. Og hvis du gør det. Hvad du ender med er et cyber-masseødelæggelsesvåben. Dette er konsekvensen som vi må tage højde for. Så uheldigvis det største antal af mål for disse angreb er ikke i Mellemøsten. De er i USA, i Europa og i Japan. Så alle de grønne felter, det er målrige områder. Vi må se konsekvenserne i øjnene, og vi må hellere starte med at forberede os nu.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Tak.
Thanks.
(Bifald)
(Applause)
Chris Anderson: Jeg har et spørgsmål. Ralph, der har været skrevet at folk anser Mossad for at være hovedkraften bag dette. Er det din mening?
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Ralph Langner: Okay, vil du virkelig høre det? Tja, Okay. Efter min mening er Mossad involveret men den ledende kraft bag er ikke Israel. Så den ledende kraft bag er cybersupermagten. Og der er kun en, og det er USA. heldigvis, heldigvis. Fordi ellers ville vores problemer være endnu større.
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
CA: Tak for at skræmme livet af os. Tak Ralph.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
(Bifald)
(Applause)