Die Idee hinter dem Stuxnet Computer-Wurm ist an sich ziemlich simpel. Wir wollen nicht, dass der Iran die Bombe baut. Der wichtigste Posten dort für die Entwicklung von Atomwaffen ist die Uran-Anreicherungs-Einrichtung in Natanz. Die grauen Boxen, die Sie hier sehen, das sind Echtzeit-Kontrollsysteme. Wenn es uns nun gelingt, die Systeme zu kompromittieren, welche Drehzahlen und Ventile kontrollieren, dann können wir damit tatsächlich eine Menge Probleme verursachen mit der Zentrifuge. Diese grauen Boxen laufen nicht mit Windows-Software; sie basieren auf einer komplett anderen Technologie. Aber wenn wir es schaffen, dass sich ein effektives Windows-Virus auf einem Laptop einnistet, der von einem Wartungsingenieur verwendet wird, um diese graue Box zu konfigurieren, dann sind wir im Geschäft. Und das ist die Planung hinter Stuxnet.
The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Wir beginnen also mit einem Windows-Dropper. Die Nutzdaten werden in die graue Box transferiert, beschädigen die Zentrifuge und das iranische Kernenergie-Programm verzögert sich – Auftrag ausgeführt. Das ist ein Kinderspiel, oder? Ich möchte Ihnen erzählen, wie wir das herausgefunden haben. Als wir unsere Forschung zu Stuxnet vor sechs Monaten begannen, war völlig unbekannt, was der Sinn und Zweck dieses Konstrukts war. Das einzige, was wir wussten ist sehr, sehr kompliziert, was den Windows- Teil angeht, den Dropper- Teil, er machte von unzähligen Zero- Day- Schwachstellen Gebrauch. Und es schien etwas vorzuhaben, mit diesen grauen Boxen, diesen Echtzeit- Kontrollsystemen. Das erregte unsere Aufmerksamkeit und wir begannen ein Labor- Projekt, in dem wir unsere Umgebung mit Stuxnet infizierten, und untersuchten dieses Konstrukt. Und dann passierte etwas komisches. Stuxnet verhielt sich wie eine Laborratte, die unseren Käse nicht mochte – schnüffelte dran, aber wollte ihn nicht essen. Das machte in meinen Augen keinen Sinn. Und nachdem wir mit verschiedenen Arten von Käse experimentiert hatten, ging mir auf, dass dies ein gezielter Angriff ist. Vollständig auf ein bestimmtes Ziel gerichtet. Der Dropper streift aktiv auf der grauen Box umher, wenn eine spezielle Konfiguration entdeckt wurde. Sogar, wenn das spezielle Programm, welches es zu infizieren versucht auf diesem Ziel läuft. Und wenn nicht, dann tut Stuxnet gar nichts.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Also, das weckte wirklich mein Interesse und wir begannen damit zu arbeiten, beinahe rund um die Uhr, denn ich dachte, nun, wir wissen nicht, was das Ziel ist. Es könnte, sagen wir zum Beispiel, ein US- amerikanisches Kraftwerk, oder eine Chemieanlage in Deutschland sein. Also sollten wir besser bald herausfinden, was das Ziel darstellt. Also extrahierten und dekompilierten wir den Angriffs- Code und fanden heraus, dass er in zwei digitale Sprengköpfe aufstrukturiert ist -- einen kleineren und einen größeren. Und uns fiel auch auf, dass sie sehr professionell konstruiert waren, von Leuten, die offensichtlich alle Insider- Informationen zur Verfügung hatten. Sie kannten jegliche Bits und Bytes, die sie angreifen mussten. Wahrscheinlich kannten sie sogar die Schuhgröße des Maschinenbedieners. Sie wussten also alles.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Und wenn Sie schon mitbekommen haben, dass der Dropper von Stuxnet komplex und high-tech ist, lassen Sie mich Ihnen sagen: die Nutzdaten sind eine Wissenschaft für sich. Es ist viel anspruchsvoller als alles, was wir jemals gesehen haben. Hier sehen Sie einen Ausschnitt aus diesem Angriffs- Code. Wir sprechen hier von – ungefähr 15.000 Zeilen Code. Sieht ziemlich so aus, wie altmodische Assemblersprache. Und ich will Ihnen erzählen, wie wir in der Lage waren aus diesem Code Schlau zu werden. Nach was wir also als erstes suchten, waren Systemfunktions- Aufrufe, weil wir wissen, was diese bewirken.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Und dann suchten wir nach Timern und Datenstrukturen und versuchten, diese mit der echten Welt in Verbindung zu bringen -- mit potentiellen Zielen in der echten Welt. Also brauchten wir Theorien über diese Ziele, die wir belegen oder widerlegen konnten. Um diese Theorien aufzustellen, rufen wir uns in Erinnerung, dass es sich definitiv um hochgradige Sabotage handelt, es muss sich um ein hochwertiges Ziel handeln und sehr wahrscheinlich befindet es sich im Iran, weil dort die meisten Infektionen gemeldet wurden. Nun, in diesem Gebiet gibt es nicht mehrere Tausend Ziele. Im Grunde läuft es hinaus auf das Buschehr Atomkraftwerk und auf die Urananreicherungsanlage in Natanz.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Also sagte ich zu meinem Assistenten, "Bring mir eine Liste aller Experten für Zentrifugen und Kraftwerke aus unserem Kundenstamm." Und ich rief sie an und zapfte ihr Wissen an, um ihr Fachwissen mit dem zu vergleichen, was wir im Code und in den Daten herausgefunden hatten. Und das funktionierte sehr gut. Also, es war uns möglich, den kleinen digitalen Sprengkopf mit der Rotorsteuerung in Verbindung zu bringen. Der Rotor ist dieser sich bewegende Teil innerhalb der Zentrifuge, diese schwarze Objekt, das Sie sehen. Und wenn man die Geschwindigkeit dieses Rotors manipuliert, dann ist man tatsächlich in der Lage den Rotor zu knacken und schließlich sogar, die Zentrifuge explodieren zu lassen. Was wir auch herausgefunden haben ist, dass das Ziel des Angriffs tatsächlich war, es langsam und unheimlich geschehen zu lassen -- offensichtlich in dem Versuch Wartungsingenieure verzweifeln zu lassen, sodass sie nicht in der Lage dazu sein würden schnell dahinter zu kommen.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Der große digitale Sprengkopf -- wir erhielten einen Einblick, indem wir uns sehr genau Daten und Datenstrukturen anschauten. Also zum Beispiel die Nummer 164 sticht sehr heraus aus diesem Code; Man kann es nicht übersehen. Ich begann damit, wissenschaftliche Literatur durchzuarbeiten, darüber wie diese Zentrifugen in Natanz gebaut werden und fand heraus, dass sie strukturiert sind in sogenannten Kaskaden, und jede Kaskade enthält 164 Zentrifugen. Also das machte Sinn, es passte zusammen.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Und es wurde noch besser. Diese Zentrifugen in Iran sind aufgeteilt in 15 sogenannte Ebenen. Und raten Sie was wir in dem Angriffscode gefunden haben? Eine fast identische Struktur. Also nochmal, das passte wirklich gut zusammen. Und dies gab uns große Zuversicht für das, das wir hier untersuchten. Nun, verstehen Sie mich nicht falsch, das ging nicht einfach so. Diese Ergebnisse wurden durch mehrere Wochen harter Arbeit erreicht. Und oft rannten wir einfach in eine Sackgasse und mussten uns neu sammeln.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Jedenfalls fanden wir heraus, dass beide digitalen Sprengköpfe in Wirklichkeit auf ein und das selbe Ziel zusteuerten, aber aus verschiedenen Richtungen. Der kleine Sprengkopf übernimmt eine Kaskade, und überdreht die Rotoren und verlangsamt sie und der große Sprengkopf tritt mit sechs Kaskaden in Interaktion und manipuliert Ventile. Also, im Großen und Ganzen sind wir sehr zuversichtlich, dass wir tatsächlich bestimmt haben, was das Ziel ist. Es ist Natanz und es ist nur Natanz. Also müssen wir uns keine Sorgen machen, dass andere Ziele von Stuxnet getroffen werden könnten.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Hier ist etwas wirklich cooles Zeug, das wir entdeckt haben -- hat mich echt aus den Socken gehauen. Dort unten ist die graue Box, und oben drauf sehen Sie die Zentrifugen. Nun, was dieses Ding bewirkt ist, dass es die eingehenden Werte von Sensoren abfängt -- also zum Beispiel von Drucksensoren und Vibrationssensoren -- und es stellt legitimen Code zur Verfügung, der noch während dem Angriff, mit falschen eingehenden Daten, läuft. Und tatsächlich sind dieses falschen eingehenden Daten von Stuxnet vorher schon aufgenommen. Also ist es genau so wie in Hollywoodfilmen, wo während der Verfolgungsjagd die Überwachungskamera mit vorher aufgenommenem Videoaufnahmen gefüttert wird. Das ist cool, nicht wahr?
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Die Idee hierbei ist offensichtlich nicht nur, die Maschinenbediener im Kontrollraum überlisten. Tatsächlich ist es noch viel gefährlicher und aggressiver. Die Idee ist, ein digitales Sicherheitssystem zu überlisten. Wir brauchen digitale Sicherheitssysteme dort, wo ein menschlicher Maschinenbediener nicht schnell genug reagieren kann. Also in einem Kraftwerk zum Beispiel, wenn die Große Dampfturbine zu schnell wird, muss man Entlastungsventile innerhalb von Millisekunden öffnen. Natürlich kann dies nicht von einem menschlichen Maschinenführer erledigt werden. Also an dieser Stelle brauchen wir digitale Sicherheitssysteme. Und wenn die gefährdet sind, dann können wirklich schlimme Dinge geschehen. Das Kraftwerk kann explodieren. Und weder die Maschinenführer, noch das Sicherheitssystem wird es bemerken. Das ist beängstigend.
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Aber es wird noch schlimmer. Und das was ich jetzt sage ist sehr wichtig. Denken Sie darüber nach. Dieser Angriff ist generisch. Er hat nichts speziell zu tun mit Zentrifugen, mit Urananreicherung. Also würde er beispielsweise genau so gut funktionieren -- in einem Kraftwerk oder in einer Automobilfabrik. Es ist generisch. Und man muss nicht -- als der Angreifer -- muss man die Nutzdaten nicht über einen USB- Stick anbringen, wie wir es bei Stuxnet gesehen haben. Man könnte auch gewöhnliche Wurm- Technologie zum Verbreiten verwenden. Man muss es nur so weit wie möglich verbreiten. Und wenn man das tut, erhält man schließlich eine Cyber- Massenvernichtungswaffe. Das ist die Konsequenz, der wir uns stellen müssen. Also unglücklicherweise liegt die größte Nummer von Zielen für solche Angriffe nicht im Mittleren Osten. Sie liegen in den Vereinigten Staaten, in Europa und Japan. Also all diese grünen Gebiete, dies sind die Zielreichsten Umgebungen. Wir müssen uns den Konsequenzen stellen und wir fangen besser an uns vorzubereiten.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Danke.
Thanks.
(Applaus)
(Applause)
Chris Anderson: Ich habe eine Frage. Ralph, es wurde sehr viel davon berichtet, dass Leute vermuten, dass der Mossad die Hauptorganisation dahinter ist. Ist das auch deine Meinung?
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Ralph Langner: Okay, du willst das wirklich wissen? Ja. Okay. Meiner Meinung nach ist der Mossad involviert, aber die treibende Kraft ist nicht Israel. Also die treibende Kraft dahinter ist die Cyber- Supermacht. Es gibt nur eine und das sind die Vereinigten Staaten -- zum Glück, zum Glück. Denn andernfalls wäre unser Problem sogar noch größer.
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
CA: Danke, dass du uns eine Heidenangst eingejagt hast. Danke Ralph.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
(Applaus)
(Applause)