The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
La idea detrás del gusano informático Stuxnet es en realidad muy simple. No queremos que Irán obtenga la bomba nuclear. Su mayor activo para desarrollar armas nucleares es la planta de enriquecimiento de Uranio en Natanz. Las cajas grises que ven son sistemas de control en tiempo real. Si logramos comprometer estos sistemas que controlan velocidades y válvulas, podemos causar un montón de problemas con la centrífuga. Las cajas grises no usan software de Windows; son de una tecnología completamente diferente. Pero si logramos poner un virus efectivo de Windows en un ordenador portátil usado por un ingeniero para configurar esta caja gris, entonces estamos listos. Este es el plan detrás de Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Comenzamos con un instalador Windows. La ojiva ingresa a la caja gris, daña la centrífuga, y el programa nuclear iraní es demorado; misión cumplida. Es fácil, ¿eh? Quiero contarles cómo descubrimos esto. Cuando comenzamos a investigar sobre Stuxnet hace 6 meses, el propósito era completamente desconocido. Lo único que se sabía es que es muy, muy complejo en la parte de Windows: el instalador usaba múltiples vulnerabilidades día-cero. Parecía querer hacer algo con estas cajas grises, estos sistemas de control. Eso nos llamó la atención, y comenzamos un experimento en el que infectamos nuestro entorno con Stuxnet y vimos qué pasaba con esto. Entonces pasaron cosas muy extrañas. Stuxnet se comportaba como una rata de laboratorio a la que no le gustaba nuestro queso: lo olía, pero no quería comer. No tenía sentido para mí. Y luego de experimentar con diferentes sabores de queso, me di cuenta, y pensé: “Esto es un ataque dirigido. Es completamente dirigido." El instalador está buscando activamente en la caja gris si encuentra una configuración específica, e incluso si el programa que está tratando de infectar está efectivamente funcionando en ese lugar: si no, Stuxnet no hace nada.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Así que eso llamó mi atención, y comenzamos a trabajar en esto casi 24 horas al día, porque pensé; "No sabemos cuál es el objetivo." Podría ser, digamos por ejemplo, una planta de energía de EEUU, o una planta química en Alemania. Mejor que descubriéramos el objetivo pronto. Entonces extrajimos y descompilamos el código de ataque, y descubrimos que estaba estructurado en 2 bombas digitales: una pequeña y una grande. También vimos que estaban armados muy profesionalmente por gente que obviamente tenía toda la información interna. Conocían todos los puntos por los que atacar. Probablemente incluso sepan cuánto calza el operador. Así que saben todo.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Y si han escuchado que el instalador de Stuxnet es complejo y de alta tecnología, déjenme decirles: la carga es muy compleja. Está muy por encima de todo lo que hayamos visto antes. Aquí ven una muestra de este código de ataque. Estamos hablando de alrededor de 15 mil líneas de código. Se parece bastante al viejo lenguaje ensamblador. Quiero contarles cómo pudimos encontrarle sentido a este código. Lo que buscábamos al principio eran llamadas a funciones del sistema, porque sabemos lo que hacen.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Luego buscábamos temporizadores y estructuras de datos y tratábamos de relacionarlos con el mundo real, con potenciales objetivos del mundo real. Necesitamos teorías sobre destinatarios que podamos aprobar o desaprobar. Para llegar a teorías sobre objetivos, recordamos que es definitivamente un sabotaje violento, debe ser un blanco valioso, y está seguramente ubicado en Irán, porque es donde la mayoría de las infecciones ha sido reportada. No se encuentran varios miles de objetivos en ese área. Básicamente se reduce a la planta de energía nuclear de Bushehr y a la planta de enriquecimiento de Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Entonces le dije a mi asistente, "Tráeme una lista de todos los expertos en centrífugas y plantas de energía entre nuestros clientes." Los llamé y les consulté en un esfuerzo por conjugar su experiencia con lo que encontramos en código y datos. Y funcionó bastante bien. Así que pudimos asociar la pequeña ojiva digital con el control del rotor. El rotor es esa parte móvil dentro de la centrífuga, ese objeto negro que ven. Si manejan la velocidad de este rotor, ciertamente pueden quebrarlo e incluso hacer que la centrífuga explote. Lo que también vimos es que la meta del ataque era hacerlo lento y desconcertar en un obvio esfuerzo por volver locos a los ingenieros de mantenimiento, para que no pudieran resolver esto rápidamente.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Intentamos descifrar la ojiva digital grande observando muy de cerca a los datos y sus estructuras. Así, por ejemplo, el número 164 sobresale en ese código, no se puede obviar. Empecé a investigar literatura científica sobre cómo estas centrífugas son construidas en Natanz y encontré que son estructuradas en lo que se llama una cascada, y cada cascada contiene 164 centrífugas. Eso tenía sentido, había una coincidencia.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Y se puso mejor aún. Estas centrífugas en Irán están divididas en 15 partes llamadas etapas. Y ¿adivinen qué encontramos en el código de ataque? Una estructura casi idéntica. Así que de nuevo, eso era una buena coincidencia. Esto nos dio mucha confianza en entender lo que teníamos entre manos. Para que no haya malentendidos: no fue así: los resultados han sido obtenidos tras varias semanas de trabajo duro. Habitualmente terminábamos en callejones sin salida y teníamos que volver a empezar.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Aún así, descubrimos que ambas ojivas digitales apuntaban a un solo y mismo objetivo, pero desde diferentes ángulos. La ojiva pequeña está tomando una cascada, y haciendo girar los rotores y ralentizándolos, y la ojiva grande se comunica con seis cascadas y manipulando válvulas. En suma, estamos muy confiados en que hemos determinado cuál es el destinatario. Es Natanz, y es sólo Natanz. No debemos preocuparnos de que otros objetivos sean alcanzados por Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Aquí les muestro unas cosas muy interesantes que vimos, realmente me impresionaron. Ahí está la caja gris, y arriba se ven las centrífugas. Lo que esta cosa hace es interceptar los valores de entrada de los sensores por ejemplo, de los sensores de presión y los sensores de vibración y provee código legítimo, el cual todavía ejecuta durante el ataque, con falsos datos de entrada. Y, créase o no, estos datos de entrada falsos son pregrabados por Stuxnet. Es como en las películas de Hollywood donde, durante el robo, la cámara de seguridad se alimenta de video pregrabado. Es genial ¿eh?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
La idea aquí es obviamente no sólo burlar a los operadores en el cuarto de control. Es realmente mucho más peligrosa y agresiva. La idea es burlar un sistema de seguridad digital. Necesitamos sistemas de seguridad digital donde un operador humano no podría actuar rápido. Por ejemplo, en una planta de energía, cuando la gran turbina de vapor se pasa de velocidad, se deben abrir válvulas de escape en un milisegundo. Obviamente, esto no puede hacerlo un operador humano. Allí es donde necesitamos sistemas de seguridad digital. Y cuando están comprometidos, entonces pueden pasar cosas malas. La planta puede explotar. Y ni los operarios ni el sistema de seguridad lo notarán. Eso asusta.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Pero puede ser peor. Lo que voy a decir es muy importante. Piensen en esto. Este ataque es genérico. No tiene nada que ver, específicamente, con centrífugas, con enriquecimiento de uranio. Podría funcionar también, por ejemplo, en una planta de energía, o en una fábrica automotriz. Es genérico. Y no tienes (como atacante) que diseminar esta carga con una llave USB, como vimos en el caso de Stuxnet. También podrías usar tecnología convencional de gusanos para diseminarlo. Diseminarlo lo más posible. Y si hicieras eso, con lo que terminarías es con una ciber-arma de destrucción masiva. Esa es la consecuencia que debemos enfrentar. Desafortunadamente, el mayor número de objetivos para tales ataques no está en Medio Oriente. Está en los Estados Unidos y en Japón. Todas las áreas verdes son espacios con gran número de objetivos. Debemos enfrentar las consecuencias, y mejor que nos empecemos a preparar ahora.
Thanks.
Gracias.
(Applause)
(Aplausos)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Tengo una pregunta. Ralph, se ha hecho público en muchos lados que la gente asume que el Mossad es la principal entidad detrás de esto. ¿Cuál es tu opinión?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langnet: Okey, ¿realmente quieren escuchar esto? Sí. Okey. Mi opinión es que el Mossad está involucrado, pero el motor no es Israel: el motor detrás de esto es la superpotencia cibernética. Existe una sola, y ésa es los Estados Unidos, afortunadamente, afortunadamente. Porque, de otro modo, nuestros problemas serían aún mayores.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Gracias por atemorizarnos. Gracias, Ralph.
(Applause)
(Aplausos)