The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
הרעיון מאחורי תולעת המחשב סטאקסנט הוא בעצם די פשוט. אנחנו לא רוצים שאירן יגיעו לפצצה. הנכס העיקרי שלהם בפיתוח נשק גרעיני הוא מפעל העשרת האורניום בנתנז. הקופסאות האפורות שאתם רואים, הן מערכות בקרת זמן-אמת. אם אנחנו מצליחים לפרוץ למערכות האלה ששולטות על מהירות רכיבים ועל שסתומים, אנחנו יכולים לגרום להרבה בעיות עם הצנטריפוגה. הקופסאות האפורות לא מריצות תוכנת Windows; הן עובדות על טכנולוגיה אחרת לגמרי. אבל אם אנחנו מצליחים להכניס וירוס Windows טוב למחשב נייד שמהנדס מכונות משתמש בו כדי לשנות את תצורת הקופסה האפורה הזאת, אז אנחנו בעניינים. וזאת המזימה מאחורי סטאקסנט.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
אז אנחנו מתחילים עם דרופר(מתקין וירוסים) ב-Windows. הוירוס נכנס לקופסה האפורה, פוגע בצנטריפוגות, והתוכנית הגרעינית האירנית נדחית -- המשימה הושלמה. זה קל, הא? אני רוצה לספר לכם איך גילינו את זה. כשהתחלנו את המחקר שלנו על סטאקסנט לפני שישה חודשים, המטרה של הדבר הזה היתה לגמרי לא ידועה. הדבר היחיד שהיה ידוע הוא מאוד מורכב בחלקו במערכת Windows, הדרופר(מתקין הוירוסים) השתמש במספר פירצות יום-אפס(פירצות שלא היו ידועות לפני כן). והיה נדמה שהוא רוצה לעשות משהו עם הקופסאות האפורות האלה, מערכות בקרת זמן-אמת. אז זה תפס את תשומת הלב שלנו, והתחלנו פרויקט במעבדה שבו הדבקנו את סביבת העבודה שלנו בסטאקסנט ובדקנו את הדבר הזה. ואז דברים מאוד מוזרים קרו. סטאקסנט התנהג כמו עכבר מעבדה שלא אהב את הגבינה שלנו -- הריח, אבל לא רצה לאכול. זה לא היה לי הגיוני. ואחרי שערכנו כמה ניסויים עם טעמים שונים של גבינות, הבנתי, טוב, זאת התקפה מכוונת למטרה ספציפית. היא לגמרי מכוונת. הדרופר משוטט באופן פעיל בקופסה האפורה אם הוא מוצא תצורה ספציפית, ואפילו אם התוכנה שהוא מנסה להדביק כבר רצה על המטרה הזאת. (אז הוירוס יותקן) ואם לא, סטאקסנט לא עושה כלום.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
אז זה ממש עניין אותי, והתחלנו לעבוד על זה כמעט סביב השעון, כי חשבתי, טוב, אנחנו לא יודעים מה היא המטרה של הוירוס. היא יכולה להיות, נניח לדוגמא, תחנת חשמל אמריקאית, או מפעל כימי בגרמניה. אז כדאי שנגלה מה המטרה בקרוב. אז פרסנו וביצענו הידור הפוך לקוד התקיפה, וגילינו שהוא מובנה משתי פצצות דיגיטליות -- אחת קטנה ואחת גדולה. וראינו גם שהן מתוכננות באופן מאוד מקצועי על ידי אנשים שהיה להם באופן ברור את כל המידע הפנימי. הם הכירו את כל הביטים והבייטים שהם היו צריכים לתקוף. הם כנראה אפילו יודעים את מידת הנעליים של המפעיל. אז הם יודעים הכל.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
ואם שמעתם שהדרופר של סטאקסנט הוא מורכב ומשוכלל, אני אגיד לכם יותר מזה: הוירוס עצמו הוא מדע טילים. זה הרבה מעבר לכל דבר שנתקלנו בו בעבר. כאן אתם רואים דוגמה של קוד התקיפה המקורי. אנחנו מדברים על -- סביבות 15,000 שורות קוד. נראה כמעט כמו שפת אסמבלי של פעם. ואני רוצה לספר לכם איך הצלחנו להבין את הקוד הזה. אז מה שחיפשנו קודם כל הן פונקציות קריאות מערכת, כי אנחנו יודעים מה הן עושות.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
ואז חיפשנו טיימרים ומבני נתונים וניסינו לשייך אותם לעולם האמיתי -- למטרות אפשריות בעולם האמיתי. אז אנחנו צריכים תאוריות על מטרות שנוכל להוכיח או להפריך. כדי להגיע לתאוריות על מטרות, אנחנו זוכרים שזאת בוודאות פעולת חבלה קשה מאוד, זאת חייבת להיות מערכת חשובה ביותר, ורוב הסיכויים שהיא נמצאת באירן, מאחר ושם דווחו רוב מקרי המחשבים שהודבקו. אתה לא מוצא כמה אלפי מטרות באזור הזה. זה בעיקרון מצטמצם לכור הגרעיני בבושהר ולמפעל העשרת הדלק הגרעיני בנתנז.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
אז אמרתי לעוזר שלי, "תשיג לי רשימה של כל מומחי הצנטריפוגות ותחנות הכח מתוך הלקוחות שלנו" והתקשרתי אליהם ותשאלתי אותם כדי לנסות להתאים את הידע והמומחיות שלהם למה שמצאנו בקוד ובנתונים. וזה עבד די טוב. אז הצלחנו לקשר את ראש הטיל הדיגיטלי הקטן עם שליטה על הרוטור. הרוטור הוא החלק הנע בתוך הצנטריפוגה, החפץ השחור שאתם רואים. ואם משנים את המהירות של הרוטור הזה, אפשר באמת לסדוק את הרוטור ובסופו של דבר אפילו לגרום לצנטריפוגה להתפוצץ. מה שעוד ראינו הוא שהמטרה של ההתקפה היתה לעשות את זה באיטיות ובחשאיות -- במאמץ ברור לשגע את מהנדסי התחזוקה, כך שהם לא יוכלו לפענח את זה במהירות.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
ראש הטיל הדיגיטלי הגדול -- ניסינו לפענח אותו על ידי התבוננות קרובה בנתונים ומבני נתונים. אז לדוגמה, המספר 164 ממש בולט בקוד הזה; אי אפשר לפספס אותו. התחלתי לחקור ספרות מדעית על איך הצנטריפוגות האלה בנויות בנתנז ומצאתי שהן מובנות במה שנקרה סדרה, וכל סדרה מכילה 164 צנטריפוגות. אז זה היה הגיוני, זה התאים.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
וזה אפילו השתפר. הצנטריפוגות האלה באירן מחולקות ל-15 מה שנקרא, שלבים. ונחשו מה מצאנו בקוד התקיפה? מבנה כמעט זהה. אז שוב, זאת היתה התאמה מאוד טובה. וזה נתן לנו הרבה ביטחון על מה שאנחנו בודקים. אל תבינו אותי לא נכון, זה לא הלך בקלות. התוצאות האלה הושגו אחרי מספר שבועות של עבודה קשה מאוד. והרבה פעמים פשוט נתקענו במבוא ללא מוצא והיינו צריכים לנסות שוב.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
בכל מקרה, אז גילינו ששני ראשי הטיל הדיגיטליים בעצם כוונו אל אותה מטרה, אבל מזוויות שונות. ראש הטיל הקטן לוקח סדרה אחת, ומסובב את הרוטורים ומאט אותם, וראש הטיל הגדול מדבר עם שש סדרות ומשנה תפקודי שסתומים. אז בסך הכל, אנחנו מאוד בטוחים שמצאנו את המטרה האמיתית. זאת נתנז, וזאת רק נתנז. אז אנחנו לא צריכים לדאוג שמא מטרות אחרות ייפגעו על ידי סטאקסנט.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
הנה כמה דברים מאוד מגניבים שראינו -- שממש הפתיעו אותי. שם למטה נמצאת הקופסה האפורה, ולמעלה אתם רואים את הצנטריפוגות. עכשיו מה שהדבר הזה עושה הוא שהוא מיירט את הערכים שמתקבלים בחיישנים -- אז לדוגמא, מחיישני לחץ וחיישני רטט -- ובונה קוד לגיטימי, שעדיין רץ בזמן ההתקפה, עם מידע קלט מזוייף. ולמעשה, מידע הקלט המזוייף הזה מוקלט מראש על ידי סטאקסנט. אז זה כמו בסרטים ההוליוודיים שבזמן העוקץ, מצלמות האבטחה מוזנות בסרטונים מוקלטים מראש. זה מגניב, אה?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
הרעיון כאן הוא כמובן לא רק לשטות במפעילים בחדר הבקרה. האמת שזה הרבה יותר מסוכן ואגרסיבי. הרעיון הוא לעקוף מערכת בטיחות דיגיטלית. אנחנו צריכים מערכות בטיחות דיגיטליות במקומות שמפעיל אנושי לא יכול לפעול מהר מספיק. אז לדוגמה, בתחנת כח, כשטורבינת הקיטור הגדולה שלך צוברת יותר מדי מהירות, אתה חייב לפתוח את שסתומי השחרור בתוך אלפית השניה. ברור מאליו שזה לא יכול להתבצע על ידי מפעיל אנושי. אז במקומות כאלה אנחנו צריכים מערכות בטיחות דיגיטליות. וכשהן נפרצות, אז דברים מאוד רעים יכולים לקרות. המפעל שלך יכול להתפוצץ. ולא המפעילים שלך ולא מערכת הבטיחות שלך ישימו לב לכך. זה מפחיד.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
אבל זה נהיה יותר גרוע. וזה מאוד חשוב, מה שאני הולך להגיד. תחשבו על זה. ההתקפה הזאת היא כללית. היא לא עוסקת ספציפית, בצנטריפוגות, בהעשרת אורניום. אז היא יכולה לעבוד גם לדוגמה, בתחנת כח או במפעל לייצור כלי רכב. היא כללית. ואתה לא חייב -- בתור תוקף -- אתה לא חייב להפיץ את הוירוס הזה בעזרת כונן USB, כמו שראינו במקרה של סטאקסנט. אתה יכול גם להשתמש בשיטות רגילות להפצת תולעת מחשב. פשוט תפיץ את זה כמה שרק אפשר. ואם אתה עושה את זה, מה שאתה מקבל הוא נשק קיברנטי להשמדה המונית. זאת התוצאה שאיתה אנו צריכים להתמודד. אז לרוע המזל, המספר הגדול ביותר של מטרות להתקפות כאלה הוא לא במזרח התיכון. הן נמצאות בארה"ב ואירופה וביפן. אז כל האיזורים הירוקים, אלה הסביבות עם הכי הרבה מטרות. אנחנו צריכים להתמודד עם התוצאות, וכדאי שנתחיל להתכונן עכשיו.
Thanks.
תודה.
(Applause)
(מחיאות כפיים)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
כריס אנדרסון: יש לי שאלה. ראלף, זה דווח בהרחבה שאנשים מניחים שהמוסד הוא הישות המרכזית מאחורי זה. האם זאת דעתך?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
ראלף לאנגנר: אוקיי, אתה באמת רוצה לשמוע את זה? כן. אוקיי. דעתי היא שהמוסד מעורב, אבל שהכח המוביל אינו ישראל. הכח המוביל מאחורי זה הוא מעצמת העל הקיברנטית. ויש רק אחת, וזאת ארה"ב -- למרבה המזל, למרבה המזל. כי אחרת, הבעיות שלנו היו אפילו יותר גדולות.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
כריס: תודה לך שהפחדת אותנו עד עמקי נשמתנו. תודה לך ראלף.
(Applause)
(מחיאות כפיים)