The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Ide di balik worm Stuxnet sebenarnya cukup sederhana. Kita tidak mau Iran punya bom. Aset terbesar mereka dalam pengembangan senjata nuklir adalah fasilitas pengayaan uranium Natanz. Kotak abu-abu yang Anda lihat, ini adalah sistem kendali real time. Kalau kita berhasil masuk ke sistem-sistem ini yang mengendalikan kecepatan motor dan katup, kita benar-benar bisa menciptakan banyak masalah pada sentrifuganya. Kotak abu-abu ini tidak menjalankan perangkat lunak Windows; teknologi yang digunakan sama sekali berbeda. Namun kalau kita berhasil menanamkan virus Windows pada sebuah notebook yang digunakan oleh insinyur pemeliharaan untuk mengatur kotak abu-abu ini, kita bisa ambil alih kendali kotak abu-abu itu. Dan inilah skenario di balik Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Jadi kita mulai dengan sebuah virus di Windows. Muatannya akan menjangkiti kotak abu-abu, merusak sentrifuganya, dan program nuklir Iran jadi tertunda -- misi terlaksana. Semudah itu ya? Saya akan beritahukan bagaimana kami mengetahuinya. Ketika kami memulai riset tentang Stuxnet 6 bulan yg lalu, sama sekali tidak ada yang tahu apa tujuan virus ini. Satu-satunya hal yang diketahui adalah virus yang sangat rumit di Windows, memanfaatkan beberapa lubang keamanan yang belum ada penangkalnya. Dan ini tampak ingin melakukan sesuatu pada kotak abu-abu ini, sistem pengendali real time ini, Itu menarik perhatian kami, jadi kami mulai sebuah proyek eksperimental di mana kami jangkiti jaringan kami dengan Stuxnet untuk kemudian kami amati. Tidak lama kemudian beberapa kejadian aneh muncul. Stuxnet berperilaku seperti kelinci percobaan yang tidak suka dengan umpan yang kami berikan -- mengendus, tapi tidak mau memakannya. Tidak masuk akal bagi saya. Dan setelah kami coba dengan berbagai umpan, saya menyadari, serangannya terarah. Benar-benar sangat terarah. Virusnya aktif merajalela pada kotak abu-abu jika konfigurasi yang spesifik ditemukan, dan bahkan bisa memeriksa apa program yang akan dijangkiti jalan pada sistem sasarannya Kalau tidak, Stuxnet tidak melakukan apa-apa.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Itu benar-benar meanarik perhatian saya jadi kami mulai mempelajari ini nyaris 24 jam sehari karena saya pikir, yah, kita tidak tahu apa sasarannya. Bisa saja, misalnya, pembangkit listrik AS, atau pabrik kimia di Jerman. Jadi sebaiknya kita cari tahu apa sasarannya secepat mungkin. Lalu kami mengekstrak dan dekompilasi kode penyerangnya, dan kami temukan di dalamnya terdapat dua bom digital -- satu kecil, satu besar. Kami juga dapati mereka direkayasa secara profesional oleh orang-orang yang jelas-jelas tahu seluk-beluk sasarannya. Mereka tahu setiap bit dari sasarannya. Mereka bahkan mungkin tahu ukuran sepatu petugas operatornya. Intinya mereka tahu segalanya.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Dan kalau Anda pernah dengar virus Stuxnet itu kompleks dan canggih, saya beri tahu Anda: muatan isinya jauh lebih kompleks dan canggih. Jauh dari segala program yang pernah kami lihat sebelumnya. Berikut bisa Anda lihat potongan kode penyerang yang sebenarnya. Kita sedang membicarakan -- sekitar 15.000-an baris kode. Tampak seperti bahasa assembly yang kuno. Dan saya akan jelaskan bagaimana kami mencari tahu makna kode ini. Yang pertama kami cari adalah panggilan fungsi sistem, karena kami tahu apa kerjanya.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Lalu kami cari penghitung waktu dan struktur datanya untuk kemudian mencari hubungan keduanya dengan dunia nyata -- dengan calon sasarannya di dunia nyata. Jadi kami membutuhkan calon sasaran yang bisa kami buktikan cocok tidaknya Dalam menentukan calon tersebut, kami ingat bahwa kode ini jelas untuk mensabotase, jadi sasarannya pasti bernilai tinggi dan hampir pasti lokasinya di Iran, karena di sanalah yang paling banyak terjangkit virus ini. Anda tidak akan menemukan banyak sasaran di daerah tersebut. Kemungkinannya tinggal PLTN Bushehr dan pusat pengayaan Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Jadi saya bilang pada asisten saya, "Buat daftar semua pakar sentrifuga dan pembangkit listrik dari klien kita." Lalu saya telpon mereka dan berkonsultasi sebagai usaha mencari hubungan antara bidang mereka dengan apa yang kami temukan dari kode dan data yang ada. Dan hal itu bekerja cukup baik. Kami jadi bisa menghubungkan hulu ledak digital yang kecil dengan kendali rotor. Rotor adalah bagian yang berputar pada sentrifuga, objek hitam yang Anda lihat. Dan kalau Anda mengubah kecepatannya, Anda bisa rusak rotor ini dan bahkan bisa meledakkan sentrifuganya. Hal lain yang kami temukan dari tujuan serangan ini adalah merusak secara perlahan dan halus -- sebagai usaha untuk membingungkan insinyur pemeliharaan, sehingga mereka tidak menyadari hal ini dengan cepat.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Hulu ledak yang besar -- kami temukan titik terang dengan mencermati data dan struktur datanya Jadi misalnya, angka 164 sangat dominan dalam program ini cukup mencolok. Saya lakukan riset literatur tentang bagaimana sentrifuga dibangun di Natanz dan menemukan strukturnya yang disebut "cascade" di mana pada tiap "cascade" terpasang 164 sentrifuga. Ini cocok dan masuk akal.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Bahkan lebih baik lagi. Sentrifuga-sentrifuga di Iran dibagi menjadi 15 tingkat. Dan coba tebak apa yang kami temukan pada kode penyerangnya? Struktur yang nyaris sama persis. Jadi lagi-lagi, ini sangat cocok. Ini menambah keyakinan kami tentang apa yg kami temukan. Jangan salah, proses sebenarnya tidak seperti dalam acara ini. Temuan-temuan ini didapat dengan kerja keras berminggu-minggu. Tidak jarang juga kami menemui jalan buntu dan harus mengulang dari awal.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Singkat cerita, jadi kami simpulkan bahwa kedua hulu ledak digital ini sebenarnya punya sasaran yang sama tapi dari sudut yang berbeda. Hulu ledak yang kecil mengambil alih kendali satu "cascade", dan memperlambat putaran rotornya, sedangkan hulu ledak yang besar mengambil alih kendali 6 "cascade" dan merusak katupnya Jadi secara keseluruhan, kami yakin kami telah berhasil menentukan apa sasarannya Sasarannya Natanz dan hanya Natanz. Jadi kami tidak perlu khawatir dengan sasaran lain yang terjangkit Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Berikut adalah hal yang sangat menarik yang kami temukan -- Sungguh-sungguh mengagetkan saya. Di bawah sana adalah kotak abu-abunya, di atasnya Anda bisa lihat sentrifuganya. Apa yang dilakukan virus ini adalah mencegat nilai masukan dari sensor yang ada -- jadi misalnya, dari sensor tekanan dan sensor getaran -- virus ini mengumpankan kode di pihak korban yang jalan terus selama serangan dilakukan dengan data masukan palsu. Dan data masukan yang palsu ini adalah hasil rekaman Stuxnet. Jadi seperti pada film-film Hollywood di mana selama perampokan berlangsung, kamera pengawas diberi umpan hasil rekaman sebelumnya. Keren kan?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Idenya tentu saja tidak hanya untuk mengelabui operator di ruang kendali. Tujuannya jauh lebih berbahaya dan agresif. Idenya adalah untuk mengelabui sistem keamanan digital. Sistem keamanan digital dibutuhkan ketika reaksi manusia tidak cukup cepat. Misalnya, pada pembangkit listrik, ketika turbin uap Anda yang besar berputar terlalu cepat, Anda harus membuka katup pelepasan dalam hitungan milidetik. Jelas, ini tidak bisa dilakukan oleh operator manusia. Inilah tugas sistem kemanan digital. Jadi ketika sistem itu teretas, akibatnya bisa terjadi bencana. Pembangkit listrik Anda bisa meledak. Dan ini tanpa disadari oleh petugas atau sistem keamanan yang ada. Ini mengerikan.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Tapi ada kemungkinan yang lebih buruk. Dan ini sangat penting, apa yang akan saya sampaikan. Renungkan ini Serangan ini sifatnya generik. Seringan ini tidak harus menyerang, secara khusus, pada sentrifuga, dengan pengayaan uranium. Jadi bisa juga menyerang, misalnya, pembangkit listrik atau pabrik mobil. Serangan ini generik. Dan Anda tidak perlu -- sebagai penyerang -- Anda tidak perlu menyebarkan muatannya dengan USB stick, seperti kita lihat pada kasus Stuxnet Anda bisa menggunakan teknologi worm yang biasa untuk menyebarkannya. Sebar saja seluas mungkin. Kalau sudah begitu, Anda akan mendapatkan senjata cyber perusak massal. Itu konsekuensi yang harus kita hadapi Sayangnya, kebanyakan sasaran untuk serangan seperti itu tidak berada di Timur Tengah. Tapi ada di Amerika Serikat, Eropa dan Jepang. Jadi area yang hijau ini, adalah daerah yang sarat dengan sasaran. Kita harus hadapi konsekuensi ini dan kita sebaiknya siap-siap dari sekarang.
Thanks.
Terima kasih.
(Applause)
(Tepuk tangan)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Saya punya pertanyaan. Ralph, ada banyak laporan yang mengatakan bahwa ada dugaan Mossad adalah pelaku di belakang ini semua. Apakah itu pendapat Anda?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner: Baiklah, Anda sungguh mau mendengar ini? Baiklah. Menurut saya, Mossad memang terlibat, tapi pemimpin serangannya bukan Israel. Pemimpin serangan di balik itu adalah adikuasa cyber. Hanya ada satu, dan itu adalah Amerika Serikat -- untungnya. Karena kalau tidak, masalah kita akan jadi bertambah besar.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Terima kasih telah menakut-nakuti kami. Terima kasih Ralph.
(Applause)
(Tepuk tangan)