The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
L'idea dietro il worm Stuxnet è in realtà abbastanza semplice. Non vogliamo che l'Iran possegga la Bomba. La loro risorsa principale per sviluppare armi nucleari è l'impianto di arricchimento dell'uranio di Natanz. Le scatole grigie che vedete, queste sono sistemi di controllo in real-time. Ora se riusciamo a compromettere questi sistemi che controllano le velocità e le valvole possiamo creare un sacco di problemi alla centrifuga. Sulle scatole grigie non gira Windows hanno una tecnologia completamente diversa. Ma se riusciamo a piazzare un buon virus per Windows su un portatile che viene usato da un ingegnere della manutenzione per configurare questa scatola grigia allora siamo a cavallo. E questo è lo schema dietro Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Perciò cominciamo con un dropper per Windows Il carico viene messo dentro la scatola grigia danneggia la centrifuga e il programma nucleare Iraniano viene rallentato -- missione compiuta. Facile, no? Vi voglio dire come abbiamo scoperto queste cose. Quando abbiamo iniziato le nostre ricerche su Stuxnet sei mesi fa, non si sapeva quale fosse lo scopo di questa cosa. La sola cosa che si sapeva è che la parte di Windows, la parte del dropper, era molto molto complessa usava parecchie vulnerabilità zero day E sembrava voler fare qualcosa con queste scatole grigie, questi sistemi di controllo in real-time Questo ha attratto la nostra attenzione e abbiamo dato il via ad un progetto dove abbiamo infettato la nostra rete con Stuxnet e tenuto d'occhio questa cosa. E sono successe alcune cose molto divertenti. Stuxnet si comportava come un topo di laboratorio a cui non piaceva il nostro formaggio -- annusava ma non voleva mangiare. Per me non aveva senso. E dopo aver sperimentato con diversi tipi di formaggio, ho realizzato che questo è un attacco diretto. Completamente direzionato Il dropper va attivamente a caccia sulla scatola grigia di una configurazione specifica, e persino se il programma che stà cercando di infettare è in esecuzione sul bersaglio. Altrimenti Stuxnet non fa nulla.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Questo fatto ha attirato la mia attenzione, e abbiamo cominciato a lavorarci su quasi giorno e notte, perchè pensavo che non sapevamo quale fosse il bersaglio. Avrebbe potuto essere, per esempio, una centrale elettrica statunitense, o una fabbrica di prodotti chimici in Germania. Perciò avremmo fatto meglio a scoprire in fretta qual'era il bersaglio quindi abbiamo estratto e decompilato il codice di attacco e abbiamo scoperto che è strutturato in due bombe digitali una piccola ed una grande e abbiamo visto, inoltre, che erano disegnate in maniera professionale da persone che chiaramente avevano tutte le informazioni di un addetto ai lavori Conoscevano tutte le minuzie di ciò che dovevano attaccare. Probabilmente sapevano anche la taglia di scarpe del tecnico. Sapevano tutto
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
E se avete sentito che il dropper di Stuxnet è complesso ed avanzatissimo lasciate che vi dica questo: il carico é fantascientifico. è ben al di là di tutto quello che abbiamo visto finora Ecco, questo è un estratto di questo codice d'attacco. Stiamo parlando di -- circa 15 mila linee di codice. Assomiglia molto a un linguaggio assembly vecchio stile Voglio dirvi come abbiamo fatto a comprendere questo codice. Quello che stavamo cercando erano prima di tutto delle chiamate di sistema, perchè sappiamo cosa fanno.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
E poi cercavamo dei timer e delle strutture di dati e cercavamo di relazionarle al mondo reale -- a potenziali bersagli. Perciò avevamo bisogno di teorie sul bersaglio che potessimo verificare o confutare. Per formulare delle teorie sul possibile bersaglio ci siamo ricordati che era un sabotaggio veramente hardcore doveva essere un bersaglio di gran valore, e doveva essere molto probabilmente situato in Iran, perché quello è il luogo dove sono state segnalate il maggior numero di infezioni. Ora non ci sono diverse migliaia di bersagli in quella zona. Praticamente ci si riduce alla centrale elettrica di Bushehr e alla centrale di arricchimento di Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Perciò ho detto al mio assistente. "Estrai una lista di tutti gli esperti di centrifughe e centrali elettriche dal nostro archivio clienti." E li ho chiamati e ho sfruttato la loro conoscenza nel tentativo di combinare le loro conoscenze con quello che avevamo trovato nel codice e nei dati. E questo espediente ha funzionato piuttosto bene. Quindi eravamo in grado di associare la piccola testata digitale al controllo del rotore. Il rotore e la parte mobile all'interno della centrifuga, quell oggetto nero che vedete. E se manipolate la velocità di questo rotore, siete in grado di romperlo e anche eventualmente di far esplodere la centrifuga. Quello che abbiamo anche scoperto è che l'obiettivo dell'attacco era di farlo molto lentamente e in modo subdolo -- ovviamente nel tentativo di far impazzire gli addetti alla manuntenzione, che non sarebbero riusciti a risolvere il problema velocemente.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
La testata digitale grande -- ci siamo cimentati con questa guardando molto da vicino i dati e le strutture di dati. Perciò per esempio il numero 164 si staglia nel codice non lo si può ignorare Ho cominciato a cercare articoli scientifici su come queste centrifughe siano di fatto costruite a Natanz e ho scoperto che sono strutturate in ciò che è chiamata una cascata, e ogni cascata contiene 164 centrifughe. Aveva senso, c'era una corrispondenza.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
E andava anche meglio. Queste centrifughe in Iran sono suddivise in 15 livelli. E indovinate cosa abbiamo trovato nel codice d'attacco? Una struttura quasi identica. Perciò di nuovo, c'era una corrispondenza molto buona. E questo ci ha dato una grande sicurezza su quello che stavamo cercando. Adesso non fraintendetemi, non è andata così. Questi risultati sono stati ottenuti dopo parecchie settimane di lavoro molto duro. E spesso ci siamo trovati in un vicolo cieco e abbiamo dovuto ricominciare.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Ad ogni modo abbiamo capito che entrambe le testate digitali erano dirette allo stesso bersaglio ma da angoli diversi. La testata piccola prende una cascata, e aumenta e diminuisce la velocità dei rotori, mentre la testata grande interagisce con sei cascate e manipola le valvole. Perciò alla fine siamo certi di aver determinato quale sia il bersaglio. E' Natanz e solo Natanz. Perciò non dobbiamo preoccuparci che altri bersagli possano essere colpiti da Stuxnet
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Ecco alcune cose geniali che abbiamo visto -- mi hanno veramente impressionato. Laggiù c'è la scatola grigia, e sulla sommità ci sono le centrifughe. Ora il compito di questo apparato è di intercettare i valori in ingresso dai sensori -- per esempio, dai sensori di pressione e dai sensori di vibrazione -- e di fornire al codice legittimo che resta in esecuzione durante l'attacco dei dati falsi. E in pratica questi dati falsi sono preregistrati da Stuxnet Perciò è come in un film di Hollywood dove durante il colpo, viene fornito alle videocamere di sorveglianza del video preregistrato Che trovata, no?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Qui l'idea è ovviamente non solo di ingannare gli operatori della cabina di controllo ma il fine è in realtà molto più pericoloso e aggressivo. L'idea è di aggirare il sistema di sicurezza. Abbiamo bisogno di sistemi di sicurezza quando un operatore umano potrebbe non reagire abbastanza velocemente. Per esempio, in una centrale elettrica, quando la vostra grande turbina a vapore va troppo su di giri, dovete aprire le valvole di sfogo entro un millisecondo. Ovviamente, questo non può essere fatto da un operatore umano. Perciò è questo il motivo per cui abbiamo bisogno di sistemi di sicurezza E quando questi sistemi vengono compromessi, allora possono succedere cose molto brutte. La vostra centrale può esplodere. E ne i vostri operatori ne il vostro sistema di sicurezza se ne accorgerebbero. E' spaventoso.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Ma può essere ancora peggio. Quello che mi accingo a dire è molto importante. Rifletteteci. L'attacco è generico. Non ha niente a che fare, nel dettaglio, con le centrifughe, con l'arrichimento dell'uranio. Perciò funzionerebbe anche, per esempio, in una centrale elettrica o in una fabbrica di automobili. E' generico. E non è necessario -- come attaccanti -- non è necessario veicolare il carico con una penna USB, come abbiamo visto nel caso di Stuxnet. Potete anche usare la tecnologia convezionale dei worm per computer per diffonderlo. Basta diffonderlo il più possibile. E se lo farete quello che otterrete è un'arma di distruzione di massa digitale. E' questo il lascito che dobbiamo affrontare. Sfortunatamente, il numero maggiore di bersagli per attacchi di questo tipo non si trova in Medio Oriente ma negli Stati Uniti, in Europa e in Giappone. Dunque tutte queste aree verdi, sono le vostre zone ricche di besagli Dobbiamo affrontare la questione ed è meglio cominciare a preparasi da subito.
Thanks.
Grazie.
(Applause)
(Applausi)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Ho una domanda. Ralph, è stato assai ampiamente riportato che si ipotizza che il Mossad sia l'autore principale dell'accaduto. La pensi allo stesso modo?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langer: Okay, vuoi veramente sentirlo? Certo. Si. La mia opinione è che il Mossad sia coinvolto, ma che la forza trainante non sia Israele. Quindi la forza trainante dietro tutto ciò è una super potenza digitale. Ne esiste una sola gli Stati Uniti -- per fortuna. Perché altrimenti, i nostri problemi sarebbero anche più grandi.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Grazie per averci spaventato a morte. Grazie Ralph.
(Applause)
(Applausi)