The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Stuxnet kirmino idėja iš tiesų yra gana paprasta. Mes nenorime, kad Iranas sukurtų bombą. Jų pagrindinis centras kuriant branduolinius ginklus yra Natanz urano sodrinimo gamykla. Pilkos dėžės, kurias jūs matote, yra realaus laiko valdymo sistemos. Jei mes sugebėtume sutrikdyti šias sistemas, kurios kontroliuoja motorų greitį ir vožtuvus, tai mes, iš tikro, sukeltume daug problemų centrifugai. Pilkosiose dėžėse veikia ne Windows programinė įranga; tai visiškai kita technologija. Bet jei sugebėtume įdiegti gerą Windows virusą į nešiojamą kompiuterį, kurį naudoja įrengimų inžinierius šių pilkųjų dėžių konfigūravimui, tai galėtume kažką nuveikti. Kaip tik toks ir yra Stuxnet veikimo būdas.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Taigi, pradedame su Windows užkratu. Kovinis užtaisas nukeliauja į pilkąją dėžę, pažeidžia cetrifugą, Irano branduolinė programa pristabdyta - misija baigta. Lengva, tiesa? Aš noriu papasakoti, kaip mes tai išsiaiškinome. Kai pradėjome Stuxnet tyrimą prieš šešis mėnesius, visiškai nenutuokėme, koks šio daikto tikslas. Vienintelis dalykas, kurį žinojome, buvo tai, kad jis labai labai sudėtingas iš Windows - užkrato - pusės, išnaudojantis daugybę "nulinės dienos" spragų. Ir atrodė, kad jis norėjo kažką padaryti, su tomis pilkosiomis dėžėmis, tomis realaus laiko kontrolės sistemomis. Tai atkreipė mūsų dėmesį ir mes pradėjome laboratorinį tyrimą, kuriame užkrėtėme mūsų įrenginius Stuxnet'u ir stebėjome, kas bus. Nutiko labai smagių dalykų. Stuxnet elgėsi kaip laboratorinė žiurkė, kuriai nepatiko mūsų sūris - pauostė, bet ėsti nenorėjo. Man tai neatrodė logiška. Po to, kai mes išbandėme skirtingus sūrio skonius, aš supratau - tai tikslinga ataka. Visiškai tikslinga. Užkratas aktyviai seka, ar pilkojoje dėžėje yra specifinė konfigūracija ir net ar tikroji programa, kurią norima užkrėsti iš tikro veikia tame taikinyje. Jei ne, Stuxnet nieko nedaro.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Tai stipriai patraukė mano dėmesį ir mes pradėjome darbą vos ne kiaurą parą, nes aš pagalvojau, kad mes nežinome, kas yra taikinys. Tai gali būti, pavyzdžiui, JAV elektrinė ar chemijos gamykla Vokietijoje. Todėl geriau būtų kuo greičiau išsiaiškinti, kas yra taikinys. Taigi, mes ištraukėme ir išskaidėme atakos kodą ir aptikome, kad jis susideda iš dviejų skaitmeninių bombų - mažesnės ir didesnės. Taip pat pamatėme, kad jos sukurtos labai profesionaliai žmonių, kurie akivaizdžiai turėjo visą vidinę informaciją. Jie žinojo kiekvieną smulkmeną apie įrangą, kurią turėjo atakuoti. Jie tikriausiai žinojo net operatoriaus batų dydį. Taigi, jie žinojo viską.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Jei jūs girdėjote, jog Stuxnet užkratas yra sudėtingas ir aukščiausios technologijos, tai leiskite pasakyti štai ką: tas užtaisas - "raketų mokslas". Tai daug sudėtingiau už viską, ką mes esame matę iki šiol. Čia jūs matote pavyzdį iš tikrojo atakos kodo. Mes kalbame apie maždaug 15 000 kodo eilučių. Atrodo panašiai į senąją asemblerio kalbą. Aš noriu papasakoti, kaip mums pavyko iššifruoti šį kodą. Taigi, pirmiausia pradėjome ieškoti kreipinių į sistemos veiksmus, nes žinojome, ką jie daro.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Po to ieškojome laikmačių ir duomenų struktūrų, bandėme susieti juos su realiu pasauliu - su tikrais realaus pasaulio taikiniais. Taigi, mums reikėjo ieškoti teorinių taikinių, kuriuos galėtume patvirtinti arba atmesti. Kurdami tokias teorijas mes turėjome galvoje, kad tai labai aukšto lygio sabotažas, taigi taikinys turi būti labai svarbus, ir labiausiai tikėtina, kad jis yra Irane, nes iš ten atėjo daugiausiai pranešimų apie užkrėtimus. Toje teritorijoje nerasite tūkstančių tokių taikinių. Iš esmės visi keliai veda į Bushehr atominę elektrinę ir į Natanz atominio kuro sodrinimo gamyklą.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Taigi, aš pasakiau savo asistentui, "Suraskite mūsų duomenų bazėje visus centrifugų ir elektrinių ekspertus". Tada aš jiems paskambinau ir apklausiau tam, kad susieti jų ekspertines žinias su tuo, ką mes radome kode ir duomenyse. Tai visai neblogai pavyko. Taigi, mes susiejome mažąją skaitmeninę bombą su rotoriaus kontrole. Rotorius - tai judanti centrifugos dalis, juodas objektas, kurį matote. Manipuliuojant šio rotoriaus greičiu galima suskaldyti rotorių ir taip sukelti centrifugos sprogimą. Mes taip pat pamatėme, kad atakos tikslas buvo tai padaryti lėtai ir bauginančiai - akivaizdžiai stengiantis inžinierius išvesti iš proto, kad jie greitai nesuprastų, kas vyksta.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Didžioji skaitmeninė bomba - apie ją spėjome akylai žiūrėdami į duomenis ir jų struktūrą. Pavyzdžiui, skaičius 164 išsiskiria visame kode; jo nepastebėti negalima. Aš pradėjau studijuoti mokslinę literatūrą, kaip centrifugos yra sukonstruotos Natanz'e ir pastebėjau, jog jos sugrupuotos taip vadinamomis kaskadomis, o kiekvienoje kaskadoje yra 164 centrifugos. Taigi, tai buvo sąsaja.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Toliau buvo dar geriau. Šios centrifugos Irane yra dar suskirstytos į 15 lygių. Ir spėkite, ką mes radome atakos kode? Beveik tokią pat struktūrą. Taigi, pakartosiu - tai buvo tikrai aiškus ryšys. Tai mus suteikė pasitikėjimo tuo, ką mes tyrėme. Tačiau nesupraskite manęs klaidingai, tai nevyko taip sklandžiai. Šie rezultatai gauti po kelių savaičių sunkaus darbo. Dažnai atsidurdavome aklavietėje, tačiau turėjome atsitiesti.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Bet kuriuo atveju, mes išsiaiškinome, kad abi skaitmeninės bombos taikėsi į tą patį taikinį, tačiau iš skirtingų pusių. Mažoji bomba taikėsi į vieną kaskadą ir kaitaliojo rotorių sukimosi greitį, o didžioji bomba valdė šešias kaskadas bei manipuliavo vožtuvais. Taigi, mes buvome pakankamai tikri, kad nustatėme taikinį. Tai Natanz ir tik Natanz. Taigi, neturėjome baimintis, kad kiti taikiniai gali būti paveikti Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Čia labai šaunūs dalykai, kuriuos išvydome ir tai mane išvertė iš klumpių. Apačioje yra pilkoji dėžė, o virš jos matote centrifugas. Šitas virusas perima duomenis iš daviklių - pavyzdžiui, iš spaudimo ar vibracijos daviklių - ir siunčia įrangos sistemoms, kurios atakos metu vis dar veikia, netikrus duomenis. Beje, netikri duomenys yra įrašyti Stuxnet iš anksto. Taigi, tai kaip Holivudo filmuose, kai vykdant vagystes stebėjimo kamerose matosi iš anksto paruoštas vaizdas. Šaunu, ar ne?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Ši idėja akivaizdžiai skirta ne tik apkvailinti operatorius prie valdymo pulto. Ji daug pavojingesnė ir agresyvesnė. Idėja yra pergudrauti skaitmeninę saugumo sistemą. Mums reikia skaitmeninių saugumo sistemų, nes žmogus operatorius negali pakankamai greitai sureaguoti. Pavyzdžiui, elektrinėje, kai didelė garo turbina pradeda per greitai suktis, reikia tam tikrus vožtuvus atidaryti per milisekundę. Akivaizdu, kad žmogus to padaryti negalėtų. Štai čia reikalingos skaitmeninės saugumo sistemos. O kai jos yra sugadinamos, gali nutikti tikrai blogų dalykų. Elektrinė gali sprogti. Ir nei operatoriai, nei saugumo sistemos to net nepastebės. Baisoka.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Bet yra dar blogiau. Ir tai labai svarbu, ką dabar pasakysiu. Pagalvokite apie tai. Ši ataka yra bendrinė. Iš esmės ji nesusijusi konkrečiai su centrifugomis ar urano sodrinimu. Taigi, ji taip pat sėkmingai veiktų, pavyzdžiui, elektrinėje ar automobilių gamykloje. Ji yra bendrinė. Ir jūs, kaip puolantysis, viruso neprivalote paleisti iš USB atmintinės, kaip matėme Stuxnet atveju. Jūs galite naudoti įprastą kirmino technologiją paskleidimui. Tik paskleiskite kiek galima plačiau. Jei tai padarysite, tai gausite skaitmeninį masinio naikinimo ginklą. Tai pasekmės, su kuriomis teks susidurti. Nelaimei, daugiausiai taikinių tokioms atakoms yra ne Artimuosiuose Rytuose. Jie yra JAV, Europoje ir Japonijoje. Visos žalios zonos, tai daugiausiai taikinių turinčios vietos. Mes turėsime susidurti su pasekmėmis ir geriau joms ruoštis jau dabar.
Thanks.
Ačiū.
(Applause)
(Plojimai)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Aš turiu klausimą. Ralfai, buvo plačiai nušviesta, kad daugelio manymu Mossad yra pagrindinis šios atakos organizatorius. Kokia tavo nuomonė?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner: Gerai, jūs tikrai norite tai išgirsti? Gerai. Mano nuomone Mossad yra įsivėlęs, bet pagrindinis veikėjas nėra Izraelis. Pagrindinis iniciatorius yra kompiuterinė supervalstybė. Tokia yra tik viena, ir tai Jungtinės Amerikos Valstijos - laimei, laimei. Nes kitaip mūsų problemos būtų netgi didesnės.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Ačiū, kad mirtinai mus išgąsdinai. Ačiū, Ralfai.
(Applause)
(Plojimai)