The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Het idee achter de Stuxnet-computerworm is eigenlijk heel simpel. We willen niet dat Iran de bom krijgt. Hun belangrijkste troef voor de ontwikkeling van nucleaire wapens is de fabriek in Natanz voor de verrijking van uranium. De grijze dozen die je ziet, zijn de real-timebesturingssystemen. Als we erin slagen de systemen, die de draaisnelheden en kleppen controleren, in de war te sturen, dan kunnen we een boel problemen met de centrifuge veroorzaken. Die grijze dozen gebruiken geen Windows-software; ze draaien op een compleet andere technologie. Maar we kunnen proberen om een goed Windows-virus op een notebook te plaatsen. Als een ingenieur dat notebook gebruikt om die grijze doos te configureren, dan zijn we binnen. Dat is de plot achter Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
We beginnen met een Windows-dropper (software met malware). De worm komt terecht in de grijze doos, beschadigt de centrifuge, en het Iranese nucleaire programma loopt vertraging op: missie volbracht. Da's makkelijk, hè? Ik wil jullie vertellen hoe we daarop zijn gekomen. Toen we ons onderzoek op Stuxnet zes maanden geleden begonnen, was het volkomen onbekend wat dit ding moest doen. Het enige dat bekend was was dat dat zeer complexe Windows-onderdeel, het dropperdeel, meerdere zero-day kwetsbaarheden kon uitbuiten. Het leek iets te willen doen met deze grijze dozen, deze real-time besturingssystemen. Daar richtten we onze aandacht op. We begonnen een lab-project waar we ons systeem besmetten met Stuxnet en keken wat er gebeurde. Er gebeurden een aantal zeer grappige dingen. Stuxnet gedroeg zich als een lab-rat die onze kaas niet lustte - hij snoof eraan, maar wilde er niet van eten. Ik kon er kop noch staart aan krijgen. Nadat we met verschillende smaken van kaas hadden geëxperimenteerd, besefte ik dat dit is een gerichte aanval was. Volledig doelgericht. De dropper tast de grijze doos actief af tot een specifieke configuratie wordt gevonden, terwijl het eigenlijke programma, dat het probeert te infecteren, nog loopt op dat doelwit. Zo niet doet Stuxnet niets.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Dat trok pas echt mijn aandacht en we begonnen hier bijna de klok rond aan te werken. We hadden er geen idee van wat het doelwit is. Het zou bijvoorbeeld ook een Amerikaanse kerncentrale of een chemische fabriek in Duitsland kunnen zijn. We konden maar beter snel te weten komen wat het doel was. We haalden de aanvalscode eruit en decompileerden ze. We ontdekten dat er twee digitale bommen in te vinden waren: een kleine en een grote. We zagen ook dat ze erg professioneel waren ontworpen door mensen die duidelijk alle voorkennis hadden. Ze kenden alle bits en bytes die ze moesten aanvallen. Ze kenden waarschijnlijk zelfs de schoenmaat van de bediener. Ze wisten alles.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Als je zou hebben gehoord dat de dropper van Stuxnet complex en high-tech is, laat me je dan dit vertellen: dat ding is van de bovenste plank. Het staat ver boven alles dat we ooit eerder zagen. Hier zie je een staaltje van deze feitelijke aanvalscode. We praten over ongeveer 15.000 regels code. Ziet er nogal uit als ouderwetse assembler. Ik wil jullie vertellen hoe we in staat waren om deze code te begrijpen. Waar we naar zochten waren ten eerste systeemfunctiecalls. Omdat we weten waar die voor dienen.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Daarna zochten we naar timers en datastructuren en probeerden ze te relateren aan de echte wereld - aan potentiële doelwitten in de echte wereld. We hadden doelwittheorieën nodig die we konden bewijzen of weerleggen. Om achter die doelwittheorieën te komen, bleven we voor ogen houden dat het hier zeker om sabotage ging. Het moest een doelwit van hoge waarde zijn, en het was zeer waarschijnlijk in Iran gelegen. Daar werd namelijk het merendeel van de infecties gemeld. Nu ga je in dat gebied geen duizenden doelen vinden. Eigenlijk draait het vooral om de kerncentrale van Bushehr en om de fabriek voor splijtstofverrijking in Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Ik zei tegen mijn assistent, "Haal uit ons klantenbestand een lijst van alle centrifuge- en kerncentraledeskundigen op." Ik belde hen op en hoorde hen uit om hun expertise te vergelijken met wat we gevonden hadden in de code en data. Dat werkte behoorlijk goed. Zo konden we de kleine digitale bom linken aan de rotorcontrole. De rotor is het bewegende deel in de centrifuge. Het zwarte ding dat je daar ziet. Als je de snelheid van deze rotor kan aansturen, ben je eigenlijk in staat om de rotor te beschadigen en de centrifuge zelfs te laten ontploffen. Wat we ook zagen was dat het de bedoeling was de aanval langzaam en op een sluipende manier te laten gebeuren. Uiteraard met de bedoeling de onderhoudsmonteurs met de handen in het haar te laten zitten, zodat ze er niet snel zouden achterkomen wat er aan de hand was.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
De grote digitale bom vonden we door de data en datastructuren zeer nauwkeurig te analyseren. Zo komt het getal 164 vaak voor in die code. Je kunt het niet over het hoofd zien. Ik begon aan wetenschappelijk literatuuronderzoek over hoe dat deze centrifuges in Natanz eigenlijk gebouwd zijn. Ik vond dat ze in wat een cascade wordt genoemd waren opgesteld. Elke cascade bevat 164 centrifuges. Dat was al één logische overeenkomst.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Het werd zelfs nog beter. Deze centrifuges in Iran zijn onderverdeeld in 15 zogenoemde trappen. Raad eens wat we vonden in de aanvalscode? Een bijna identieke structuur. Dat stemde zeer goed overeen. Dit gaf ons heel veel vertrouwen dat we op het juiste spoor zaten. Begrijp me niet verkeerd, zo simpel was het niet. Deze resultaten zijn verkregen na een aantal weken van hard werken. Vaak volgden we een doodlopend spoor en moesten we opnieuw beginnen.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Hoe dan ook visten we uit dat beide digitale bommen op één en hetzelfde doelwit gericht zijn. Maar vanuit verschillende invalshoeken. De kleine bom pakt één cascade aan, door de rotors te versnellen of af te remmen, en de grote bom pakt zes cascades aan door het manipuleren van kleppen. Al met al hebben we er alle vertrouwen in dat we het doel hebben gevonden. Het is Natanz en alleen maar Natanz. We hoefden ons dus geen zorgen meer te maken dat andere doelen zouden kunnen worden getroffen door Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Hier een aantal leuke dingen die we tegenkwamen: daar viel ik pas echt van achterover. Daar is de grijze doos, en bovenaan zie je de centrifuges. Dit ding onderschept de input-waarden van sensoren. bijvoorbeeld van druksensoren en trillingsensoren. Het voorziet de legitieme code, die tijdens de aanval nog steeds loopt, van nep-inputdata. In feite zijn deze nep-inputdata vooraf opgenomen door Stuxnet. Het is net als in die Hollywoodfilms waar tijdens een inbraak de observatiecamera wordt gevoed met vooraf opgenomen video. Dat is cool, he?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Het idee hierachter is niet alleen maar de operatoren in de controlekamer te misleiden. Het is veel gevaarlijker en agressiever. Het idee gaat over het omzeilen van een digitaal beveiligingssysteem. We hebben digitale beveiligingssystemen nodig als een menselijke operator niet snel genoeg kan reageren. Bijvoorbeeld in een elektriciteitscentrale moet je, als de grote stoomturbine te snel gaat draaien, de ontlastingskleppen binnen de milliseconde kunnen openen. Uiteraard kan dit niet worden gedaan door een menselijke operator. Daar hebben we digitale beveiligingssystemen voor nodig. Wanneer die in het gedrang komen kunnen vreselijke dingen gebeuren. Je installatie kan ontploffen. Noch je operatoren, noch je veiligheidsysteem zullen het merken. Dat is pas eng.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Maar het wordt nog erger. Wat ik ga zeggen is zeer belangrijk. Denk hier eens over na. Deze aanval is niet specifiek. Dat wil zeggen dat hij niet specifiek gericht is op centrifuges of op de verrijking van uranium. Hij zou even goed kunnen werken bij een energiecentrale of een autofabriek. Hij is niet specifiek. Je hoefde als aanvaller deze software niet door middel van een USB-stick af te leveren, zoals we al zagen in het geval van Stuxnet. Dat kon evengoed via conventionele worm-technologie. Smeer het gewoon zo breed mogelijk uit. Wat krijg je dan? Een cybermassavernietigingswapen. Een cybermassavernietigingswapen. Dat moeten we onder ogen durven zien. Maar helaas bevindt het grootste aantal doelen voor dergelijke aanslagen zich niet in het Midden-Oosten. Maar wel in de Verenigde Staten, Europa en Japan. Alle groene gebieden op de kaart zijn je doelgroeprijke omgevingen. We moeten de gevolgen daarvan onder ogen durven zien. We kunnen er ons maar beter op voorbereiden.
Thanks.
Bedankt.
(Applause)
(Applaus)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Ik heb een vraag. Ralph, er wordt vaak beweerd dat het vooral de Mossad is die hierachter zou zitten. Denk je dat ook?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner: Oke, wil je het echt weten? Ja. Oke. Mijn mening is dat de Mossad betrokken partij is, maar dat de voornaamste aanstoker niet Israël is. De voornaamste aanstoker hierachter is 'de' cybersupermacht. Dat is er slechts één: de Verenigde Staten. Gelukkig maar. Want anders zouden onze problemen zelfs nog groter zijn.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Bedankt dat je ons de haren ten berge hebt laten rijzen. Dank je Ralph.
(Applause)
(Applaus)