The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Idea kryjąca się za robakiem komputerowym Stuxnet jest w zasadzie bardzo prosta. Nie chcemy, aby Iran wyprodukował bombę atomową. Ich centralnym ośrodkiem prowadzącym badania jest Natanz, gdzie wzbogaca się uran. Te szare skrzynki, które widzicie, to systemy kontrolujące w czasie rzeczywistym. Kiedy przejmiemy kontrolę nad systemami, które monitorują szybkości i zawory, możemy spowodować wiele problemów z wirówkami. Szare skrzynki, nie działają w środowisku Windows; używają całkowicie innej technologii. Ale jeśli zdołamy, umieścić dobrego Windowsowskiego wirusa na laptopie którego używa inżynier obsługujący te maszyny aby skonfigurować tą szarą skrzynkę wtedy, jesteśmy w domu. I taki spisek kryje się za Stuxnet'em.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Zaczynamy z "zarażaczem" na Windowsie. Blok danych idzie do szarego pudła, uszkadzaja wirówki, irański program atomowy jest opóźniony -- misja wykonana. Proste, nie? I chciałbym wam opowiedzieć, jak do tego doszliśmy. Kiedy rozpoczęliśmy nasze badania nad Stuxnet sześć miesięcy temu, nie mieliśmy zielonego pojęcia jaki był cel tego wirusa. Jedyna rzecz, o która była wiadoma, to bardzo, bardzo złożona część Windows'owska, część zarażająca, która używała wielokrotnych zero-day'owych słabości . [ataki na luki w systemie już po ich ujawnieniu] Wyglądało na to, że robak, chce coś zrobić ze tymi szarymi skrzynkami, tymi systemami kontroli czasu rzeczywistego. To przyciągnęło naszą uwagę, i zaczęliśmy projekt w laboratorium, gdzie zainfekowaliśmy nasze środowisko Stuxnet'em, i sprawdzaliśmy, co się dzieje. Wydarzyła się bardzo zabawna rzecz. Stuxnet zachowywał się jak mysz laboratoryjna, która nie lubiła naszego sera -- obwąchiwała go, ale nie chciała go zjeść. To nie miało dla mnie sensu. Kiedy już wypróbowaliśmy, różne rodzaje sera, zrozumiałem, że atak jest dokładnie sprecyzowany. Jest on zupełnie przemyślany. Roznosiciel staje się aktywny w szarej skrzynce, jeśli znajdzie specyficzną konfigurację, nawet jeśli rzeczywiście program, który ma być zainfekowany, w danym momencie pracuje nad tym celem. Jeśli jej nie ma, Stuxnet nic nie robi.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
To naprawdę przyciągnęło moją uwagę, i zaczęliśmy pracować nad tym, niemal 24 godziny na dobę, ponieważ nie wiedzieliśmy, jaki jest cel. Mogłyby to być, powiedzmy, elektrownia w Stanach Zjednoczonych, lub fabryka chemiczna w Niemczech. Więc lepiej byłoby, gdybyśmy szybko dowiedzieli się jaki jest cel. Wyodrębniliśmy i zdekompilowaliśmy, kod źródłowy odpowiedzialny za atak, i odkryliśmy, że jego budowa składa się z dwóch cyfrowych bomb -- mniejszej i większej. Widzieliśmy też, że są niezwykle profesjonalnie zaprojektowane z pewnością przez ludzi, którzy mieli wszystkie poufne informacje. Znali precyzyjnie wszystkie słabe punkty, w które musieli zaatakować. Prawdopodobnie znali nawet numer buta operatora. Wiedzieli dosłownie wszystko.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Jeśli słyszeliście, że program instalujący Stuxnet jest skomplikowany i zaawansowany; powiem to w ten sposób: jego blok danych to technologia rakietowa. To było ponad wszystkim, co do tej pory widzieliśmy. Widzicie tutaj przykład tego kodu. Mówimy tu o -- około 15 000 wersów kodu. Wygląda jak starodawny język symboliczny. Chcę opowiedzieć wam, w jaki sposób byliśmy w stanie wyciągnąć sens z tego kodu. Więc przede wszystkim czego szukaliśmy to wywołania funkcji systemu, ponieważ wiemy, co one robią.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Następnie skupiamy się na strukturach czasu i danych i próbujemy odnieść je do rzeczywistego świata -- do potencjalnych celów na ziemi. Potrzebujemy teorii na temat celów, które możemy potwierdzić, lub odrzucić. Aby otrzymać teorie na temat celów, pamiętaliśmy, że jest to niewątpliwie poważny sabotaż i musi być bardzo wartościowym celem, najprawdopodobniej położony w Iranie, ponieważ tam została zgłoszona większość infekcji. Teraz, nie znajdziesz w tamtej okolicy kilku tysięcy takich miejsc. Praktycznie wszystko ogranicza się do elektrowni atomowej w Buszehr i ośrodka wzbogacania paliwa w Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Powiedziałem mojemu asystentowi: "Znajdź dla mnie listę wszystkich specjalistów ds. wirówek i elektrowni z bazy naszego klienta." Zadzwoniłem do nich i skorzystałem z ich wiedzy w celu połączenia ich ekspertyzy z tym, co znaleźliśmy w kodzie źródłowym i danych. I to zadziałało całkiem nieźle. Byliśmy w stanie połączyć tę małą cyfrową głowicę z kontrolerem wirników. Wirnik jest poruszającą się częścią wewnątrz wirówki, jest to ten czarny przedmiot. Jeżeli pogrzebie się prędkością tego wirnika w zasadzie można go zniszczyć i w końcu nawet sprawić, że wirówka wybuchnie. Co również dostrzegliśmy to, że celem ataku, jest przeprowadzenie go powoli i przerażająco -- oczywiście w celu, doprowadzenia do szaleństwa serwisantów, aby nie mogli szybko tego rozgryźć.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Duża cyfrowa bomba-- próbowaliśmy patrzyć bardzo starannie na dane i struktury danych. I na przykład, numer 164 bardzo wyróżnia się od reszty kodu; nie możesz go przegapić. Zacząłem przeszukiwać literaturę naukową w jaki sposób wirówki, zostały wybudowane w Natanz, i znalazłem, że są ułożone w tak zwaną kaskadę i każda kaskada zawiera 164 wirówki. To miało sens, to był trop.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Ale szło nam jeszcze lepiej. Wirówki w Iranie są podzielone na 15 tzw. etapów. I zgadnijcie, co znaleźliśmy w kodzie? Prawie identyczną strukturę. Jeszcze raz, wpadliśmy na znakomity trop. Dało nam to bardzo dobry obraz tego, nad czym pracowaliśmy. Nie zrozumcie mnie źle, to nie działo się tak łatwo. Wszystkie nasze wyniki otrzymaliśmy dzięki kilku tygodniowej, naprawdę ciężkiej pracy. Często dochodziliśmy do ślepego zaułku u musieliśmy wracać.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
W każdym razie, odkryliśmy, że obydwie cyfrowe bomby/głowice są skierowane na jeden i ten sam cel, ale pod różnymi kątami. Mała głowica uderzała w kaskadę, przyspieszała i zwalniała wirniki, zaś duża brała na cel sześć kaskad i manipulowała ich zaworami. Więc generalnie byliśmy bardzo pewni, że znaleźliśmy jaki był cel. To był Natanz, i tylko Natanz. Nie musieliśmy się już martwić innymi prawdopodobnymi celami, w które mógłby uderzyć Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Tutaj natrafiliśmy na naprawdę niesamowite rzeczy -- dosłownie wyrwało mnie to z butów. Tam na dole jest szara skrzynka, na górze widzicie wirówki. Zadanie robaka opiera się na przejęciu wartości z czujników -- na przykład z czujników ciśnienia, czy czujników drgań -- i dostarczeniu prawdziwemu systemowi, który nadal działa podczas ataku, oszukane dane z czujników. Najlepsze jest to, że te lipne dane, były wcześniej nagrane przez Stuxnet. Dokładnie jak z hollywoodzkich filmów, gdzie podczas wybuchu, ujęcie kamery jest zastąpione nagranym wcześniej wideo. Niezłe, nie?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Idea jest jasna, nie tylko nabrać operatorów w dyspozytorni. W rzeczywistości jest o wiele bardziej agresywna i niebezpieczna. Ideą jest ominięcie wewnętrznego systemu bezpieczeństwa. Potrzebujemy cyfrowych systemów bezpieczeństwa, kiedy reakcja operatora mogłaby być zbyt wolna. Na przykład w elektrowniach, kiedy wielka turbina parowa zaczyna się kręcić za szybko, musisz otworzyć zawory w przeciągu milisekundy. Oczywiście, człowiek nie jest w stanie tego zrobić. Właśnie dlatego potrzebujemy komputerowych systemów bezpieczeństwa. Kiedy przestają działać, mogą się wydarzyć naprawdę złe rzeczy. Twoja elektrownia może wylecieć w powietrze. Co więcej, ani twoi operatorzy, ani system bezpieczeństwa, nie zauważy tego. To jest straszne.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Ale sprawy mogą mieć się o wiele gorzej. To co powiem jest bardzo ważne. Pomyślcie o tym. Ten atak jest ogólny. Nie musi być skierowany konkretnie w wirówki, we wzbogacanie uranu. Równie dobrze może działać np. w elektrowni, czy fabryce samochodów. Bo jest ogólny. Nie musisz -- jako atakujący -- nie musisz dostarczyć tych danych na pamięci USB. tak jak to było w przypadku Stuxnet'u. Możesz użyć konwencjonalnych technologii do rozpowszechnienia robaka. I rozpowszechnić go tak szeroko, jak to możliwe. Jeśli to zrobisz, to będziesz miał w rękach cyberbroń masowego rażenia. To są konsekwencje, z którymi musimy się zmierzyć. Niestety, największa część celów ataków tego typu nie znajduje się na Bliskim Wschodzie. One są w Stanach Zjednoczonych, Europie czy Japonii. Wszystkie te zielone obszary, są miejscami podatnymi na takie ataki. Musimy zmierzyć się skutkami, i najlepiej przygotować się na to już teraz:
Thanks.
Dziękuję.
(Applause)
(Brawa)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Mam pytanie. Ralph, dosyć szeroko donoszono, kiedy ludzie przypuszczali, że Mossad był główną jednostką stojącą za tym. Jakie jest twoje zdanie?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langer: Okej, na prawdę chcesz to usłyszeć? Dobra. Moim zdaniem Mossad maczał w tym palce, ale głównodowodzącym nie jest Izrael. Dowodzącym jest tutaj prawdziwy gigant komputerowy. Taki istnieje tylko jeden -- są to Stany Zjednoczone -- na szczęście, na szczęście. Bo w innym przypadku, nasze kłopoty byłby o wiele większe.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Dziękuję za wyciągnięcie tej przerażającej sprawy na światło dzienne. Dziękuję Ralph.
(Applause)
(Brawa)