The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
A ideia por detrás do vírus informático Stuxnet é na verdade bastante simples. Não queremos que o Irão tenha a bomba. O seu maior recurso para o desenvolvimento de armas nucleares é o complexo de enriquecimento de urânio em Natanz. As caixas cinzentas que vêem são sistemas de controlo em tempo real. Agora se conseguirmos comprometer estes sistemas que controlam a velocidade de accionadores e válvulas, conseguimos causar imensos problemas com o centrifugador. As caixas cinzentas não utilizam o software Windows; são uma tecnologia completamente diferente. Mas se conseguirmos colocar um bom vírus Windows num computador portátil que é usado por um engenheiro de manutenção para configurar esta caixa cinzenta, então aí estaremos em acção. E esta é a história por detrás do Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Portanto começamos com um disseminador Windows. A carga entra na caixa cinzenta, danifica o centrifugador, e o programa nuclear do Irão é atrasado -- missão cumprida. É simples, não? Quero contar-vos como é que descobrimos isto. Quando começámos a investigar o Stuxnext há seis meses, era-nos completamente desconhecido qual o objectivo desta coisa. A única coisa que era conhecida era a sua extremamente complexa parte Windows, do disseminador, que usou múltiplas vulnerabilidades previamente desconhecidas. E ele parecia querer fazer algo com estas caixas cinzentas, estes controladores em tempo real. Isso despertou a nossa atenção, então começámos um projecto laboratorial onde infectámos o nosso ambiente com o Stuxnet e vimos como isto funcionava. Depois algo muito engraçado aconteceu. O Stuxnet comportou-se como um rato de laboratório que não gostava do nosso queijo -- cheirava, mas não queria comer. Isto não fazia sentido. Depois de experimentarmos diferentes sabores de queijo, apercebi-me que isto era um ataque com um alvo específico. É completamente específico. O disseminador procura activamente na caixa cinzenta, por uma configuração específica, e até mesmo se o programa que está a tentar infectar está a correr naquele alvo. Caso não esteja, o Stuxnet não faz nada.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Isso chamou-me imenso à atenção, e começámos a trabalhar nisto quase 24 horas por dia, porque eu pensava, bem, nós não sabemos qual é o alvo. Poderia ser, por exemplo, uma central de energia dos Estados Unidos, ou uma central química Alemã. Por isso é bom que saibamos qual é o alvo depressa. Por isso extraímos e descompilámos o código do ataque, e descobrimos que está estruturado em duas bombas digitais -- uma mais pequena e outra maior. E verificámos também que são muito profissionalmente desenhados por pessoas que têm, claramente, informação interna. Eles sabiam todos os bits e bites que teriam de atacar. Eles sabiam provavelmente o número do sapato do operator. Eles sabem tudo.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
E se ouviram dizer que o disseminador do Stuxnet é complexo e alta-tecnologia, deixem-me que lhes diga: a carga é ainda mais complexa. É muito mais do que qualquer outra coisa que tenhamos visto antes. Aqui podem ver uma amostra do código de ataque. Estamos a falar de cerca - cerca de 15.000 linhas de código. Parecem-se bastante com linguagem assembly da velha guarda. E queria dizer-vos como fomos capazes de decifrar este código. O que nós estávamos à procura acima de tudo eram invocações de funções do sistema porque nós sabemos o que elas fazem.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Depois procurámos temporizadores e estruturas de dados e tentámos relacioná-las com o mundo real -- com potenciais alvos do mundo real. Então precisámos de teorias de alvos que depois podemos provar ou não. De modo a obter as teorias dos alvos, lembramo-nos que é definitivamente sabotagem hardcore. Deve ser um alvo de grande valor, e a sua localização mais provável é no Irão, porque é onde a maioria das infecções foram reportadas. Não encontrámos vários milhares de alvos naquela área. Resume-se apenas à central nuclear de Bushehr e à central de enriquecimento de combustíveis de Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Por isso eu disse ao meu assistente: "Traga-me uma lista de todos os peritos em centrifugadoras e centrais de energia da nossa base de clientes." Eu telefonei-lhes e tentei compreender como pensavam num esforço para combinar o seu conhecimento com a que encontrámos no código e nos dados. E funcionou muito bem. Por isso conseguimos associar a mais pequena bomba digital com o controlador do rotor. O rotor é aquela parte dentro da centrifugador que se mexe, o objecto preto que vêem. E se manipularem a velocidade deste rotor, são mesmo capazes de o partir, e eventualmente fazer com que a centrifugadora expluda. O que também vimos é que o objectivo do ataque era fazê-lo devagar e sorrateiramente -- obviamente numa tentativa de levar os engenheiros de manutenção à loucura, pois não seriam capazes de descobrir a origem do problema rapidamente.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
A bomba digital maior -- decidimos atacá-la olhando muito atentamente para os dados e as estruturas de dados. Por exemplo, o número 164 destaca-se bastante no código; não se pode desprezar. Comecei a pesquisar literatura científica sobre como estes centrifugadores são realmente construídos em Natanz e descobri que eles são estruturados naquilo a que se chama uma cascata, e cada cascata contém 164 centrifugadoras. Portanto isso fazia sentido, era uma ligação.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
E ficou ainda melhor. Estas centrifugadoras no Irão estão subdivididos em 15 chamados estágios. E advinhem o que é que encontrámos no código do ataque? Uma estrutura quase idêntica. O que era novamente uma boa ligação. E isto deu-nos muita confiança no que estávamos a fazer. Não me interpretem mal, não foi assim que aconteceu. Estes resultados foram obtidos durante várias semanas de árduo trabalho. E muitas vezes bloqueávamos e tínhamos que recuperar.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Continuando, nós descobrimos que ambas as bombas digitais estavam de facto a apontar ao mesmo alvo, mas de diferentes ângulos. A bomba mais pequena pega numa cascata, e interfere com os rotores e abranda-os, e a bomba maior interfere com seis cascatas manipulando válvulas. Por isso, no geral, estavamos muito confiantes que tínhamos descoberto qual era o alvo. É Natanz, e é apenas Natanz. Por isso não nos temos de preocupar que outros alvos possam ser atingidos pelo Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Aqui estão umas coisas muito fixes que vímos -- que me deixaram perplexo. Aqui em baixo está a caixa cinzenta, e no topo vêem os centrifugadores. O que esta coisa faz é interceptar os valores devolvidos pelos sensores -- como, por exemplo, pelos sensores de pressão e pelos sensores de vibração - e fornece ao código legítimo, que ainda está a correr durante o ataque, com dados falsos dos sensores. Aliás, estes dados falsos de entrada até já vêm pré-configurados pelo Stuxnet. Por isso é como nos filmes de Hollywood em que durante o assalto, a câmara de grande plano é alimentada com vídeo gravado previamente. É fixe, não é?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
A ideia aqui obviamente não é só enganar os operadores na sala de controlo. É na verdade muito mais perigosa e agressiva. A ideia é ultrapassar um sistema de segurança digital. Precisamos de sistemas de segurança digitais para situações em que um operador humano não reage atempadamente. Por exemplo, numa central eléctrica, quando uma grande turbina a vapor acelera demais, devem ser abertas válvulas de compensação num milisegundo. Obviamente que isto não pode ser feito por um operador humano. É aqui que precisamos de sistemas de defesa digitais. E quando eles são comprometidos, coisas muito más podem acontecer. A fábrica pode explodir. E nem os operadores nem o sistema de segurança dariam conta. É assustador.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Mas ainda se torna pior. E isto é muito importante, o que eu vou dizer. Pensem nisto. O ataque é genérico. Não tem nada que ver especificamente com centrifugadores, com enriquecimento de urânio. Por isso, funcionaria bem, por exemplo, numa central eléctrica ou numa fábrica de automóveis. É genérico. E não é necessário -- como atacante -- depositar a carga via uma drive USB, como vimos no caso do Stuxnet. Poderão ser usados também métodos convencionais de disseminação viral. Simplesmente espalha-se ao máximo possível. E se isso for feito, o que se obtém é uma cyber-arma de destruição em massa. Esta é a consequência com que temos de lidar. Por isso, infelizmente, a maioria dos alvos de tais ataques não está no Médio Oriente. Está nos Estados Unidos, Europa e Japão. Todas estas áreas verdes, são os ambientes ricos em alvos. Temos de enfrentar as consequências, devemos começar a preparar-nos agora.
Thanks.
Obrigado.
(Applause)
(Aplausos)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Eu tenho uma pergunta. Ralph, tem sido bastante noticiado que as pessoas assumem que a Mossad é a principal entidade por detrás disto. Partilhas desta opinião?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner : Okay, queres mesmo ouvir isso? Okay. A minha opinião é que a Mossad está envolvida, mas que a principal força não é Israel. A principal força por detrás disto é a superpotência tecnológica. Há apenas uma, que são os Estados Unidos - felizmente, felizmente. Porque de outro modo os nossos problemas seriam ainda maiores.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Obrigado por nos assustares de morte. Obrigado Ralph.
(Applause)
(Aplausos)