The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
A idéia por trás do verme de computador Stuxnet é realmente bem simples. Não queremos que o Irã consiga a Bomba. O maior recurso para desenvolver armas nucleares é a instalação de enriquecimento de urânio de Natanz. As caixas cinzentas que vocês vêem, são sistemas de controle em tempo real. Daí que, se conseguirmos atrapalhar esses sistemas que controlam velocidades de acionadores e válvulas, podemos realmente causar um monte de problemas com a centrífuga. As caixas cinzentas não rodam software Windows, são uma tecnologia completamente diferente. Mas se conseguirmos colocar um bom virus de Windows num notebook que é usado por um engenheiro de máquinas para configurar essa caixa cinzenta, então estaremos em ação. E essa é a trama por trás do Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Então começamos com um inoculador do Windows. A carga entra na caixa cinzenta, danifica a centrífuga, e o programa nuclear iraniano é retardado -- missão cumprida. É fácil, hem? Quero contar a vocês como descobrimos isso. Quando começamos nossa pesquisa sobre o Stuxnet há seis meses, nâo se tinha nehum conhecimento do que poderia ser o propósito dessa coisa. A única coisa que se sabia é muito, muito complexo na parte do Windows, a parte do inoculador, usava vulnerabilidades de dias de zeros múltiplos. E parecia que ele queria fazer alguma coisa com essas caixas cinzentas, esses sistemas de controle em tempo real. Então isso atraiu nossa atenção, e começamos um projeto no laboratório em que infectamos nosso ambiente com Stuxnet e verificamos essa coisa. E então algumas coisas muito engraçadas aconteceram. O Stuxnet se comportava como um rato de laboratório que não gostava do nosso queijo -- cheirava mas não queria comer. Não fazia sentido para mim. E depois de experimentarmos com diferentes sabores de queijo, percebi, bem, isso é um ataque dirigido. É completamente dirigido. O inoculador está espreitando ativamente na caixa cinzenta se uma configuração específica é encontrada, e até se o verdadeiro programa que ele está tentando infectar está efetivamente rodando naquele alvo. E se esse não é o caso, o Stuxnet não faz nada.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Então isso realmente chamou minha atenção, e começamos a trabalhar nisso quase o tempo todo, porque eu pensava, bem, nós não sabemos qual é o alvo. Poderia ser, digamos por exemplo, uma usina elétrica dos EUA, ou uma indústria química na Alemanha. Então era importante descobrir depressa qual era o alvo. Portanto nós extraimos e descompilamos o código de ataque, e descobrimos que ele estava estruturado em duas bombas digitais -- uma menor e outra maior. E vimos também que elas eram projetadas muito profissionalmente por pessoas que obviamente tinham toda a informação interna. Eles conheciam todos os bits e bytes que eles pretendiam atacar. Eles provavelmente sabiam até o número do sapato do operador. Então eles sabiam tudo.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
E se vocês ficaram sabendo que o inoculador do Stuxnet é complexo e de alta tecnologia, então fiquem sabendo uma coisa a carga é ciência espacial. Está bem acima de tudo que jamais vimos anteriormente. Aqui vocês veem uma amostra do próprio código de ataque. Estamos falando de -- cerca de 15.000 linhas de código. Tem o jeito da velha linguagem assembler. E quero contar a vocês como conseguimos entender esse código. Então, o que procuramos inicialmente foram as chamadas a funções do sistema, porque sabemos o que elas fazem.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
E depois procuramos temporizadores e estruturas de dados tentando relacioná-las ao mundo real -- a alvos potenciais do mundo real. Daí precisávamos teorias sobre os alvos que pudéssemos provar ou descartar. Para conseguirmos teorias sobre os alvos, lembramos que se trata definitivamente de sabotagem pesada, precisa ser um alvo de grande valor, e ele tem a maior probabilidade de localizar-se no Irã, poque é onde a maioria das infestações foram relatadas. Daí a gente não encontra muitos milhares de alvos nessa área. Isso basicamente se concentra na instalação nuclear de Bushehr e à instalação de enriquecimento de Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Então eu disse ao meu assistente, "Me arranje uma lista de todos os peritos em centrífugas e usinas elétricas de nossa base de clientes." E telefonei a eles e sondei os cérebros deles numa tentativa de comparar o conhecimento deles com o que encontramos no código e nos dados. E isso funcionou muito bem. Asssim conseguimos associar o pequeno míssil digital com o controle do rotor. O rotor é aquela parte móvel da centrífuga, aquele objeto preto que vocês estão vendo. E se a gente manipula a velocidade do rotor, a gente realmente consegue quebrar o rotor e eventualmente fazer a centrífuga explodir. O que também vimos é que o objetivo do ataque era realmente fazer isso lentamente e assustadoramente -- numa óbvia tentativa de enlouquecer os engenheiros de mautenção, para que eles não fossem capazes de perceber isso rapidamente.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
A grande bomba digital -- tivemos uma visão disso observando detalhadamente os dados e estruturas de dados. Assim, por exemplo, o número 164 realmente se destaca naquele código; não dá pra ignorar isso. Comecei a pesquisar na literatura científica como essas centrífugas são construídas de fato em Natanz e descobri que elas são estruturadas no que se chama de cascata, e cada cascata comporta 164 centrífugas. Então isso fazia sentido, era uma correspondência.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
E ficou ainda melhor. Essas centrífugas no Irã são subdivididas em 15, que são chamados de estágios. E imaginem o que encontramos no código de ataque? Uma estrutura quase idêntica. Assim, novamente, essa era uma correspondência realmente boa. E isso nos deu uma confiança muito boa em relação ao que estávamos investigando. Agora não me interpretem mal, isso não foi assim. Esses resultados foram obtidos mediante várias semanas de trabalho estafante. E várias vezes nos encontramos num beco sem saída e precisamos nos recuperar.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
De qualquer modo, assim nos demos conta de que ambas as bombas digitais tinham como alvo um único e mesmo alvo, mas de ângulos diferentes. A bomba pequena pegava uma cascata, e acelerava os rotores e os retardava, e a bomba grande se dirigia a seis cascatas e manipulava válvulas. Assim, de modo geral, temos bastante segurança de que efetivamente determinamos qual é o alvo. É Natanz, e apenas Natanz. Assim não precisamos nos preocupar que outros alvos possam ser atingidos pelo Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Aqui estão algumas coisas muito espertas que vimos -- que realmente me deixaram assombrado. Aqui embaixo está a caixa cinzenta, e em cima vocês vêem as centrífugas. Então, o que essa coisa faz é interceptar os valores das entradas dos sensores -- assim, por exemplo, dos sensores de pressão e sensores de vibração -- e ela abastece o código legítimo, que ainda está rodando durante o ataque, com dados de entrada falsos. E o fato é que esses dados de entrada falsos estão realmente pre-gravados pelo Stuxnet. Assim é exatamente como naqueles filmes de Hollywood nos quais, durante o assalto, a câmera de observação é alimentada com vídeo pregravado. Esperto, hem?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Aqui a idéia obviamente é não apenas tapear os operadores da sala de controle. Isso na verdade é muito mais perigoso e agressivo. A idéia é contornar um sistema de segurança digital. Precisamos sistemas digitais de segurança onde um operador humano não seria capaz de agir suficientemente rápido. Assim, por exemplo, numa usina elétrica, quando nossa grande turbina a vapor pega velocidade demais, precisamos abrir válvulas de alívio em um milissegundo. Obviamente, isso não pode ser feito por um operador humano. Então é aí que precisamos sistemas de segurança digitais. E quando eles são danificados, então coisas realmente ruins podem acontecer. Nossa usina pode explodir. E nem nossos operadores nem nosso sistema de segurança notariam isso. Isso é assustador.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Mas fica ainda pior. E isso é muito importante, o que vou dizer. Pensem nisto. Este ataque é genérico. Ele não tem nada a ver, especificamente, com centrífugas, com enriquecimento de urânio. Portanto isso funcionaria muito bem, por exemplo, numa usina elétrica ou numa fábrica de automóveis. Isso é genérico. E você não precisa -- como um atacante -- você não preccisa entregar esse carregamento através de um pen-drive, como vimos no caso do Stuxnet. A gente pode usar a tecnologia convencional dos vermes de computador para disseminar. É só espalhar o máximo possível. E se a gente faz isso, o que a gente acaba conseguindo é uma arma cibernética de destruição em massa. Essa é a consequência que precisamos enfrentar. Assim, infelizmente, o maior número de alvos para ataques assim não estão no Oriente Médio. Eles estão nos Estados Unidos, na Europa e no Japão. Assim todas as áreas verdes, esses são os ambientes ricos em alvos. Precisamos enfrentar as consequências, e é bom começarmos a nos preparar agora mesmo.
Thanks.
Obrigado.
(Applause)
(Aplausos)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Tenho uma pergunta. Ralph, foi muito comentado que as pessoas supõem que o Mossad é a principal entidade por trás disso. Essa é a sua opinião?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner: OK, você quer mesmo ouvir isso? Sim. Ok. Minha opinião é que o Mossad está envolvido, mas que a força principal não é Israel. Então a força principal por trás disso é a superpotência cibernética. Existe apenas uma, e essa é os Estados Unidos -- felizmente, felizmente. Pois de outro modo nossos problemas seriam ainda maiores.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Obrigado por nos aterrorizar. Obrigado Ralph.
(Applause)
(Aplausos)