The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Idea din spatele viermelui de calculatoare Stuxnet e de fapt destul de simplă. Nu vrem ca Iranul să aibă Bomba. Resursa lor principală pentru dezvoltarea armelor nucleare e instalația de îmbogățire a uraniului din Natanz. Cutiile gri pe care le vedeți sunt sisteme de control în timp real. Dacă reușim să compromitem aceste sisteme care controlează vitezele și supapele, putem de fapt produce o mulțime de probleme cu centrifuga. Cutiile gri nu rulează software Windows; ele sunt o tehnologie complet diferită. Dar dacă reușim să plasăm un virus Windows capabil pe un notebook care e utilizat de un inginer specialist ca să configureze această cutie gri, atunci suntem pe calea bună. Și acesta e scenariul din spatele lui Stuxnet.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Deci pornim cu un virus Windows care injectează altele. Sarcina utilă trece în cutia gri, strică centrifuga, iar programul nuclear iranian e întârziat -- misiune îndeplinită. E ușor, nu? Vreau să vă spun cum am aflat asta. În urmă cu șase luni când am început cercetarea Stuxnet, scopul lui era complet necunoscut. Singurul lucru cunoscut era partea Windows, foarte complexă, cea care injectează sarcina utilă, folosind multiple vulnerabilități nerezolvate. Și părea că vrea să facă ceva cu aceste cutii gri, aceste sisteme de control în timp real. Asta ne-a atras atenția, și am început un proiect de laborator unde am infectat mediul nostru cu Stuxnet și am verificat acest lucru. Și atunci s-a întâmplat ceva amuzant. Stuxnet s-a comportat ca un șoarece de laborator căruia nu-i place brânza noastră -- a mirosit-o, dar n-a vrut s-o mănânce. Nu avea sens pentru mine. Și după ce am experimentat cu diferite arome de brânză, am înțeles: păi, asta-i un atac țintit. Este complet țintit. Virusul umblă activ după pradă pe cutia gri dacă o anumită configurație e găsită, și numai dacă programul pe care încearcă să-l infecteze chiar rulează pe acea țintă. Iar dacă nu, atunci Stuxnet e pasiv.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Asta chiar mi-a atras atenția, și am început să lucrăm la asta aproape continuu, fiindcă m-am gândit că nu știm care e ținta. Ar putea fi de exemplu o centrală energetică din SUA, sau o uzină chimică din Germania. Așa că mai bine găsim repede care e ținta. Așa că am extras și am decompilat codul de atac, și am descoperit că e structurat în două bombe digitale -- una mai mică și una mai mare. Și am mai văzut că sunt concepute foarte profesionist de către oameni care evident aveau informații din interior. Ei știau toți biții și octeții care trebuiau atacați. Probabil știau și ce mărime de pantof poartă operatorul. Deci știau totul.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Și dacă auziți că partea de injectare din Stuxnet este complexă și tehnologie de vârf, vă spun doar atât: sarcina e știință extremă. E cu mult peste orice am văzut înainte. Aveți aici o mostră din acest cod de atac real. Vorbim despre aproximativ 15000 de linii de cod. Pare asemănător cu limbajul clasic de asamblare. Și vreau să vă spun cum am fost în stare să înțelegem acest cod. Ceea ce căutăm întâi sunt apelurile de funcții sistem, fiindcă știm ce fac ele.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Iar apoi ne uităm după temporizări și structuri de date și încercăm să le legăm de lumea reală -- de ținte potențiale din lumea reală. Deci avem nevoie de teorii despre ținte pe care le putem confirma sau infirma. Pentru a obține teorii despre ținte, ne aducem aminte că asta e clar sabotaj de vârf, deci trebuie să fie o țintă de valoare mare, și cel mai probabil e localizat în Iran, fiindcă de acolo au fost raportate cele mai multe infecții. În acea zonă nu găsești mii de ținte. De fapt se reduce la centrala nucleară Bushehr și la instalația de îmbogățirea a uraniului din Natanz.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Așa că am spus asistentului meu: "Fă-mi rost de o listă a tuturor experților în centrifuge și centrale." Și i-am sunat pe toți și am profitat de creierul lor într-un efort de a potrivi experiența lor cu ce am găsit în cod și date. Și asta a mers destul de bine. Așa că am fost în stare să asociem micul focos digital cu controlul rotorului. Rotorul este partea mobilă din centrifugă, obiectul negru pe care-l vedeți. Și dacă manipulezi viteza acestui rotor, ești de fapt în stare să strici rotorul și centrifuga poate chiar să explodeze. Ceea ce am mai văzut e că scopul atacului era s-o facă încet și înfiorător -- într-un evident efort de a înnebuni inginerii de întreținere, astfel încât să nu-și dea seama repede.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Marele focos digital -- am încercat și cu asta prin examinarea detaliată a datelor și a structurilor de date. De exemplu, numărul 164 iese în evidență în acel cod, nu poți s-o treci cu vederea. Am început să cercetez literatura științifică despre cum au fost centrifugele construite de fapt în Natanz și am găsit că sunt grupate în ceea ce se numește o cascadă, și că fiecare cascadă conține 164 de centrifuge. Așa că a avut sens, a fost o potrivire.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Și a devenit chiar mai bun. Aceste centrifuge din Iran sunt subdivizate în 15 faze. Și ghiciți ce am găsit în codul de atac? O structură aproape identică. Deci din nou, asta a fost o potrivire foarte bună. Și asta ne-a dat foarte multă încredere cu privire la rezultate. Să nu mă înțelegeți greșit, nu a mers chiar așa simplu. Aceste rezultate au fost obținute în multe săptămâni de muncă grea. Și adesea am ajuns într-o fundătură și a trebuit s-o luăm de la capăt.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Oricum, am descifrat că ambele focoase digitale ținteau de fapt aceeași țintă, dar din unghiuri diferite. Focosul mic lua o cascadă, și învârtea rotoarele mai repede, apoi mai încet, iar focosul mare comanda șase cascade și manipula supapele. Deci în final, suntem foarte siguri că am determinat care era ținta reală. E Natanz și numai Natanz. Deci nu trebuie să ne îngrijorăm că alte ținte ar putea fi lovite de Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Iată aici niște lucruri grozave pe care le-am văzut -- chiar m-au impresionat. Acolo jos este cutia gri, și sus vedeți centrifugele. Acest lucru interceptează valorile de intrare de la senzori -- de exemplu senzorul de presiune și de vibrații -- și furnizează codului legitim, care rulează încă în timpul atacului, date de intrare false. Și de fapt aceste date de intrare false sunt preînregistrate de Stuxnet. Deci e exact ca în filmele hollywoodiene unde în timpul unui jaf, camera de supraveghere e alimentată cu o secvență video preînregistrată. Grozav, nu?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Evident, ideea e nu numai de a păcăli operatorii din camera de control. E de fapt mult mai periculoasă și agresivă. Ideea e de a ocoli un sistem de siguranță digital. Avem nevoie de sisteme de siguranță digitale acolo unde operatorul uman nu poate acționa suficient de repede. De exemplu, într-o centrală de energie, când turbinele cu aburi se rotesc prea repede, trebuie să deschizi supapele de descărcare într-o milisecundă. Evident, asta nu poate fi făcut de un operator uman. Deci aici avem nevoie de sisteme de siguranță digitale. Și când ele sunt compromise, se pot întâmpla lucruri foarte rele. Instalația poate exploda. Și nici operatorul, nici sistemul de siguranță nu va observa. Asta e înspăimântător.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Dar devine și mai rău. Și ce voi spune acum e foarte important. Gândiți-vă la asta. Acest atac e generic. Nu are de a face, în caracteristici, cu centrifugele, cu îmbogățirea uraniului. Deci ar funcționa la fel de bine, de exemplu într-o centrală energetică sau într-o fabrică de mașini. E generic. Și nu trebuie -- ca și atacator -- nu trebuie să livrezi această sarcină printr-un stick USB, așa cum am văzut în cazul Stuxnet. Poți utiliza pentru răspândire tehnologie convențională de vierme. Doar răspândește-l cît mai larg posibil. Și dacă faci asta, ceea ce vei obține e o ciber-armă de distrugere în masă. Aceasta e consecința cu care trebuie să ne înfruntăm. Deci din păcate, cel mai mare număr de ținte pentru asemenea atacuri nu sunt în Orientul de Mijloc. Ele sunt in SUA, Europa și Japonia. Toate zonele verzi sunt mediile bogate în ținte. Trebuie să înfruntăm consecințele, și ar fi bine să începem să ne pregătim chiar acum.
Thanks.
Mulțumesc.
(Applause)
(Aplauze)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Am o întrebare. Ralph, e destul de larg răspândită știrea că oamenii presupun că Mossad e principala entitate din spatele acestui caz. E asta și opinia ta?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner: În regulă, chiar vrei să auzi asta? Da. În regulă. Opinia mea este că Mossad este implicat, dar forța conducătoare nu e Israel. Forța conducătoare din spatele acestui caz este ciber-superputerea. Există doar una singură, și asta e SUA -- din fericire, din fericire. Fiindcă altfel, problemele noastre ar fi și mai mari.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Mulțumesc că ne-ai speriat de moarte. Mulțumesc Ralph.
(Applause)
(Aplauze)