The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Идея, лежащая в основе компьютерного червя Стакснет на самом деле довольно проста. Мы не хотим, чтобы Иран получил Бомбу. Их главный объект по разработке ядерных вооружений — фабрика по обогащению урана в Натанзе. Серые коробки, которые вы видите, это системы непрерывного контроля. Если нам удастся взломать эти системы, управляющие скоростями вращения и клапанами, мы сможем причинить кучу проблем центрифуге. Серые коробки работают не под управлением Windows. Это совершенно иная технология. Но если нам удастся установить хороший Windows вирус на ноутбук, используемый инженером этой машины для настройки этой серой коробки, тогда мы в деле. Вот по такому сценарию и действует Стакснет.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Мы начинаем с заброса вируса в Windows. Вирус попадает в серую коробку, приносит вред центрифуге, и иранская ядерная программа откладывается — миссия выполнена. Просто, не правда ли? Я хочу рассказать о том, как мы это обнаружили. Когда мы начали исследовать Стакснет полгода назад, было совершенно неизвестно, зачем нужна эта штука. Единственно, было известно, что её Windows-компонента, забрасываемая компонента, очень, очень сложна, и использует несколько до сих пор неизвестных уязвимостей. Кажется, она хочет сделать что-то с этими серыми коробками, с системами непрерывного контроля. Это привлекло наше внимание, и мы начали лабораторный проект, в котором мы заражали нашу компьютерную среду Стакснетом и смотрели, что делает эта штука. И затем случились очень забавные вещи. Стакснет вел себя, как лабораторная крыса, которой не нравился наш сыр — принюхивалась, но не хотела есть. Мы ничего не понимали. И после того, как мы поэкспериментировали с различными ароматами сыра, я понял, что это направленная атака. Она полностью направленная. Внедрённая программа активно исследовала серую коробку, на предмет определённых настроек, и даже на предмет того, запущена ли на данной машине программа, которую она старается заразить. И если поиски не давали результата, Стакснет бездействовал.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Это сильно привлекло моё внимание, и мы начали работать над этим почти круглосуточно, потому что я понимал, что мы не знаем, что это за цель. Это могла быть американская ядерная электростанция, или химический завод в Германии. Нам лучше поскорее отыскать потенциальную цель. Мы извлекли и декомпилировали атакующий код, и мы обнаружили, что он представляет собой две бомбы — поменьше и побольше. Мы также увидели, что они сделаны очень профессионально, людьми, которые очевидно обладали всей внутренней информацией. Они знали каждый бит и байт того, что им нужно было атаковать. Они вероятно даже знали размер ботинок оператора. Им было известно всё.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Если вы слышали, что заражающая программа Стакснет сложна и высокотехнологична, позвольте сказать вам вот что: наполнение — просто «ядерная физика». Это круче всего, что нам когда-либо приходилось видеть. Здесь вы видите кусочек настоящего атакующего кода. Мы говорим о — приблизительно о 15 000 строк кода. Выглядит почти как старый добрый код на ассемблере. И я хочу рассказать вам, как нам удалось разобраться в этом коде. В первую очередь мы искали все системные вызовы, потому что мы знали, что они делают.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
И затем мы смотрели на таймеры и структуры данных и пытались связать их с реальным миром — чтобы определить потенциальные мишени в реальном мире. Нам очень нужны гипотезы о потенциальных мишенях, которые мы могли бы доказать или опровергнуть. Чтобы сформулировать такие гипотезы, мы вспомнили, что это определённо крутой саботаж, поэтому цель должна представлять большую ценность, и вероятнее всего она расположена в Иране, потому что там было обнаружено наибольшее количество заражений. И вы не найдёте там несколько сотен потенциальных объектов. Всё сводится в итоге к ядерной электростанции в Бушере и к заводу по обогащению урана в Натанзе.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Я сказал своему помощнику: «Достань мне список всех центрифуг и специалистов электростанциям из нашей клиентской базы.» Я обзвонил их всех и использовал их мозги в попытке совместить их опыт с тем, что мы нашли в коде и данных. И это сработало отлично. Мы смогли сопоставить небольшую цифровую боеголовку с управлением ротором. Ротор — это движущаяся часть внутри центрифуги, тот чёрный объект, который вы видите. И если вам удастся манипулировать скоростью этого ротора, вы сможете сломать ротор и в результате даже взорвать центрифугу. Мы также увидели, что цель атаки заключалась в том, чтобы сделать это медленно и аккуратно — очевидно в попытке свести обслуживающих инженеров с ума, потому что они не смогли бы быстро её вычислить.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Большая цифровая боеголовка — мы поняли для чего она, изучая внимательнее данные и структуру данных. К примеру, число 164 выделяется в этом коде. Его сложно пропустить. Я начал изучать научную литературу об этих центрифугах, установленных в Натанзе и обнаружил, что они устроены в форме того, что называется каскадом, и каждый каскад установлено 164 центрифуги. Это имело смысл, и это было совпадением.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Вышло даже лучше. Эти центрифуги в Иране были разделены на 15, как это называется, ступеней. И догадайтесь, что мы нашли в атакующем коде? Почти ту же самую структуру. Опять же, очень хорошее совпадение. Это вселило в нас уверенность, что мы понимаем, с чем имеем дело. Не поймите меня неправильно, это, конечно, произошло не так. Эти результаты были получены в течение нескольких недель очень напряжённой работы. И мы часто утыкались в тупики и начинали заново.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
В любом случае, мы выяснили, что обе цифровые боеголовки были нацелены на одну и ту же цель, но под разными углами. Маленькая боеголовка принималась за один каскад, раскручивала и замедляла роторы, а большая боеголовка захватывала шесть каскадов и манипулировала вентилями. В итоге, мы уверены, что мы на самом деле определили, что является целью. Это Натанз и это только Натанз. И нам не нужно беспокоиться, что другие мишени могут быть поражены Стакснетом.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Вот кое-что замечательное из того, что мы увидели — реально снесло мне башню. Там внизу расположена серая коробка, а наверху вы видите центрифуги. И что делает эта штука, она перехватывает входные данные из датчиков — к примеру, из датчиков давления и датчиков вибрации — и передаёт исходному коду, которые всё ещё работает во время атаки, поддельные входные данные. И эти поддельные входные данные записаны в Стакснет. Это прямо как в голливудских фильмах, когда во время ограбления камерам наблюдения посылается заранее записанное видео. Круто, правда?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Идея здесь, конечно, не только в том, чтобы перехитрить операторов комнаты управления. На самом деле всё гораздо опаснее и агрессивнее. Идея заключается в том, чтобы обмануть цифровую систему безопасности. Нам нужны цифровые системы безопасности, когда человек не может действовать достаточно быстро. К примеру, на электростанции, когда большая турбина слишком сильно ускоряется, вам необходимо открыть предохранительный клапан в течении миллисекунды. Очевидно, человек на такое неспособен. Здесь нам необходима цифровая система безопасности. И если они взломаны, могут произойти очень плохие вещи. Ваша станция может взорваться. И ни ваши операторы, ни ваша система безопасности этого не заметят. Это страшно.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Но будет ещё страшнее. То, что я собираюсь сказать, очень важно. Подумайте. Эта атака универсальная. Они никак не связана в деталях с центрифугами, с обогащением урана. Она также хорошо сработала бы, к примеру, на электростанции или на автомобильном заводе. Это универсальный инструмент. Вам нет необходимости — как атакующему — нет необходимости внедрять содержимое через USB, как мы видели это в случае Стакснета. Вы могли бы использовать обычную технологию распространения через червей. Просто распространите его настолько, насколько возможно. И если вы сделаете это, вы получите кибер-оружие массового поражения. Это последствие, которое мы должны признать. К несчастью, наибольшее число потенциальных мишеней для таких атак расположено не на Ближнем Востоке. А в США, Европе и Японии. Все эти зелёные области, всё это области с большим количеством мишеней. Мы должны признать последствия, и мы должны начать готовиться к ним уже сейчас.
Thanks.
Спасибо.
(Applause)
(Аплодисменты)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Крис Андерсон: У меня вопрос. Ральф, довольно широко известно, что считается, что Моссад является главной силой, стоящей за этим. А как вы считаете?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ральф Лангнер: Хорошо, вы действительно хотите это услышать? Хорошо, хорошо. На мой взгляд, Моссад участвует в этом, но ведущей силой является не Израиль. Ведущая сила, стоящая за этим, супер кибер-держава. Есть только одна такая, и это США — к счастью, к счастью. Потому что иначе, у нас были бы куда большие проблемы.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
К.А.: Спасибо за то, что напугали нас до смерти. Спасибо, Ральф.
(Applause)
(Аплодисменты)