The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Idén bakom datamasken Stuxnet är egentligen ganska simpel. Vi vill inte att Iran ska få Kärnvapen. Deras största tillgång för att utveckla kärnvapen är Natanz urananriktningsanläggning. De gråa lådorna som ni ser, dessa är realtidsstyrsystem. Om vi lyckas sätta dessa system ur spel som styr rotationshastigheter och ventiler, kan vi faktiskt skapa en massa problem med centrifugen. På de gråa lådorna körs inte Windows; det är en helt annan teknologi. Men klarar vi av att placera ett ordentligt Windowsvirus på en bärbar dator som används av en systemingenjör för att konfigurera den här gråa lådan, då är vi hemma. Och det här är tillvägagångssättet bakom Stuxnet
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Så vi startar med en Windowsbaserad transportör. Lasten [programmet] överförs till den gråa lådan, skadar centrifugerna, och det Iranska kärnvapenprogrammet försenas -- uppdraget utfört! Det låter enkelt eller hur? Jag vill berätta hur vi tog reda på detta. När vi startade vår forskning om Stuxnet för sex månader sen, var det fullkomligt okänt vad syftet med den här saken var. Den enda sak som var känd var att den innehöll en väldigt, väldigt komplex Windowsdel, transportören, använde multipla noll:te-dags sårbarheter. Och den såg ut att vilja göra någonting med de här gråa lådorna, de här realtidsstyrsystemen. Så det fångade vår uppmärksamhet, och vi startade ett laboratorieprojekt där vi infekterade vår utvecklingsmiljö med Stuxnet och undersökte den här saken. Och då hände några väldigt roliga saker. Stuxnet betedde sig som en labbråtta som inte gillade vår ost -- den luktade, men ville inte äta. Jag kunde inte förstå mig på den. Och efter experimenterande med olika typer av ostar, Insåg jag, det här är en riktad attack. Den var fullständigt riktad. Transportören skannade aktivt av den gråa lådan för att se om en specifik konfiguration fanns inuti den, och till och med om det program det försöker infektera med i själva verket redan körs på målet [gråa lådan]. Och om inte, gör Stuxnet ingenting.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Så det här fångade verkligen min uppmärksamhet, och vi började jobba på det här nästan dygnet runt, för att jag insåg, nåväl, vi vet inte faktiskt vad som är målet. Det skulle kunna vara, låt oss säga till exempel, ett Amerikansk kraftverk, eller en kemifabrik i Tyskland. Så det är nog bäst att vi fort listar ut vad målet är. Så vi extraherade och dekompilerade attackkoden, och vi upptäckte att den var strukturerad som två digitala bomber -- en mindre och en större. Och vi såg också att de var väldigt professionellt gjorda av folk som uppenbarligen hade tillgång till all insider-information. De kände till alla bitar och bytes som de var tvungna att attackera. De visste troligtvis till och med vilken skostorlek operatören hade. Så de visste alltså allting.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Och om ni har hört att transportören av Stuxnet är komplex och högteknologisk låt mig berätta det här: lasten är på raketforskningsnivå. Den är på en nivå långt över allt som vi överhuvudtaget sett förut. Här kan du se ett smakprov av den verkliga attackkoden. Vi talar om -- i runda slängar 15.000 rader kod. Det ser ganska likt ut gammaldags assemblerspråk. Och vill tala om hur det var möjligt för oss att få ut något vettigt av denna kod. Så det vi tittade efter först var anrop av systemfunktioner, eftersom vi visste vad de gör.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Och sen tittade vi efter timers och datastrukturer. och försökte relatera dem till verkliga världen -- till potentiella verkliga mål. Så vi behövde teorier om vilka målen var som vi kunde bevisa eller förkasta. För att kunna ta fram dessa målteorier drog vi oss till minne att eftersom detta definitivt var sabotage på högsta nivå, så måste det vara ett mål med högt värde, och mest troligt lokaliserat till Iran, eftersom de flesta infektionerna hade rapporterats där. Det går inte att hitta flera tusen mål i det området. Det kokar praktiskt taget ned till Bushehrs kärnkraftverk och Natanz bränsleanriktningsfabrik.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Så jag bad min assistent, "Ge mig en lista på alla centrifug- och kraftverksexperter ur vår klientdatabas." Och jag ringde upp dem och bollade lite idéer med dem i ett försök att matcha deras expertis med vad vi hade hittat i koden och datat. Och det funkade ganska bra. Så vi lyckades associera den lilla digitala stridsspetsen med rotorstyrningen. Rotorn är den rörliga delen i centrifugen, det svarta objektet du ser här. Och om du manipulerar farten på denna rotor, så kan du i själva verket få rotorn att spricka och till slut kommer hela centrifugen att explodera. Vad vi också såg är att målet med attacken i verkligen var att göra det långsamt och krypande -- uppenbarligen i ett försök att driva underhållsingenjörerna till vansinne, så att de inte skulle kunna klura ut det hela snabbt.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Den stora digitala stridsspetsen -- vi gjorde ett försök genom att väldigt noggrant titta på data och datastrukturer. Så till exempel, talet 164 är något som verkligen står ut i koden; det går helt enkelt inte att förbise det. Jag började forska i vetenskaplig litteratur om hur de här centrifugerna verkligen var installerade i Natanz och såg att de var strukturerade i något som kallas en kaskad, och varje kaskad består av 164 centrifuger. Så det verkade vettigt, det passade ihop
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Och det blev till och med bättre. De här centrifugerna i Iran är uppdelade i 15, så kallade steg. Och gissa vad vi hittade i attackkoden? En nästan identisk struktur. Så åter igen, passade det ihop mycket bra. Och detta gav oss starkt självförtroende för vad vi verkligen tittade på. Uppfatta mig inte fel nu, det gick inte så lätt. De här resultaten nåddes genom många veckors verkligen hårt arbete. Och vi kom ofta till en återvändsgränd och var tvungna komma vidare därifrån.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Hursomhelst, vi klurade ut att de båda digitala stridsspetsarna verkligen var riktade mot ett och samma mål, men från olika vinklar. Den lilla stridsspetsen tar en kaskad, och ökar hastigheten på rotorerna och sen minskar den, och den stora stridsspetsen pratar med sex kaskader och manipulerar ventiler. Så på det stora hela, var vi övertygade att vi verkligen hade kommit fram vad målet var. Det är Natanz, och enbart Natanz Så vi behövde inte oroa oss att andra mål skulle bli drabbade av Stuxnet.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Här några väldigt coola saker som vi såg -- som verkligen fick mig falla av stolen. Här nere är den där gråa lådan, och här upptill ser du centrifugerna. Vad denna sak nu gör är att den genskjuter indata från sensorerna -- exempelvis från trycksensorerna och vibrationssensorerna -- och skickar vidare helt "normala" värden, som fortfarande körs under attacken med falska indata. Och faktum är, att dessa falska indata i själva verket är förinspelade av Stuxnet. Så det är precis som i Hollywoodfilmer där under en bankkupp, observationskameran matas med en förinspelad video. Det är allt lite coolt eller hur?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Tanken här är uppenbarligen att inte bara lura operatörerna i kontrollrummet. Den är i själva verket mycket farligare och aggressivare. Tanken är att kringgå ett digital säkerhetssystem. Vi behöver de här digitala säkerhetssystemen där en mänsklig operatör inte kan hinna reagera tillräckligt snabbt. Så till exempel, i ett kraftverk, när din stora ångturbin roterar med överhastighet, så måste man öppna säkerhetsventiler inom en millisekund. Så uppenbarligen, kan inte det göras av mänsklig operatör. Så det är här vi verkligen behöver digitala säkerhetssystem. Och när de är satta ur spel, kan väldigt hemska saker hända. Ditt kraftverk kan flyga i luften. Och varken dina operatörer eller ditt säkerhetssystem kommer märka det. Det är skrämmande.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Men det blir värre. Och det här är väldigt viktigt, det jag är på väg att säga. Tänk er detta. Det här är en generisk attack. Den har ingenting specifikt att göra med centrifuger, med urananrikning. Så den hade fungerat lika bra, till exempel, i ett kraftverk eller i en bilfabrik. Den är generiskt. Och du behöver inte -- som vi denna attack -- behöver inte leverera denna nyttolast med hjälp av ett USB-minne, som vi såg i fallet med Stuxnet. Man skulle kunna använda konventionell datavirusteknologi för spridningen. Bara sprida den så brett som möjligt. Och om du gör det, kommer du i slutänden få det som är ett cybermassförstörelsevapen. Det är konsekvensen vi måste stå inför. Så olyckligtvis, ligger det största antalet mål för sådana attacker inte i mellanöstern. De är i USA och i Europa och i Japan. Så alla de här gröna områdena, de är våra mål-rika miljöer. Vi måste ta konsekvenserna och det är bäst att vi börjar förbereda oss nu.
Thanks.
Tack.
(Applause)
(Applåder)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Andersson: Jag har en fråga. Ralph, det har rapporteras ganska flitigt att folk antar att Mossad är organisationen som i huvudsak ligger bakom detta. Är det din åsikt?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langner: OK, Vill du verkligen höra detta? Jaha. OK. Min åsikt är att Mossad är inblandad, men att den ledande kraften bakom inte är Israel. Så den ledande kraften bakom detta är en cyber-supermakt. Det finns bara en, och det är USA -- lyckligtvis, lyckligtvis. För i annat fall, skulle våra problem vara till och med ännu större.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Tack för att du skrämde livet ur oss. Tack Ralph.
(Applause)
(Applåder)