The idea behind the Stuxnet computer worm is actually quite simple. We don't want Iran to get the bomb. Their major asset for developing nuclear weapons is the Natanz uranium enrichment facility. The gray boxes that you see, these are real-time control systems. Now if we manage to compromise these systems that control drive speeds and valves, we can actually cause a lot of problems with the centrifuge. The gray boxes don't run Windows software; they are a completely different technology. But if we manage to place a good Windows virus on a notebook that is used by a maintenance engineer to configure this gray box, then we are in business. And this is the plot behind Stuxnet.
Stuxnet bilgisayar solucanının arkasındaki fikir aslında oldukça basit. İran'ın bomba elde etmesini istemiyoruz. Onların nükleer silah geliştirmeklerinin ana aracı Natanz uranyum zenginleştirme tesisi. Bu gördüğünüz gri kutular, gerçek zamanlı kontrol sistemleri. Eğer çalışma hızını ve vanaları kontrol eden bu sistemleri etkisiz hale getirebilirsek, santrifüjde birçok probleme sebep oluruz. Gri kutular Windows yazılımı kullanmıyorlar; onlar tamamen farklı bir teknoloji. Ama bu gri kutuyu kullanan mühendisin bilgisayarına iyi bir Windows virüsü yüklemeyi başarırsak o zaman iş üzerindeyiz, demektir. Stuxnet'in ardındaki senaryo bu.
So we start with a Windows dropper. The payload goes onto the gray box, damages the centrifuge, and the Iranian nuclear program is delayed -- mission accomplished. That's easy, huh? I want to tell you how we found that out. When we started our research on Stuxnet six months ago, it was completely unknown what the purpose of this thing was. The only thing that was known is it's very, very complex on the Windows part, the dropper part, used multiple zero-day vulnerabilities. And it seemed to want to do something with these gray boxes, these real-time control systems. So that got our attention, and we started a lab project where we infected our environment with Stuxnet and checked this thing out. And then some very funny things happened. Stuxnet behaved like a lab rat that didn't like our cheese -- sniffed, but didn't want to eat. Didn't make sense to me. And after we experimented with different flavors of cheese, I realized, well, this is a directed attack. It's completely directed. The dropper is prowling actively on the gray box if a specific configuration is found, and even if the actual program code that it's trying to infect is actually running on that target. And if not, Stuxnet does nothing.
Yani Windows'u düşürecek bir sistem ile başlıyoruz. Ana yük gri kutuya gidiyor, santrifüje zarar veriyor, ve iran nükleer programı gecikti -- görev tamamlandı. Bu kolay, değil mi? Size bunu nasıl başardığımızı anlatmak istiyorum. Altı ay önce Stuxnet üzerinde araştırmamıza başladığımızda, bu şeyin amacının ne olduğu tamamen bilinmiyordu. Bilinen tek şey, Windows kısmının, düşürücü kısmının çok karışık olduğuydu, çoklu sıfır gün zayıf noktaları kullanıldı. Ve bu gri kutular, bu gerçek zamanlı kontrol sistemleri ile birşeyler yapmak istiyormuş gibi gözüyordu. Bu bizim dikkatimizi çekti, ve bir laboratuvar projesi başlattık Çevremizi Stuxnet ile kapladık ve bu şeyi denedik. Ve sonra çok komik şeyler oldu. Stuxnet bir deney faresi gibi davrandı bizim peynirimiz sevmedi -- kokladı, ama yemek istemedi. Bana anlamlı gelmedi. Ve farklı tatlar içeren peynirlerle yaptığımız deneylerden sonra, farkettim ki, bu direkt bir atak. Tamamen yönlendirilmiş. Düşürücü, uygun ayarlama bulundugunda virüsü yaymaya çalışan asıl program görevini yapsa dahi gri kutu üzerinde sinsice dolanıyor. Ve euygun ayarlama bulunmadığında, Stuxnet birşey yapmıyor.
So that really got my attention, and we started to work on this nearly around the clock, because I thought, "Well, we don't know what the target is. It could be, let's say for example, a U.S. power plant, or a chemical plant in Germany. So we better find out what the target is soon." So we extracted and decompiled the attack code, and we discovered that it's structured in two digital bombs -- a smaller one and a bigger one. And we also saw that they are very professionally engineered by people who obviously had all insider information. They knew all the bits and bites that they had to attack. They probably even know the shoe size of the operator. So they know everything.
Bu benim dikkatimi çekti, Ve tam zamanlı olarak bunun üzerinde çalışmaya başladık, çünkü düşündüm ki hedef ne onu bilmiyoruz. Hedef diyelim ki, ABD'de güç santrali, ya da Almanya'da kimyasal bir tesis olabilir. Öncelikle hedef ne onu bulmalıyız. Atak kodunu çıkardık ve tersten kodladık ve keşfettik ki iki dijital bomba üzerine inşa edilmiş -- bir büyük bir de küçük. Aynı zamanda gördük ki, içeriden alınmış her türlü bilgiye sahip oldukça profosyonel mühendisler çalışmışlar. Saldıracakları şeyin içini dışını yönlerini biliyorlardı. Büyük ihtimalle işi yürütenin ayakkabı numarasını dahi biliyorlardı. Yani herşeyi biliyorlardı.
And if you have heard that the dropper of Stuxnet is complex and high-tech, let me tell you this: the payload is rocket science. It's way above everything that we have ever seen before. Here you see a sample of this actual attack code. We are talking about -- around about 15,000 lines of code. Looks pretty much like old-style assembly language. And I want to tell you how we were able to make sense out of this code. So what we were looking for is, first of all, system function calls, because we know what they do.
Ve Stuxnet'in düşürücüsünün karışık ve yüksek teknoloji ürünü olduğunu düşünüyorsanız size şunu söyleyeyim: iş yükü çok karmaşıktı. Daha önce gördüğümüz herşeyden daha zordu. Asıl saldırı kodunun bir örneğini görüyorsunuz. 15 bin satırlık bir kaynak kodundan bahsediyoruz. Oldukça eski tip birleştirici diline benziyor. Ve size bu kodlardan nasıl bir anlam çıkardığımızı anlatmak istiyorum. Öncelikle baktığımız şey sistem fonksiyon aramaları, çünkü ne işe yaradığını biliyoruz.
And then we were looking for timers and data structures and trying to relate them to the real world -- to potential real world targets. So we do need target theories that we can prove or disprove. In order to get target theories, we remember that it's definitely hardcore sabotage, it must be a high-value target and it is most likely located in Iran, because that's where most of the infections had been reported. Now you don't find several thousand targets in that area. It basically boils down to the Bushehr nuclear power plant and to the Natanz fuel enrichment plant.
Ve sonrasında zamanlayıcılar ve veri yapılarına bakıyorduk ve onları gerçek dünya ile ilişkilendirmeye çalıştırıyorduk -- potansiyel gerçek hedeflere. Bu nedenle kanıtlayacağımız veya çürütebileceğimiz hedef teorilerine ihtiyacımız var. Hefef teorilerini elde etmek için, hatırlayalım bu, çok ağır sabotaj, çok yüksek değerli bir hedef olmalı, ve büyük olasılıkla İran'da konuşlanmalı, çünkü orası en fazla bulaşmanın raporlandığı yer. Birkaç bin tane hedef bulmazsınız o bölgede. Basitçe Bushehr nükleer güç tesisi ve Natanz yakıt zenginleştirme tesisi arasında kaldık.
So I told my assistant, "Get me a list of all centrifuge and power plant experts from our client base." And I phoned them up and picked their brain in an effort to match their expertise with what we found in code and data. And that worked pretty well. So we were able to associate the small digital warhead with the rotor control. The rotor is that moving part within the centrifuge, that black object that you see. And if you manipulate the speed of this rotor, you are actually able to crack the rotor and eventually even have the centrifuge explode. What we also saw is that the goal of the attack was really to do it slowly and creepy -- obviously in an effort to drive maintenance engineers crazy, that they would not be able to figure this out quickly.
Asistanıma, ''Müşterilerimizden bütün santrifüf ve güç santrali uzmanlarının bir listesini bana getir.'' Ve onlara telefon açtım ve bulduğumuz kod ve veri ile onların uzmanlığını bir araya getirmek için onları ikna ettim. Ve bu gayet iyi işledi. Küçük dijital nükleer başlığı çark kontrolü ile ilişkilendirebildik. Çark, santrifüjün içerisindeki hareket eden siyah parça. Ve eğer bu çarkın hızında oynama yapabilirseniz, çarkı bozabilirsiniz ve eninde sonunda santrifüjü patlatabilirsiniz. Gördüğümüz başka bir şey de saldırının amacı yavaş ve garip bir biçimde olmasıydı -- bakım mühendislerini delirtme amacı açıkca görülüyordu, sorunu çabuk çözemeyeceklerdi.
The big digital warhead -- we had a shot at this by looking very closely at data and data structures. So for example, the number 164 really stands out in that code; you can't overlook it. I started to research scientific literature on how these centrifuges are actually built in Natanz and found they are structured in what is called a cascade, and each cascade holds 164 centrifuges. So that made sense, that was a match.
Büyük dijital savaş başlığı -- veri ve veri yapılarına yakından bakma sonucu bir şansımız vardı. Örnek olarak, 164 numara bu koda karşılık geliyor; gözden kaçıramazsınız. Bilimsel literatürü taramaya başladım bu santrifüjler Natanz'da gerçekte nasıl üretildigini ve kademe olarak isimlendirilen yapıda nasıl bulunduğunu, ve her bir kademe 164 santrifuju taşıyordu araştırdım. Ve bu anlamlı geldi, bir eşleşmeydi.
And it even got better. These centrifuges in Iran are subdivided into 15, what is called, stages. And guess what we found in the attack code? An almost identical structure. So again, that was a real good match. And this gave us very high confidence for what we were looking at. Now don't get me wrong here, it didn't go like this. These results have been obtained over several weeks of really hard labor. And we often went into just a dead end and had to recover.
Ve sonra daha da iyiye gitti. İran'daki bu santrifüjler 15 tane bölüm adı verilen yapılara sınıflandırılıyor. Ve tahmin edin saldırı kodunda ne bulduk? Neredeyse eş bir yapı. Yani yine bu iyi bir eşleşmeydi. Ve bu bize ilgilendiğimiz şey ile ilgili yüksek bir güven aşıladı. Şimdi burayı yanlış anlatmayayım, o şekilde gitmedi. Bu sonuçlar birkaç senelik çok sıkı çalışmanın ardından elde edildi. Ve çoğunlukla çıkmaza giriyorduk yeniden başlamamız gerekiyordu.
Anyway, so we figured out that both digital warheads were actually aiming at one and the same target, but from different angles. The small warhead is taking one cascade, and spinning up the rotors and slowing them down, and the big warhead is talking to six cascades and manipulating valves. So in all, we are very confident that we have actually determined what the target is. It is Natanz, and it is only Natanz. So we don't have to worry that other targets might be hit by Stuxnet.
Neyse, anladık ki her iki dijital savaş başlığı da tek ve aynı hedefe odaklanmıştı, ama farklı açılardan. Küçük savaş başlığı bir kademeyi alıyordu, ve rotorları döndürüp onları yavaşlatıyordu, büyük savaş başlığı altı kademeyi alıyordu ve vanaları manipüle ediyordu. Yani, hedefin ne olduğunu bulduğumuz, konusunda oldukça kendimize güveniyorduk. Hedef Natanz ve sadece Natanz. Yani Stuxnet tarafından vurulma olasılığı olan başka hedefler için endişe etmemize gerek yoktu.
Here's some very cool stuff that we saw -- really knocked my socks off. Down there is the gray box, and on the top you see the centrifuges. Now what this thing does is it intercepts the input values from sensors -- so for example, from pressure sensors and vibration sensors -- and it provides legitimate program code, which is still running during the attack, with fake input data. And as a matter of fact, this fake input data is actually prerecorded by Stuxnet. So it's just like from the Hollywood movies where during the heist, the observation camera is fed with prerecorded video. That's cool, huh?
Burada gördüğümüz beni çok etkileyen bazı şeyler var. Aşağıda bu gri kutu, ve onun üzerinde santrifüjler var. Şimdi bu şeyin yaptığı sensörden gelen giriş verisini yakalamak -- mesela basınç sensöründen ve titreşim sensöründen -- ve geçerli kodu sağlamak, ki o da saldırı sırasında sahte giriş verisi ile hala çalışıyor. Ve sonuç olarak, bu sahte giriş verisi daha önceden Stuxnet tarafından kaydedilmişti. Yani tıpkı Hollywood filmlerindeki gibi soygun sırasında, gözlem kamerası daha önceden kaydedilmiş video ile kapatılıyor. Bu havalı değil mi?
The idea here is obviously not only to fool the operators in the control room. It actually is much more dangerous and aggressive. The idea is to circumvent a digital safety system. We need digital safety systems where a human operator could not act quick enough. So for example, in a power plant, when your big steam turbine gets too over speed, you must open relief valves within a millisecond. Obviously, this cannot be done by a human operator. So this is where we need digital safety systems. And when they are compromised, then real bad things can happen. Your plant can blow up. And neither your operators nor your safety system will notice it. That's scary.
Buradaki fikir açık olarak sadece kontrol odasındaki operatörleri kandırmak değil. Aslında çok daha tehlikeli ve saldırgan. Fikir dijital güvenlik sistemine müdahele edip engellemek. İnsan operatörlerin yeteri kadar çabuk davranamayacakları noktalarda dijital güvenlik sistemlerine ihtiyacımız var. Mesela, bir güç santralinde, buhar türbininiz aşırı hızlandığı zaman, tahliye vanalarını milisaniyeler içinde açmalısınız. Açıkca, bu insan tarafından yapılamaz. Bu yüzden dijital güvenlik sistemlerine ihtiyacımız var. Ve gözardı edildikleri zaman, sonrasında çok fena şeyler olabilir. Santraliniz patlayacak hale gelebilir. Ve operatörleriniz ya da güvenlik sisteminiz bunu anlayamayabilir. Bu korkutucu.
But it gets worse. And this is very important, what I'm going to say. Think about this: this attack is generic. It doesn't have anything to do, in specifics, with centrifuges, with uranium enrichment. So it would work as well, for example, in a power plant or in an automobile factory. It is generic. And you don't have -- as an attacker -- you don't have to deliver this payload by a USB stick, as we saw it in the case of Stuxnet. You could also use conventional worm technology for spreading. Just spread it as wide as possible. And if you do that, what you end up with is a cyber weapon of mass destruction. That's the consequence that we have to face. So unfortunately, the biggest number of targets for such attacks are not in the Middle East. They're in the United States and Europe and in Japan. So all of the green areas, these are your target-rich environments. We have to face the consequences, and we better start to prepare right now.
Ama daha da kötüleşiyor. Ve bu söyleceğim şey çok önemli. Bunu bir düşünün. Bu saldırı genel. Spesifik olarak santrifüjler ile ya da uranyum zenginleştirmesi ile alakalı değil. Yani, örnek olarak bir güç santralinde de gayet iyi çalışabilir ya da bir otomobil fabrikasında. Bu genel birşey. Ve saldırgan olarak bu iş yükünü USB bellek ile vermek zorunda değilsiniz Stuxnet olayında gördüğümüz gibi. Aynı zamanda yayılma için geleneksel solucan teknolojisini kullanabilirsiniz. Yayabildiğin kadar yay. Ve bunu yaparsanız, sonunda siber bir kitle imha silahı elde edersiniz. Bu yüzleşmek zorunda olduğumuz bir sonuç. Yani maalesef, bu tür saldırıların en yoğun yaşandığı yer Orta Doğu değil. Amerika Birleşik Devletleri, Avrupa ve Japonya. Bütün bu yeşil alanlar, hedef bakımından zengin çevreler. Sonuçlar ile yüzleşmeliyiz, ve hazırlanmaya başlamalıyız.
Thanks.
Teşekkürler.
(Applause)
(Alkış)
Chris Anderson: I've got a question. Ralph, it's been quite widely reported that people assume that Mossad is the main entity behind this. Is that your opinion?
Chris Anderson: Bir sorum var. Ralph, çoğu yerde raporlanandığı üzere insanlar bunun asıl sorumlusunun Mossad olduğunu düşünüyor. Sen böyle mi düşünüyorsun?
Ralph Langner: Okay, you really want to hear that? Yeah. Okay. My opinion is that the Mossad is involved, but that the leading force is not Israel. So the leading force behind that is the cyber superpower. There is only one, and that's the United States -- fortunately, fortunately. Because otherwise, our problems would even be bigger.
Ralph Langler: Tamam, bunu gerçekten duymak istiyor musun? Evet. Tamam, Bence Mossad işin içinde, ama başı çeken kuvvet İsrail değil. Bunun arkasındaki asıl güç siber süpergüç. Sadece bir tane var, ve bu Amerika Birleşik Devletleri -- çok şükür ki. Çünkü diğer türlü, problemlerimiz daha da büyük olurdu.
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
CA: Bizi bu kadar korkuttuğun için teşekkürler.Teşekkürler Ralph.
(Applause)
(Alkış)