Ralph Langner: Iššifruojant Stuxnet, 21-ojo amžiaus elektroninį ginklą

Stuxnet kirmino idėja iš tiesų yra gana paprasta. Mes nenorime, kad Iranas sukurtų bombą. Jų pagrindinis centras kuriant branduolinius ginklus yra Natanz urano sodrinimo gamykla. Pilkos dėžės, kurias jūs matote, yra realaus laiko valdymo sistemos. Jei mes sugebėtume sutrikdyti šias sistemas, kurios kontroliuoja motorų greitį ir vožtuvus, tai mes, iš tikro, sukeltume daug problemų centrifugai. Pilkosiose dėžėse veikia ne Windows programinė įranga; tai visiškai kita technologija. Bet jei sugebėtume įdiegti gerą Windows virusą į nešiojamą kompiuterį, kurį naudoja įrengimų inžinierius šių pilkųjų dėžių konfigūravimui, tai galėtume kažką nuveikti. Kaip tik toks ir yra Stuxnet veikimo būdas.

Taigi, pradedame su Windows užkratu. Kovinis užtaisas nukeliauja į pilkąją dėžę, pažeidžia cetrifugą, Irano branduolinė programa pristabdyta - misija baigta. Lengva, tiesa? Aš noriu papasakoti, kaip mes tai išsiaiškinome. Kai pradėjome Stuxnet tyrimą prieš šešis mėnesius, visiškai nenutuokėme, koks šio daikto tikslas. Vienintelis dalykas, kurį žinojome, buvo tai, kad jis labai labai sudėtingas iš Windows - užkrato - pusės, išnaudojantis daugybę "nulinės dienos" spragų. Ir atrodė, kad jis norėjo kažką padaryti, su tomis pilkosiomis dėžėmis, tomis realaus laiko kontrolės sistemomis. Tai atkreipė mūsų dėmesį ir mes pradėjome laboratorinį tyrimą, kuriame užkrėtėme mūsų įrenginius Stuxnet'u ir stebėjome, kas bus. Nutiko labai smagių dalykų. Stuxnet elgėsi kaip laboratorinė žiurkė, kuriai nepatiko mūsų sūris - pauostė, bet ėsti nenorėjo. Man tai neatrodė logiška. Po to, kai mes išbandėme skirtingus sūrio skonius, aš supratau - tai tikslinga ataka. Visiškai tikslinga. Užkratas aktyviai seka, ar pilkojoje dėžėje yra specifinė konfigūracija ir net ar tikroji programa, kurią norima užkrėsti iš tikro veikia tame taikinyje. Jei ne, Stuxnet nieko nedaro.

Tai stipriai patraukė mano dėmesį ir mes pradėjome darbą vos ne kiaurą parą, nes aš pagalvojau, kad mes nežinome, kas yra taikinys. Tai gali būti, pavyzdžiui, JAV elektrinė ar chemijos gamykla Vokietijoje. Todėl geriau būtų kuo greičiau išsiaiškinti, kas yra taikinys. Taigi, mes ištraukėme ir išskaidėme atakos kodą ir aptikome, kad jis susideda iš dviejų skaitmeninių bombų - mažesnės ir didesnės. Taip pat pamatėme, kad jos sukurtos labai profesionaliai žmonių, kurie akivaizdžiai turėjo visą vidinę informaciją. Jie žinojo kiekvieną smulkmeną apie įrangą, kurią turėjo atakuoti. Jie tikriausiai žinojo net operatoriaus batų dydį. Taigi, jie žinojo viską.

Jei jūs girdėjote, jog Stuxnet užkratas yra sudėtingas ir aukščiausios technologijos, tai leiskite pasakyti štai ką: tas užtaisas - "raketų mokslas". Tai daug sudėtingiau už viską, ką mes esame matę iki šiol. Čia jūs matote pavyzdį iš tikrojo atakos kodo. Mes kalbame apie maždaug 15 000 kodo eilučių. Atrodo panašiai į senąją asemblerio kalbą. Aš noriu papasakoti, kaip mums pavyko iššifruoti šį kodą. Taigi, pirmiausia pradėjome ieškoti kreipinių į sistemos veiksmus, nes žinojome, ką jie daro.

Po to ieškojome laikmačių ir duomenų struktūrų, bandėme susieti juos su realiu pasauliu - su tikrais realaus pasaulio taikiniais. Taigi, mums reikėjo ieškoti teorinių taikinių, kuriuos galėtume patvirtinti arba atmesti. Kurdami tokias teorijas mes turėjome galvoje, kad tai labai aukšto lygio sabotažas, taigi taikinys turi būti labai svarbus, ir labiausiai tikėtina, kad jis yra Irane, nes iš ten atėjo daugiausiai pranešimų apie užkrėtimus. Toje teritorijoje nerasite tūkstančių tokių taikinių. Iš esmės visi keliai veda į Bushehr atominę elektrinę ir į Natanz atominio kuro sodrinimo gamyklą.

Taigi, aš pasakiau savo asistentui, "Suraskite mūsų duomenų bazėje visus centrifugų ir elektrinių ekspertus". Tada aš jiems paskambinau ir apklausiau tam, kad susieti jų ekspertines žinias su tuo, ką mes radome kode ir duomenyse. Tai visai neblogai pavyko. Taigi, mes susiejome mažąją skaitmeninę bombą su rotoriaus kontrole. Rotorius - tai judanti centrifugos dalis, juodas objektas, kurį matote. Manipuliuojant šio rotoriaus greičiu galima suskaldyti rotorių ir taip sukelti centrifugos sprogimą. Mes taip pat pamatėme, kad atakos tikslas buvo tai padaryti lėtai ir bauginančiai - akivaizdžiai stengiantis inžinierius išvesti iš proto, kad jie greitai nesuprastų, kas vyksta.

Didžioji skaitmeninė bomba - apie ją spėjome akylai žiūrėdami į duomenis ir jų struktūrą. Pavyzdžiui, skaičius 164 išsiskiria visame kode; jo nepastebėti negalima. Aš pradėjau studijuoti mokslinę literatūrą, kaip centrifugos yra sukonstruotos Natanz'e ir pastebėjau, jog jos sugrupuotos taip vadinamomis kaskadomis, o kiekvienoje kaskadoje yra 164 centrifugos. Taigi, tai buvo sąsaja.

Toliau buvo dar geriau. Šios centrifugos Irane yra dar suskirstytos į 15 lygių. Ir spėkite, ką mes radome atakos kode? Beveik tokią pat struktūrą. Taigi, pakartosiu - tai buvo tikrai aiškus ryšys. Tai mus suteikė pasitikėjimo tuo, ką mes tyrėme. Tačiau nesupraskite manęs klaidingai, tai nevyko taip sklandžiai. Šie rezultatai gauti po kelių savaičių sunkaus darbo. Dažnai atsidurdavome aklavietėje, tačiau turėjome atsitiesti.

Bet kuriuo atveju, mes išsiaiškinome, kad abi skaitmeninės bombos taikėsi į tą patį taikinį, tačiau iš skirtingų pusių. Mažoji bomba taikėsi į vieną kaskadą ir kaitaliojo rotorių sukimosi greitį, o didžioji bomba valdė šešias kaskadas bei manipuliavo vožtuvais. Taigi, mes buvome pakankamai tikri, kad nustatėme taikinį. Tai Natanz ir tik Natanz. Taigi, neturėjome baimintis, kad kiti taikiniai gali būti paveikti Stuxnet.

Čia labai šaunūs dalykai, kuriuos išvydome ir tai mane išvertė iš klumpių. Apačioje yra pilkoji dėžė, o virš jos matote centrifugas. Šitas virusas perima duomenis iš daviklių - pavyzdžiui, iš spaudimo ar vibracijos daviklių - ir siunčia įrangos sistemoms, kurios atakos metu vis dar veikia, netikrus duomenis. Beje, netikri duomenys yra įrašyti Stuxnet iš anksto. Taigi, tai kaip Holivudo filmuose, kai vykdant vagystes stebėjimo kamerose matosi iš anksto paruoštas vaizdas. Šaunu, ar ne?

Ši idėja akivaizdžiai skirta ne tik apkvailinti operatorius prie valdymo pulto. Ji daug pavojingesnė ir agresyvesnė. Idėja yra pergudrauti skaitmeninę saugumo sistemą. Mums reikia skaitmeninių saugumo sistemų, nes žmogus operatorius negali pakankamai greitai sureaguoti. Pavyzdžiui, elektrinėje, kai didelė garo turbina pradeda per greitai suktis, reikia tam tikrus vožtuvus atidaryti per milisekundę. Akivaizdu, kad žmogus to padaryti negalėtų. Štai čia reikalingos skaitmeninės saugumo sistemos. O kai jos yra sugadinamos, gali nutikti tikrai blogų dalykų. Elektrinė gali sprogti. Ir nei operatoriai, nei saugumo sistemos to net nepastebės. Baisoka.

Bet yra dar blogiau. Ir tai labai svarbu, ką dabar pasakysiu. Pagalvokite apie tai. Ši ataka yra bendrinė. Iš esmės ji nesusijusi konkrečiai su centrifugomis ar urano sodrinimu. Taigi, ji taip pat sėkmingai veiktų, pavyzdžiui, elektrinėje ar automobilių gamykloje. Ji yra bendrinė. Ir jūs, kaip puolantysis, viruso neprivalote paleisti iš USB atmintinės, kaip matėme Stuxnet atveju. Jūs galite naudoti įprastą kirmino technologiją paskleidimui. Tik paskleiskite kiek galima plačiau. Jei tai padarysite, tai gausite skaitmeninį masinio naikinimo ginklą. Tai pasekmės, su kuriomis teks susidurti. Nelaimei, daugiausiai taikinių tokioms atakoms yra ne Artimuosiuose Rytuose. Jie yra JAV, Europoje ir Japonijoje. Visos žalios zonos, tai daugiausiai taikinių turinčios vietos. Mes turėsime susidurti su pasekmėmis ir geriau joms ruoštis jau dabar.

Ačiū.

(Plojimai)

Chris Anderson: Aš turiu klausimą. Ralfai, buvo plačiai nušviesta, kad daugelio manymu Mossad yra pagrindinis šios atakos organizatorius. Kokia tavo nuomonė?

Ralph Langner: Gerai, jūs tikrai norite tai išgirsti? Gerai. Mano nuomone Mossad yra įsivėlęs, bet pagrindinis veikėjas nėra Izraelis. Pagrindinis iniciatorius yra kompiuterinė supervalstybė. Tokia yra tik viena, ir tai Jungtinės Amerikos Valstijos - laimei, laimei. Nes kitaip mūsų problemos būtų netgi didesnės.

CA: Ačiū, kad mirtinai mus išgąsdinai. Ačiū, Ralfai.

(Plojimai)