Ralph Langner: Descifrând Stuxnet, o ciber-armă a secolului 21

Idea din spatele viermelui de calculatoare Stuxnet e de fapt destul de simplă. Nu vrem ca Iranul să aibă Bomba. Resursa lor principală pentru dezvoltarea armelor nucleare e instalația de îmbogățire a uraniului din Natanz. Cutiile gri pe care le vedeți sunt sisteme de control în timp real. Dacă reușim să compromitem aceste sisteme care controlează vitezele și supapele, putem de fapt produce o mulțime de probleme cu centrifuga. Cutiile gri nu rulează software Windows; ele sunt o tehnologie complet diferită. Dar dacă reușim să plasăm un virus Windows capabil pe un notebook care e utilizat de un inginer specialist ca să configureze această cutie gri, atunci suntem pe calea bună. Și acesta e scenariul din spatele lui Stuxnet.

Deci pornim cu un virus Windows care injectează altele. Sarcina utilă trece în cutia gri, strică centrifuga, iar programul nuclear iranian e întârziat -- misiune îndeplinită. E ușor, nu? Vreau să vă spun cum am aflat asta. În urmă cu șase luni când am început cercetarea Stuxnet, scopul lui era complet necunoscut. Singurul lucru cunoscut era partea Windows, foarte complexă, cea care injectează sarcina utilă, folosind multiple vulnerabilități nerezolvate. Și părea că vrea să facă ceva cu aceste cutii gri, aceste sisteme de control în timp real. Asta ne-a atras atenția, și am început un proiect de laborator unde am infectat mediul nostru cu Stuxnet și am verificat acest lucru. Și atunci s-a întâmplat ceva amuzant. Stuxnet s-a comportat ca un șoarece de laborator căruia nu-i place brânza noastră -- a mirosit-o, dar n-a vrut s-o mănânce. Nu avea sens pentru mine. Și după ce am experimentat cu diferite arome de brânză, am înțeles: păi, asta-i un atac țintit. Este complet țintit. Virusul umblă activ după pradă pe cutia gri dacă o anumită configurație e găsită, și numai dacă programul pe care încearcă să-l infecteze chiar rulează pe acea țintă. Iar dacă nu, atunci Stuxnet e pasiv.

Asta chiar mi-a atras atenția, și am început să lucrăm la asta aproape continuu, fiindcă m-am gândit că nu știm care e ținta. Ar putea fi de exemplu o centrală energetică din SUA, sau o uzină chimică din Germania. Așa că mai bine găsim repede care e ținta. Așa că am extras și am decompilat codul de atac, și am descoperit că e structurat în două bombe digitale -- una mai mică și una mai mare. Și am mai văzut că sunt concepute foarte profesionist de către oameni care evident aveau informații din interior. Ei știau toți biții și octeții care trebuiau atacați. Probabil știau și ce mărime de pantof poartă operatorul. Deci știau totul.

Și dacă auziți că partea de injectare din Stuxnet este complexă și tehnologie de vârf, vă spun doar atât: sarcina e știință extremă. E cu mult peste orice am văzut înainte. Aveți aici o mostră din acest cod de atac real. Vorbim despre aproximativ 15000 de linii de cod. Pare asemănător cu limbajul clasic de asamblare. Și vreau să vă spun cum am fost în stare să înțelegem acest cod. Ceea ce căutăm întâi sunt apelurile de funcții sistem, fiindcă știm ce fac ele.

Iar apoi ne uităm după temporizări și structuri de date și încercăm să le legăm de lumea reală -- de ținte potențiale din lumea reală. Deci avem nevoie de teorii despre ținte pe care le putem confirma sau infirma. Pentru a obține teorii despre ținte, ne aducem aminte că asta e clar sabotaj de vârf, deci trebuie să fie o țintă de valoare mare, și cel mai probabil e localizat în Iran, fiindcă de acolo au fost raportate cele mai multe infecții. În acea zonă nu găsești mii de ținte. De fapt se reduce la centrala nucleară Bushehr și la instalația de îmbogățirea a uraniului din Natanz.

Așa că am spus asistentului meu: "Fă-mi rost de o listă a tuturor experților în centrifuge și centrale." Și i-am sunat pe toți și am profitat de creierul lor într-un efort de a potrivi experiența lor cu ce am găsit în cod și date. Și asta a mers destul de bine. Așa că am fost în stare să asociem micul focos digital cu controlul rotorului. Rotorul este partea mobilă din centrifugă, obiectul negru pe care-l vedeți. Și dacă manipulezi viteza acestui rotor, ești de fapt în stare să strici rotorul și centrifuga poate chiar să explodeze. Ceea ce am mai văzut e că scopul atacului era s-o facă încet și înfiorător -- într-un evident efort de a înnebuni inginerii de întreținere, astfel încât să nu-și dea seama repede.

Marele focos digital -- am încercat și cu asta prin examinarea detaliată a datelor și a structurilor de date. De exemplu, numărul 164 iese în evidență în acel cod, nu poți s-o treci cu vederea. Am început să cercetez literatura științifică despre cum au fost centrifugele construite de fapt în Natanz și am găsit că sunt grupate în ceea ce se numește o cascadă, și că fiecare cascadă conține 164 de centrifuge. Așa că a avut sens, a fost o potrivire.

Și a devenit chiar mai bun. Aceste centrifuge din Iran sunt subdivizate în 15 faze. Și ghiciți ce am găsit în codul de atac? O structură aproape identică. Deci din nou, asta a fost o potrivire foarte bună. Și asta ne-a dat foarte multă încredere cu privire la rezultate. Să nu mă înțelegeți greșit, nu a mers chiar așa simplu. Aceste rezultate au fost obținute în multe săptămâni de muncă grea. Și adesea am ajuns într-o fundătură și a trebuit s-o luăm de la capăt.

Oricum, am descifrat că ambele focoase digitale ținteau de fapt aceeași țintă, dar din unghiuri diferite. Focosul mic lua o cascadă, și învârtea rotoarele mai repede, apoi mai încet, iar focosul mare comanda șase cascade și manipula supapele. Deci în final, suntem foarte siguri că am determinat care era ținta reală. E Natanz și numai Natanz. Deci nu trebuie să ne îngrijorăm că alte ținte ar putea fi lovite de Stuxnet.

Iată aici niște lucruri grozave pe care le-am văzut -- chiar m-au impresionat. Acolo jos este cutia gri, și sus vedeți centrifugele. Acest lucru interceptează valorile de intrare de la senzori -- de exemplu senzorul de presiune și de vibrații -- și furnizează codului legitim, care rulează încă în timpul atacului, date de intrare false. Și de fapt aceste date de intrare false sunt preînregistrate de Stuxnet. Deci e exact ca în filmele hollywoodiene unde în timpul unui jaf, camera de supraveghere e alimentată cu o secvență video preînregistrată. Grozav, nu?

Evident, ideea e nu numai de a păcăli operatorii din camera de control. E de fapt mult mai periculoasă și agresivă. Ideea e de a ocoli un sistem de siguranță digital. Avem nevoie de sisteme de siguranță digitale acolo unde operatorul uman nu poate acționa suficient de repede. De exemplu, într-o centrală de energie, când turbinele cu aburi se rotesc prea repede, trebuie să deschizi supapele de descărcare într-o milisecundă. Evident, asta nu poate fi făcut de un operator uman. Deci aici avem nevoie de sisteme de siguranță digitale. Și când ele sunt compromise, se pot întâmpla lucruri foarte rele. Instalația poate exploda. Și nici operatorul, nici sistemul de siguranță nu va observa. Asta e înspăimântător.

Dar devine și mai rău. Și ce voi spune acum e foarte important. Gândiți-vă la asta. Acest atac e generic. Nu are de a face, în caracteristici, cu centrifugele, cu îmbogățirea uraniului. Deci ar funcționa la fel de bine, de exemplu într-o centrală energetică sau într-o fabrică de mașini. E generic. Și nu trebuie -- ca și atacator -- nu trebuie să livrezi această sarcină printr-un stick USB, așa cum am văzut în cazul Stuxnet. Poți utiliza pentru răspândire tehnologie convențională de vierme. Doar răspândește-l cît mai larg posibil. Și dacă faci asta, ceea ce vei obține e o ciber-armă de distrugere în masă. Aceasta e consecința cu care trebuie să ne înfruntăm. Deci din păcate, cel mai mare număr de ținte pentru asemenea atacuri nu sunt în Orientul de Mijloc. Ele sunt in SUA, Europa și Japonia. Toate zonele verzi sunt mediile bogate în ținte. Trebuie să înfruntăm consecințele, și ar fi bine să începem să ne pregătim chiar acum.

Mulțumesc.

(Aplauze)

Chris Anderson: Am o întrebare. Ralph, e destul de larg răspândită știrea că oamenii presupun că Mossad e principala entitate din spatele acestui caz. E asta și opinia ta?

Ralph Langner: În regulă, chiar vrei să auzi asta? Da. În regulă. Opinia mea este că Mossad este implicat, dar forța conducătoare nu e Israel. Forța conducătoare din spatele acestui caz este ciber-superputerea. Există doar una singură, și asta e SUA -- din fericire, din fericire. Fiindcă altfel, problemele noastre ar fi și mai mari.

CA: Mulțumesc că ne-ai speriat de moarte. Mulțumesc Ralph.

(Aplauze)