Ральф Лангнер: Взламывая Стакснет, кибер-оружие 21 века

Идея, лежащая в основе компьютерного червя Стакснет на самом деле довольно проста. Мы не хотим, чтобы Иран получил Бомбу. Их главный объект по разработке ядерных вооружений — фабрика по обогащению урана в Натанзе. Серые коробки, которые вы видите, это системы непрерывного контроля. Если нам удастся взломать эти системы, управляющие скоростями вращения и клапанами, мы сможем причинить кучу проблем центрифуге. Серые коробки работают не под управлением Windows. Это совершенно иная технология. Но если нам удастся установить хороший Windows вирус на ноутбук, используемый инженером этой машины для настройки этой серой коробки, тогда мы в деле. Вот по такому сценарию и действует Стакснет.

Мы начинаем с заброса вируса в Windows. Вирус попадает в серую коробку, приносит вред центрифуге, и иранская ядерная программа откладывается — миссия выполнена. Просто, не правда ли? Я хочу рассказать о том, как мы это обнаружили. Когда мы начали исследовать Стакснет полгода назад, было совершенно неизвестно, зачем нужна эта штука. Единственно, было известно, что её Windows-компонента, забрасываемая компонента, очень, очень сложна, и использует несколько до сих пор неизвестных уязвимостей. Кажется, она хочет сделать что-то с этими серыми коробками, с системами непрерывного контроля. Это привлекло наше внимание, и мы начали лабораторный проект, в котором мы заражали нашу компьютерную среду Стакснетом и смотрели, что делает эта штука. И затем случились очень забавные вещи. Стакснет вел себя, как лабораторная крыса, которой не нравился наш сыр — принюхивалась, но не хотела есть. Мы ничего не понимали. И после того, как мы поэкспериментировали с различными ароматами сыра, я понял, что это направленная атака. Она полностью направленная. Внедрённая программа активно исследовала серую коробку, на предмет определённых настроек, и даже на предмет того, запущена ли на данной машине программа, которую она старается заразить. И если поиски не давали результата, Стакснет бездействовал.

Это сильно привлекло моё внимание, и мы начали работать над этим почти круглосуточно, потому что я понимал, что мы не знаем, что это за цель. Это могла быть американская ядерная электростанция, или химический завод в Германии. Нам лучше поскорее отыскать потенциальную цель. Мы извлекли и декомпилировали атакующий код, и мы обнаружили, что он представляет собой две бомбы — поменьше и побольше. Мы также увидели, что они сделаны очень профессионально, людьми, которые очевидно обладали всей внутренней информацией. Они знали каждый бит и байт того, что им нужно было атаковать. Они вероятно даже знали размер ботинок оператора. Им было известно всё.

Если вы слышали, что заражающая программа Стакснет сложна и высокотехнологична, позвольте сказать вам вот что: наполнение — просто «ядерная физика». Это круче всего, что нам когда-либо приходилось видеть. Здесь вы видите кусочек настоящего атакующего кода. Мы говорим о — приблизительно о 15 000 строк кода. Выглядит почти как старый добрый код на ассемблере. И я хочу рассказать вам, как нам удалось разобраться в этом коде. В первую очередь мы искали все системные вызовы, потому что мы знали, что они делают.

И затем мы смотрели на таймеры и структуры данных и пытались связать их с реальным миром — чтобы определить потенциальные мишени в реальном мире. Нам очень нужны гипотезы о потенциальных мишенях, которые мы могли бы доказать или опровергнуть. Чтобы сформулировать такие гипотезы, мы вспомнили, что это определённо крутой саботаж, поэтому цель должна представлять большую ценность, и вероятнее всего она расположена в Иране, потому что там было обнаружено наибольшее количество заражений. И вы не найдёте там несколько сотен потенциальных объектов. Всё сводится в итоге к ядерной электростанции в Бушере и к заводу по обогащению урана в Натанзе.

Я сказал своему помощнику: «Достань мне список всех центрифуг и специалистов электростанциям из нашей клиентской базы.» Я обзвонил их всех и использовал их мозги в попытке совместить их опыт с тем, что мы нашли в коде и данных. И это сработало отлично. Мы смогли сопоставить небольшую цифровую боеголовку с управлением ротором. Ротор — это движущаяся часть внутри центрифуги, тот чёрный объект, который вы видите. И если вам удастся манипулировать скоростью этого ротора, вы сможете сломать ротор и в результате даже взорвать центрифугу. Мы также увидели, что цель атаки заключалась в том, чтобы сделать это медленно и аккуратно — очевидно в попытке свести обслуживающих инженеров с ума, потому что они не смогли бы быстро её вычислить.

Большая цифровая боеголовка — мы поняли для чего она, изучая внимательнее данные и структуру данных. К примеру, число 164 выделяется в этом коде. Его сложно пропустить. Я начал изучать научную литературу об этих центрифугах, установленных в Натанзе и обнаружил, что они устроены в форме того, что называется каскадом, и каждый каскад установлено 164 центрифуги. Это имело смысл, и это было совпадением.

Вышло даже лучше. Эти центрифуги в Иране были разделены на 15, как это называется, ступеней. И догадайтесь, что мы нашли в атакующем коде? Почти ту же самую структуру. Опять же, очень хорошее совпадение. Это вселило в нас уверенность, что мы понимаем, с чем имеем дело. Не поймите меня неправильно, это, конечно, произошло не так. Эти результаты были получены в течение нескольких недель очень напряжённой работы. И мы часто утыкались в тупики и начинали заново.

В любом случае, мы выяснили, что обе цифровые боеголовки были нацелены на одну и ту же цель, но под разными углами. Маленькая боеголовка принималась за один каскад, раскручивала и замедляла роторы, а большая боеголовка захватывала шесть каскадов и манипулировала вентилями. В итоге, мы уверены, что мы на самом деле определили, что является целью. Это Натанз и это только Натанз. И нам не нужно беспокоиться, что другие мишени могут быть поражены Стакснетом.

Вот кое-что замечательное из того, что мы увидели — реально снесло мне башню. Там внизу расположена серая коробка, а наверху вы видите центрифуги. И что делает эта штука, она перехватывает входные данные из датчиков — к примеру, из датчиков давления и датчиков вибрации — и передаёт исходному коду, которые всё ещё работает во время атаки, поддельные входные данные. И эти поддельные входные данные записаны в Стакснет. Это прямо как в голливудских фильмах, когда во время ограбления камерам наблюдения посылается заранее записанное видео. Круто, правда?

Идея здесь, конечно, не только в том, чтобы перехитрить операторов комнаты управления. На самом деле всё гораздо опаснее и агрессивнее. Идея заключается в том, чтобы обмануть цифровую систему безопасности. Нам нужны цифровые системы безопасности, когда человек не может действовать достаточно быстро. К примеру, на электростанции, когда большая турбина слишком сильно ускоряется, вам необходимо открыть предохранительный клапан в течении миллисекунды. Очевидно, человек на такое неспособен. Здесь нам необходима цифровая система безопасности. И если они взломаны, могут произойти очень плохие вещи. Ваша станция может взорваться. И ни ваши операторы, ни ваша система безопасности этого не заметят. Это страшно.

Но будет ещё страшнее. То, что я собираюсь сказать, очень важно. Подумайте. Эта атака универсальная. Они никак не связана в деталях с центрифугами, с обогащением урана. Она также хорошо сработала бы, к примеру, на электростанции или на автомобильном заводе. Это универсальный инструмент. Вам нет необходимости — как атакующему — нет необходимости внедрять содержимое через USB, как мы видели это в случае Стакснета. Вы могли бы использовать обычную технологию распространения через червей. Просто распространите его настолько, насколько возможно. И если вы сделаете это, вы получите кибер-оружие массового поражения. Это последствие, которое мы должны признать. К несчастью, наибольшее число потенциальных мишеней для таких атак расположено не на Ближнем Востоке. А в США, Европе и Японии. Все эти зелёные области, всё это области с большим количеством мишеней. Мы должны признать последствия, и мы должны начать готовиться к ним уже сейчас.

Спасибо.

(Аплодисменты)

Крис Андерсон: У меня вопрос. Ральф, довольно широко известно, что считается, что Моссад является главной силой, стоящей за этим. А как вы считаете?

Ральф Лангнер: Хорошо, вы действительно хотите это услышать? Хорошо, хорошо. На мой взгляд, Моссад участвует в этом, но ведущей силой является не Израиль. Ведущая сила, стоящая за этим, супер кибер-держава. Есть только одна такая, и это США — к счастью, к счастью. Потому что иначе, у нас были бы куда большие проблемы.

К.А.: Спасибо за то, что напугали нас до смерти. Спасибо, Ральф.

(Аплодисменты)