Ralph Langner: Att knäcka Stuxnet, 2000-talets cybervapen

Idén bakom datamasken Stuxnet är egentligen ganska simpel. Vi vill inte att Iran ska få Kärnvapen. Deras största tillgång för att utveckla kärnvapen är Natanz urananriktningsanläggning. De gråa lådorna som ni ser, dessa är realtidsstyrsystem. Om vi lyckas sätta dessa system ur spel som styr rotationshastigheter och ventiler, kan vi faktiskt skapa en massa problem med centrifugen. På de gråa lådorna körs inte Windows; det är en helt annan teknologi. Men klarar vi av att placera ett ordentligt Windowsvirus på en bärbar dator som används av en systemingenjör för att konfigurera den här gråa lådan, då är vi hemma. Och det här är tillvägagångssättet bakom Stuxnet

Så vi startar med en Windowsbaserad transportör. Lasten [programmet] överförs till den gråa lådan, skadar centrifugerna, och det Iranska kärnvapenprogrammet försenas -- uppdraget utfört! Det låter enkelt eller hur? Jag vill berätta hur vi tog reda på detta. När vi startade vår forskning om Stuxnet för sex månader sen, var det fullkomligt okänt vad syftet med den här saken var. Den enda sak som var känd var att den innehöll en väldigt, väldigt komplex Windowsdel, transportören, använde multipla noll:te-dags sårbarheter. Och den såg ut att vilja göra någonting med de här gråa lådorna, de här realtidsstyrsystemen. Så det fångade vår uppmärksamhet, och vi startade ett laboratorieprojekt där vi infekterade vår utvecklingsmiljö med Stuxnet och undersökte den här saken. Och då hände några väldigt roliga saker. Stuxnet betedde sig som en labbråtta som inte gillade vår ost -- den luktade, men ville inte äta. Jag kunde inte förstå mig på den. Och efter experimenterande med olika typer av ostar, Insåg jag, det här är en riktad attack. Den var fullständigt riktad. Transportören skannade aktivt av den gråa lådan för att se om en specifik konfiguration fanns inuti den, och till och med om det program det försöker infektera med i själva verket redan körs på målet [gråa lådan]. Och om inte, gör Stuxnet ingenting.

Så det här fångade verkligen min uppmärksamhet, och vi började jobba på det här nästan dygnet runt, för att jag insåg, nåväl, vi vet inte faktiskt vad som är målet. Det skulle kunna vara, låt oss säga till exempel, ett Amerikansk kraftverk, eller en kemifabrik i Tyskland. Så det är nog bäst att vi fort listar ut vad målet är. Så vi extraherade och dekompilerade attackkoden, och vi upptäckte att den var strukturerad som två digitala bomber -- en mindre och en större. Och vi såg också att de var väldigt professionellt gjorda av folk som uppenbarligen hade tillgång till all insider-information. De kände till alla bitar och bytes som de var tvungna att attackera. De visste troligtvis till och med vilken skostorlek operatören hade. Så de visste alltså allting.

Och om ni har hört att transportören av Stuxnet är komplex och högteknologisk låt mig berätta det här: lasten är på raketforskningsnivå. Den är på en nivå långt över allt som vi överhuvudtaget sett förut. Här kan du se ett smakprov av den verkliga attackkoden. Vi talar om -- i runda slängar 15.000 rader kod. Det ser ganska likt ut gammaldags assemblerspråk. Och vill tala om hur det var möjligt för oss att få ut något vettigt av denna kod. Så det vi tittade efter först var anrop av systemfunktioner, eftersom vi visste vad de gör.

Och sen tittade vi efter timers och datastrukturer. och försökte relatera dem till verkliga världen -- till potentiella verkliga mål. Så vi behövde teorier om vilka målen var som vi kunde bevisa eller förkasta. För att kunna ta fram dessa målteorier drog vi oss till minne att eftersom detta definitivt var sabotage på högsta nivå, så måste det vara ett mål med högt värde, och mest troligt lokaliserat till Iran, eftersom de flesta infektionerna hade rapporterats där. Det går inte att hitta flera tusen mål i det området. Det kokar praktiskt taget ned till Bushehrs kärnkraftverk och Natanz bränsleanriktningsfabrik.

Så jag bad min assistent, "Ge mig en lista på alla centrifug- och kraftverksexperter ur vår klientdatabas." Och jag ringde upp dem och bollade lite idéer med dem i ett försök att matcha deras expertis med vad vi hade hittat i koden och datat. Och det funkade ganska bra. Så vi lyckades associera den lilla digitala stridsspetsen med rotorstyrningen. Rotorn är den rörliga delen i centrifugen, det svarta objektet du ser här. Och om du manipulerar farten på denna rotor, så kan du i själva verket få rotorn att spricka och till slut kommer hela centrifugen att explodera. Vad vi också såg är att målet med attacken i verkligen var att göra det långsamt och krypande -- uppenbarligen i ett försök att driva underhållsingenjörerna till vansinne, så att de inte skulle kunna klura ut det hela snabbt.

Den stora digitala stridsspetsen -- vi gjorde ett försök genom att väldigt noggrant titta på data och datastrukturer. Så till exempel, talet 164 är något som verkligen står ut i koden; det går helt enkelt inte att förbise det. Jag började forska i vetenskaplig litteratur om hur de här centrifugerna verkligen var installerade i Natanz och såg att de var strukturerade i något som kallas en kaskad, och varje kaskad består av 164 centrifuger. Så det verkade vettigt, det passade ihop

Och det blev till och med bättre. De här centrifugerna i Iran är uppdelade i 15, så kallade steg. Och gissa vad vi hittade i attackkoden? En nästan identisk struktur. Så åter igen, passade det ihop mycket bra. Och detta gav oss starkt självförtroende för vad vi verkligen tittade på. Uppfatta mig inte fel nu, det gick inte så lätt. De här resultaten nåddes genom många veckors verkligen hårt arbete. Och vi kom ofta till en återvändsgränd och var tvungna komma vidare därifrån.

Hursomhelst, vi klurade ut att de båda digitala stridsspetsarna verkligen var riktade mot ett och samma mål, men från olika vinklar. Den lilla stridsspetsen tar en kaskad, och ökar hastigheten på rotorerna och sen minskar den, och den stora stridsspetsen pratar med sex kaskader och manipulerar ventiler. Så på det stora hela, var vi övertygade att vi verkligen hade kommit fram vad målet var. Det är Natanz, och enbart Natanz Så vi behövde inte oroa oss att andra mål skulle bli drabbade av Stuxnet.

Här några väldigt coola saker som vi såg -- som verkligen fick mig falla av stolen. Här nere är den där gråa lådan, och här upptill ser du centrifugerna. Vad denna sak nu gör är att den genskjuter indata från sensorerna -- exempelvis från trycksensorerna och vibrationssensorerna -- och skickar vidare helt "normala" värden, som fortfarande körs under attacken med falska indata. Och faktum är, att dessa falska indata i själva verket är förinspelade av Stuxnet. Så det är precis som i Hollywoodfilmer där under en bankkupp, observationskameran matas med en förinspelad video. Det är allt lite coolt eller hur?

Tanken här är uppenbarligen att inte bara lura operatörerna i kontrollrummet. Den är i själva verket mycket farligare och aggressivare. Tanken är att kringgå ett digital säkerhetssystem. Vi behöver de här digitala säkerhetssystemen där en mänsklig operatör inte kan hinna reagera tillräckligt snabbt. Så till exempel, i ett kraftverk, när din stora ångturbin roterar med överhastighet, så måste man öppna säkerhetsventiler inom en millisekund. Så uppenbarligen, kan inte det göras av mänsklig operatör. Så det är här vi verkligen behöver digitala säkerhetssystem. Och när de är satta ur spel, kan väldigt hemska saker hända. Ditt kraftverk kan flyga i luften. Och varken dina operatörer eller ditt säkerhetssystem kommer märka det. Det är skrämmande.

Men det blir värre. Och det här är väldigt viktigt, det jag är på väg att säga. Tänk er detta. Det här är en generisk attack. Den har ingenting specifikt att göra med centrifuger, med urananrikning. Så den hade fungerat lika bra, till exempel, i ett kraftverk eller i en bilfabrik. Den är generiskt. Och du behöver inte -- som vi denna attack -- behöver inte leverera denna nyttolast med hjälp av ett USB-minne, som vi såg i fallet med Stuxnet. Man skulle kunna använda konventionell datavirusteknologi för spridningen. Bara sprida den så brett som möjligt. Och om du gör det, kommer du i slutänden få det som är ett cybermassförstörelsevapen. Det är konsekvensen vi måste stå inför. Så olyckligtvis, ligger det största antalet mål för sådana attacker inte i mellanöstern. De är i USA och i Europa och i Japan. Så alla de här gröna områdena, de är våra mål-rika miljöer. Vi måste ta konsekvenserna och det är bäst att vi börjar förbereda oss nu.

Tack.

(Applåder)

Chris Andersson: Jag har en fråga. Ralph, det har rapporteras ganska flitigt att folk antar att Mossad är organisationen som i huvudsak ligger bakom detta. Är det din åsikt?

Ralph Langner: OK, Vill du verkligen höra detta? Jaha. OK. Min åsikt är att Mossad är inblandad, men att den ledande kraften bakom inte är Israel. Så den ledande kraften bakom detta är en cyber-supermakt. Det finns bara en, och det är USA -- lyckligtvis, lyckligtvis. För i annat fall, skulle våra problem vara till och med ännu större.

CA: Tack för att du skrämde livet ur oss. Tack Ralph.

(Applåder)