Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon

310,465 views ・ 2011-03-29

TED


Будь ласка, двічі клацніть на англійські субтитри нижче, щоб відтворити відео.

Перекладач: Sergii Petrenko Утверджено: Oleksii Molchanovskyi
00:15
The idea behind the Stuxnet computer worm
0
15260
3000
Ідея, яка лежить в основі комп'ютерного черв'яка Стакснет,
00:18
is actually quite simple.
1
18260
2000
насправді доволі проста.
00:20
We don't want Iran to get the bomb.
2
20260
3000
Ми не хочемо, щоб Іран отримав бомбу.
00:23
Their major asset for developing nuclear weapons
3
23260
3000
Їхній головний об'єкт з розробки ядерної зброї --
00:26
is the Natanz uranium enrichment facility.
4
26260
4000
це завод зі збагачення урану в Натанзі.
00:30
The gray boxes that you see,
5
30260
2000
Сірі коробки, які ви бачите, --
00:32
these are real-time control systems.
6
32260
3000
це системи контролю в реальному часі.
00:35
Now if we manage to compromise these systems
7
35260
3000
Тепер, якщо нам вдасться зламати ці системи,
00:38
that control drive speeds and valves,
8
38260
3000
які управляють швидкостями обертання і клапанами,
00:41
we can actually cause a lot of problems
9
41260
3000
ми насправді завдамо багато проблем
00:44
with the centrifuge.
10
44260
2000
центрифузі.
00:46
The gray boxes don't run Windows software;
11
46260
2000
Сірі коробки працюють не під програмним забезпеченням Windows.
00:48
they are a completely different technology.
12
48260
3000
Це зовсім інша технологія.
00:51
But if we manage
13
51260
2000
Але якщо нам вдасться
00:53
to place a good Windows virus
14
53260
3000
розмістити хороший Windows вірус
00:56
on a notebook
15
56260
2000
на ноутбуці,
00:58
that is used by a maintenance engineer
16
58260
2000
який використовується інженером технічного обслуговування
01:00
to configure this gray box,
17
60260
3000
для налаштування цієї сірої коробки,
01:03
then we are in business.
18
63260
2000
тоді ми в справі.
01:05
And this is the plot behind Stuxnet.
19
65260
3000
За таким сценарієм працює Стакснет.
01:08
So we start with a Windows dropper.
20
68260
5000
І так, ми починаємо із закидання вірусу в Windows.
01:13
The payload goes onto the gray box,
21
73260
3000
Вірус потрапляє в сіру коробку,
01:16
damages the centrifuge,
22
76260
2000
завдає шкоди центрифузі,
01:18
and the Iranian nuclear program is delayed --
23
78260
2000
і іранська ядерна програма відкладається --
01:20
mission accomplished.
24
80260
2000
місія виконана.
01:22
That's easy, huh?
25
82260
2000
Це просто, чи не так?
01:24
I want to tell you how we found that out.
26
84260
3000
Я хочу розповісти вам як ми до цього дійшли.
01:27
When we started our research on Stuxnet six months ago,
27
87260
3000
Коли ми почали досліджувати Стакснет шість місяців тому,
01:30
it was completely unknown what the purpose of this thing was.
28
90260
3000
було абсолютно невідомо для чого потрібна ця річ.
01:33
The only thing that was known
29
93260
2000
Єдине, що було зрозуміло, це те,
01:35
is it's very, very complex on the Windows part, the dropper part,
30
95260
3000
що її Windows компонента, яка закидується на ноутбук, дуже і дуже складна,
01:38
used multiple zero-day vulnerabilities.
31
98260
3000
і використовує до цих пір декілька невідомих вразливостей.
01:41
And it seemed to want to do something
32
101260
3000
Здається, вона хоче зробити щось
01:44
with these gray boxes, these real-time control systems.
33
104260
2000
з цими сірими коробками, цими системами контролю в реальному часі.
01:46
So that got our attention,
34
106260
2000
Це привернуло нашу увагу
01:48
and we started a lab project
35
108260
2000
і ми почали лабораторний проект,
01:50
where we infected our environment with Stuxnet
36
110260
4000
в якому ми заражали наше обладнання Стакснетом
01:54
and checked this thing out.
37
114260
2000
і перевіряли наслідки.
01:56
And then some very funny things happened.
38
116260
3000
А потім сталися деякі доволі смішні речі.
01:59
Stuxnet behaved like a lab rat
39
119260
3000
Стакснет поводив себе як лабораторний щур,
02:02
that didn't like our cheese --
40
122260
3000
якому не подобається наш сир --
02:05
sniffed, but didn't want to eat.
41
125260
2000
принюхався, але не хотів їсти.
02:07
Didn't make sense to me.
42
127260
2000
Ми нічого не розуміли.
02:09
And after we experimented with different flavors of cheese,
43
129260
3000
І після того, як ми поекспериментували з різними ароматами сиру,
02:12
I realized, well, this is a directed attack.
44
132260
4000
я зрозумів, що це спрямована атака.
02:16
It's completely directed.
45
136260
2000
Вона повністю скерована.
02:18
The dropper is prowling actively
46
138260
2000
Впроваджена програма активно досліджує
02:20
on the gray box
47
140260
2000
сіру коробку,
02:22
if a specific configuration is found,
48
142260
3000
чи знайдені спеціальні налаштування,
02:25
and even if the actual program code that it's trying to infect
49
145260
4000
і, навіть, чи запущена на цій машині програма,
02:29
is actually running on that target.
50
149260
2000
яку вона намагається заразити.
02:31
And if not, Stuxnet does nothing.
51
151260
3000
І якщо ні, то Стакснет нічого не робить.
02:34
So that really got my attention,
52
154260
2000
Це дійсно привернуло мою увагу
02:36
and we started to work on this
53
156260
2000
і ми почали працювати над цим
02:38
nearly around the clock,
54
158260
2000
майже цілодобово,
02:40
because I thought, "Well, we don't know what the target is.
55
160260
3000
тому що я розумів, що ми не знаємо що це за мета.
02:43
It could be, let's say for example,
56
163260
2000
Це могла бути, наприклад,
02:45
a U.S. power plant,
57
165260
2000
американська електростанція
02:47
or a chemical plant in Germany.
58
167260
2000
або хімічний завод в Німеччині.
02:49
So we better find out what the target is soon."
59
169260
3000
Тому нам необхідно якомога швидше відшукати цю мету.
02:52
So we extracted and decompiled
60
172260
2000
Ми взяли і декомпілювали
02:54
the attack code,
61
174260
2000
атакуючий код,
02:56
and we discovered that it's structured in two digital bombs --
62
176260
3000
і ми виявили, що він являє собою дві цифрові бомби --
02:59
a smaller one and a bigger one.
63
179260
3000
меншу й більшу.
03:02
And we also saw that they are very professionally engineered
64
182260
4000
Ми також побачили, що вони зроблені дуже професійно
03:06
by people who obviously had all insider information.
65
186260
4000
людьми, які очевидно володіли всією внутрішньою інформацією.
03:10
They knew all the bits and bites
66
190260
2000
Вони знали всі біти та байти,
03:12
that they had to attack.
67
192260
2000
які їм потрібно було атакувати.
03:14
They probably even know the shoe size of the operator.
68
194260
3000
Вони ймовірно навіть знали розмір взуття оператора.
03:17
So they know everything.
69
197260
2000
Таким чином, їм було відомо все.
03:19
And if you have heard that the dropper of Stuxnet
70
199260
3000
І якщо ви почули, що програма Стакснет
03:22
is complex and high-tech,
71
202260
2000
складна і високотехнологічна,
03:24
let me tell you this:
72
204260
2000
дозвольте мені сказати ось що:
03:26
the payload is rocket science.
73
206260
2000
це як ракетобудування.
03:28
It's way above everything
74
208260
2000
Це крутіше за все,
03:30
that we have ever seen before.
75
210260
3000
що нам доводилося бачити до цього.
03:33
Here you see a sample of this actual attack code.
76
213260
3000
Ось тут ви бачите приклад цього реально атакуючого коду.
03:36
We are talking about --
77
216260
2000
Ми говоримо про
03:38
around about 15,000 lines of code.
78
218260
3000
приблизно 15,000 рядків коду.
03:41
Looks pretty much like old-style assembly language.
79
221260
3000
Виглядає дуже схожим на старий-добрий код асемблеру.
03:44
And I want to tell you how we were able
80
224260
2000
І я хочу розповісти вам, як нам вдалося
03:46
to make sense out of this code.
81
226260
2000
розібратися в цьому коді.
03:48
So what we were looking for is, first of all, system function calls,
82
228260
3000
Перше, на що ми дивилися, це виклики системних функцій,
03:51
because we know what they do.
83
231260
2000
тому що ми знали, що вони роблять.
03:53
And then we were looking for timers and data structures
84
233260
4000
І потім ми дивилися на таймери і структури даних
03:57
and trying to relate them to the real world --
85
237260
2000
і намагалися пов'язати їх з реальним світом --
03:59
to potential real world targets.
86
239260
2000
потенційними мішенями в реальному світі.
04:01
So we do need target theories
87
241260
3000
Нам потрібні гіпотези про реальні мішені,
04:04
that we can prove or disprove.
88
244260
3000
які б ми могли довести або відхилити.
04:07
In order to get target theories,
89
247260
2000
Щоб сформувати такі гіпотези,
04:09
we remember
90
249260
2000
ми згадали,
04:11
that it's definitely hardcore sabotage,
91
251260
2000
що це за означенням справжній саботаж,
04:13
it must be a high-value target
92
253260
2000
тому ціль повинна мати велику цінність
04:15
and it is most likely located in Iran,
93
255260
3000
і скоріше за все вона знаходиться в Ірані,
04:18
because that's where most of the infections had been reported.
94
258260
4000
тому що там була виявлена найбільша кількість заражень.
04:22
Now you don't find several thousand targets in that area.
95
262260
3000
І ви не знайдете там декілька тисяч потенційних об'єктів.
04:25
It basically boils down
96
265260
2000
В кінці-кінців все зводиться
04:27
to the Bushehr nuclear power plant
97
267260
2000
до атомної електростанції в Бушері
04:29
and to the Natanz fuel enrichment plant.
98
269260
2000
та до заводу по збагаченню урану в Натанзі.
04:31
So I told my assistant,
99
271260
2000
Тому я сказав своєму асистенту:
04:33
"Get me a list of all centrifuge and power plant experts from our client base."
100
273260
3000
"Дай мені список всіх центрифуг і спеціалістів по електростанціям з нашої клієнтської бази."
04:36
And I phoned them up and picked their brain
101
276260
2000
Я обдзвонив їх усіх і використав їх мозок
04:38
in an effort to match their expertise
102
278260
2000
в зусиллях співставити їх досвід
04:40
with what we found in code and data.
103
280260
3000
з тим, що ми знайшли в коді та даних.
04:43
And that worked pretty well.
104
283260
2000
І це чудово спрацювало.
04:45
So we were able to associate
105
285260
2000
Ми змогли співставити
04:47
the small digital warhead
106
287260
2000
невелику цифрову боєголовку
04:49
with the rotor control.
107
289260
2000
з управлінням ротора.
04:51
The rotor is that moving part within the centrifuge,
108
291260
3000
Ротор -- це рухома частина всередині центрифуги,
04:54
that black object that you see.
109
294260
2000
той чорний об'єкт, що ви бачите.
04:56
And if you manipulate the speed of this rotor,
110
296260
3000
І якщо ви управляєте швидкістю цього ротора,
04:59
you are actually able to crack the rotor
111
299260
2000
ви насправді можете його зламати
05:01
and eventually even have the centrifuge explode.
112
301260
4000
і в результаті навіть підірвати центрифугу.
05:05
What we also saw
113
305260
2000
Що ми також побачили це те,
05:07
is that the goal of the attack
114
307260
2000
що мета атаки
05:09
was really to do it slowly and creepy --
115
309260
3000
була зробити це повільно і акуратно --
05:12
obviously in an effort
116
312260
2000
очевидно зі спробою
05:14
to drive maintenance engineers crazy,
117
314260
3000
довести до божевілля інженерів обслуги,
05:17
that they would not be able to figure this out quickly.
118
317260
3000
щоб вони не змогли швидко полагодити це.
05:20
The big digital warhead -- we had a shot at this
119
320260
3000
Велика цифрова боєголовка -- ми зрозуміли для чого вона,
05:23
by looking very closely
120
323260
2000
вивчаючи ретельніше
05:25
at data and data structures.
121
325260
2000
дані і структури даних.
05:27
So for example, the number 164
122
327260
2000
Наприклад, число 164
05:29
really stands out in that code;
123
329260
2000
виділяється в цьому коді;
05:31
you can't overlook it.
124
331260
2000
її складно не помітити.
05:33
I started to research scientific literature
125
333260
2000
Я почав вивчати наукову літературу
05:35
on how these centrifuges
126
335260
2000
про те, як ці центрифуги
05:37
are actually built in Natanz
127
337260
2000
будувались в Натанзі
05:39
and found they are structured
128
339260
2000
і виявив, що вони мають структуру,
05:41
in what is called a cascade,
129
341260
2000
яка називається каскадом,
05:43
and each cascade holds 164 centrifuges.
130
343260
4000
і кожен каскад містить 164 центрифуги.
05:47
So that made sense, that was a match.
131
347260
2000
Це мало сенс, і це було збігом.
05:49
And it even got better.
132
349260
2000
Вийшло навіть краще.
05:51
These centrifuges in Iran
133
351260
2000
Ці центрифуги в Ірані
05:53
are subdivided into 15, what is called, stages.
134
353260
4000
були розподілені на 15, як це називається, ступенів.
05:57
And guess what we found in the attack code?
135
357260
2000
І здогадайтеся, що ми знайшли в атакуючому коді?
05:59
An almost identical structure.
136
359260
2000
Майже ту ж саму структуру.
06:01
So again, that was a real good match.
137
361260
3000
І знову таки, це був дійсно чудовий збіг.
06:04
And this gave us very high confidence for what we were looking at.
138
364260
3000
Це надало нам високої впевненості в тому, що ми розуміємо з чим маємо справу.
06:07
Now don't get me wrong here, it didn't go like this.
139
367260
3000
Не зрозумійте мене неправильно, це відбувалося не так.
06:10
These results have been obtained
140
370260
3000
Ці результати були отримані
06:13
over several weeks of really hard labor.
141
373260
3000
впродовж декількох тижнів тяжкої роботи в лабораторії.
06:16
And we often went into just a dead end
142
376260
3000
Ми часто заходили в глухий кут
06:19
and had to recover.
143
379260
2000
і починали все спочатку.
06:21
Anyway, so we figured out
144
381260
2000
В будь-якому випадку, ми з'ясували,
06:23
that both digital warheads
145
383260
2000
що обидві цифрові боєголовки
06:25
were actually aiming at one and the same target,
146
385260
2000
були націлені на одну і ту саму ціль,
06:27
but from different angles.
147
387260
2000
але з різних кутів.
06:29
The small warhead is taking one cascade,
148
389260
3000
Маленька боєголовка бралась за один каскад,
06:32
and spinning up the rotors and slowing them down,
149
392260
3000
розкручувала і сповільнювала ротори,
06:35
and the big warhead
150
395260
2000
а велика боєголовка
06:37
is talking to six cascades
151
397260
2000
бралась за шість каскадів
06:39
and manipulating valves.
152
399260
2000
і маніпулювала вентилями.
06:41
So in all, we are very confident
153
401260
2000
В результаті, ми впевнені,
06:43
that we have actually determined what the target is.
154
403260
2000
що насправді визначили, що є ціллю.
06:45
It is Natanz, and it is only Natanz.
155
405260
3000
Це Натанх і тільки Натанз.
06:48
So we don't have to worry
156
408260
2000
Тому нам не потрібно хвилюватися,
06:50
that other targets
157
410260
2000
що інші мішені
06:52
might be hit by Stuxnet.
158
412260
2000
можуть бути вражені Стакснетом.
06:54
Here's some very cool stuff that we saw --
159
414260
3000
Ось дещо дуже класне, що ми побачили, --
06:57
really knocked my socks off.
160
417260
2000
реально знесло мені дах.
06:59
Down there is the gray box,
161
419260
2000
Знизу знаходиться сіра коробка,
07:01
and on the top you see the centrifuges.
162
421260
3000
а зверху ви бачите центрифуги.
07:04
Now what this thing does
163
424260
2000
І що робить ця штука,
07:06
is it intercepts the input values from sensors --
164
426260
3000
вона перехоплює вхідні дані з датчиків,
07:09
so for example, from pressure sensors
165
429260
2000
наприклад, з датчиків тиску
07:11
and vibration sensors --
166
431260
2000
і датчиків вібрації,
07:13
and it provides legitimate program code,
167
433260
3000
і передає вихідному коду,
07:16
which is still running during the attack,
168
436260
2000
який все ще працює під час атаки,
07:18
with fake input data.
169
438260
2000
підроблені вхідні дані.
07:20
And as a matter of fact, this fake input data
170
440260
2000
І насправді, ці підроблені вхідні дані
07:22
is actually prerecorded by Stuxnet.
171
442260
3000
записані в Стакснет.
07:25
So it's just like from the Hollywood movies
172
445260
2000
Це точно так само, як в голівудських фільмах,
07:27
where during the heist,
173
447260
2000
коли під час пограбування
07:29
the observation camera is fed with prerecorded video.
174
449260
3000
камері спостереження подається попередньо записане відео.
07:32
That's cool, huh?
175
452260
2000
Це круто, чи не так?
07:35
The idea here is obviously
176
455260
2000
Ідея тут, звісно,
07:37
not only to fool the operators in the control room.
177
457260
3000
не тільки в тому, щоб перехитрити операторів з кімнати управління.
07:40
It actually is much more dangerous and aggressive.
178
460260
4000
Насправді все набагато небезпечніше та агресивніше.
07:44
The idea
179
464260
2000
Ідея в тому,
07:46
is to circumvent a digital safety system.
180
466260
3000
щоб обійти цифрову систему безпеки.
07:50
We need digital safety systems
181
470260
2000
Нам потрібні цифрові системи безпеки там,
07:52
where a human operator could not act quick enough.
182
472260
3000
де людина не може діяти достатньо швидко.
07:55
So for example, in a power plant,
183
475260
2000
Наприклад, на електростанції,
07:57
when your big steam turbine gets too over speed,
184
477260
3000
коли велика турбіна занадто швидко прискорюється,
08:00
you must open relief valves within a millisecond.
185
480260
3000
вам необхідно відчинити запобіжні клапани впродовж мілісекунди.
08:03
Obviously, this cannot be done by a human operator.
186
483260
3000
Очевидно, що людина на таке не здатна.
08:06
So this is where we need digital safety systems.
187
486260
2000
Тому ось саме тут нам потрібні цифрові системи безпеки.
08:08
And when they are compromised,
188
488260
2000
І якщо вони зламані,
08:10
then real bad things can happen.
189
490260
3000
то можуть трапитись дійсно погані речі.
08:13
Your plant can blow up.
190
493260
2000
Ваша станція може підірватися.
08:15
And neither your operators nor your safety system will notice it.
191
495260
3000
І ні оператори, ні ваша система цифрової безпеки цього не помітить.
08:18
That's scary.
192
498260
2000
Це страшно.
08:20
But it gets worse.
193
500260
2000
Але буде ще страшніше.
08:22
And this is very important, what I'm going to say.
194
502260
3000
І те, що я збираюсь сказати, дуже важливо.
08:25
Think about this:
195
505260
2000
Поміркуйте:
08:27
this attack is generic.
196
507260
3000
ця атака універсальна.
08:30
It doesn't have anything to do, in specifics,
197
510260
4000
Немає нічого спільного, особливо,
08:34
with centrifuges,
198
514260
2000
з центрифугами,
08:36
with uranium enrichment.
199
516260
3000
зі збагаченням урану.
08:39
So it would work as well, for example,
200
519260
3000
Тому це добре спрацювало б, наприклад,
08:42
in a power plant
201
522260
2000
на електростанції
08:44
or in an automobile factory.
202
524260
3000
або на автомобільному заводі.
08:47
It is generic.
203
527260
2000
Це універсально.
08:49
And you don't have -- as an attacker --
204
529260
2000
І вам не потрібно як тому, хто атакує,
08:51
you don't have to deliver this payload
205
531260
3000
завантажувати цей корисний вантаж
08:54
by a USB stick,
206
534260
2000
через USB,
08:56
as we saw it in the case of Stuxnet.
207
536260
2000
як ми бачили це у випадку зі Стакснетом.
08:58
You could also use conventional worm technology for spreading.
208
538260
3000
Ви також можете використати технологію розповсюдження за допомогою черв'яків.
09:01
Just spread it as wide as possible.
209
541260
3000
Просто розповсюджуйте його настільки, наскільки це можливо.
09:04
And if you do that,
210
544260
2000
І якщо ви зробите це,
09:06
what you end up with
211
546260
2000
ви отримаєте
09:08
is a cyber weapon of mass destruction.
212
548260
5000
кібер-зброю масового ураження.
09:14
That's the consequence
213
554260
2000
Це наслідок,
09:16
that we have to face.
214
556260
3000
який ми повинні визнати.
09:19
So unfortunately,
215
559260
3000
На наше нещастя,
09:22
the biggest number of targets for such attacks
216
562260
3000
найбільша кількість потенційних мішеней для атак
09:25
are not in the Middle East.
217
565260
2000
знаходиться не на Близькому Сході.
09:27
They're in the United States and Europe and in Japan.
218
567260
3000
Вони знаходяться в Сполучених Штатах, Європі та Японії.
09:30
So all of the green areas,
219
570260
2000
Всі ці зелені зони,
09:32
these are your target-rich environments.
220
572260
3000
все це області з великою кількістю мішеней.
09:35
We have to face the consequences,
221
575260
3000
Ми повинні визнати наслідки,
09:38
and we better start to prepare right now.
222
578260
3000
і ми повинні почати готуватися до них вже зараз.
09:41
Thanks.
223
581260
2000
Дякую.
09:43
(Applause)
224
583260
6000
(Оплески)
09:49
Chris Anderson: I've got a question.
225
589260
2000
Кріс Андерсон: у мене є запитання.
09:53
Ralph, it's been quite widely reported
226
593260
2000
Ральф, доволі широко відомо,
09:55
that people assume that Mossad
227
595260
2000
що люди вважають, що Моссад
09:57
is the main entity behind this.
228
597260
2000
є головним, хто за цим стоїть.
09:59
Is that your opinion?
229
599260
3000
Як ви вважаєте?
10:02
Ralph Langner: Okay, you really want to hear that?
230
602260
2000
Ральф Ленгнір: Що ж, ви дійсно хочете почути це?
10:04
Yeah. Okay.
231
604260
2000
Добре, добре.
10:06
My opinion is that the Mossad is involved,
232
606260
3000
На мій погляд, Моссад бере в цьому участь,
10:09
but that the leading force is not Israel.
233
609260
3000
але провідною силою є не Ізраїль.
10:12
So the leading force behind that
234
612260
2000
Провідна сила, яка за цим стоїть,
10:14
is the cyber superpower.
235
614260
3000
це супер кібер-держава.
10:17
There is only one,
236
617260
2000
Є тільки одна така,
10:19
and that's the United States --
237
619260
2000
і це сполучені Штати --
10:21
fortunately, fortunately.
238
621260
2000
на щастя, на щастя.
10:23
Because otherwise,
239
623260
2000
Тому що в іншому випадку,
10:25
our problems would even be bigger.
240
625260
3000
у нас були б набагато більші проблеми.
10:28
CA: Thank you for scaring the living daylights out of us. Thank you, Ralph.
241
628260
4000
К.А.: Дякую за те, що налякали нас до смерті. Дякую, Ральф.
10:32
(Applause)
242
632260
2000
(Оплески)
Про цей сайт

Цей сайт познайомить вас з відеороликами YouTube, корисними для вивчення англійської мови. Ви побачите уроки англійської мови, які проводять першокласні викладачі з усього світу. Двічі клацніть на англійських субтитрах, що відображаються на кожній сторінці відео, щоб відтворити відео з цієї сторінки. Субтитри прокручуються синхронно з відтворенням відео. Якщо у вас є коментарі або побажання, будь ласка, зв'яжіться з нами за допомогою цієї контактної форми.

https://forms.gle/WvT1wiN1qDtmnspy7