ABOUT THE SPEAKER
Ralph Langner - Security consultant
Ralph Langner is a German control system security consultant. He has received worldwide recognition for his analysis of the Stuxnet malware.

Why you should listen

Ralph Langner heads Langner, an independent cyber-security firm that specializes in control systems -- electronic devices that monitor and regulate other devices, such as manufacturing equipment. These devices' deep connection to the infrastructure that runs our cities and countries has made them, increasingly, the targets of an emerging, highly sophisticated type of cyber-warfare. And since 2010, when the Stuxnet computer worm first reared its head, Langner has stood squarely in the middle of the battlefield.

As part of a global effort to decode the mysterious program, Langner and his team analyzed Stuxnet's data structures, and revealed what he believes to be its ultimate intent: the control system software known to run centrifuges in nuclear facilities -- specifically, facilities in Iran. Further analysis by Langner uncovered what seem to be Stuxnet's shocking origins, which he revealed in his TED2011 talk. (PS: He was right.)

More profile about the speaker
Ralph Langner | Speaker | TED.com
TED2011

Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon

Ralph Langner: Stuxnet knacken, eine Cyber-Waffe des 21. Jahrhunderts

Filmed:
1,567,512 views

Als er zum ersten Mal 2010 entdeckt wurde, gab der Stuxnet Computer-Wurm ein kniffliges Rätsel auf. Jenseits seines ungewöhnlich hohen Grades an Raffinesse, zeichnete sich ein weitaus verstörenderes Geheimnis ab: sein Verwendungszweck. Ralph Langner und sein Team halfen dabei, den Code zu knacken, der das finale Ziel des digitalen Sprengkopfes enthüllte – und seinen verborgenen Ursprung. Indem er faszinierende Einblicke in die Cyber-Forensik gewährt, erklärt er, wie es gelang.
- Security consultant
Ralph Langner is a German control system security consultant. He has received worldwide recognition for his analysis of the Stuxnet malware. Full bio

Double-click the English transcript below to play the video.

00:15
The ideaIdee behindhinter the StuxnetStuxnet computerComputer wormWurm
0
0
3000
Die Idee hinter dem Stuxnet Computer-Wurm
00:18
is actuallytatsächlich quiteganz simpleeinfach.
1
3000
2000
ist an sich ziemlich simpel.
00:20
We don't want IranIran to get the bombBombe.
2
5000
3000
Wir wollen nicht, dass der Iran die Bombe baut.
00:23
TheirIhre majorHaupt assetAktiva for developingEntwicklung nuclearKern weaponsWaffen
3
8000
3000
Der wichtigste Posten dort für die Entwicklung von Atomwaffen
00:26
is the NatanzNatanz uraniumUran enrichmentAnreicherung facilityEinrichtung.
4
11000
4000
ist die Uran-Anreicherungs-Einrichtung in Natanz.
00:30
The graygrau boxesKästen that you see,
5
15000
2000
Die grauen Boxen, die Sie hier sehen,
00:32
these are real-timeEchtzeit controlsteuern systemsSysteme.
6
17000
3000
das sind Echtzeit-Kontrollsysteme.
00:35
Now if we manageverwalten to compromiseKompromiss these systemsSysteme
7
20000
3000
Wenn es uns nun gelingt, die Systeme zu kompromittieren,
00:38
that controlsteuern driveFahrt speedsGeschwindigkeiten and valvesVentile,
8
23000
3000
welche Drehzahlen und Ventile kontrollieren,
00:41
we can actuallytatsächlich causeUrsache a lot of problemsProbleme
9
26000
3000
dann können wir damit tatsächlich eine Menge Probleme verursachen
00:44
with the centrifugeZentrifuge.
10
29000
2000
mit der Zentrifuge.
00:46
The graygrau boxesKästen don't runLauf WindowsWindows softwareSoftware;
11
31000
2000
Diese grauen Boxen laufen nicht mit Windows-Software;
00:48
they are a completelyvollständig differentanders technologyTechnologie.
12
33000
3000
sie basieren auf einer komplett anderen Technologie.
00:51
But if we manageverwalten
13
36000
2000
Aber wenn wir es schaffen,
00:53
to placeOrt a good WindowsWindows virusVirus
14
38000
3000
dass sich ein effektives Windows-Virus
00:56
on a notebookNotebook
15
41000
2000
auf einem Laptop einnistet,
00:58
that is used by a maintenanceInstandhaltung engineerIngenieur
16
43000
2000
der von einem Wartungsingenieur verwendet wird,
01:00
to configurekonfigurieren this graygrau boxBox,
17
45000
3000
um diese graue Box zu konfigurieren,
01:03
then we are in businessGeschäft.
18
48000
2000
dann sind wir im Geschäft.
01:05
And this is the plotHandlung behindhinter StuxnetStuxnet.
19
50000
3000
Und das ist die Planung hinter Stuxnet.
01:08
So we startAnfang with a WindowsWindows dropperPipette.
20
53000
5000
Wir beginnen also mit einem Windows-Dropper.
01:13
The payloadNutzlast goesgeht ontoauf zu the graygrau boxBox,
21
58000
3000
Die Nutzdaten werden in die graue Box transferiert,
01:16
damagesSchäden the centrifugeZentrifuge,
22
61000
2000
beschädigen die Zentrifuge
01:18
and the IranianIranische nuclearKern programProgramm is delayedverspätet --
23
63000
2000
und das iranische Kernenergie-Programm verzögert sich –
01:20
missionMission accomplishederreicht.
24
65000
2000
Auftrag ausgeführt.
01:22
That's easyeinfach, huh?
25
67000
2000
Das ist ein Kinderspiel, oder?
01:24
I want to tell you how we foundgefunden that out.
26
69000
3000
Ich möchte Ihnen erzählen, wie wir das herausgefunden haben.
01:27
When we startedhat angefangen our researchForschung on StuxnetStuxnet sixsechs monthsMonate agovor,
27
72000
3000
Als wir unsere Forschung zu Stuxnet vor sechs Monaten begannen,
01:30
it was completelyvollständig unknownunbekannt what the purposeZweck of this thing was.
28
75000
3000
war völlig unbekannt, was der Sinn und Zweck dieses Konstrukts war.
01:33
The only thing that was knownbekannt
29
78000
2000
Das einzige, was wir wussten
01:35
is it's very, very complexKomplex on the WindowsWindows partTeil, the dropperPipette partTeil,
30
80000
3000
ist sehr, sehr kompliziert, was den Windows- Teil angeht, den Dropper- Teil,
01:38
used multiplemehrere zero-dayNull-Tag vulnerabilitiesSchwachstellen.
31
83000
3000
er machte von unzähligen Zero- Day- Schwachstellen Gebrauch.
01:41
And it seemedschien to want to do something
32
86000
3000
Und es schien etwas vorzuhaben,
01:44
with these graygrau boxesKästen, these real-timeEchtzeit controlsteuern systemsSysteme.
33
89000
2000
mit diesen grauen Boxen, diesen Echtzeit- Kontrollsystemen.
01:46
So that got our attentionAufmerksamkeit,
34
91000
2000
Das erregte unsere Aufmerksamkeit
01:48
and we startedhat angefangen a labLabor projectProjekt
35
93000
2000
und wir begannen ein Labor- Projekt,
01:50
where we infectedinfiziert our environmentUmwelt with StuxnetStuxnet
36
95000
4000
in dem wir unsere Umgebung mit Stuxnet infizierten,
01:54
and checkedgeprüft this thing out.
37
99000
2000
und untersuchten dieses Konstrukt.
01:56
And then some very funnykomisch things happenedpassiert.
38
101000
3000
Und dann passierte etwas komisches.
01:59
StuxnetStuxnet behavedbenommen like a labLabor ratRatte
39
104000
3000
Stuxnet verhielt sich wie eine Laborratte,
02:02
that didn't like our cheeseKäse --
40
107000
3000
die unseren Käse nicht mochte –
02:05
sniffedschnupperte, but didn't want to eatEssen.
41
110000
2000
schnüffelte dran, aber wollte ihn nicht essen.
02:07
Didn't make senseSinn to me.
42
112000
2000
Das machte in meinen Augen keinen Sinn.
02:09
And after we experimentedexperimentierte with differentanders flavorsAromen of cheeseKäse,
43
114000
3000
Und nachdem wir mit verschiedenen Arten von Käse experimentiert hatten,
02:12
I realizedrealisiert, well, this is a directedgerichtet attackAttacke.
44
117000
4000
ging mir auf, dass dies ein gezielter Angriff ist.
02:16
It's completelyvollständig directedgerichtet.
45
121000
2000
Vollständig auf ein bestimmtes Ziel gerichtet.
02:18
The dropperPipette is prowlingschlich activelyaktiv
46
123000
2000
Der Dropper streift aktiv
02:20
on the graygrau boxBox
47
125000
2000
auf der grauen Box umher,
02:22
if a specificspezifisch configurationKonfiguration is foundgefunden,
48
127000
3000
wenn eine spezielle Konfiguration entdeckt wurde.
02:25
and even if the actualtatsächlich programProgramm codeCode that it's tryingversuchen to infectinfizieren
49
130000
4000
Sogar, wenn das spezielle Programm, welches es zu infizieren versucht
02:29
is actuallytatsächlich runningLaufen on that targetZiel.
50
134000
2000
auf diesem Ziel läuft.
02:31
And if not, StuxnetStuxnet does nothing.
51
136000
3000
Und wenn nicht, dann tut Stuxnet gar nichts.
02:34
So that really got my attentionAufmerksamkeit,
52
139000
2000
Also, das weckte wirklich mein Interesse
02:36
and we startedhat angefangen to work on this
53
141000
2000
und wir begannen damit zu arbeiten,
02:38
nearlyfast around the clockUhr,
54
143000
2000
beinahe rund um die Uhr,
02:40
because I thought, "Well, we don't know what the targetZiel is.
55
145000
3000
denn ich dachte, nun, wir wissen nicht, was das Ziel ist.
02:43
It could be, let's say for exampleBeispiel,
56
148000
2000
Es könnte, sagen wir zum Beispiel,
02:45
a U.S. powerLeistung plantPflanze,
57
150000
2000
ein US- amerikanisches Kraftwerk,
02:47
or a chemicalchemisch plantPflanze in GermanyDeutschland.
58
152000
2000
oder eine Chemieanlage in Deutschland sein.
02:49
So we better find out what the targetZiel is soonbald."
59
154000
3000
Also sollten wir besser bald herausfinden, was das Ziel darstellt.
02:52
So we extractedextrahiert and decompileddekompiliert
60
157000
2000
Also extrahierten und dekompilierten wir
02:54
the attackAttacke codeCode,
61
159000
2000
den Angriffs- Code
02:56
and we discoveredentdeckt that it's structuredstrukturiert in two digitaldigital bombsBomben --
62
161000
3000
und fanden heraus, dass er in zwei digitale Sprengköpfe aufstrukturiert ist --
02:59
a smallerkleiner one and a biggergrößer one.
63
164000
3000
einen kleineren und einen größeren.
03:02
And we alsoebenfalls saw that they are very professionallyprofessionell engineeredentwickelt
64
167000
4000
Und uns fiel auch auf, dass sie sehr professionell konstruiert waren,
03:06
by people who obviouslyoffensichtlich had all insiderInsider informationInformation.
65
171000
4000
von Leuten, die offensichtlich alle Insider- Informationen zur Verfügung hatten.
03:10
They knewwusste all the bitsBits and bitesBisse
66
175000
2000
Sie kannten jegliche Bits und Bytes,
03:12
that they had to attackAttacke.
67
177000
2000
die sie angreifen mussten.
03:14
They probablywahrscheinlich even know the shoeSchuh sizeGröße of the operatorOperator.
68
179000
3000
Wahrscheinlich kannten sie sogar die Schuhgröße des Maschinenbedieners.
03:17
So they know everything.
69
182000
2000
Sie wussten also alles.
03:19
And if you have heardgehört that the dropperPipette of StuxnetStuxnet
70
184000
3000
Und wenn Sie schon mitbekommen haben, dass der Dropper von Stuxnet
03:22
is complexKomplex and high-techHightech,
71
187000
2000
komplex und high-tech ist,
03:24
let me tell you this:
72
189000
2000
lassen Sie mich Ihnen sagen:
03:26
the payloadNutzlast is rocketRakete scienceWissenschaft.
73
191000
2000
die Nutzdaten sind eine Wissenschaft für sich.
03:28
It's way aboveüber everything
74
193000
2000
Es ist viel anspruchsvoller
03:30
that we have ever seengesehen before.
75
195000
3000
als alles, was wir jemals gesehen haben.
03:33
Here you see a sampleSample of this actualtatsächlich attackAttacke codeCode.
76
198000
3000
Hier sehen Sie einen Ausschnitt aus diesem Angriffs- Code.
03:36
We are talkingim Gespräch about --
77
201000
2000
Wir sprechen hier von –
03:38
around about 15,000 linesLinien of codeCode.
78
203000
3000
ungefähr 15.000 Zeilen Code.
03:41
LooksSieht prettyziemlich much like old-styleRenaissance-Antiqua assemblyVersammlung languageSprache.
79
206000
3000
Sieht ziemlich so aus, wie altmodische Assemblersprache.
03:44
And I want to tell you how we were ablefähig
80
209000
2000
Und ich will Ihnen erzählen, wie wir in der Lage waren
03:46
to make senseSinn out of this codeCode.
81
211000
2000
aus diesem Code Schlau zu werden.
03:48
So what we were looking for is, first of all, systemSystem functionFunktion callsAnrufe,
82
213000
3000
Nach was wir also als erstes suchten, waren Systemfunktions- Aufrufe,
03:51
because we know what they do.
83
216000
2000
weil wir wissen, was diese bewirken.
03:53
And then we were looking for timersTimer and dataDaten structuresStrukturen
84
218000
4000
Und dann suchten wir nach Timern und Datenstrukturen
03:57
and tryingversuchen to relatesich beziehen them to the realecht worldWelt --
85
222000
2000
und versuchten, diese mit der echten Welt in Verbindung zu bringen --
03:59
to potentialPotenzial realecht worldWelt targetsZiele.
86
224000
2000
mit potentiellen Zielen in der echten Welt.
04:01
So we do need targetZiel theoriesTheorien
87
226000
3000
Also brauchten wir Theorien über diese Ziele,
04:04
that we can provebeweisen or disprovewiderlegen.
88
229000
3000
die wir belegen oder widerlegen konnten.
04:07
In orderAuftrag to get targetZiel theoriesTheorien,
89
232000
2000
Um diese Theorien aufzustellen,
04:09
we remembermerken
90
234000
2000
rufen wir uns in Erinnerung,
04:11
that it's definitelybestimmt hardcoreHardcore sabotageSabotage,
91
236000
2000
dass es sich definitiv um hochgradige Sabotage handelt,
04:13
it mustsollen be a high-valuequalitativ hochwertige targetZiel
92
238000
2000
es muss sich um ein hochwertiges Ziel handeln
04:15
and it is mostdie meisten likelywahrscheinlich locatedgelegen in IranIran,
93
240000
3000
und sehr wahrscheinlich befindet es sich im Iran,
04:18
because that's where mostdie meisten of the infectionsInfektionen had been reportedberichtet.
94
243000
4000
weil dort die meisten Infektionen gemeldet wurden.
04:22
Now you don't find severalmehrere thousandtausend targetsZiele in that areaBereich.
95
247000
3000
Nun, in diesem Gebiet gibt es nicht mehrere Tausend Ziele.
04:25
It basicallyGrundsätzlich gilt boilskocht down
96
250000
2000
Im Grunde läuft es hinaus
04:27
to the BushehrBushehr nuclearKern powerLeistung plantPflanze
97
252000
2000
auf das Buschehr Atomkraftwerk
04:29
and to the NatanzNatanz fuelTreibstoff enrichmentAnreicherung plantPflanze.
98
254000
2000
und auf die Urananreicherungsanlage in Natanz.
04:31
So I told my assistantAssistentin,
99
256000
2000
Also sagte ich zu meinem Assistenten,
04:33
"Get me a listListe of all centrifugeZentrifuge and powerLeistung plantPflanze expertsExperten from our clientKlient baseBase."
100
258000
3000
"Bring mir eine Liste aller Experten für Zentrifugen und Kraftwerke aus unserem Kundenstamm."
04:36
And I phonedrief them up and pickedabgeholt theirihr brainGehirn
101
261000
2000
Und ich rief sie an und zapfte ihr Wissen an,
04:38
in an effortAnstrengung to matchSpiel theirihr expertiseSachverstand
102
263000
2000
um ihr Fachwissen mit dem zu vergleichen,
04:40
with what we foundgefunden in codeCode and dataDaten.
103
265000
3000
was wir im Code und in den Daten herausgefunden hatten.
04:43
And that workedhat funktioniert prettyziemlich well.
104
268000
2000
Und das funktionierte sehr gut.
04:45
So we were ablefähig to associateAssociate
105
270000
2000
Also, es war uns möglich,
04:47
the smallklein digitaldigital warheadGefechtskopf
106
272000
2000
den kleinen digitalen Sprengkopf
04:49
with the rotorRotor controlsteuern.
107
274000
2000
mit der Rotorsteuerung in Verbindung zu bringen.
04:51
The rotorRotor is that movingbewegend partTeil withininnerhalb the centrifugeZentrifuge,
108
276000
3000
Der Rotor ist dieser sich bewegende Teil innerhalb der Zentrifuge,
04:54
that blackschwarz objectObjekt that you see.
109
279000
2000
diese schwarze Objekt, das Sie sehen.
04:56
And if you manipulatemanipulieren the speedGeschwindigkeit of this rotorRotor,
110
281000
3000
Und wenn man die Geschwindigkeit dieses Rotors manipuliert,
04:59
you are actuallytatsächlich ablefähig to crackRiss the rotorRotor
111
284000
2000
dann ist man tatsächlich in der Lage den Rotor zu knacken
05:01
and eventuallyschließlich even have the centrifugeZentrifuge explodeexplodieren.
112
286000
4000
und schließlich sogar, die Zentrifuge explodieren zu lassen.
05:05
What we alsoebenfalls saw
113
290000
2000
Was wir auch herausgefunden haben
05:07
is that the goalTor of the attackAttacke
114
292000
2000
ist, dass das Ziel des Angriffs
05:09
was really to do it slowlylangsam and creepygruselig --
115
294000
3000
tatsächlich war, es langsam und unheimlich geschehen zu lassen --
05:12
obviouslyoffensichtlich in an effortAnstrengung
116
297000
2000
offensichtlich in dem Versuch
05:14
to driveFahrt maintenanceInstandhaltung engineersIngenieure crazyverrückt,
117
299000
3000
Wartungsingenieure verzweifeln zu lassen,
05:17
that they would not be ablefähig to figureZahl this out quicklyschnell.
118
302000
3000
sodass sie nicht in der Lage dazu sein würden schnell dahinter zu kommen.
05:20
The biggroß digitaldigital warheadGefechtskopf -- we had a shotSchuss at this
119
305000
3000
Der große digitale Sprengkopf -- wir erhielten einen Einblick,
05:23
by looking very closelyeng
120
308000
2000
indem wir uns sehr genau
05:25
at dataDaten and dataDaten structuresStrukturen.
121
310000
2000
Daten und Datenstrukturen anschauten.
05:27
So for exampleBeispiel, the numberNummer 164
122
312000
2000
Also zum Beispiel die Nummer 164
05:29
really standssteht out in that codeCode;
123
314000
2000
sticht sehr heraus aus diesem Code;
05:31
you can't overlookmit Blick auf it.
124
316000
2000
Man kann es nicht übersehen.
05:33
I startedhat angefangen to researchForschung scientificwissenschaftlich literatureLiteratur
125
318000
2000
Ich begann damit, wissenschaftliche Literatur durchzuarbeiten,
05:35
on how these centrifugesZentrifugen
126
320000
2000
darüber wie diese Zentrifugen
05:37
are actuallytatsächlich builtgebaut in NatanzNatanz
127
322000
2000
in Natanz gebaut werden
05:39
and foundgefunden they are structuredstrukturiert
128
324000
2000
und fand heraus, dass sie strukturiert sind
05:41
in what is callednamens a cascadeKaskade,
129
326000
2000
in sogenannten Kaskaden,
05:43
and eachjede einzelne cascadeKaskade holdshält 164 centrifugesZentrifugen.
130
328000
4000
und jede Kaskade enthält 164 Zentrifugen.
05:47
So that madegemacht senseSinn, that was a matchSpiel.
131
332000
2000
Also das machte Sinn, es passte zusammen.
05:49
And it even got better.
132
334000
2000
Und es wurde noch besser.
05:51
These centrifugesZentrifugen in IranIran
133
336000
2000
Diese Zentrifugen in Iran
05:53
are subdividedunterteilt into 15, what is callednamens, stagesStufen.
134
338000
4000
sind aufgeteilt in 15 sogenannte Ebenen.
05:57
And guessvermuten what we foundgefunden in the attackAttacke codeCode?
135
342000
2000
Und raten Sie was wir in dem Angriffscode gefunden haben?
05:59
An almostfast identicalidentisch structureStruktur.
136
344000
2000
Eine fast identische Struktur.
06:01
So again, that was a realecht good matchSpiel.
137
346000
3000
Also nochmal, das passte wirklich gut zusammen.
06:04
And this gavegab us very highhoch confidenceVertrauen for what we were looking at.
138
349000
3000
Und dies gab uns große Zuversicht für das, das wir hier untersuchten.
06:07
Now don't get me wrongfalsch here, it didn't go like this.
139
352000
3000
Nun, verstehen Sie mich nicht falsch, das ging nicht einfach so.
06:10
These resultsErgebnisse have been obtainederhalten
140
355000
3000
Diese Ergebnisse wurden
06:13
over severalmehrere weeksWochen of really hardhart laborArbeit.
141
358000
3000
durch mehrere Wochen harter Arbeit erreicht.
06:16
And we oftenhäufig wentging into just a deadtot endEnde
142
361000
3000
Und oft rannten wir einfach in eine Sackgasse
06:19
and had to recovererholen.
143
364000
2000
und mussten uns neu sammeln.
06:21
AnywayWie auch immer, so we figuredabgebildet out
144
366000
2000
Jedenfalls fanden wir heraus,
06:23
that bothbeide digitaldigital warheadsSprengköpfe
145
368000
2000
dass beide digitalen Sprengköpfe
06:25
were actuallytatsächlich aimingmit dem Ziel at one and the samegleich targetZiel,
146
370000
2000
in Wirklichkeit auf ein und das selbe Ziel zusteuerten,
06:27
but from differentanders anglesWinkel.
147
372000
2000
aber aus verschiedenen Richtungen.
06:29
The smallklein warheadGefechtskopf is takingunter one cascadeKaskade,
148
374000
3000
Der kleine Sprengkopf übernimmt eine Kaskade,
06:32
and spinningSpinnen up the rotorsRotoren and slowingverlangsamt them down,
149
377000
3000
und überdreht die Rotoren und verlangsamt sie
06:35
and the biggroß warheadGefechtskopf
150
380000
2000
und der große Sprengkopf
06:37
is talkingim Gespräch to sixsechs cascadesKaskaden
151
382000
2000
tritt mit sechs Kaskaden in Interaktion
06:39
and manipulatingmanipulierend valvesVentile.
152
384000
2000
und manipuliert Ventile.
06:41
So in all, we are very confidentzuversichtlich
153
386000
2000
Also, im Großen und Ganzen sind wir sehr zuversichtlich,
06:43
that we have actuallytatsächlich determinedentschlossen what the targetZiel is.
154
388000
2000
dass wir tatsächlich bestimmt haben, was das Ziel ist.
06:45
It is NatanzNatanz, and it is only NatanzNatanz.
155
390000
3000
Es ist Natanz und es ist nur Natanz.
06:48
So we don't have to worrySorge
156
393000
2000
Also müssen wir uns keine Sorgen machen,
06:50
that other targetsZiele
157
395000
2000
dass andere Ziele
06:52
mightMacht be hitschlagen by StuxnetStuxnet.
158
397000
2000
von Stuxnet getroffen werden könnten.
06:54
Here'sHier ist some very coolcool stuffSachen that we saw --
159
399000
3000
Hier ist etwas wirklich cooles Zeug, das wir entdeckt haben --
06:57
really knockedklopfte my socksSocken off.
160
402000
2000
hat mich echt aus den Socken gehauen.
06:59
Down there is the graygrau boxBox,
161
404000
2000
Dort unten ist die graue Box,
07:01
and on the topoben you see the centrifugesZentrifugen.
162
406000
3000
und oben drauf sehen Sie die Zentrifugen.
07:04
Now what this thing does
163
409000
2000
Nun, was dieses Ding bewirkt
07:06
is it interceptsfängt the inputEingang valuesWerte from sensorsSensoren --
164
411000
3000
ist, dass es die eingehenden Werte von Sensoren abfängt --
07:09
so for exampleBeispiel, from pressureDruck sensorsSensoren
165
414000
2000
also zum Beispiel von Drucksensoren
07:11
and vibrationVibration sensorsSensoren --
166
416000
2000
und Vibrationssensoren --
07:13
and it providesbietet legitimatelegitim programProgramm codeCode,
167
418000
3000
und es stellt legitimen Code zur Verfügung,
07:16
whichwelche is still runningLaufen duringwährend the attackAttacke,
168
421000
2000
der noch während dem Angriff,
07:18
with fakeFälschung inputEingang dataDaten.
169
423000
2000
mit falschen eingehenden Daten, läuft.
07:20
And as a matterAngelegenheit of factTatsache, this fakeFälschung inputEingang dataDaten
170
425000
2000
Und tatsächlich sind dieses falschen eingehenden Daten
07:22
is actuallytatsächlich prerecordedaufgezeichnete by StuxnetStuxnet.
171
427000
3000
von Stuxnet vorher schon aufgenommen.
07:25
So it's just like from the HollywoodHollywood moviesFilme
172
430000
2000
Also ist es genau so wie in Hollywoodfilmen,
07:27
where duringwährend the heistHeist,
173
432000
2000
wo während der Verfolgungsjagd
07:29
the observationÜberwachung cameraKamera is fedgefüttert with prerecordedaufgezeichnete videoVideo.
174
434000
3000
die Überwachungskamera mit vorher aufgenommenem Videoaufnahmen gefüttert wird.
07:32
That's coolcool, huh?
175
437000
2000
Das ist cool, nicht wahr?
07:35
The ideaIdee here is obviouslyoffensichtlich
176
440000
2000
Die Idee hierbei ist offensichtlich
07:37
not only to foolDummkopf the operatorsBetreiber in the controlsteuern roomZimmer.
177
442000
3000
nicht nur, die Maschinenbediener im Kontrollraum überlisten.
07:40
It actuallytatsächlich is much more dangerousgefährlich and aggressiveaggressiv.
178
445000
4000
Tatsächlich ist es noch viel gefährlicher und aggressiver.
07:44
The ideaIdee
179
449000
2000
Die Idee
07:46
is to circumventzu umgehen a digitaldigital safetySicherheit systemSystem.
180
451000
3000
ist, ein digitales Sicherheitssystem zu überlisten.
07:50
We need digitaldigital safetySicherheit systemsSysteme
181
455000
2000
Wir brauchen digitale Sicherheitssysteme
07:52
where a humanMensch operatorOperator could not actHandlung quickschnell enoughgenug.
182
457000
3000
dort, wo ein menschlicher Maschinenbediener nicht schnell genug reagieren kann.
07:55
So for exampleBeispiel, in a powerLeistung plantPflanze,
183
460000
2000
Also in einem Kraftwerk zum Beispiel,
07:57
when your biggroß steamDampf turbineTurbine getsbekommt too over speedGeschwindigkeit,
184
462000
3000
wenn die Große Dampfturbine zu schnell wird,
08:00
you mustsollen openöffnen reliefLinderung valvesVentile withininnerhalb a millisecondMillisekunde.
185
465000
3000
muss man Entlastungsventile innerhalb von Millisekunden öffnen.
08:03
ObviouslyOffensichtlich, this cannotnicht können be doneerledigt by a humanMensch operatorOperator.
186
468000
3000
Natürlich kann dies nicht von einem menschlichen Maschinenführer erledigt werden.
08:06
So this is where we need digitaldigital safetySicherheit systemsSysteme.
187
471000
2000
Also an dieser Stelle brauchen wir digitale Sicherheitssysteme.
08:08
And when they are compromisedkompromittiert,
188
473000
2000
Und wenn die gefährdet sind,
08:10
then realecht badschlecht things can happengeschehen.
189
475000
3000
dann können wirklich schlimme Dinge geschehen.
08:13
Your plantPflanze can blowSchlag up.
190
478000
2000
Das Kraftwerk kann explodieren.
08:15
And neitherweder your operatorsBetreiber nornoch your safetySicherheit systemSystem will noticebeachten it.
191
480000
3000
Und weder die Maschinenführer, noch das Sicherheitssystem wird es bemerken.
08:18
That's scaryunheimlich.
192
483000
2000
Das ist beängstigend.
08:20
But it getsbekommt worseschlechter.
193
485000
2000
Aber es wird noch schlimmer.
08:22
And this is very importantwichtig, what I'm going to say.
194
487000
3000
Und das was ich jetzt sage ist sehr wichtig.
08:25
Think about this:
195
490000
2000
Denken Sie darüber nach.
08:27
this attackAttacke is genericgenerisch.
196
492000
3000
Dieser Angriff ist generisch.
08:30
It doesn't have anything to do, in specificsBesonderheiten,
197
495000
4000
Er hat nichts speziell zu tun mit
08:34
with centrifugesZentrifugen,
198
499000
2000
Zentrifugen,
08:36
with uraniumUran enrichmentAnreicherung.
199
501000
3000
mit Urananreicherung.
08:39
So it would work as well, for exampleBeispiel,
200
504000
3000
Also würde er beispielsweise genau so gut funktionieren --
08:42
in a powerLeistung plantPflanze
201
507000
2000
in einem Kraftwerk
08:44
or in an automobileAutomobil factoryFabrik.
202
509000
3000
oder in einer Automobilfabrik.
08:47
It is genericgenerisch.
203
512000
2000
Es ist generisch.
08:49
And you don't have -- as an attackerAngreifer --
204
514000
2000
Und man muss nicht -- als der Angreifer --
08:51
you don't have to deliverliefern this payloadNutzlast
205
516000
3000
muss man die Nutzdaten nicht
08:54
by a USBUSB stickStock,
206
519000
2000
über einen USB- Stick anbringen,
08:56
as we saw it in the caseFall of StuxnetStuxnet.
207
521000
2000
wie wir es bei Stuxnet gesehen haben.
08:58
You could alsoebenfalls use conventionalkonventionell wormWurm technologyTechnologie for spreadingVerbreitung.
208
523000
3000
Man könnte auch gewöhnliche Wurm- Technologie zum Verbreiten verwenden.
09:01
Just spreadVerbreitung it as widebreit as possiblemöglich.
209
526000
3000
Man muss es nur so weit wie möglich verbreiten.
09:04
And if you do that,
210
529000
2000
Und wenn man das tut,
09:06
what you endEnde up with
211
531000
2000
erhält man schließlich
09:08
is a cyberCyber weaponWaffe of massMasse destructionZerstörung.
212
533000
5000
eine Cyber- Massenvernichtungswaffe.
09:14
That's the consequenceFolge
213
539000
2000
Das ist die Konsequenz,
09:16
that we have to faceGesicht.
214
541000
3000
der wir uns stellen müssen.
09:19
So unfortunatelyUnglücklicherweise,
215
544000
3000
Also unglücklicherweise
09:22
the biggestgrößte numberNummer of targetsZiele for sucheine solche attacksAnschläge
216
547000
3000
liegt die größte Nummer von Zielen für solche Angriffe
09:25
are not in the MiddleMitte EastOsten.
217
550000
2000
nicht im Mittleren Osten.
09:27
They're in the UnitedVereinigte StatesStaaten and EuropeEuropa and in JapanJapan.
218
552000
3000
Sie liegen in den Vereinigten Staaten, in Europa und Japan.
09:30
So all of the greenGrün areasBereiche,
219
555000
2000
Also all diese grünen Gebiete,
09:32
these are your target-richZiel-reich environmentsUmgebungen.
220
557000
3000
dies sind die Zielreichsten Umgebungen.
09:35
We have to faceGesicht the consequencesFolgen,
221
560000
3000
Wir müssen uns den Konsequenzen stellen
09:38
and we better startAnfang to preparevorbereiten right now.
222
563000
3000
und wir fangen besser an uns vorzubereiten.
09:41
ThanksVielen Dank.
223
566000
2000
Danke.
09:43
(ApplauseApplaus)
224
568000
6000
(Applaus)
09:49
ChrisChris AndersonAnderson: I've got a questionFrage.
225
574000
2000
Chris Anderson: Ich habe eine Frage.
09:53
RalphRalph, it's been quiteganz widelyweit reportedberichtet
226
578000
2000
Ralph, es wurde sehr viel davon berichtet,
09:55
that people assumeannehmen that MossadMossad
227
580000
2000
dass Leute vermuten, dass der Mossad
09:57
is the mainMain entityEntität behindhinter this.
228
582000
2000
die Hauptorganisation dahinter ist.
09:59
Is that your opinionMeinung?
229
584000
3000
Ist das auch deine Meinung?
10:02
RalphRalph LangnerLangner: Okay, you really want to hearhören that?
230
587000
2000
Ralph Langner: Okay, du willst das wirklich wissen?
10:04
Yeah. Okay.
231
589000
2000
Ja. Okay.
10:06
My opinionMeinung is that the MossadMossad is involvedbeteiligt,
232
591000
3000
Meiner Meinung nach ist der Mossad involviert,
10:09
but that the leadingführend forceKraft is not IsraelIsrael.
233
594000
3000
aber die treibende Kraft ist nicht Israel.
10:12
So the leadingführend forceKraft behindhinter that
234
597000
2000
Also die treibende Kraft dahinter
10:14
is the cyberCyber superpowerSupermacht.
235
599000
3000
ist die Cyber- Supermacht.
10:17
There is only one,
236
602000
2000
Es gibt nur eine
10:19
and that's the UnitedVereinigte StatesStaaten --
237
604000
2000
und das sind die Vereinigten Staaten --
10:21
fortunatelyglücklicherweise, fortunatelyglücklicherweise.
238
606000
2000
zum Glück, zum Glück.
10:23
Because otherwiseAndernfalls,
239
608000
2000
Denn andernfalls
10:25
our problemsProbleme would even be biggergrößer.
240
610000
3000
wäre unser Problem sogar noch größer.
10:28
CACA: Thank you for scaringerschrecken the livingLeben daylightsdes Todes out of us. Thank you, RalphRalph.
241
613000
4000
CA: Danke, dass du uns eine Heidenangst eingejagt hast. Danke Ralph.
10:32
(ApplauseApplaus)
242
617000
2000
(Applaus)
Translated by Rouven Beeh
Reviewed by Lex Asobo

▲Back to top

ABOUT THE SPEAKER
Ralph Langner - Security consultant
Ralph Langner is a German control system security consultant. He has received worldwide recognition for his analysis of the Stuxnet malware.

Why you should listen

Ralph Langner heads Langner, an independent cyber-security firm that specializes in control systems -- electronic devices that monitor and regulate other devices, such as manufacturing equipment. These devices' deep connection to the infrastructure that runs our cities and countries has made them, increasingly, the targets of an emerging, highly sophisticated type of cyber-warfare. And since 2010, when the Stuxnet computer worm first reared its head, Langner has stood squarely in the middle of the battlefield.

As part of a global effort to decode the mysterious program, Langner and his team analyzed Stuxnet's data structures, and revealed what he believes to be its ultimate intent: the control system software known to run centrifuges in nuclear facilities -- specifically, facilities in Iran. Further analysis by Langner uncovered what seem to be Stuxnet's shocking origins, which he revealed in his TED2011 talk. (PS: He was right.)

More profile about the speaker
Ralph Langner | Speaker | TED.com