When first discovered in 2010, the Stuxnet computer worm posed a baffling puzzle. Beyond its unusually high level of sophistication loomed a more troubling mystery: its purpose. Ralph Langner and team helped crack the code that revealed this digital warhead's final target -- and its covert origins. In a fascinating look inside cyber-forensics, he explains how.

Nel video vengono spiegati (in 10 minuti) i meccanismi del worm, il suo mascheramento in opera, gli obiettivi su scala globale ed il suo scopo finale.
Se qualcuno riuscisse a tradurlo sarebbe davvero cosa gradita!

Ralph Langner: Cracking Stuxnet, a 21st-century cyber weapon


About Ralph Langner
Ralph Langner is a German control system security consultant. He has received worldwide recognition for his analysis of the Stuxnet malware.Full bio and more links

Fonte: http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon.html

Nel post successivo la traduzione.

Non ho nessun problema a che sia utilizzata per fare dei sottotitoli, ma una controllatina fatela comunque! Non credo di avere fatto grossi errori, ma su qualche punto specifico ammetto di avere avuto difficoltà.

L'idea alla base del computer worm Stuxnet è peraltro assai semplice: noi non vogliamo che l'Iran abbia la Bomba. Il loro principale stabilimento da cui ottenere armi nucleari è la struttura di arricchimento dell'uranio di Natanz.
La scatola grigia che vedete qui è un sistema di controllo in tempo reale. Orbene se noi riusciamo a compromettere il sistema che controlla la velocità di guida e e le valvole riusciamo a creare molti problemi alla centrifuga.
La scatola grigia non gira con software Windows, ha una tecnologia completamente differente, ma se riusciamo ad infilare un buon virus per Windows in un notebook usato da un ingegnere di Natanz per configurare questa grossa scatola allora siamo a cavallo! e questo è la trama dietro a Stuxnet. Quindi, iniziamo con un dropper di Windows, il payload (contenuto) finisce nella scatola grigia, inzuppa (???)la centrifuga, e il tuo bel programma nucleare è ritardato. Missione compiuta! Facile vero?
Voglio dirvi come abbiamo fatto a scoprirlo. Quando abbiamo cominciato le ricerche su Stuxnet 6 mesi fa, era del tutto ignoto lo scopo di questa cosa. Sapevamo solo che era molto complesso nella parte windows, nel dropper. Utilizzava vulnerabilità multiple dell'utilizzatore, e pareva che avesse qualcosa a che fare con queste scatole grige, questi sistemi di controllo in tempo reale; questo attirò la nostra attenzione e avviammo un progetto di infettare i nostri ambienti con Stuxnet e capire questa cosa, e avvenne una cosa molto buffa. Stuxnet si comportava come un topo (???) a cui non piaceva il nostro formaggio! Lo annusava ma non lo mangiava. Non aveva senso per me. Dopo aver sperimentato vari tipi di formaggio ci siamo accorti che questo era un attacco direzionato. Un attacco diretto specifico. Il dropper si aggira attivamente nella grande scatola, cercando la sua configurazione specifica viene trovata, e anche quando il programma presente che sta cercando di infettare gira effettivamente nel suo bersaglio, e in caso contrario, Stuxnet non fa niente! e questo attirò tanto la mia attenzione. Cominciammo a lavorarci sopra anche 24 ore al giorno, perché, pensavo, non sapevamo quale fosse il bersaglio, avrebbe potuto essere le installazioni chimiche negli Stati Uniti o le centrali elettriche in Germania, perciò era meglio trovare in fretta quali erano i suoi bersagli! Così abbiamo estratto e decompilato il codice d'attacco, e scoprimmo che esso era strutturato in due bombe digitali, la più piccola e la più grande. Abbiamo anche capito che erano state progettate professionalmente da gente che per forza conosceva tutte le informazioni dall'interno, ogni aspetto di ciò che dovevano attaccare; probabilmente conoscevano anche il numero di scarpe degli operatori; sapevano tutto! E se voi avete sentito che il dropper di Stuxnet è complesso e High-tech allora lasciatemi dire che il payload è scienza aero-spaziale, è molto oltre tutto quello che abbiamo visto sinora.
Qui vedete un estratto del codice d'attacco, stiamo parlando di circa 15 mila linee di codice scritte grosso modo in assembler vecchio stile e vi spiego come siamo riusciti a ricavare un significato da questo codice. Innanzitutto abbiamo cercato le chiamate alle funzioni di sistema, perché sappiamo cosa esse fanno; quindi abbiamo cercato dei timers e delle strutture di dati e abbiamo cercato di collegarli ai loro potenziali bersagli reali, e abbiamo perciò bisogno di una "teoria del bersaglio" da provare o confutare. Per arrivare a tale teoria noi ricordiamo che si tratta di sabotaggio hard-core, deve essere un bersaglio di notevole valore, e molto facilmente situato in Iran, perché è dove la maggior parte delle infezioni sono state segnalate. Adesso, non è che ci sono migliaia di bersagli là, più che altro si concentrano sulla centrale nucleare di Bushehr e sull'impianto di arricchimento di Natanz, perciò ho chiesto ai miei assistenti di procurarmi un elenco degli esperti di centrifugazione e di impianti nucleari dalla nostra banca dati clienti e li abbiamo studiati e abbiamo cercato un'immagine cerebrale delle loro capacità che coincidesse con i dati inseriti nel codice e la cosa ha funzionato e siamo stati in grado di associare questa piccola testata digitale con il controllo dei rotori. I rotori sono le parti mobili dentro la centrifuga, l'oggetto nero che voi vedete, e se manipolate la velocità di questi rotori riuscite a creparli e alla fine riuscite a ottenere che la centrifuga esploda! Abbiamo anche visto che lo scopo dell'attacco era grosso modo di farlo lentamente e impercettibilmente, ovviamente in modo da far diventare matti gli ingegneri di Natanz, che non avrebbero potuto capire il problema rapidamente.
La testata digitale grande ci ha creato un po' di problemi, ma abbiamo guardato mucchi e mucchi di dati; per esempio il numero 164 appare in numerose parti di codice, è impossibile non notarlo. Ho controllato nella letteratura scientifica per capire come questa centrifuga di Natanz è effettivamente costruita e ho notato come questa sia formata da specie di "gruppi a cascata" e ognuno di questi gruppi comprende 164 centrifughe. Questo aveva senso. Avevamo trovato una corrispondenza. E le cose sono andate sempre meglio, perché questa centrifuga in Iran è suddivisa da 15 unità chiamate "stages" (fasi) e questo lo abbiamo trovato nel codice di attacco, la cui struttura era pressoché identica e questo è stata una corrispondenza veramente buona ed eravamo molto fiduciosi in quello che stavamo osservando. Non vi sbagliate. Non è andata così.
Questi risultati sono stati ottenuti dopo parecchie settimane di intense fatiche, dopo aver spesso trovato vicoli ciechi da cui uscire.
In ogni caso abbiamo ipotizzato che entrambe le testate miravano allo stesso bersaglio, ma da angolature differenti: la testata piccola era mirata ad un singolo "gruppo a cascata" volto ad aumentare o diminuire la velocità del rotore, mentre la grande mirava a sei "cascate" con lo scopo di manipolare le valvole. A questo punto eravamo abbastanza sicuri di avere individuato il bersaglio. Era Natanz e solo Natanz e non c'era da preoccuparsi che altri bersagli sarebbero stati colpiti da Stuxnet.
Qui ci sono delle cose carinissime che abbiamo visto, [togliermi le calze?] sotto vedete la grossa scatola e sopra la centrifuga. Quello che fa 'sta cosa è di intercettare i valori in ingresso, per esempio di sensori di pressione e di vibrazione e provvede a fornire, nonostante che il programma legittimo continui a girare durante l'attacco, valori falsi, e come dato di fatto questi valori falsi sono pre registrati da Stuxnet, ed esattamente come nei film di Hollywood durante una rapina i dati registrati dalla telecamera sono sostituiti da dati preregistrati! Forte, vero? Ovvio che l'idea non è solo quella di fregare gli operatori e la camera di controllo, ma è molto più pericolosa e aggressiva. L'idea è quella di compromettere il sistema di sicurezza digitale, sistema di sicurezza digitale in cui gli operatori non possono agire con sufficiente rapidità; per esempio se in una centrale elettrica la turbina va troppo veloce tu devi aprire le valvole di sfogo in millisecondi; questo non può essere fatto da un operatore umano, ed è per questo che c'é un sistema di sicurezza digitale, e se è compromesso possono accadere delle cose molto brutte! La Centrale può saltare per aria e né gli operatori né il sistema di sicurezza potrebbe notarlo! Questo fa già paura, ma le cose possono peggiorare, ma questo è molto importante per ciò che sto per dire. Pensateci. Questo attacco è "generico", non è specificamente legato ad una centrifuga, o un'installazione per l'arricchimento di uranio, ma può funzionare benissimo su qualunque impianto, come per esempio una centrale elettrica o una fabbrica moderna. E' generico, e non è necessario consegnare il contenuto mediante un USP come nel caso di Stuxnet, ma si possono utilizzare le convenzionali tecnologie Worm, che possono essere diffuse quanto più possibile; e questo conduce ad una cyber arma di distruzione di massa. Questa è la conseguenza che dobbiamo fronteggiare. Purtroppo il maggior numero di bersagli per attacchi del genere non sono in Medio Oriente, ma sono negli Stati Uniti, in Europa e in Giappone. Perciò nelle aree verdi si concentrano i bersagli. Dobbiamo fronteggiare le conseguenze. Prepariamoci fin da ora!

[Cond.]: più o meno, sembra che secondo molti resoconti, la gente pensa che il Mossad sarebbe il principale agente dietro tutto questo. Lei cosa ne pensa?

Volete proprio sapere questo...la mia opinione è che il Mossad è coinvolto, ma la potenza capo fila non è Israele. La potenza leader dietro a questo è la super cyber-potenza. Ce n'é una sola: e sono gli USA. Per fortuna, per fortuna, perché in caso contrario i problemi sarebbero ben più gravi!

Grazie mille Davide

Hola Fabyan se ti interessano maggiori dettagli su stuxnet li puoi trovare qui :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

Gran brutta bestia questo virus , tanto che gli autori si augurano di non vederlo più in giro.
Tanto per cominciare il virus è molto complesso , sfrutta diverse falle di windows , utilizza due certificati all'epoca validi , dimostra una conoscenza approfondita dei linguaggi dei PLC Siemens ed era controllato da remoto,senza contare che quello che ha meravigliato parecchio è l'approfondito lavoro di debug del programma , condizioni che ipotizzano il lavoro di un team di professionisti :

http://www.symantec.com/connect/blogs/hackers-behind-stuxnet

Citazione:

Sempre dal primo link apprendiamo che il virus è stato rilasciato in tre diverse date in 10 siti iraniani e :

Citazione:

Un altro aspetto particolare è che il virus è stato progettato in modo da comportarsi in due maniere differenti , la prima colpisce esclusivamente due marche di controller dei motori , una iraniano (aridanghe) ed una finlandese,ed è la parte che varia le velocità dei motori con cicli che possono durare anche giorni , l'altra è la parte che si suppone possa colpire le centrifughe (è scritto chiaramente nel report symantec ) ma ha il difetto di essere incompleta in quanto manca un blocco di istruzioni e quindi non hanno capito quale possa essere effettivamente il risultato (personalmente suppongo che il blocco mancante venga spedito dal server C&C).

Dunque questo virus anche se per le sue capacità può diffondersi molto facilmente è stato concepito per una specifica configurazione di impianto e sono quindi da escludere danni ad impianti esterni all'Iran.