Ted演讲

2020-03-02 02:12:18 来源：范文大全收藏下载本文

Ralph Langner谈21世纪电子武器Stuxnet揭密

关于这场演讲

Stuxnet计算机蠕虫于2010年首次被发现，带来了令人费解的谜团。除了它不寻常且高度复杂的编码以外，还隐藏着一个更令人不安的谜团：它的攻击目标。Ralph Langner及其团队协助破解Stuxnet编码，找出这个数字弹头的最终攻击目标－以及其幕后源头。经使用计算机数字鉴识方法深入检视后，他解释了其运作原理。

关于Ralph Langner

Ralph Langner是德国控制系统的安全顾问。他对Stuxnet恶意软件的分析受到全球瞩目。

为什么要听他演讲

Ralph Langner为独立网络安全公司Langner的领导者，专营控制系统－监控和调控其它设备的电子装置，如生产设备。这些装置与运作我们城市和国家的基础设施有密切关系，这使它们逐渐成为一场新兴且具高度复杂型态的电子战争攻击目标。自2010年起，当Stuxnet计算机蠕虫首次现身时，Langner坚决地投身于这个战场。

身为致力于译码这个神秘程序的一份子，Langner和他的团队分析Stuxnet的数据结构，并找出他认为其最终的攻击目标：运行于核工厂离心机的控制系统软件－特别是伊朗的核工厂。Langner进一步分析，发现Stuxnet可能的幕后源头，并于TED2011演讲中透露这个秘密。

Ralph Langner的英语网上资料

网站：Langner

[TED科技‧娱乐‧设计]

已有中译字幕的TED影片目录（繁体）（简体）。请注意繁简目录是不一样的。

Ralph Langner谈21世纪电子武器Stuxnet揭密

Stuxnet计算机蠕虫背后的想法其实很简单，我们不希望伊朗造出原子弹，他们发展核武器的主要资产是纳坦兹的浓缩铀工厂，你们看到的灰色方块是实时控制系统，现在，如果我们设法破坏控制速度和阀门的驱动系统，我们事实上可以使离心机产生很多问题。这些灰色方块无法执行Windows软件，两者是完全不同的技术，但如果我们设法将一个有效的Windows病毒放进一台笔记本电脑里，由一位机械工程师操作，设定这个灰色方块，那么我们就可以着手进行了，这就是Stuxnet大致背景。

因此，我们从Windows释放程序开始，让病毒载体进入灰色方块中，破坏离心机，延迟伊朗的核计划，任务完成，很简单，对吧？我想说明我们是如何发现这个的，当我们在半年前开始研究Stuxnet时，对这个东西的攻击目标一无所知，唯一了解的是它在Windows的部份非常、非常复杂，释放程序部份使用多个零日漏洞，它似乎想要做些什么，用这些灰色方块，这些实时控制系统，因此，这引起我们的注意，我们开始了一个实验计划，我们用Stuxnet感染我们的系统并审视结果，然后一些非常有趣的事发生了。Stuxnet表现得像只白老鼠，不喜欢我们的奶酪，闻一闻，但不想吃。这根本没道里。之后，我们用不同口味的奶酪进行实验，我意识到，哦，这是一个直接攻击，完全直接的。释放程序在这些灰

色方块中有效的潜伏着，如果它发现了一个特定程序组态，甚至是它正试图感染的程序，它都会确实针对这个目标执行，如果没发现，Stuxnet就不起作用。

所以这真的引起了我的注意，我们开始进行这方面的工作，几乎日以继夜，因为我想，好吧，我们不知道它的目标是什么，很可能的，比方说美国的发电厂，或德国的化工厂，所以我们最好尽快找出目标。因此，我们抽出攻击代码并进行反编译，我们发现它的结构由两个数字炸弹组成，一个较小、一个较大。我们也看到，这是非常专业的设计，由显然知道所有内幕信息的人编写，他们知道所有必需攻击的位和字节，搞不好他们还知道控制员的鞋子尺寸，因此他们什么都知道。

如果你曾听过Stuxnet的释放程序，是复杂、高科技的，让我跟你们说明一下。病毒本身是很高科技没错，比我们曾见过的任何编码都高深，这是这个实际攻击代码的样本，我们谈论的是大概15,000行的代码，看起来很像旧式的汇编语言。我想告诉你们的是，我们如何能够理解这段代码，所以，我们首先要寻找的是系统的函数调用，因为我们知道它们的作用是什么。

然后，我们寻找时间控制器和数据结构，试图将其与真实世界连结起来，寻找现实世界中的潜在目标，因此我们必需进行目标推测，以便确认或排除。为了找到推测目标，我们想到，它必定具有绝对破坏性，必定是一个高价值目标，最可能设置在伊朗，因为这是大部份感染发生的地点。在这区域内你不会找到几千个目标，基本上范围可以缩小为布什尔核电厂及纳坦兹浓缩铀工厂。

所以我告诉我的助手，“列出我们客户中所有离心机和核电厂专家的名单”，我打电话给他们，听取他们的意见，努力用我们在代码和数据中的发现与他们的专业知识做对照。这很有效，因此，我们找出了这个小数字弹头与转子控制的关联，

转子是离心机内部的运转零件，就是你们看到的这个黑色物体，如果控制这个转子的速度，事实上你就能使转子损坏，甚至最后使离心机爆炸。我们也看到了这次攻击的目标，实际上进行的相当缓慢、低调，显然为了达成目标，快把维修工程师逼疯了，因为他们无法迅速找出答案。

这个大数字弹头－我们做过尝试，非常仔细检查数据和数据结构，因此，例如数字164在这些代码中确实很突出，你不能忽视它。我开始研究科学文献，这些离心机如何在纳坦兹组建，并找出它们的结构，就是所谓的层级。每个层级由164台离心机组成，这就说的通了，与我们的结果匹配。

而它甚至更有帮助。这些在伊朗的离心机细分为15种所谓的等级，你猜我们在攻击代码中发现什么？一个几乎相同的结构。所以，同样的，这与结果完美匹配，就我们所寻找的东西来说，这给了我们相当大的信心。别误解我的意思，不是像这样弹指之间，为了获致这些成果，历经几星期相当艰苦的奋斗，我们常常走进死胡同，必需重新来过。

总之，我们找到了这两个数字弹头，实际上是针对同一个目标，但从不同角度。小弹头对准一个层级，让转子加速旋转然后急遽减速，而大弹头影响六个层级并操纵阀门，总之，我们非常有信心，我们已经确认目标是什么，是纳坦兹，就只有纳坦兹。因此，我们不必担心其它目标可能被Stuxnet攻击。

我们看到一些非常酷的东西，真的让我印象深刻。下方是灰色方块，顶端你们看到的是离心机，这些东西所做的是拦截来自传感器的输入值，例如，来自压力传感器和振动传感器的，它提供正常代码，在攻击中依然执行，用的是假的输入数

据。事实上，这个假的输入数据是Stuxnet事先录制的，因此，这就像来自好莱坞电影的抢劫过程中，监视器被放入预录的影片，酷吧？

这里的想法显然不仅是愚弄控制室中的操作者，实际上更加危险且更具攻击性，这个想法是规避数字安全系统。我们需要数字安全系统，当一位人类操作员的行动不够快时，因此，例如在一座核电厂中，当一台大蒸汽涡轮机严重超速时，你必须在一毫秒内打开泄压阀。显然，一位人类操作员办不到，因此，这就是我们需要使用数字安全系统之处。当它们被破坏，真正糟糕的事就会发生了，你的工厂会爆炸，无论你的操作员或安全系统都无法注意到这一点，这很可怕。

但还会更糟。我要说的这些相当重要，想想看，这种攻击是一般性的，它没什么特定性，对离心机来说，还有浓缩铀，因此，它也会作用于，例如一座核电厂或一座汽车工厂，它是通用的，你不需要－身为攻击者，你不需要藉由USB装置传递这个病毒载体，如我们在Stuxnet例子中看到的，你也可以使用传统的蠕虫病毒技术的来散播，尽可能传播四方。如果你这么做，最终它会变成具大规模破坏性的网络武器，这是我们必然会面临的后果。所以，不幸的是，这种攻击最大量的目标并不是在中东，而是在美国、欧洲和日本。因此，所有这些绿色区域就是遭受最多攻击的目标，我们必须面对这个后果，我们最好现在开始做准备。

谢谢。

（掌声）

Chris Anderson：我有个问题，Ralph，这件事已广为人知，人们认为摩萨德（以色列情报机构）是幕后的主要推手，你也这么认为吗？

Ralph Langner：好，你真的想知道吗？

Chris Anderson：是啊!

Ralph Langner：好，我的看法是，摩萨德有参与，但以色列并非领导势力。因此，背后的主导力量是网络超级大国，只有一个，就是美国。幸好、幸好，因为如果不是这样，我们的问题可能更大。

CA：谢谢你吓坏了美国人，谢谢Ralph。