Ralph Langner on Stuxnet, copycat threats (Q&A)
by Elinor Mills, May 11, 2011 4:00 AM PDT
Theo: http://news.cnet.com/8301-27080_3-20061256-245.html
Bài được đưa lên Internet ngày: 11/05/2011
Chuyên gia an ninh hệ thống kiểm soát Ralph Langner đàm luận về Stuxnet.
Control system security expert Ralph Langner put the pieces of the Stuxnet puzzle together.
(Credit: James Martin/CNET)
Lời người dịch: Đối với Ralph Langner, người khởi xướng phân tích mã nguồn cuộc tấn công Stuxnet vào các cơ sở hạt nhân của Iran 1 năm về trước, thì mối quan tâm nhất của ông không phải là việc ai đã tạo ra Stuxnet, mà là ông tin tưởng và lo ngại rằng chắc chắn sẽ có những cuộc tấn công bắt chước dạng Stuxnet vào các hạ tầng sống còn, kể cả là ngoài lĩnh vực điện hạt nhân, vì ông cho nguy cơ bị tấn công dạng Stuxnet là chung, chứ không phải là chuyên biệt cho điện hạt nhân với phần mềm SCADA của chỉ Siemens, và Stuxnet có thể được sao chép một cách dễ dàng. Về câu hỏi liệu Siemens có hợp tác phát triển của Stuxnet hay không? Langner trả lời: “Đó là một câu hỏi thú vị. Hãy tha thứ cho tôi nếu tôi không thể trả lời trực diện điều này vì tôi không muốn kết thúc vào tuần sau trong phiền toái với phòng pháp lý của Siemens... Chỉ bằng việc nhìn vào mã nguồn của cuộc tấn công, bạn có thể suy luận ra điều này vì nó có thể buộc một kẻ bên ngoài mất hàng năm trời để phát hiện những chỗ bị tổn thương mà đã bị Stuxnet khai thác chỉ bằng kỹ thuật nghịch đảo... Vì thế tôi có xu hướng tin tưởng đã có sự truy cập tới các bí mật kỹ thuật sở hữu độc quyền của Siemens và sự truy cập tới các tài liệu phát triển...”
San Francisco - Một năm trước, Ralph Langner đã bước ra khỏi sự tối tăm mù mịt, tiến hành một công việc tư vấn về an ninh cho nền công nghiệp các hệ thống kiểm soát công nghiệp tại đại bản doanh ở Hamburg. Rồi thì Stuxnet tới, phần mềm độc hại đầu tiên nhằm vào không phải là các dữ liệu tài chính của người tiêu dùng như nhiều virus khác những ngày này, mà những hệ thống mà ông biết rất tốt - các phần mềm được sử dụng để kiểm soát các quá trình trong các nhà máy sản xuất và tiện ích.
Sự phức tạp đằng sau Stuxnet, mà đã xuất hiện vào tháng 07 năm ngoái, khá rõ ràng từ mục tiêu của nó. Nó lan truyền thông qua các lỗ hổng không được vá trong Windows và các đầu USB, thả một rootkit để ẩn dấu sự tổn thương khỏi các nhà quản trị, và sử dụng các chứng thực số giả mạo để làm giả các phần mềm được tin cậy. Mà việc phân tích mã nguồn vượt ra ngoài những gì đã làm khó cho các nhà nghiên cứu không quen thuộc với dạng các hệ thống mà phần mềm độc hại này được thiết kế để tấn công.
SAN FRANCISCO--A year ago, Ralph Langner was plugging away in relative obscurity, doing security consulting work for the industrial control system industry in his Hamburg headquarters. Then along came Stuxnet, the first malware targeting not consumer financial data like so many viruses these days but the very systems he knows so well--software used to control processes in manufacturing and utility plants.
The sophistication behind Stuxnet, which appeared last July, was fairly clear from the get-go. It spreads via unpatched holes in Windows and USB devices, drops a rootkit to hide the compromise from administrators, and uses fraudulent digital certificates to pose as trusted software. But analyzing the code beyond that was proving difficult for researchers unfamiliar with the type of systems the malware was designed to attack.
Langner's team reverse engineered the code, eyeballing it from an industrial control perspective and began putting the puzzle pieces together. He speculated in a blog post that it was designed to sabotage Iran's nuclear program and elaborated on that theory at an industry conference in the U.S. shortly thereafter. The daring theory thrust Langner into the international limelight and soon he was all over stories in the mainstream newspapers and magazines and giving a talk at the esteemed TED conference.
He sat down with CNET late last week while in San Francisco to give a talk at the University of California at San Francisco and discussed why he thinks the who-done-it is less important than the threat of copycat attacks and other matters of international interest.
Đội của Langner đã tiến hành thuật nghịch đảo với mã nguồn, xem xét kỹ nó từ quan điểm của kiểm soát công nghiệp và đã bắt đầu đưa ra những mẩu giả thiết cùng nhau. Ông đã đưa ra hồ nghi của mình trên một bài trên blog rằng nó đã được thiết kế để phá hoại chương trình hạt nhân của Iran và đã rất công phu chỉ ra điều lý thuyết đó tại một hội nghị công nghiệp tại Mỹ ngay sau đó. Lý thuyết dám làm của Langner đẩy Langner vào trong ánh sáng sân khấu quốc tế và ông sớm trở thành mọi câu chuyện trong các báo và tạp chí dòng chính thống và đi nói chuyện tại hội nghị của TED.
Ông đã ngồi với CNET cuối tuần trước khi tới San Francisco để nói chuyện tại Đại học California ở San Francisco và đã tranh luận vì sao ông nghĩ việc ai đã làm ra nó là ít quan trọng hơn mối đe dọa của các cuộc tấn công bắt chước nó và các vấn đề quan tâm có tính quốc tế khác.
Hỏi: Thế ông đã làm tung lên vào năm ngoái với nghiên cứu của ông về Stuxnet, ông là người đầu tiên nhận thức được mối liên quan giữa Stuxnet và Iran à?
Langner: Vâng, tôi đã là người đầu tiên tiến hành mối kết nối này. Tôi là người đầu tiên đã nói điều này phải nhằm vào chương trình hạt nhân của Iran. Và hóa ra là nó thực sự đúng như vậy. Điều đó là điểm bước ngoặt khi mà Stuxnet đã trở nên nóng. Hầu hết các phương tiện truyền thông đã nghĩ đây là một vụ không lớn. Điều này đã thay đổi khá nhiều khi tôi đã đi tới được lý thuyết về cái đích, rằng điều này là về việc làm chậm lại chương trình hạt nhân của Iran và các phương tiện truyền thông đã trở nên điện cuồng vì nó.
Thế ông cảm thấy thế nào về điều đó?
Langner: Không may, hầu hết các phương tiện truyền thông ngày nay vẫn còn tập trung chỉ vào một câu hỏi. Câu hỏi về việc ai đã làm ra nó? Hoàn toàn thành thực mà nói, đây là một trong những câu hỏi mà nó làm phiền tôi ít nhất, đặc biệt trong những giai đoạn đầu của việc phân tích Stuxnet thì thứ chính yếu từng là để hiểu đây thực sự là cái gì. Và điều quan trọng nhất thứ nhì từng là để hiểu liệu điều này còn có thể là một mối đe dọa chống lại các thiết lập cài đặt khác hay không, hạ tầng sống còn của nước Mỹ. Đáng tiếc, câu trả lời là có vì nó có thể được sao chép một cách dễ dàng. Điều đó là quan trọng hơn so với câu hỏi về ai đã làm ra nó. Các phương tiện truyền thông đã luôn khăng khăng, và tôi đã cố gắng nỗ lực với đội của tôi để phát triển các lý thuyết về các lực lượng đứng đằng sau Stuxnet, và chúng tôi đã kết luận rằng Mỹ là lực lượng cầm đầu đằng sau sự phát triển Stuxnet. Họ đã không làm ra nó chỉ một mình; họ đã có sự trợ giúp từ các quốc gia. Nhưng rõ ràng công việc này là của Mỹ.
Q: So, you made quite a splash last year with your research on Stuxnet. You were the first one to realize the link between Stuxnet and Iran?
Langner: Yes, I was the first one to make that connection. I was the first one who said this must be targeting the Iranian nuclear program. And as it turned out it actually did. That was the turning point when Stuxnet got hot. Most of media was thinking it's not a big deal. This pretty much changed when I came up with the target theory, that this was about delaying the Iranian nuclear program and the media went crazy.
How do you feel about that?
Langner: Unfortunately, most of the media still today focuses on one single question. The question of who did it? To be absolutely honest, this is one of questions that bothers me the least, especially in the early stages of Stuxnet analysis the main thing was to understand what this really is. And the second most important thing was to understand could this also be a threat against other installations, U.S. critical infrastructure. Unfortunately, the answer is yes because it can be copied easily. That's more important than question of who did it. The media was persistent, and I took some efforts with my team to develop the theories of forces behind Stuxnet, and we concluded that the U.S. is the leading force behind Stuxnet development. They didn't do it on their own; they had help from nation states. But it's clearly the work of the U.S.
Nhưng ông nói vấn đề quan trọng nhất là việc nó có thể bị sao chép, đúng không?
Langner: Vấn đề lớn hơn mà chúng ta có là rủi ro của các cuộc tấn công sao chép bắt chước và cá nhân tôi cam đoan rằng chúng ta sẽ thấy các cuộc tấn công sao chép bắt chước đó. Không chỉ chống lại các mục tiêu tại Trung Đông, mà còn chống lại các mục tiêu tại Mỹ và châu Âu. Từ quan điểm của an ninh công nghệ thông tin, hãy tưởng tượng chúng ta đang không nói về Stuxnet mà nói về cuộc tấn công từ chối dịch vụ phân tán lúc mới ban đầu mà chúng ta đã nhìn thấy. Nó có thể hoàn toàn ngây ngô để giả thiết rằng chẳng có gì có thể tới sau cả. Các cuộc tấn công khác đã được sao chép. Không có lý do gì điều này sẽ không xảy ra với Stuxnet, đặc biệt để đáp trả sự chú ý của các phương tiện truyền thông mà nó có và các khía cạnh chiến tranh không gian mạng của nó. Liệu sẽ có bao nhiêu thứ quái dị nảy sinh nơi mà ai đó trong những giấc mơ ẩm ướt của họ không thể tưởng tượng được bất kỳ thứ gì tốt hơn là làm thứ gì đó tương tự chống lại, ví dụ như, nhà máy điện của Mỹ? Tôi nghĩ đó là một thực tế mà chúng ta phải đối mặt.
Nhưng nếu điều này được viết đặc biệt để nhằm vào một dạng phần mềm cụ thể nào đó chạy trong một cơ sở của Iran, thì liệu nó có truyền sang cho các nhà máy của Mỹ được hay không?
Langner: Hầu hết mọi người nghĩ điều này là để tấn công một nhà máy làm giàu uranium và nếu tôi không vận hành nó thì tôi sẽ không có rủi ro nào. Điều này là hoàn toàn sai. Cuộc tấn công được thực hiện trên các trình kiểm soát của Siemens và chúng là các sản phẩm mục đích chung. Vì thế bạn sẽ thấy các sản phẩm y như vậy trong một nhà máy điện, thậm chí trong các thang máy. Chỉ khả năng để tiêm mã lừa đảo vào một trình kiểm soát như vậy đã là vấn đề vô cùng lớn đối với chúng ta rồi. Nếu một kẻ tấn công chỉ sao chép cái cách mà Stuxnet đã làm, thì điều này là chiếc vé vào cửa của bạn để làm bẩn các trình kiểm soát rồi. Hơn nữa, nhiều người nghĩ rằng một cuộc tấn công như thế này có thể đòi hỏi một số lượng cực kỳ lớn khả năng tri thức và công nghệ của người tay trong. Điều này có thể là đúng nếu bạn đang nói về một kịch bản rất y hệt, mà hoàn toàn không chắc có xảy ra trong tương lai hay không.
But you say the more important issue is that it could be copied, right?
Langner: The bigger problem is we have is the risk of copy cat attacks and I personally take it for granted that we will see copy cat attacks. Not against targets in the Middle East but against targets in the U.S. and Europe. From an IT security perspective, imagine we're not talking about Stuxnet but about the very first distributed denial-of-service attack we've seen. It would be completely naive to assume that nothing would follow. Other attacks have been copied. There is no reason this should not happen with Stuxnet, especially in response to the media attention it got and the cyberwar aspects of it. How many freaks are out there who in their wet dreams can't imagine anything better than doing something similar against, for example, a U.S. power plant? I think that's a reality we must face.
But if this was written specifically to target a certain type of software running in an Iranian facility, would it necessarily translate to U.S. Plants?
Langner: Most people think this was to attack a uranium enrichment plant and if I don't operate that I'm not at risk. This is completely wrong. The attack is executed on Siemens controllers and they are general purpose products. So you will find the same products in a power plant, even in elevators. Just the ability to inject rogue code on such a controller is a very big problem for us. If an attacker just copies the way it's done in Stuxnet, this is your entry ticket to messing with controllers. Also, many people think that an attack like this would require an extreme amount of insider knowledge and technological capability. This would only be true if you are talking about a very similar scenario, which is quite unlikely to happen in the near future.
Vấn đề lớn hơn là bạn có thể dễ dàng tưởng tượng các kịch bản khác mà chúng có các mục tiêu khác và được thực hiện có sử dụng các chiến lược khác. Ví dụ, tôi có thể phân tích mã nguồn của cuộc tấn công trong Stuxnet và bỏ qua những thứ mà là đặc chủng cho việc thâm nhập trái phép vào các rô to (phần quay) của các máy li tâm. Nếu mục tiêu của tôi là một nhà máy điện, thì tôi có thể không quan tâm trong các thủ tục nhắm mục tiêu đặc thù của Stuxnet. Có quá nhiều thủ tục khác trong mã nguồn của cuộc tấn công mà chúng sẽ không là nhắm mục tiêu đặc thù nào cả. Hãy nhớ, phần nhỏ giọt của nó đã sử dụng 4 chỗ bị tổn thương ngày số 0, các chứng chỉ số (giả mạo), chức năng điểm - điểm, tất cả là không phải nhắm mục tiêu cụ thể nào cả. Vì thế bạn có thể sử dụng các kỹ thuật tấn công tương tự chống lại các mục tiêu hoàn toàn khác nhau. Y hệt như vạy áp dụng cho mã nguồn các cuộc tấn công mà đi tới các trình kiểm soát. Chúng tôi cũng đã thấy những phần của hoặc các thủ tục phụ của cuộc tấn công mà chúng sẽ không là nhắm đích cụ thể nào cả, chúng là chung, bắt đầu với khả năng để châm mã nguồn giả mạo vào trình kiểm soát. Điều này là hoàn toàn rủi ro mà chúng ta đang đối mặt. Chúng ta thấy các thủ tục phụ khác trong các đầu đạn số mà chúng cũng hoàn toàn không phải là nhắm mục tiêu đặc thù nào cả.
The bigger problem is you can easily imagine other scenarios that have other goals and are executed using other strategies. For example, I can analyze the attack code in Stuxnet and ignore the stuff that is specific for cracking the centrifuge rotors. If my target is a power plant, I would not be interested in the target-specific routines in Stuxnet. There are so many other routines in the attack code that aren't target specific at all. Remember, the dropper part of it used four zero-day vulnerabilities, the (fraudulent) digital certificates, the peer-to-peer functionality, all are not target specific. So you could use similar attack techniques against completely different targets. The same applies to the attack code that goes on the controllers. There we also find parts of or sub routines of the attack that aren't target specific at all, that are generic, starting with the ability to inject rogue code on the controller. This is quite a risk we are facing. We see other sub routines in the digital warheads that also are not at all target specific.
Ông có nghĩ các quan chức chính phủ trên thế giới thực sự hiểu được mối đe dọa này?
Langner: Tôi không nghĩ thế. Chính phủ Mỹ đang tiếp cận vấn đề này nghiêm túc. Đó là một thực tế được biết tới. Chính phủ Mỹ đã quan tâm về bảo vệ hạ tầng từ hơn chục năm nay. Vấn đề tôi thấy là cho tới nay những nỗ lực mà đã được tiến hành là những nỗ lực khá tốt nhất mà chúng từng là không có chủ ý. Nhiều người đã làm nhiều thứ tốt lành, nhưng không may lại không có khả năng để đo đếm tính hiệu quả của các biện pháp đó vì chúng ta đã không có những cuộc tấn công trong hồ sơ. Bây giờ với Stuxnett, điều này đã thay đổi. Đây là lần đầu tiên một cuộc tấn công không gian mạng duy nhất chống lại những thiết lập cài đặt các hệ thống kiểm soát. Đối với tất cả chúng ta trong cộng đồng an ninh, thì điều cần thiết phải đánh giá liệu những nỗ lực của chúng ta mà chúng ta đã thực hiện trong thập kỷ qua có thực sự là thông minh và có thể thực sự bảo vệ được chúng ta chống lại những mối đe dọa đó được không, và câu trả lời đơn giản là không. Đừng có hiểu nhầm tôi, không ai bị lên án ở đây cả. Với tất cả những nỗ lực trước thời Stuxnet thì chúng ta đã không thể đo đếm được chúng chống lại thực tế. Bây giờ, cuộc tấn công dấu hiệu đầu tiên tới và chúng ta có khả năng để thấy rằng những nỗ lực của chúng ta trong nhiều cách đã bị lầm lạc. Những kẻ tấn công đã có khả năng trượt qua sự khôn ngoan ước định đang tồn tại. Chúng ta đã không có kinh nghiệm để học. Điều này đã thay đổi sau khi có Stuxnet.
Do you think government officials around the world truly understand the threat?
Langner: I don't think so. The U.S. government is taking the problem serious. That's a known fact. The U.S. government has cared about infrastructure protect for more than decade. The problem I see is that so far the efforts that had been taken have been pretty much best efforts that were unguided. Many people did a lot of good things, but unfortunately without being able to measure the effectiveness of these measures because we didn't have attacks on the record. Now with Stuxnet, this has changed. This was the first single cyber strike against control system installations. For all of us in the security community, it was necessary to assess if our efforts we had taken over the last decade were really intelligent and would really protect us against these threats, and the simple answer is no. Don't get me wrong, there is nobody to blame here. With all the efforts before Stuxnet we weren't able to measure them against reality. Now, the first sign strike comes up and we are able to see that our efforts were in many ways misguided. The attackers were able to slice through existing conventional wisdom. We had no learning experience. This changed after Stuxnet.
Thế, ông có nghĩa là chính phủ Mỹ hợp tác với Israel phát triển Stuxnet hay không?
Langner: Chắc chắn, tooii có thể giả thiết có một sự hợp tác. Hãy nhìn lại lịch sử. Chúng ta biết Israel đã tiến hành một số nỗ lực để can thiệp vào chương trình hạt nhân của Iran, như việc phá hoại theo cách truyền thống. Nhưng Mỹ đã không có tất cả các thông tin đã được yêu cầu để triển khai cuộc tấn công này, khi nó liên quan tới việc tình báo về nhà máy đó. Chúng tôi rõ ràng thấy trong mã nguồn của cuộc tấn công đã có đầy đủ tri thức về các chi tiết kỹ thuật mà chúng phải được xem là những bí mật hàng đầu. Điều mà theo cách nào đó là buồn cười vì bây giờ chúng ta, và cả Symantec, biết, nhiều hơn, theo cách, về hạ tầng nhà máy Natanz (tại Iran) hơn cả các nhà điều tra của Cơ quan Năng lượng Nguyên tử Quốc tế IAEA biết. Và một manh mối khác có liên quan tới Israel - nó đã rõ từ phân tích kỹ thuật rằng những kẻ tấn công đã có một vấn đề nổi cộm trongn lĩnh vực về độ tin cậy. Họ từng viết các mã nguồn của các trình kiểm soát tinh vi phức tạp cao mà chúng đã không thể thử được bộ điều khiển trong thiết lập cài đặt vì một số lý do. Nếu bạn đang mua một chương bộ điều khiển mà nó luôn được kiểm thử bởi người sử dụng đầu cuối tại nơi thiết lập cài đặt, và các kỹ sư thường cần phải thích nghi chương trình đó và tiến hành những thay đổi ở những phút cuối. Rõ ràng, điều này không thể được thực hiện trong trường hợp của Stuxnet. Phải có các cách thức để kiểm thử với thiết bị thực tế trước khi nó được triển khai.
Cho là như vậy, nếu bạn nhìn xem ai có chuyên môn về các máy li tâm như vậy ngoài Iran, thì có 2 hướng. Hướng thứ nhất là tại Phòng Thí nghiệm Quốc gia Oak Ridge của Mỹ và cái khác là khu liên hợp Dimona của Israel. Có những máy li tâm từ chương trình làm giàu uranium của Liby đã bị bỏ. Chúng là y hệt các máy li tâm tại Iran vì chúng đi ngược về cùng mô hình đó. Liby và Iran đã mua các thiết kế từ nhà khoa học hạt nhân Pakistan là Abdul Qadeer Khan. Đó từng là máy li tâm đầu tiên của Đức, được xây dựng vào những năm 1960. Khan đã quay về Pakistan với các thiết kế, đã xây dựng chương trình làm giàu của Pakistan, và sau đó đã bán thiết kế đó trên thị trường chợ đen cho Liby và Iran. Liby đủ thông minh để tuân theo các yêu cầu của Mỹ để hủy bỏ chương trình này. Một số máy li tâm mà đã được sử dụng tại Liby đã đi tới Oak Ridge và Israel.
Vì thế mã nguồn của cuộc tấn công được kiểm thử trong các máy li tâm không chỉ ở Oak Ridge, mà còn ở cả Israel. Và nếu bạn dõi theo các xuất bản phẩm và ý kiến công khai tại Israel về tình hình hạt nhân của Iran trong vòng 3-4 năm qua, thì thứ gì đó kỳ lạ đã xuất hiện. Vào năm 2007 và 2008, chủ đề này là vô cùng nóng bỏng. Vào năm 2008, Israel thậm chí đã thực nghiệm một cuộc tấn công bằng máy bay chống lại các cơ sở này, với hơn 100 máy bay phản lực chiến đấu trên bầu trời. SAu đó thì chủ đề này đã trở nên rất yên ắng. Rồi vào năm 2009, dường như là nó không còn là vấn đề gì nữa hết. Cùng lúc, Iran đã tiếp tục cài đặt ngày càng nhiều hơn các máy li tâm. Điều đó đã không có ý nghĩa gì đối với tôi. Khi tôi thấy cuộc tấn công Stuxnet, thì đối với tôi nó cuối cùng đã có ý nghĩa.
So, do you think the U.S. government teamed up with Israel on Stuxnet development?
Langner: Definitely, I would assume there is a collaboration. Look back in history. We know Israel has taken some efforts to interfere with Iran's nuclear program, such as conventional sabotage. But the U.S. did not have all the information that was required to carry out this attack, when it comes to intelligence about the plant. We clearly see in the attack code that attackers had full insider knowledge about technical details that must be considered top secret. Which in a way is funny because now we, and Symantec, know more, in a way, about the Natanz plant structure (in Iran) than the International Energy Agency inspectors know. And another clue that it is related to Israel--it was clear from the technical analysis that the attackers had an outstanding problem in the area of reliability. They were writing highly sophisticated controller code that they were unable to test drive in the installation for some reasons. If you are purchasing a controller program it is always tested by the end user at the installation, and usually engineers need to adapt the program and make last minute changes. Obviously, this could not be done in the case of Stuxnet. There must have been ways to test with real equipment before it was deployed.
So given that, if you look at who is in the possession of such centrifuges besides Iran, there are two sites. One is in the [U.S.] Oak Ridge National Lab and the other is [Israel's] Dimona complex. There are centrifuges from the dismantled Libyan uranium enrichment program. They are identical to Iran in centrifuges because they go back to the same model. Libya and Iran bought blueprints from Pakistani nuclear scientist Abdul Qadeer Khan. It was the first German centrifuge, built in the 1960s. Khan went back to Pakistan with the blueprints, built up the Pakistan enrichment program, and then sold the design on the black market to Libya and Iran. Libya was smart enough to follow U.S. requests to dismantle this program. Some of the centrifuges that used to be in Libya went to Oak Ridge and Israel.
So not only was the attack code tested on centrifuges in Oak Ridge but also in Israel. And if you follow the publications and public opinion in Israel on the Iranian nuke situation over last three or four years, something strange happened. In 2007 and 2008, the topic was red hot. In 2008, Israel even practiced an air strike against these facilities, with over 100 fighter jets in the air. Then the topic got very, very quiet. So in 2009, it seemed that it was not an issue any more. At the same time, Iran was continuing to install more and more centrifuges. It didn't make sense to me. When I saw the Stuxnet attack, for me it finally made sense.
Ông có nghĩ là Siemens đã hợp tác với sự phát triển của Stuxnet hay không?
Langner: Đó là một câu hỏi thú vị. Hãy tha thứ cho tôi nếu tôi không thể trả lời trực diện điều này vì tôi không muốn kết thúc vào tuần sau trong phiền toái với phòng pháp lý của Siemens. Nếu bạn nhìn vào các thực tế, thì khá rõ là những kẻ tấn công đã có những thông tin đáng kể của những người trong nội bộ Siemens. Chỉ bằng việc nhìn vào mã nguồn của cuộc tấn công, bạn có thể suy luận ra điều này vì nó có thể buộc một kẻ bên ngoài mất hàng năm trời để phát hiện những chỗ bị tổn thương mà đã bị Stuxnet khai thác chỉ bằng kỹ thuật nghịch đảo. Khi tôi thấy điều này, theo cái cách làm tôi thấy kỳ dị. Chúng ta đang nói về những chỗ bị tổn thương mà chúng quá là ẩn mà nó có thể làm cho một chuyên gia độc lập mất nhiều năm để chỉ ra. Hơn nữa, chúng ta đang nói về phần mềm phức tạp, phần dẻo phức tạp, và các cách thức để gây tổn thương cho một bộ điều khiển mà là ở quá xa và quá có hiệu quả mà tôi có thể không tin là họ có thể chỉ tìm ra bằng một người thông minh mà người này đã thử với bộ điều khiển và đã bập được qua nó. Điều đó chẳng có mấy ý nghĩa.
Vì thế tôi có xu hướng tin tưởng đã có sự truy cập tới các bí mật kỹ thuật sở hữu độc quyền của Siemens và sự truy cập tới các tài liệu phát triển. Nếu tất cả điều này là đều không rõ hoàn toàn đối với Siemens, thì tôi không biết. Hơn nữa, Siemens đã không thật thuyết phục trong trả lời của họ về Stuxnet. Một đại diện báo chí của Siemens đã nói cho báo chí Đức rằng hãng này có lẽ phải chờ đợi và xem Stuxnet đánh vào đâu trước khi có khả năng hiểu được điều này là về cái gì và cách mà nó làm việc. Nhưng thực tế thì đây là một cuộc tất công được định hướng có nghĩa là nó là Code Red. Điều có nghĩa là chúng tôi tìm ra tốt hơn càng nhanh càng tốt những gì tất cả thứ này là gì. Chúng tôi đang làm việc về thời gian. Nó có thể là một mối đe dọa đối với an ninh quốc gia của Mỹ. Chúng tôi chỉ không biết.
Do you think Siemens cooperated with Stuxnet development?
Langner: That's an interesting question. Forgive me if I am unable to answer this straight away because I don't want to end up next week in trouble with Siemens' legal department. If you look at the facts, it is pretty clear that the attackers had substantial Siemens insider information. Just by looking at the attack code, you can infer this because it would take an outsider years to discover the vulnerabilities that were exploited by Stuxnet by just reverse engineering. When I saw this, in a way freaked me out. We're talking vulnerabilities that are so hidden it would take an independent expert years to figure out. Also, we're talking about complex software, complex firmware, and ways to compromise a controller that are so remote and yet so efficient that I can not believe they would have been just found out by a smart guy who was experimenting with the controller and stumbled over it. It doesn't make any sense.
So I tend to believe there was access to Siemens proprietary technical secrets and access to development documentation. If this was all completely unknown to Siemens, I don't know. Also, Siemens wasn't very convincing in their response to Stuxnet. A Siemens press rep told the German press that the company would have to wait and see where Stuxnet strikes before being able to understand what it's about and how it works. But the fact that it was a directed attack means it was Code Red. Which means we better find out as soon as possible what it's all about. We were working around the clock. It could have been a threat to U.S. national security. We just didn't know.
Ông nghĩ thế nào về mối liên hệ chính thức của Mỹ đối với Stuxnet? Một số người đã kêu rằng điều đó là tối thiểu và không có bàn tay của họ.
Langner: Những giao tiếp chính thức của ICS-CERT và Siemens đã không tạo ra được ấn tượng rằng họ đang làm mọi thứ mà họ có thể để chỉ ra Stuxnet là gì. Siemens đã hành xử quá buồn cười mà họ đã làm dấy lên sự nghi ngờ. Và tôi đã chỉ học được rằng một vài ngày trước mà [ai đó từ ICS-CERT đã được hỏi tại một hội nghị gần đây họ đã học được gì từ Stuxnet] và một cậu nói cho đám đông 'chúng tôi đã học được nhiều'. Chấm hết. Thế nên điều gì có ở đây nhỉ? Nếu tôi có thể ở trong khán thính phòng đó thì tôi có thể đã nói 'xin hãy nói cho chúng tôi chính xác các bạn đã học được cái gì'. Họ đã không làm như thế. Chính phủ Mỹ đang không nói cho bạn về mối đe dọa từ những vụ bắt chước được tạo cảm hứng từ Stuxnet. Đây là một mối đe dọa thực sự chống lại những thiết lập cài đặt hệ thống kiểm soát của chúng ta, mà nó mở rộng sang khu vực tư nhân sâu trong hạ tầng sống còn.
What do you think about the official U.S. reaction to Stuxnet? Some people complained that it was minimal and hands off.
Langner: The official ICS-CERT communications and Siemens didn't create the impression that they are doing everything they can to figure out what Stuxnet was. Siemens behaved so funny they raised suspicion. And I just learned that a couple of days ago that [someone from ICS-CERT was asked at a recent conference what they learned from Stuxnet] and the guy tells the crowd 'we learned a lot.' Period. So what's the point here? If I would have been in the audience I would have said 'please tell us exactly what you learned.' They just don't do it. The U.S. government is not telling you about the threat from Stuxnet inspired copycats. This is a real threat against our control system installations, which extend from private sector into deep critical infrastructure.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.