Ralph Langner về Stuxnet, các mối đe dọa bắt chước (Hỏi và Đáp)

RalphLangner on Stuxnet, copycat threats (Q&A)

by Elinor Mills, May 11,2011 4:00 AM PDT

Theo:http://news.cnet.com/8301-27080_3-20061256-245.html

Bài được đưa lênInternet ngày: 11/05/2011

Chuyên gia an ninh hệthống kiểm soát Ralph Langner đàm luận về Stuxnet.

Controlsystem security expert Ralph Langner put the pieces of the Stuxnetpuzzle together.

(Credit:James Martin/CNET)

Lờingười dịch: Đối với RalphLangner, người khởi xướng phântích mã nguồn cuộc tấn công Stuxnet vào các cơ sở hạtnhân của Iran 1 năm về trước, thì mối quan tâm nhấtcủa ông không phải là việc ai đã tạo ra Stuxnet, mà làông tin tưởng và lo ngại rằngchắc chắn sẽ có những cuộc tấn công bắt chước dạngStuxnet vào các hạ tầng sống còn, kể cả là ngoài lĩnhvực điện hạt nhân, vì ôngcho nguy cơ bị tấn công dạng Stuxnet là chung, chứ khôngphải là chuyên biệt cho điện hạt nhân với phần mềmSCADA của chỉ Siemens, và Stuxnetcó thể được sao chép một cách dễ dàng.Về câu hỏi liệu Siemens có hợp tác phát triển củaStuxnet hay không? Langner trả lời: “Đó là một câu hỏithú vị. Hãy tha thứ cho tôi nếu tôi không thể trả lờitrực diện điều này vì tôi không muốn kết thúc vàotuần sau trong phiền toái với phòng pháp lý củaSiemens... Chỉ bằng việc nhìn vàomã nguồn của cuộc tấn công, bạn có thể suy luận rađiều này vì nó có thể buộc một kẻ bên ngoài mấthàng năm trời để phát hiện những chỗ bị tổn thươngmà đã bị Stuxnet khai thác chỉ bằng kỹ thuật nghịchđảo... Vì thế tôi có xu hướngtin tưởng đã có sự truy cập tới các bí mật kỹ thuậtsở hữu độc quyền của Siemens và sự truy cập tới cáctài liệu phát triển...”

SanFrancisco - Một năm trước, Ralph Langner đã bước ra khỏisự tối tăm mù mịt, tiến hành một công việc tư vấnvề an ninh cho nền công nghiệp các hệ thống kiểm soátcông nghiệp tại đại bản doanh ở Hamburg. Rồi thìStuxnet tới, phần mềm độc hại đầu tiên nhằm vàokhông phải là các dữ liệu tài chính của người tiêudùng như nhiều virus khác những ngày này, mà những hệthống mà ông biết rất tốt - các phần mềm được sửdụng để kiểm soát các quá trình trong các nhà máy sảnxuất và tiện ích.

Sựphức tạp đằng sau Stuxnet, mà đã xuất hiện vào tháng07 năm ngoái, khá rõ ràng từ mục tiêu của nó. Nó lantruyền thông qua các lỗ hổng không được vá trongWindows và các đầu USB, thả một rootkit để ẩn dấu sựtổn thương khỏi các nhà quản trị, và sử dụng cácchứng thực số giả mạo để làm giả các phần mềmđược tin cậy. Mà việc phân tích mã nguồn vượt rangoài những gì đã làm khó cho các nhà nghiên cứu khôngquen thuộc với dạng các hệ thống mà phần mềm độchại này được thiết kế để tấn công.

SANFRANCISCO--A year ago, Ralph Langner was plugging away in relativeobscurity, doing security consulting work for the industrial controlsystem industry in his Hamburg headquarters. Then along came Stuxnet,the first malware targeting not consumer financial data like so manyviruses these days but the very systems he knows so well--softwareused to control processes in manufacturing and utility plants.

Thesophistication behind Stuxnet, which appeared lastJuly, was fairly clear f-rom the get-go. It spreads via unpatchedholes in Windows and USB devices, d-rops a rootkit to hide thecompromise f-rom administrators, and uses fraudulent digitalcertificates to pose as trusted software. But analyzing the codebeyond that was proving difficult for researchers unfamiliar with thetype of systems the malware was designed to attack.

Langner'steam reverse engineered the code, eyeballing it f-rom an industrialcontrol perspective and began putting the puzzle pieces together. Hespeculated in a blogpost that it was designed to sabotage Iran's nuclear program andelaboratedon that theory at an industry conference in the U.S. shortlythereafter. The daring theory thrust Langner into the internationallimelight and soon he was all over stories in the mainstreamnewspapers and magazines and giving a talkat the esteemed TED conference.

Hesat down with CNET late last week while in San Francisco to give atalk at the University of California at San Francisco and discussedwhy he thinks the who-done-it is less important than the threat ofcopycat attacks and other matters of international interest.

Đội của Langner đãtiến hành thuật nghịch đảo với mã nguồn, xem xét kỹnó từ quan điểm của kiểm soát công nghiệp và đã bắtđầu đưa ra những mẩu giả thiết cùng nhau. Ông đã đưara hồ nghi của mình trên một bài trên blog rằng nó đãđược thiết kế để phá hoại chương trình hạt nhâncủa Iran và đã rất công phu chỉ ra điều lý thuyết đótại một hội nghị công nghiệp tại Mỹ ngay sau đó. Lýthuyết dám làm của Langner đẩy Langner vào trong ánh sángsân khấu quốc tế và ông sớm trở thành mọi câu chuyệntrong các báo và tạp chí dòng chính thống và đi nóichuyện tại hội nghị của TED.

Ông đã ngồi vớiCNET cuối tuần trước khi tới San Francisco để nói chuyệntại Đại học California ở San Francisco và đã tranh luậnvì sao ông nghĩ việc ai đã làm ra nó là ít quan trọnghơn mối đe dọa của các cuộc tấn công bắt chước nóvà các vấn đề quan tâm có tính quốc tế khác.

Hỏi:Thế ông đã làm tung lên vào năm ngoái với nghiên cứucủa ông về Stuxnet, ông là người đầu tiên nhận thứcđược mối liên quan giữa Stuxnet và Iran à?

Langner: Vâng, tôi đãlà người đầu tiên tiến hành mối kết nối này. Tôilà người đầu tiên đã nói điều này phải nhằm vàochương trình hạt nhân của Iran. Và hóa ra là nó thực sựđúng như vậy. Điều đó là điểm bước ngoặt khi màStuxnet đã trở nên nóng. Hầu hết các phương tiệntruyền thông đã nghĩ đây là một vụ không lớn. Điềunày đã thay đổi khá nhiều khi tôi đã đi tới đượclý thuyết về cái đích, rằng điều này là về việclàm chậm lại chương trình hạt nhân của Iran và cácphương tiện truyền thông đã trở nên điện cuồng vìnó.

Thếông cảm thấy thế nào về điều đó?

Langner:Không may, hầu hết các phương tiện truyền thông ngàynay vẫn còn tập trung chỉ vào một câu hỏi. Câu hỏi vềviệc ai đã làm ra nó? Hoàn toàn thành thực mà nói, đâylà một trong những câu hỏi mà nó làm phiền tôi ítnhất, đặc biệt trong những giai đoạn đầu của việcphân tích Stuxnet thì thứ chính yếu từng là để hiểuđây thực sự là cái gì. Và điều quan trọng nhất thứnhì từng là để hiểu liệu điều này còn có thể làmột mối đe dọa chống lại các thiết lập cài đặtkhác hay không, hạ tầng sống còn của nước Mỹ. Đángtiếc, câu trả lời là có vì nó có thể được sao chépmột cách dễ dàng. Điều đó là quan trọng hơn so vớicâu hỏi về ai đã làm ra nó. Các phương tiện truyềnthông đã luôn khăng khăng, và tôi đã cố gắng nỗ lựcvới đội của tôi để phát triển các lý thuyết vềcác lực lượng đứng đằng sau Stuxnet, và chúng tôi đãkết luận rằng Mỹ là lực lượng cầm đầu đằng sausự phát triển Stuxnet. Họ đã không làm ra nó chỉ mộtmình; họ đã có sự trợ giúp từ các quốc gia. Nhưng rõràng công việc này là của Mỹ.

Q:So, you made quite a splash last year with your research on Stuxnet.You were the first one to realize the link between Stuxnet and Iran?

Langner:Yes, I was the first one to make that connection. I was the first onewho said this must be targeting the Iranian nuclear program. And asit turned out it actually did. That was the turning point whenStuxnet got hot. Most of media was thinking it's not a big deal. Thispretty much changed when I came up with the target theory, that thiswas about delaying the Iranian nuclear program and the media wentcrazy.

Howdo you feel about that?

Langner:Unfortunately, most of the media still today focuses on one singlequestion. The question of who did it? To be absolutely honest, thisis one of questions that bothers me the least, especially in theearly stages of Stuxnet analysis the main thing was to understandwhat this really is. And the second most important thing was tounderstand could this also be a threat against other installations,U.S. critical infrastructure. Unfortunately, the answer is yesbecause it can be copied easily. That's more important than questionof who did it. The media was persistent, and I took some efforts withmy team to develop the theories of forces behind Stuxnet, and weconcluded that the U.S. is the leading force behind Stuxnetdevelopment. They didn't do it on their own; they had help f-romnation states. But it's clearly the work of the U.S.

Nhưngông nói vấn đề quan trọng nhất là việc nó có thể bịsao chép, đúng không?

Langner: Vấn đề lớnhơn mà chúng ta có là rủi ro của các cuộc tấn công saochép bắt chước và cá nhân tôi cam đoan rằng chúng ta sẽthấy các cuộc tấn công sao chép bắt chước đó. Khôngchỉ chống lại các mục tiêu tại Trung Đông, mà cònchống lại các mục tiêu tại Mỹ và châu Âu. Từ quanđiểm của an ninh công nghệ thông tin, hãy tưởng tượngchúng ta đang không nói về Stuxnet mà nói về cuộc tấncông từ chối dịch vụ phân tán lúc mới ban đầu màchúng ta đã nhìn thấy. Nó có thể hoàn toàn ngây ngô đểgiả thiết rằng chẳng có gì có thể tới sau cả. Cáccuộc tấn công khác đã được sao chép. Không có lý dogì điều này sẽ không xảy ra với Stuxnet, đặc biệt đểđáp trả sự chú ý của các phương tiện truyền thôngmà nó có và các khía cạnh chiến tranh không gian mạngcủa nó. Liệu sẽ có bao nhiêu thứ quái dị nảy sinh nơimà ai đó trong những giấc mơ ẩm ướt của họ khôngthể tưởng tượng được bất kỳ thứ gì tốt hơn làlàm thứ gì đó tương tự chống lại, ví dụ như, nhàmáy điện của Mỹ? Tôi nghĩ đó là một thực tế màchúng ta phải đối mặt.

Nhưngnếu điều này được viết đặc biệt để nhằm vàomột dạng phần mềm cụ thể nào đó chạy trong một cơsở của Iran, thì liệu nó có truyền sang cho các nhà máycủa Mỹ được hay không?

Langner: Hầu hết mọingười nghĩ điều này là để tấn công một nhà máy làmgiàu uranium và nếu tôi không vận hành nó thì tôi sẽkhông có rủi ro nào. Điều này là hoàn toàn sai. Cuộctấn công được thực hiện trên các trình kiểm soát củaSiemens và chúng là các sản phẩm mục đích chung. Vì thếbạn sẽ thấy các sản phẩm y như vậy trong một nhà máyđiện, thậm chí trong các thang máy. Chỉ khả năng đểtiêm mã lừa đảo vào một trình kiểm soát như vậy đãlà vấn đề vô cùng lớn đối với chúng ta rồi. Nếumột kẻ tấn công chỉ sao chép cái cách mà Stuxnet đãlàm, thì điều này là chiếc vé vào cửa của bạn đểlàm bẩn các trình kiểm soát rồi. Hơn nữa, nhiều ngườinghĩ rằng một cuộc tấn công như thế này có thể đòihỏi một số lượng cực kỳ lớn khả năng tri thức vàcông nghệ của người tay trong. Điều này có thể làđúng nếu bạn đang nói về một kịch bản rất y hệt,mà hoàn toàn không chắc có xảy ra trong tương lai haykhông.

Butyou say the more important issue is that it could be copied, right?

Langner:The bigger problem is we have is the risk of copy cat attacks and Ipersonally take it for granted that we will see copy cat attacks. Notagainst targets in the Middle East but against targets in the U.S.and Europe. F-rom an IT security perspective, imagine we're nottalking about Stuxnet but about the very first distributeddenial-of-service attack we've seen. It would be completely naive toassume that nothing would follow. Other attacks have been copied.There is no reason this should not happen with Stuxnet, especially inresponse to the media attention it got and the cyberwar aspects ofit. How many freaks are out there who in their wet dreams can'timagine anything better than doing something similar against, forexample, a U.S. power plant? I think that's a reality we must face.

Butif this was written specifically to target a certain type of softwarerunning in an Iranian facility, would it necessarily translate toU.S. Plants?

Langner:Most people think this was to attack a uranium enrichment plant andif I don't operate that I'm not at risk. This is completely wrong.The attack is executed on Siemens controllers and they are generalpurpose products. So you will find the same products in a powerplant, even in elevators. Just the ability to inject rogue code onsuch a controller is a very big problem for us. If an attacker justcopies the way it's done in Stuxnet, this is your entry ticket tomessing with controllers. Also, many people think that an attack likethis would require an extreme amount of insider knowledge andtechnological capability. This would only be true if you are talkingabout a very similar scenario, which is quite unlikely to happen inthe near future.

Vấn đề lớn hơn làbạn có thể dễ dàng tưởng tượng các kịch bản khácmà chúng có các mục tiêu khác và được thực hiện cósử dụng các chiến lược khác. Ví dụ, tôi có thể phântích mã nguồn của cuộc tấn công trong Stuxnet và bỏ quanhững thứ mà là đặc chủng cho việc thâm nhập tráiphép vào các rô to (phần quay) của các máy li tâm. Nếumục tiêu của tôi là một nhà máy điện, thì tôi có thểkhông quan tâm trong các thủ tục nhắm mục tiêu đặc thùcủa Stuxnet. Có quá nhiều thủ tục khác trong mã nguồncủa cuộc tấn công mà chúng sẽ không là nhắm mục tiêuđặc thù nào cả. Hãy nhớ, phần nhỏ giọt của nó đãsử dụng 4 chỗ bị tổn thương ngày số 0, các chứngchỉ số (giả mạo), chức năng điểm - điểm, tất cảlà không phải nhắm mục tiêu cụ thể nào cả. Vì thếbạn có thể sử dụng các kỹ thuật tấn công tương tựchống lại các mục tiêu hoàn toàn khác nhau. Y hệt nhưvạy áp dụng cho mã nguồn các cuộc tấn công mà đi tớicác trình kiểm soát. Chúng tôi cũng đã thấy những phầncủa hoặc các thủ tục phụ của cuộc tấn công màchúng sẽ không là nhắm đích cụ thể nào cả, chúng làchung, bắt đầu với khả năng để châm mã nguồn giảmạo vào trình kiểm soát. Điều này là hoàn toàn rủi romà chúng ta đang đối mặt. Chúng ta thấy các thủ tụcphụ khác trong các đầu đạn số mà chúng cũng hoàn toànkhông phải là nhắm mục tiêu đặc thù nào cả.

Thebigger problem is you can easily imagine other scenarios that haveother goals and are executed using other strategies. For example, Ican analyze the attack code in Stuxnet and ignore the stuff that isspecific for cracking the centrifuge rotors. If my target is a powerplant, I would not be interested in the target-specific routines inStuxnet. There are so many other routines in the attack code thataren't target specific at all. Remember, the d-ropper part of it usedfour zero-day vulnerabilities, the (fraudulent) digital certificates,the peer-to-peer functionality, all are not target specific. So youcould use similar attack techniques against completely differenttargets. The same applies to the attack code that goes on thecontrollers. There we also find parts of or sub routines of theattack that aren't target specific at all, that are generic, startingwith the ability to inject rogue code on the controller. This isquite a risk we are facing. We see other sub routines in the digitalwarheads that also are not at all target specific.

Ôngcó nghĩ các quan chức chính phủ trên thế giới thực sựhiểu được mối đe dọa này?

Langner:Tôi không nghĩ thế. Chính phủ Mỹ đang tiếp cận vấnđề này nghiêm túc. Đó là một thực tế được biếttới. Chính phủ Mỹ đã quan tâm về bảo vệ hạ tầngtừ hơn chục năm nay. Vấn đề tôi thấy là cho tới naynhững nỗ lực mà đã được tiến hành là những nỗlực khá tốt nhất mà chúng từng là không có chủ ý.Nhiều người đã làm nhiều thứ tốt lành, nhưng khôngmay lại không có khả năng để đo đếm tính hiệu quảcủa các biện pháp đó vì chúng ta đã không có nhữngcuộc tấn công trong hồ sơ. Bây giờ với Stuxnett, điềunày đã thay đổi. Đây là lần đầu tiên một cuộc tấncông không gian mạng duy nhất chống lại những thiết lậpcài đặt các hệ thống kiểm soát. Đối với tất cảchúng ta trong cộng đồng an ninh, thì điều cần thiếtphải đánh giá liệu những nỗ lực của chúng ta màchúng ta đã thực hiện trong thập kỷ qua có thực sự làthông minh và có thể thực sự bảo vệ được chúng tachống lại những mối đe dọa đó được không, và câutrả lời đơn giản là không. Đừng có hiểu nhầmtôi, không ai bị lên án ở đây cả. Với tất cả nhữngnỗ lực trước thời Stuxnet thì chúng ta đã không thểđo đếm được chúng chống lại thực tế. Bây giờ,cuộc tấn công dấu hiệu đầu tiên tới và chúng ta cókhả năng để thấy rằng những nỗ lực của chúng tatrong nhiều cách đã bị lầm lạc. Những kẻ tấn côngđã có khả năng trượt qua sự khôn ngoan ước địnhđang tồn tại. Chúng ta đã không có kinh nghiệm để học.Điều này đã thay đổi sau khi có Stuxnet.

Doyou think government officials around the world truly understand thethreat?

Langner:I don't think so. The U.S. government is taking the problem serious.That's a known fact. The U.S. government has cared aboutinfrastructure protect for more than decade. The problem I see isthat so far the efforts that had been taken have been pretty muchbest efforts that were unguided. Many people did a lot of goodthings, but unfortunately without being able to measure theeffectiveness of these measures because we didn't have attacks on therecord. Now with Stuxnet, this has changed. This was the first singlecyber strike against control system installations. For all of us inthe security community, it was necessary to assess if our efforts wehad taken over the last decade were really intelligent and wouldreally protect us against these threats, and the simple answer is no.Don't get me wrong, there is nobody to blame here. With all theefforts before Stuxnet we weren't able to measure them againstreality. Now, the first sign strike comes up and we are able to seethat our efforts were in many ways misguided. The attackers were ableto slice through existing conventional wisdom. We had no learningexperience. This changed after Stuxnet.

Thế,ông có nghĩa là chính phủ Mỹ hợp tác với Israel pháttriển Stuxnet hay không?

Langner: Chắc chắn,tooii có thể giả thiết có một sự hợp tác. Hãy nhìnlại lịch sử. Chúng ta biết Israel đã tiến hành một sốnỗ lực để can thiệp vào chương trình hạt nhân củaIran, như việc phá hoại theo cách truyền thống. Nhưng Mỹđã không có tất cả các thông tin đã được yêu cầuđể triển khai cuộc tấn công này, khi nó liên quan tớiviệc tình báo về nhà máy đó. Chúng tôi rõ ràng thấytrong mã nguồn của cuộc tấn công đã có đầy đủ trithức về các chi tiết kỹ thuật mà chúng phải đượcxem là những bí mật hàng đầu. Điều mà theo cách nàođó là buồn cười vì bây giờ chúng ta, và cả Symantec,biết, nhiều hơn, theo cách, về hạ tầng nhà máy Natanz(tại Iran) hơn cả các nhà điều tra của Cơ quan Nănglượng Nguyên tử Quốc tế IAEA biết. Và một manh mốikhác có liên quan tới Israel - nó đã rõ từ phân tích kỹthuật rằng những kẻ tấn công đã có một vấn đềnổi cộm trongn lĩnh vực về độ tin cậy. Họ từng viếtcác mã nguồn của các trình kiểm soát tinh vi phức tạpcao mà chúng đã không thể thử được bộ điều khiểntrong thiết lập cài đặt vì một số lý do. Nếu bạnđang mua một chương bộ điều khiển mà nó luôn đượckiểm thử bởi người sử dụng đầu cuối tại nơithiết lập cài đặt, và các kỹ sư thường cần phảithích nghi chương trình đó và tiến hành những thay đổiở những phút cuối. Rõ ràng, điều này không thể đượcthực hiện trong trường hợp của Stuxnet. Phải có cáccách thức để kiểm thử với thiết bị thực tế trướckhi nó được triển khai.

Cho là như vậy, nếubạn nhìn xem ai có chuyên môn về các máy li tâm như vậyngoài Iran, thì có 2 hướng. Hướng thứ nhất là tạiPhòng Thí nghiệm Quốc gia Oak Ridge của Mỹ và cái kháclà khu liên hợp Dimona của Israel. Có những máy li tâm từchương trình làm giàu uranium của Liby đã bị bỏ. Chúnglà y hệt các máy li tâm tại Iran vì chúng đi ngược vềcùng mô hình đó. Liby và Iran đã mua các thiết kế từnhà khoa học hạt nhân Pakistan là Abdul Qadeer Khan. Đó từnglà máy li tâm đầu tiên của Đức, được xây dựng vàonhững năm 1960. Khan đã quay về Pakistan với các thiếtkế, đã xây dựng chương trình làm giàu của Pakistan, vàsau đó đã bán thiết kế đó trên thị trường chợ đencho Liby và Iran. Liby đủ thông minh để tuân theo các yêucầu của Mỹ để hủy bỏ chương trình này. Một sốmáy li tâm mà đã được sử dụng tại Liby đã đi tớiOak Ridge và Israel.

Vì thế mã nguồn củacuộc tấn công được kiểm thử trong các máy li tâmkhông chỉ ở Oak Ridge, mà còn ở cả Israel. Và nếu bạndõi theo các xuất bản phẩm và ý kiến công khai tạiIsrael về tình hình hạt nhân của Iran trong vòng 3-4 nămqua, thì thứ gì đó kỳ lạ đã xuất hiện. Vào năm 2007và 2008, chủ đề này là vô cùng nóng bỏng. Vào năm2008, Israel thậm chí đã thực nghiệm một cuộc tấn côngbằng máy bay chống lại các cơ sở này, với hơn 100 máybay phản lực chiến đấu trên bầu trời. SAu đó thì chủđề này đã trở nên rất yên ắng. Rồi vào năm 2009,dường như là nó không còn là vấn đề gì nữa hết.Cùng lúc, Iran đã tiếp tục cài đặt ngày càng nhiềuhơn các máy li tâm. Điều đó đã không có ý nghĩa gìđối với tôi. Khi tôi thấy cuộc tấn công Stuxnet, thìđối với tôi nó cuối cùng đã có ý nghĩa.

So,do you think the U.S. government teamed up with Israel on Stuxnetdevelopment?

Langner:Definitely, I would assume there is a collaboration. Look back inhistory. We know Israel has taken some efforts to interfere withIran's nuclear program, such as conventional sabotage. But the U.S.did not have all the information that was required to carry out thisattack, when it comes to intelligence about the plant. We clearly seein the attack code that attackers had full insider knowledge abouttechnical details that must be considered top secret. Which in a wayis funny because now we, and Symantec, know more, in a way, about theNatanz plant structure (in Iran) than the International Energy Agencyinspectors know. And another clue that it is related to Israel--itwas clear f-rom the technical analysis that the attackers had anoutstanding problem in the area of reliability. They were writinghighly sophisticated controller code that they were unable to testdrive in the installation for some reasons. If you are purchasing acontroller program it is always tested by the end user at theinstallation, and usually engineers need to adapt the program andmake last minute changes. Obviously, this could not be done in thecase of Stuxnet. There must have been ways to test with realequipment before it was deployed.

Sogiven that, if you look at who is in the possession of suchcentrifuges besides Iran, there are two sites. One is in the [U.S.]Oak Ridge National Lab and the other is [Israel's] Dimona complex.There are centrifuges f-rom the dismantled Libyan uranium enrichmentprogram. They are identical to Iran in centrifuges because they goback to the same model. Libya and Iran bought blueprints f-romPakistani nuclear scientist Abdul Qadeer Khan. It was the firstGerman centrifuge, built in the 1960s. Khan went back to Pakistanwith the blueprints, built up the Pakistan enrichment program, andthen sold the design on the black market to Libya and Iran. Libya wassmart enough to follow U.S. requests to dismantle this program. Someof the centrifuges that used to be in Libya went to Oak Ridge andIsrael.

Sonot only was the attack code tested on centrifuges in Oak Ridge butalso in Israel. And if you follow the publications and public opinionin Israel on the Iranian nuke situation over last three or fouryears, something strange happened. In 2007 and 2008, the topic wasred hot. In 2008, Israel even practiced an air strike against thesefacilities, with over 100 fighter jets in the air. Then the topic gotvery, very quiet. So in 2009, it seemed that it was not an issue anymore. At the same time, Iran was continuing to install more and morecentrifuges. It didn't make sense to me. When I saw the Stuxnetattack, for me it finally made sense.

Ôngcó nghĩ là Siemens đã hợp tác với sự phát triển củaStuxnet hay không?

Langner: Đólà một câu hỏi thú vị. Hãy tha thứ cho tôi nếu tôikhông thể trả lời trực diện điều này vì tôi khôngmuốn kết thúc vào tuần sau trong phiền toái với phòngpháp lý của Siemens. Nếu bạn nhìn vào các thựctế, thì khá rõ là những kẻ tấn công đã có nhữngthông tin đáng kể của những người trong nội bộSiemens. Chỉ bằng việc nhìn vào mãnguồn của cuộc tấn công, bạn có thể suy luận ra điềunày vì nó có thể buộc một kẻ bên ngoài mất hàng nămtrời để phát hiện những chỗ bị tổn thương mà đãbị Stuxnet khai thác chỉ bằng kỹ thuật nghịch đảo.Khi tôi thấy điều này, theo cái cách làm tôi thấy kỳdị. Chúng ta đang nói về những chỗ bị tổn thương màchúng quá là ẩn mà nó có thể làm cho một chuyên gia độclập mất nhiều năm để chỉ ra. Hơn nữa, chúng ta đangnói về phần mềm phức tạp, phần dẻo phức tạp, vàcác cách thức để gây tổn thương cho một bộ điềukhiển mà là ở quá xa và quá có hiệu quả mà tôi cóthể không tin là họ có thể chỉ tìm ra bằng một ngườithông minh mà người này đã thử với bộ điều khiểnvà đã bập được qua nó. Điều đó chẳng có mấy ýnghĩa.

Vìthế tôi có xu hướng tin tưởng đã có sự truy cập tớicác bí mật kỹ thuật sở hữu độc quyền của Siemensvà sự truy cập tới các tài liệu phát triển. Nếutất cả điều này là đều không rõ hoàn toàn đối vớiSiemens, thì tôi không biết. Hơn nữa, Siemens đã khôngthật thuyết phục trong trả lời của họ về Stuxnet. Mộtđại diện báo chí của Siemens đã nói cho báo chí Đứcrằng hãng này có lẽ phải chờ đợi và xem Stuxnet đánhvào đâu trước khi có khả năng hiểu được điều nàylà về cái gì và cách mà nó làm việc. Nhưng thực tếthì đây là một cuộc tất công được định hướng cónghĩa là nó là Code Red. Điều có nghĩa là chúng tôi tìmra tốt hơn càng nhanh càng tốt những gì tất cả thứnày là gì. Chúng tôi đang làm việc về thời gian. Nó cóthể là một mối đe dọa đối với an ninh quốc gia củaMỹ. Chúng tôi chỉ không biết.

Doyou think Siemens cooperated with Stuxnet development?

Langner:That's an interesting question. Forgive me if I am unable to answerthis straight away because I don't want to end up next week introuble with Siemens' legal department. If you look at the facts, itis pretty clear that the attackers had substantial Siemens insiderinformation. Just by looking at the attack code, you can infer thisbecause it would take an outsider years to discover thevulnerabilities that were exploited by Stuxnet by just reverseengineering. When I saw this, in a way freaked me out. We're talkingvulnerabilities that are so hidden it would take an independentexpert years to figure out. Also, we're talking about complexsoftware, complex firmware, and ways to compromise a controller thatare so remote and yet so efficient that I can not believe they wouldhave been just found out by a smart guy who was experimenting withthe controller and stumbled over it. It doesn't make any sense.

SoI tend to believe there was access to Siemens proprietary technicalsecrets and access to development documentation. If this was allcompletely unknown to Siemens, I don't know. Also, Siemens wasn'tvery convincing in their response to Stuxnet. A Siemens press reptold the German press that the company would have to wait and seewhe-re Stuxnet strikes before being able to understand what it's aboutand how it works. But the fact that it was a directed attack means itwas Code Red. Which means we better find out as soon as possible whatit's all about. We were working around the clock. It could have beena threat to U.S. national security. We just didn't know.

Ôngnghĩ thế nào về mối liên hệ chính thức của Mỹ đốivới Stuxnet? Một số người đã kêu rằng điều đó làtối thiểu và không có bàn tay của họ.

Langner: Những giaotiếp chính thức của ICS-CERT và Siemens đã không tạo rađược ấn tượng rằng họ đang làm mọi thứ mà họ cóthể để chỉ ra Stuxnet là gì. Siemens đã hành xử quábuồn cười mà họ đã làm dấy lên sự nghi ngờ. Và tôiđã chỉ học được rằng một vài ngày trước mà [ai đótừ ICS-CERT đã được hỏi tại một hội nghị gần đâyhọ đã học được gì từ Stuxnet] và một cậu nói chođám đông 'chúng tôi đã học được nhiều'. Chấm hết.Thế nên điều gì có ở đây nhỉ? Nếu tôi có thể ởtrong khán thính phòng đó thì tôi có thể đã nói 'xin hãynói cho chúng tôi chính xác các bạn đã học được cáigì'. Họ đã không làm như thế. Chính phủ Mỹ đang khôngnói cho bạn về mối đe dọa từ những vụ bắt chướcđược tạo cảm hứng từ Stuxnet. Đây là một mối đedọa thực sự chống lại những thiết lập cài đặt hệthống kiểm soát của chúng ta, mà nó mở rộng sang khuvực tư nhân sâu trong hạ tầng sống còn.

Whatdo you think about the official U.S. reaction to Stuxnet? Some peoplecomplained that it was minimal and hands off.

Langner:The official ICS-CERT communications and Siemens didn't cre-ate theimpression that they are doing everything they can to figure out whatStuxnet was. Siemens behaved so funny they raised suspicion. And Ijust learned that a couple of days ago that [someone f-rom ICS-CERTwas asked at a recent conference what they learned f-rom Stuxnet] andthe guy tells the crowd 'we learned a lot.' Period. So what's thepoint here? If I would have been in the audience I would have said'please tell us exactly what you learned.' They just don't do it. TheU.S. government is not telling you about the threat f-rom Stuxnetinspired copycats. This is a real threat against our control systeminstallations, which extend f-rom private sector into deep criticalinfrastructure.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com