直到2000年,第一起公开报道的、针对自动控制系统的黑客攻击事例终于出现:一位澳大利亚水处理厂的前员工用黑客手段破坏了水泵……
第九章 工控系统失控(接上)
可编程逻辑控制器(PLC)出现于20世纪60年代,当时计算机黑客和病毒还只是科幻小说中的想象。它们的功能,是替换工厂中那些由继电器等硬件电路构成的“流水线控制系统”。对于这些硬件控制系统,调整控制逻辑的唯一途径,就是找个电工去重新布线。PLC出现后,要更新控制系统,只需让操作人员进入流水线,找到PLC控制台,用装有新代码的磁带盒换掉旧磁带盒即可。虽然更新过程仍须手工干预,但毕竟实现了编码与操作的分离。PLC技术人员的工作大大简化,只是编写、调试几百行代码。
90年代,数字控制系统得到广泛应用,工厂运营者要求PLC供应商向其提供“通过调制解调器拨号,远程登录控制系统”的功能。从那时起,各种黑客陆续出现。但由于控制系统所在网络与外界物理隔离、使用特定通信协议、专用软件无法与其他程序和系统兼容,多数运营者对系统的安全性毫不在意。他们认为:黑客根本无法接入系统中的任何一台计算机并与与之通信。就算找到一台能够与控制系统通信的计算机,也没几个人能搞清楚控制系统的工作原理,更别说实施操纵和破坏了。
然而,到了90年代末,形势开始生变。美国国会通过了环境法案,要求工厂对排放物进行监视和控制,联邦能源管理委员会也开始使用数字传输系统来监控电力的输出与分配。突然之间,公司的合规事务主管和高层们产生了“访问控制系统、获取其中数据”的强烈需求,而一直以来,这些系统只有工厂一线的运营者才能访问。就这样,那些少人用、少人懂的控制系统专用软件逐渐被淘汰,取而代之的是运行在Windows、Linux商用操作系统上的新一代控制系统软件。这一改变,让公司内网中其他计算机可以更加便捷的连接控制系统、并与其通信。然而,切换到Windows平台意味着,控制系统引入了与PC相同的脆弱性,即将面对与PC相同的病毒和蠕虫。同时,由于系统与因特网的连接更加紧密,运营者通过拨号实现远程控制的行为更加频繁,被黑客发起远程攻击的风险也大大增加。
1997年3月,一位名叫Jester的少年黑客上演了一出好戏,可借此窥斑见豹。他用普通的猫拨号进入了贝尔大西洋公司的计算机内网,攻击了用于向伍斯特机场航运控制塔和附近某镇600余户居民提供电话和无线通信业务的系统。机场安全部门和消防部门的电话因此中断了6个小时,同时中断的还有飞行员用来激活机场跑道指示灯的某个控制系统。在这6个小时中,航管人员只好用手机和装有干电池的无线电台指挥飞机起降。谢天谢地,没有出事。航管经理事后对CNN说:“那天我们是死里逃生。”
同年,马什委员会发布了一个报告,对关键基础设施面对物理攻击和数字攻击时的脆弱性进行了深入分析。1995年,提摩太·麦克维(Timothy McVeigh)在俄克拉荷马城政府大楼制造了一起大爆炸,马什委员会负责了此次事故的调查,并获得了过程中大量关键数据和通信活动资料。调查结束后,他们对将石油、天然气和电力等关键系统接入因特网,而造成的不断增加的风险提出了警告。“造成重大危害的能力…正在以惊人的速度增长,而我们却没有任何防范。”他们在报告中写道,通过网络向发电厂控制系统计算机发送命令的方式“所蕴含的风险就像是背着一个装满炸弹的双肩包……我们应该在灾难发生前,就把这些关键基础设施安顿好,而不是等到灾难发生之后。消极等待是不负责任的行为。”
同年的第二份报告,来自白宫国家安全电信咨询委员会。这份报告警告说,国家电网及其输送设施“漏洞百出”,十分脆弱。“电网入侵者……可以通过拨号方式接入未受任何防护的端口,并对断路器进行重置,使通过断路器的电流强度超过其可承受的范围。”一位在10年后参加“极光发电机实验”的调查者如是写道,“通过这种攻击方式,可能对变电站的部分设备造成物理损毁。”
虽然出现了这些警告,但没有迹象表明会有人真的想要发动类似攻击。直到2000年,第一起公开报道的、针对自动控制系统的黑客攻击事例终于出现:一位澳大利亚水处理厂的前员工用黑客手段破坏了水泵。
马卢奇郡位于澳大利亚昆士兰州的阳光海岸,那里有繁茂葱郁的雨林、崎岖陡峭的火山峰、碧蓝洁净的海水和雪白松软的沙滩,风景美到能印上明信片。但在2000年初,美丽的马卢奇郡惨遭毁容,在长达4个月的时间中,一场黑客攻击造成超过75万加仑未经处理的脏水从无数井口中溢出,公共水道中污水横流。
一开始,有人发现凯悦丽晶酒店PGA(北美职业高球协会)高尔夫球场的一个澙湖中,有污水从井口向外涌出。但每次工人刚一把它清理干净,又会有污水涌出来。最严重的情形出现在马卢奇河沿岸的太平洋天堂(Pacific Paradise,阳光海岸城郊地名)。数万加仑的污水流进了潮汐运河,对住在运河附近孩子的健康造成了巨大的威胁。污水还流进了马卢奇河,造成了大量鱼类和海洋生物的死亡。
问题始于1999年底,当时马卢奇河的水净化厂中刚刚安装了一个新的数字化管理系统。水净化厂与猎手水利科技(Hunter WaterTech)公司签了合同,由后者负责系统的安装。向水净化厂引流污水的泵站是其中的一个关键环节,当完成对泵站的配置后,整个系统的部署就算到位了。但就在此时,事情出现了令人难以理解的变化。水泵完全不按操作指令工作,该停的时候转,该转的时候停。用于向各个泵站发送指令的双工无线电通信网络遭遇流量阻塞,操作人员无法与泵站通信。事已至此,理应向公众发出警报,但相关人员却置若罔顾。
水泵由两台中心计算机控制,使用的是猎手水利科技公司的专用软件,通过双工无线电信号与装在每个泵站上的远程终端模块进行通信。信号可以从计算机传输至RTU(类似PLC的控制单元),并利用工作在非公开频段上的无线中继站,在RTU之间传输。只有能接触到这两台计算机或中继站、会使用猎手公司专用软件及理解通信协议的人,才能向泵站发送命令。猎手公司起初怀疑,攻击可能是有人从外部发起的,但是,厂里根本没有用于侦测非法操作行为的入侵检测系统或日志系统。而且,就算装了入侵检测系统,也没办法侦测到对RTU的攻击。
攻击断断续续的持续了几周,在3月的一个夜晚达到了顶峰,当天就酿成了几十起事故。调查人员最终断定,这一定是某个内鬼干的,因为只有在操作区内向泵站发送无线信号才会产生这样的效果。他们锁定了一个名叫维泰克•博登(Vitek Boden)的前水利工程师。他时年49,一直在猎手公司工作,直到去年12月合同到期。(据信,他因未能续约对公司耿耿于怀。)而不正常的状况正是从这个时点开始出现的。之后,博登想在这个供水管理区再找一份全职工作,但又遭到了拒绝。这个时候是2000年1月,正好也是事故集中爆发的时点。(待续)
译者:李云凡
