独家连载 | 零日漏洞:震网病毒全揭秘(28)
作者:星期二, 十月 20, 20150

640.webp

有些运营者觉得他们的系统是安全的,只是因为他们自己不具备非授权进入控制系统的能力,但是黑客可不会拘泥于一般的技术手段……

第九章 工控系统失控(接上)

在4个泵站的报警系统失效后,警方终于发现了蛛丝马迹。警察在博登的汽车里找到一台装有猎手公司专用软件的笔记本电脑,还有一台使用特定非公开频段的无线电台。而这个频段,正是本供水管理区用于向泵站发送指令所用的。同时发现的,还有一个用于发送攻击指令的RTU。证据确凿,4月的一个晚上,警方逮捕了博登。

博登事件,是有史以来第一起对外公开报道的“关键基础设施网络攻击”。可以想见,类似事情之前肯定有过,只是公众没发现或不知情罢了。作为马卢奇事件的结果,在其他公共事业单位上班的工人们纷纷表态,他们绝不会做出像博登在马卢奇所做的事情来。至此尘埃落定。

这个事件本应向全球工业控制系统运营者敲响警钟,但是,由于考虑到攻击者是一个对马卢奇郡供水控制系统了如指掌、又能亲自接触相关设备的内部人,很多人都觉得,这件事对自己没什么借鉴价值。他们声称,外部人员根本不可能干得了博登这种勾当。而实际上,马卢奇郡供水控制系统已经暴露出一系列安全问题,外部人员也有机会利用这些漏洞发起类似攻击。一位名叫彼得•金斯利(Peter Kingsley)的事故调查员后来在一场控制系统研讨会上,向与会者明确表示,虽然马卢奇郡事件中,攻击发自内部,但并不能因此判断外部攻击不可行。“有些运营者觉得他们的系统是安全的,只是因为他们自己不具备非授权进入控制系统的能力,”他说,“但是黑客可不会拘泥于一般的技术手段。”

金斯利的这番话在2002年听起来有点搞笑,因为那时候没有什么迹象表明外部人员会对攻击关键基础设施的控制系统感兴趣。在令人印象深刻的大型灾难发生之前,单靠呼吁,恐怕难以唤起大多数人对控制系统安全问题的关注。

就在此时,乔•韦斯(Joe Weiss)挺身而出,开始扮演控制系统安全“传教士”的角色。

640.webp (1)

乔•韦斯

韦斯是一个64岁的精干长着,在位于硅谷中心的加州库比蒂诺居住和工作,经常对灾难性的场景进行思考、研究。他家离著名的圣安德烈亚斯断层和建造于70年前的史蒂文斯溪大坝只有5英里远。1989年,这里发生了里氏7.0级的洛马普列塔大地震,彼时,烟囱倒塌,街灯和电话系统被破坏,震波还把附近迪安萨学院游泳池中的水球队员弹了出去。落在人行道路上的水球队员们莫名惊诧,就像一只只搁浅的海豹。

韦斯早在1999年就开始意识到控制系统安全的问题。当“千年虫”爆发的时候,他作为一名专业核能工程师,正在电力研究院工作。坊间流行着这样的“末日预言”:因为大多数程序中的“年”字段或变量只有2位,在2000年来临时没办法显示出3个0,所以,当除夕夜的新年钟声敲响的那一刻,所有程序都将崩溃,灾难随之降临。韦斯开始思考,如果像日期变更这样普通的事情都能造成控制系统瘫痪,那么出现更严重的问题会怎么样?更重要的是,如果千年虫都会造成巨大的影响,那么来自黑客的恶意攻击会造成什么呢?

在那个年代,世界各地有很多以通用计算机安全为主题的研讨会,却几乎无人关注控制系统安全。于是,韦斯开始四处参会,看控制系统业界到底该采用怎样的安全准则。但参会越多,担忧越重。网管们全都在谈论,如何用加密技术和身份验证来防止非授权用户登录通用计算机系统,而韦斯却意识到,控制系统在网络安全方面完全是不设防的。当计算机安全业者问他“电厂的控制系统装了什么品牌的防火墙,多长时间会检查一下系统日志、以查看入侵痕迹”时,他只能不好意思的说,“没装防火墙,也没有系统日志。”而他转过头来,询问控制系统生产商关于产品安全的问题时,得到的却只有茫然困惑的眼神。他们说,从来没人问过他们这个问题。

2001年9月,两架飞机撞击了纽约的双子塔。没过多久,官方发现了一种针对加州政府网站的可疑搜索行为模式。搜索者的目标是旧金山地区内、用于管理基础设施或政府办公室的数字系统。这些疑似源于沙特阿拉伯、印度尼西亚和巴基斯坦等国IP的搜索行为,对应急电话系统、发电厂、供水厂和天然气设施具有特殊的兴趣。另一些搜索行为则聚焦于用于控制消防调度系统和管道的计算机程序。

2002年,美军在喀布尔的一间基地组织办公室中查获了一台计算机,并在上面发现了一个工程软件,其中有对水坝的建模,还有令其停止运转的模拟程序。同年,中情局发布的《情报备忘录》中指出,基地组织对发动网络攻击“非常感兴趣”,并已开始认真考虑雇佣黑客。

多种迹象表明,还有其他人也对美国的关键基础设施很感兴趣。加州电力调度中心(Cal-ISO)是一家负责管控加州大部分电力传输的非营利性公司。2001年,黑客闯入了这家公司两台无任何防护措施的服务器,直到两周后有工人报告机器故障时才被发现。公司官员坚称,攻击并未对电网造成实质影响,但有未具名人士向《旧金山时报》透露,在黑客想要深入能引起严重电力供应问题的“核心部分”时,公司才发现他的踪迹。有人称,这次攻击近乎“灾难性事故”。

随着时间的推移,各界对关键基础设施安全状况、特别是对国家电网安全状况的担忧与日俱增。作为回应,能源部于2003年在爱达荷国家实验室(INL)推出了“国家SCADA测试平台”项目。该项目的目标是与控制系统生产商合作,评估其产品中的安全漏洞。正是由于这个项目的出现,才有了后来的“极光发电机实验”。

美国共有2800个发电厂和30万处石油、天然气生产基地。此外还有超过包括水库、水坝、水井、水净化厂、泵站和管道在内的17万处公共水利设施。但是,全国关键基础设施的85%都由私营机构所有,这意味着,除了核电站等少数国营企业之外,政府没有办法强制其他公司为其辖内控制系统增加安防措施。不过,政府至少可以劝导控制系统的生产商改善控制系统的安全性能。在“测试台”项目中,只要供应商同意修复实验室发现的漏洞,政府就会为供应商实施免费测试。

几乎同时,国土安全部推出了一个“场站评估”项目,指派旗下的“工业控制系统网络应急响应团队”(ICS-CERT)对关键基础设施的安全配置和设备内网进行评估。在2002至2009年间,这个团队对石油天然气、化工、水利等多个行业的100多个场站进行了评估,发现了超过38000个漏洞。这些漏洞包括:与互联网之间有直接连接,用户无法修改的默认出厂密码及硬编码密码(如西门子公司PLC),过期的软件补丁,缺少防火墙和入侵检测系统之类的标准防护措施等。

然而,尽管上述两个项目的研究人员工作非常勤奋,他们还是不得不跟工业界沿袭了数十年的积习和惰性做斗争。比如,政府可以很快发现漏洞,有些供应商却需要花几个月甚至几年时间才打上补丁。再如,关键基础设施的业主们只愿意在控制系统和网络的安全防护上花点小钱、做做样子,而不愿意大动干戈。

在INL做“测试台”项目联络官的韦斯,实在是受够了他们这种拖沓的调调,亲自发起并召开了一场旨在提高关键基础设施运营者“控制系统安全风险意识”的研讨会。2004年,他采用的是“恐吓战术”——通过展示远程攻击,告诉他们攻击者可以干什么。黑客的角色由INL的研究员杰森•劳尔森(Jason Larsen)扮演。他演示的内容是,从新墨西哥州的桑迪亚国家实验室,对爱达荷州瀑布市的一个变电站发起攻击。利用服务器软件中的一个最近发现的漏洞(目标显然没打补丁),劳尔森穿越了多层防火墙,对控制变电站的PLC实施了攻击,并释出载荷。演示中的攻击场景共分三幕。攻击的第一幕是对断路器进行开、关操作,第二幕是在瞬间同时打开所有断路器,第三幕是同时打开所有断路器、并操控代码,使操作人员的屏幕上显示“所有断路器处于闭合状态”。

“我把它称为‘吓尿’演示,”韦斯得意的说,“这场演示之成功,可以说是现象级的。”

之后的几年中,韦斯就这样一次又一次的重复着他的“吓尿”演示,每一次都会邀请不同的安全专家演示不同类型的攻击。这些演示唯一的问题在于,他们太超前了。每次研讨会结束后,都会有一些工程师冒出一些改进控制系统网络安全性的好点子,但当他们向管理层汇报时,却往往会遭遇挫折。因为,重新构造系统或提升系统安全性的花费实在太高了。管理层的想法是,既然竞争对手都没做这件事,也没人真的发动攻击,那我干嘛花钱吃这个螃蟹呢?

令人无语的是,韦斯和测试实验室未能毕其功于10年的事业,震网几个月就搞定了。这个数字武器长久的吸引着公众的眼球,让人们第一次充分意识到,工业控制系统中存在的漏洞是致命的!同时,PLC、RTU等长久以来不为人所知的关键控制设备突然间跃上舞台中央,吸引了大量研究人员和黑客的注意,也让控制系统供应商和作为用户的关键基础设施业主们不得不挥鞭跟上。(待续)

译者:李云凡

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章