我們的工業(yè)安全究竟有多脆弱?
2015年冬天,烏克蘭西部突然陷入黑暗,某州一半的人口失去電力供應(yīng)。自從爆發(fā)局部沖突以后,停電已經(jīng)是烏克蘭人民最常見的“娛樂形式”,但這次卻和以往有所不同:幽靈般的黑客潛入了電力供應(yīng)系統(tǒng),在千里之外切斷了電網(wǎng)。
黑客進(jìn)攻工業(yè)網(wǎng)絡(luò),這個可怕的夢魘終于撲向了現(xiàn)實(shí)。許多國家都三觀顛覆,膽戰(zhàn)心驚。他們要搞清的第一件事就是:這樣的攻擊究竟是怎么成功的?
一個excel引發(fā)的血案
美國網(wǎng)絡(luò)情報(bào)公司 iSight Partners 最先拿到了攻擊程序樣本,并且從各種渠道流傳出來。王得金拿到樣本的時候,是事件發(fā)生的十天以后。王得金是一名工控安全專家,安全公司知道創(chuàng)宇旗下404實(shí)驗(yàn)室成員,他為雷鋒網(wǎng)詳解了這個攻擊工具的奧秘。
造成了一百萬人斷電的元兇,是一個看上很普通的excel文件。然而你一旦打開它,就會親手把魔鬼從瓶中放出來。它會悄無聲息地釋放一個下載器,前臺風(fēng)平浪靜,后臺卻在暗流奔涌——全速下載一套兇殘的攻擊程序。
【excel攻擊文件截圖 提示“由新版本 Office 創(chuàng)建,需要加載宏才可以查看”(截圖由微步在線提供)】
這個攻擊程序就是臭名昭著的“暗黑能源”——專為破壞工業(yè)控制系統(tǒng)量身定制的武器。有證據(jù)表明俄羅斯人曾經(jīng)使用這個工具攻擊過北約、波蘭和烏克蘭。
王得金發(fā)現(xiàn):為了逃脫查殺,有人在攻擊前一個多月對它進(jìn)行了最新的變種編譯。這一版的“暗黑能源”中整合了數(shù)十個強(qiáng)大的木馬和病毒,其中包括“殺盤”(Killdisk)——一個可以刪除電腦中所有數(shù)據(jù)和引導(dǎo)信息的病毒。
這些木馬病毒侵入了核心輸電系統(tǒng),合力切斷了電網(wǎng)。并且由于磁盤全部被破壞,系統(tǒng)根本無法重啟,以至于電網(wǎng)用了3-6小時才得以恢復(fù)運(yùn)轉(zhuǎn)。
有證據(jù)顯示,黑客還同時攻擊了烏克蘭多個電網(wǎng)節(jié)點(diǎn),但是并沒有達(dá)到預(yù)期目標(biāo)。也就是說,他們原本的計(jì)劃,比實(shí)際呈現(xiàn)出來的效果還要兇殘。更可怕的是:直到現(xiàn)在都沒有人可以判斷,究竟是什么組織進(jìn)行了這次攻擊。也就是說,黑客造成了如此巨大的破壞之后,居然還可以全身而退。
那么問題來了:如此可怕的攻擊,是否會發(fā)生在中國呢?
如果工業(yè)系統(tǒng)被黑,會發(fā)生什么?
有基本操守的國家都會對電力、能源等重要網(wǎng)絡(luò)實(shí)行物理隔離。這些網(wǎng)絡(luò)根本不會和互聯(lián)網(wǎng)連通,僅僅通過遠(yuǎn)程滲透是無法進(jìn)入的。然而事實(shí)證明,這并不妨礙美國黑客用“震網(wǎng)”病毒干掉了伊朗的核電站,也沒有阻擋來路不明的組織撂倒烏克蘭電網(wǎng)。
【時任伊朗總統(tǒng)內(nèi)賈德視察核電站,紅圈內(nèi)的紅點(diǎn)表示有兩臺離心機(jī)已經(jīng)無故損壞,后證實(shí)為震網(wǎng)病毒所為】
他們是怎么做到的呢?
從伊朗的情況來看,美國把震網(wǎng)病毒放置在了某個核專家的U盤之內(nèi),而這位核專家也許為了方便,把U盤連到了核設(shè)施內(nèi)部網(wǎng)絡(luò)的主機(jī)上。業(yè)內(nèi)“黑話”把這種行為稱作“擺渡”。至于這個病毒是怎么進(jìn)入專家的U盤之中,眾說紛紜,其中最有趣的版本是:美國間諜在核電站周圍撒了眾多精美的U盤,而這位專家恰好撿到一個。(這是一個教育我們不要貪小便宜的故事。)
可見,工業(yè)系統(tǒng)很難和外界完全隔離,因?yàn)榭倳腥擞幸鉄o意破壞規(guī)則。而一旦發(fā)生違規(guī)操作,就會使得所有的隔離失去效果,破壞程序會抓住轉(zhuǎn)瞬即逝的機(jī)會把自己“擺渡”進(jìn)去。
【CNN展示:黑客通過入侵工控網(wǎng)絡(luò),讓設(shè)備過載起火】
像這個視頻中展示的一樣,如果黑客進(jìn)入了工業(yè)生產(chǎn)網(wǎng)絡(luò),就可以直接讓設(shè)備過載報(bào)廢。但這只是最沒有技術(shù)含量的一種玩法。
理論上來說,惡意程序一旦進(jìn)入工業(yè)或軍事系統(tǒng),就可以任意修改其中的指令,
如果進(jìn)入工業(yè)生產(chǎn)網(wǎng)絡(luò),可以提高載荷造成機(jī)器毀壞,甚至可以關(guān)閉防護(hù)系統(tǒng)造成人員傷亡;
如果進(jìn)入能源系統(tǒng),可以切斷電力的供應(yīng),甚至改變煉油廠的工序,造成爆炸;
如果進(jìn)入水利系統(tǒng),可以控制水壩的開合;
如果進(jìn)入軍事系統(tǒng),可以控制導(dǎo)彈的發(fā)射。
這么可怕的場景,是否真的會發(fā)生呢?
我們的工業(yè)系統(tǒng)安全嗎?
走訪了數(shù)位工控專家,他們普遍認(rèn)為中國電力行業(yè)的安全防護(hù)比較到位,不僅在網(wǎng)絡(luò)隔離防護(hù)方面做得較好,而且全中國的電網(wǎng)分布層級眾多。即使黑客有能力打癱一個節(jié)點(diǎn),也不會造成大面積斷電事故。
綠盟是一家專長于工業(yè)領(lǐng)域的安全公司,它的客戶包括很多電力企業(yè)。其威脅分析系統(tǒng)產(chǎn)品經(jīng)理劉弘利告訴記者,在第一時間他們也拿到了烏克蘭電網(wǎng)攻擊的excel文件,在自己的防御系統(tǒng)上運(yùn)行,結(jié)果系統(tǒng)提示:這個文件存在高危風(fēng)險(xiǎn)。他解釋說:
因?yàn)檫@只是個excel文件,它卻反常地試圖生成另一個文件。另外,分析系統(tǒng)還在其中測出shell code(利用漏洞的代碼),因此判斷它存在危險(xiǎn)。一旦發(fā)現(xiàn)了高危文件,防御系統(tǒng)就可以對惡意程序的行為進(jìn)行阻斷,防止它進(jìn)行下一步的攻擊。
【綠盟的檢測系統(tǒng)認(rèn)為這個excel文件為高威脅文件】
原來,烏克蘭電網(wǎng)被攻擊,要怪他們沒有采購天朝的工控安全系統(tǒng)咯。
不過,讓人遺憾的是,中國這些先進(jìn)的技術(shù)并沒有武裝大多數(shù)本土企業(yè)。普遍來看,中國工業(yè)的安全程度讓人“目不忍視”。
【全球及我國(含臺灣)暴露在Internet上的工控設(shè)備統(tǒng)計(jì)表】
一般來說,企業(yè)的內(nèi)部網(wǎng)絡(luò)分為兩部分:工業(yè)生產(chǎn)網(wǎng)絡(luò)和生產(chǎn)監(jiān)控網(wǎng)絡(luò)。從安全角度考慮,這兩個網(wǎng)絡(luò)都不應(yīng)該和互聯(lián)網(wǎng)相連通。但通過對中國所有連接到互聯(lián)網(wǎng)的設(shè)備進(jìn)行掃描,王得金和團(tuán)隊(duì)發(fā)現(xiàn),有諸多和工業(yè)相關(guān)的設(shè)備竟然毫無隱藏,直接暴露在互聯(lián)網(wǎng)上。即使一些工業(yè)網(wǎng)絡(luò)表面上實(shí)現(xiàn)了隔離,也存在諸多漏洞:
一些生產(chǎn)監(jiān)控所用的攝像頭,和其他工業(yè)監(jiān)控設(shè)備處在同一個隔離網(wǎng)絡(luò)中。但問題在于這個監(jiān)控?cái)z像頭連通了Internet,所以實(shí)際上把整個監(jiān)控網(wǎng)絡(luò)都“牽連”了出來。與此同時,生產(chǎn)網(wǎng)絡(luò)和監(jiān)控網(wǎng)絡(luò)大多需要進(jìn)行數(shù)據(jù)交換,這就使得黑客可以通過攝像頭進(jìn)入監(jiān)控網(wǎng)絡(luò),最終進(jìn)入生產(chǎn)網(wǎng)絡(luò)實(shí)現(xiàn)破壞。
王得金描述了這樣一條隱秘又有效的進(jìn)攻路徑。
【黑客通過監(jiān)控?cái)z像頭入侵工控網(wǎng)絡(luò)】
對于很多企業(yè)來說,黑進(jìn)他們的工業(yè)生產(chǎn)網(wǎng)絡(luò)比想象中還要容易。
那么,讓企業(yè)重視工控安全真的有這么難嗎?一位在工控安全領(lǐng)域從業(yè)多年的業(yè)務(wù)經(jīng)理這樣吐槽:
實(shí)際上,大多工業(yè)掌握在國企手中。很多企業(yè)的領(lǐng)導(dǎo)人并不認(rèn)為自己會成為敵對勢力的進(jìn)攻對象。他們要做的就是“不求有功,但求無過”。給自己的工業(yè)生產(chǎn)添加安全系統(tǒng)并不是他們的選擇。
其實(shí),企業(yè)這樣選擇也有充分的理由:工業(yè)生產(chǎn)的首要任務(wù)就是穩(wěn)定,任何擾動或者升級都可能帶來意想不到的后果。如果是民用的電腦,升級之后出現(xiàn)bug還可以想辦法修復(fù),甚至重裝系統(tǒng)。而生產(chǎn)線系統(tǒng)要求非常精密,連輕微的卡死都可能造成無法挽回的事故。
所以,什么“小步快跑,快速迭代”根本不適用于工業(yè)控制系統(tǒng)。對于工控來說,最好能一個系統(tǒng)用到地老天荒。
你可以看到很多企業(yè)的生產(chǎn)系統(tǒng)還在用Windows 2003系統(tǒng),運(yùn)氣好的話甚至還可以見到跑Windows 98的系統(tǒng)。對于這樣的系統(tǒng),用弱不禁風(fēng)來形容絲毫不為過。甚至拿一臺外部電腦和它建立連接,它都會“一命嗚呼”。
面對如此脆弱的工控設(shè)備,目前能夠?qū)崿F(xiàn)的保護(hù)大多是在生產(chǎn)系統(tǒng)外圍進(jìn)行安全加固,這種模式的問題在于:一旦黑客成功突破外圍防護(hù),就可以一路直搗黃龍,幾乎必然造成損失。
王得金給雷鋒網(wǎng)展示了一段視頻。用黑客手段侵入工業(yè)邏輯控制器中,可以隨意對工業(yè)生產(chǎn)流程進(jìn)行更改:
【黑客入侵工控設(shè)備的演示】
看到這里,你一定會得出這樣的結(jié)論:中國大多數(shù)工業(yè)網(wǎng)絡(luò)安全措施非常落后,但是有關(guān)國計(jì)民生的能源、電網(wǎng)因?yàn)楦綦x措施做得較好,還是比較安全的。
然而,事實(shí)真的是這樣嗎?
劇情反轉(zhuǎn):中國的工業(yè)安全也許只是“虛擬現(xiàn)實(shí)”
中國最早的黑客之一、工控安全界的元老級人物魏強(qiáng)(Funnywei)提出了一個讓所有人菊花一緊的設(shè)想。
先補(bǔ)充兩個驚悚的背景資料:
1、中國沒有能力制造精密的數(shù)控機(jī)床和工業(yè)控制器,工業(yè)中用到的邏輯控制器95%是來自施耐德(法國)、西門子(德國)、發(fā)那科(日本)等的國外品牌。
2、中國沒有能力制造尖端的控制芯片,英特爾、高通、博通、德州儀器等有能力設(shè)計(jì)生產(chǎn)芯片的企業(yè),無一例外全部屬于美國。
【發(fā)那科(日本)機(jī)械臂生產(chǎn)車間】
魏強(qiáng)說:
一塊小小的芯片,有十幾億個晶體管,制程是以納米計(jì)算的。甚至在那么小的電路板上會有七層印刷電路,想破解芯片的結(jié)構(gòu)是幾乎不可能的。如果美國企業(yè)在芯片中多設(shè)了一個引腳,安插一個后門,我們幾乎不可能發(fā)現(xiàn)。甚至一個后門可以分成數(shù)個,分散在代碼之中,我們完全沒有能力察覺。
另外,為了實(shí)現(xiàn)更多的功能,現(xiàn)在芯片越來越多地具有了自主連接藍(lán)牙、Wi-Fi等無線網(wǎng)絡(luò)的能力。在理論上可以實(shí)現(xiàn)遠(yuǎn)程改寫代碼。
如果果真如魏強(qiáng)猜測的那樣,那么以下的推論就能夠成立:
1、法國、日本等數(shù)控機(jī)床和控制器生產(chǎn)國,通過自家的后門可以得知機(jī)床生產(chǎn)零件的G代碼(進(jìn)而可以得知零件的參數(shù)和用途),并且可以隨意對生產(chǎn)設(shè)備進(jìn)行改動。
2、美國可以對所有使用美國芯片的設(shè)備(包括工業(yè)控制器)進(jìn)行控制。
3、一旦發(fā)生戰(zhàn)爭或嚴(yán)重的對立,以上的遏制措施可以短時間內(nèi)建立。
4、由于芯片帶有無線通訊功能,即使設(shè)備不聯(lián)網(wǎng),破壞活動也可以由設(shè)備附近的特工通過無線電完成。
這個設(shè)想并不是沒有佐證,君不見,2003年美國進(jìn)攻伊拉克的時候,讓伊拉克引以為傲的飛毛腿導(dǎo)彈命中率為0。
這個推測在軟件層面同樣成立。
工信部可以進(jìn)入IBM看任何一行代碼。
這是2015年IBM副總裁米爾斯為了向中國銷售其產(chǎn)品所做出的承諾。但即使每一行代碼我們都進(jìn)行審計(jì),也不可能排除在硬件層面的不可靠性。很多情況下我們購買進(jìn)口工業(yè)軟硬件,并不是因?yàn)樗麄兊脑捳Z真誠,而是我們別無選擇。
當(dāng)所有工業(yè)和國防都建立在不透明的黑盒子組成的體系之上,沒有人可以證明這個供應(yīng)鏈的可靠性??v然在和平年代一切看起來按部就班,紅紅火火。但是一旦進(jìn)入戰(zhàn)爭狀態(tài),世界可能在一瞬間就變成了你不認(rèn)識的樣子——之前所構(gòu)建的一切工控安全體系,都有可能在降維打擊之下變得不堪一擊。
【美國F-35戰(zhàn)機(jī)】
王得金告訴記者:“美國對于軍工產(chǎn)品生產(chǎn)要求極其嚴(yán)格。例如F-35,連一顆螺絲釘都不允許在美國以外生產(chǎn)。”反觀中國,很多導(dǎo)彈所使用的芯片卻都是美國進(jìn)口的。連圓珠筆珠都做不出來的中國,不知什么時候才能有底氣說出和美國同樣的話。這就是龍芯、飛騰、兆芯的科學(xué)家們拼死也要研制出“中國芯”的原因。
然而,芯片的國產(chǎn)替代誰心中都沒有時間表。面對現(xiàn)狀,魏強(qiáng)提出了一個無奈但是有效的解決方案:
同一個生產(chǎn)流程,采用多套預(yù)備系統(tǒng),分別采用不同國家的控制器,不同的操作系統(tǒng)、不同的軟件邏輯。在這種情況下,機(jī)器的每一個動作都需要三套控制系統(tǒng)進(jìn)行表決,如果有一套系統(tǒng)被攻擊,給出異常的數(shù)據(jù),那么它就會被表決踢出局。即使出現(xiàn)極端的情況:三個系統(tǒng)都遭到攻擊,產(chǎn)生的結(jié)果全不一致,此時會自動調(diào)用備用系統(tǒng)。備用系統(tǒng)可以是一套隱藏系統(tǒng),平時處于靜默狀態(tài)。攻擊者根本感覺不到這套備用系統(tǒng)的存在,從而無法預(yù)先進(jìn)行攻擊。這就是所謂的“異構(gòu)冗余”系統(tǒng)。
這種“異構(gòu)冗余”系統(tǒng)的實(shí)質(zhì)就是:在一堆不可靠的部件之上,構(gòu)建出一個相對可靠的體系。這個體系有一個明顯的缺點(diǎn),就是需要增加大量的投資。不過魏強(qiáng)說:“核心工業(yè)的價值非常巨大,用這些投資來換取安全系數(shù)的增加,是非常劃算的?!?/p>
尾聲
黑客讓烏克蘭一百萬人陷入黑暗只用了一秒鐘;我們?yōu)榱瞬蛔屵@“一秒鐘”成為現(xiàn)實(shí),卻不知道要經(jīng)過多少年。但相信終有一日,我們可以放棄“權(quán)宜之計(jì)”,用自主的芯片和世界平等對話,用真正的工業(yè)安全“逐黑客于漠北”。
2016,距離“智能制造2025”還有九年時間。對于我們的目標(biāo)來說,九年的時間并不充裕。
來源:雷鋒網(wǎng)
提交
新大陸自動識別精彩亮相2024華南國際工業(yè)博覽會
派拓網(wǎng)絡(luò)被Forrester評為XDR領(lǐng)域領(lǐng)導(dǎo)者
智能工控,存儲強(qiáng)基 | ??低晭砭手黝}演講
展會|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會
中國聯(lián)通首個量子通信產(chǎn)品“量子密信”亮相!