首页 > 信息安全 > 正文

工业互联网头悬四把利剑:黑客攻击、木马植入、软件后门、为钱买钥

2018-09-05 11:48:27  来源:IT 经理网

摘要:从早些年伊朗的“震网事件”到去年肆虐全球的勒索病毒,再到这次台积电遭病毒攻击,一次次看似不同的安全事件,其实隐含着相同的规律,偶然中潜伏着必然,这不能不引起人们对万物互联时代安全的担忧、警惕和应对。
关键词: 工业互联网
  工业互联,方兴未艾。各路设备,加速入网。
 
  以信息网络技术加速创新与渗透融合为突出特征的新工业革命,正不断加速全球经济数字化转型步伐。世界主要国家竞相把深化制造业与互联网融合、发展工业互联网作为制造业转型升级的重要途径,中国也不例外。
 
  早在2016年2月,我国就成立了工业互联网产业联盟,力推工业互联网产学研用协同发展。据不完全统计,国内有百余家厂商致力于工业互联网平台的技术和生态发展,既包括航天云网、东土科技等信息技术领域的领先者,也包括海尔、徐工等传统制造商孕育的新行家。
 
  不过,在看到工业互联网巨大作用的同时,行业自身也越来越关心工业设备互联后的安全问题。8月3日,台积电(台湾积体电路制造股份有限公司)突遭病毒攻击一事再次震动工业互联网业界。数小时内,这家全世界最大的半导体代工厂的多个芯片制造厂受到波及,多条生产线被迫停产,这也是半导体制造业罕见的安全事故。
 
  这样的安全事件并非第一次,当然更不会是最后一次。从早些年伊朗的“震网事件”到去年肆虐全球的勒索病毒,再到这次台积电遭病毒攻击,一次次看似不同的安全事件,其实隐含着相同的规律,偶然中潜伏着必然,这不能不引起人们对万物互联时代安全的担忧、警惕和应对。
 
  前言:世界又多了个“赛博空间”
 
  与上个世纪相比,今天的世界有了很大变化:世界之上叠加了一个赛博空间。
 
  什么是赛博空间?
 
  赛博空间(Cyberspace)是哲学和计算机领域中的一个抽象概念,指在计算机及计算机网络里的虚拟现实。赛博空间一词是控制论(cybernetics)和空间(space)两个词的组合,是由居住在加拿大的科幻小说作家威廉?吉布森在1982年发表于《omni》杂志的短篇小说《全息玫瑰碎片(Burning Chrome)》中首创造,并在后来的小说《神经漫游者》中被普及。
 
  高度重视赛博空间的美国国防部,早在2009年就组织出版了《赛博力量和国家安全》一书,书中这样定义赛博空间:
 
  赛博空间是一个可操作的领域,由电磁频谱、电子系统及网络化基础设施三部分组成,人类通过电子技术和电磁频谱进入该领域,进行信息的创建、存储、修改、交换和利用。
 
  该定义强调赛博空间包含三个基本部分:
 
  电磁频谱——主要指远程控制与信息承载能力;
 
  电子系统——主要指计算机所形成的计算能力;
 
  网络设施——主要指基于网络的互联互通能力。
 
  国内出版的《三体智能革命》一书则是这样定义赛博空间:20世纪的赛博空间是一个抽象的科技概念,指在计算机以及计算机网络里的数字化虚拟现实。
 
  一直以来,很多人认为用一个“数字空间”就可做计算、存储和无线传输,这是不可能实现的。数字空间仅仅是一个二进制数理系统,所有的“1、0”的具体实现,都必须有能量、有载体。目前最方便的能量场是电(做计算)、磁(做存储)和电磁波(无线传输),一切不谈能量场或电磁波的“数字空间”都是虚幻的假说。
 
  正是这个赛博空间,让电磁场以比特数据流的载体形式存在。无形无态的比特数据流可由人来构建和管控,彼此间以数字化信息的方式互联,可以通达并控制与其连接的物理设备,其作用范围伴随着电磁波的运动可以无限延伸,例如人类利用电磁波对人造系统(旅行者1号)的作用已经达到170亿公里。
 
  在赛博空间中,诸多事物的特点是:
 
  每一个物理设备都在赛博空间中有了名称、位置、功能等基本数据,甚至建立了与物理设备完全虚实映射的“数字孪生体”;
 
  不仅物理设备与数字孪生体之间是彼此互联互通的,而且数字孪生体之间也是互联互通的;
 
  工业物联网和工业互联网(统称“工联网”)的迅猛发展,既让越来越多的物理设备成为终端入口,也让这些物理设备成为被侵害的牺牲品。
 
  总而言之,赛博空间,无处不在。原本互不相连的事物经由赛博空间中的数据通道(简称“赛博通道”)联到了一起。因此,正常善意的赛博通道建立了,异常恶意的赛博通道也建立了。天使与魔鬼同在。
 
  实际上,在赛博空间经常发生的4种恶意行为,如同悬在工联网头上的4把达摩克利斯之剑,随时都可能落下。这四把剑是黑客攻击之“暗剑”、木马植入之“毒剑”、软件后门之“阴剑”、为钱卖钥之“鬼剑”,都是经由赛博通道发生。
 
  不管你是否看得到,只要你行走在赛博空间,只要你使用任何一种可以联网的终端产品建立起赛博通道,4把利剑就高悬在那里,是否砍到你的头上,那就要看你的技术与防御能力,还有你的运气。
 
  工业互联网头悬四把利剑
 
  1. 黑客攻击之“暗剑”
 
  2015年12月23日15:30,乌克兰西部伊万诺-弗兰科夫斯克电力控制中心。运维人员猛然发现,计算机屏幕上的光标被一只看不见的“幽灵之手”控制了,光标指向屏幕上的变电站断路器按钮,一个断路器被断开。城外某区域内数以千计的居民立即陷入黑暗和寒冷。随后一个又一个断路器被“幽灵之手”断开,最终导致约30座变电站下线,两座配电中心停摆,23万当地居民无电可用。
 
  虽然变电站在数小时后以手动方式恢复了电力供应,但黑客们对16座变电站的断路器设备固件(指嵌入式软件)进行了改写,用恶意固件替代了合法固件,这些断路器全部失灵,任凭黑客摆布。高大上的供电设备似乎被武功高手点了穴,瘫倒在地。
 
  你看不见它们,但它们却可以接管并攻击你的设备,这就是黑客刺向受害者的“暗剑”。刀光剑影闪过,一片狼藉,设备尸横遍野。
 
  事实上,乌克兰电站拥有强大的安全防火墙,其控制系统的安全水平比美国境内部分设施还要高。可即使在如此强悍防御措施下,经过“完美预谋和精心组织”,黑客仍然攻破了电站防线。
 
  在更早的2008年8月5日,里海石油大动脉“巴库-第比利斯-杰伊汉石油管道”30号阀门站因遭受攻击在土耳其境内发生爆炸。令人奇怪的是,攻击阀门站的武器并非炸弹,而是黑客,而黑客进入控制系统的切入点竟是监控摄像头。
 
  黑客利用监控摄像头存在的通信软件漏洞,用一个恶意程序建立了随时可进入内部系统的赛博通道,接下来的攻击行动就很简单了。在不触动警报的情况下,黑客通过加大石油管道内的压力,当压力大到管道或阀门难以承受时,爆炸就发生了。
 
  2015年,两名黑客查理·米勒和克里斯·瓦拉赛克就曾演示过如何侵入Uconnect车载系统。利用Uconnect软件的缺陷,很容易从任何接入互联网的地方展开攻击,远程获取汽车的关键功能操作权限,利用汽车CAN总线将恶意控制信息发送至电子控制单元,由此而控制汽车的物理系统——如启动雨刷、调大冷风、踩下刹车、让引擎熄火、令所有电子设备宕机等。幸好这两位是白帽子黑客(指不做坏事的黑客)——他们是在通知了原厂商9个月后才对外公布Uconnect漏洞的。也许在不远的将来,一辆无人驾驶汽车被恐怖分子劫持,加速撞向某个指定目标,这是否有可能发生?
 
  明枪易躲,暗“剑”难防。人为刀俎,汝为鱼肉。这是“暗剑”的显着特点。
 
  这些安全隐患皆源于软件缺陷、赛博通道以及意想不到的疏漏。设备太多,防护太少。防不胜防。
 
  2. 木马植入之“毒剑”
 
  木马病毒植入最具代表性的案例,当属大规模破坏了伊朗浓缩铀工厂离心机的“震网”病毒。
 
  伊朗浓缩铀工厂的离心机是仿制的法国老产品,加工精度差,承压性差,只能低速运转,而且是完全物理隔离的。但是,美以情报部门通过长时间的研究与合作,设计出了最强的“震网”病毒,通过加速旋转摧毁了大批离心机,“效果比全炸毁还好”,主要步骤可谓精心设计。
 
  无形植入:通过感染所有潜在工作者(如西门子员工)的U盘,病毒不知不觉被带入工厂。伊朗方面会用查杀病毒软件做常规检测,但这种病毒根本查不出来。病毒悄悄嵌入系统,使杀毒软件看不到病毒文件名。如果杀毒软件扫描U盘,木马就修改扫描命令并返回一个正常的扫描结果!
 
  感染传播:利用电脑系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞来传播病毒,8种感染方式确保电脑内网上的病毒都会相互自动更新和互补。
 
  动态隐藏:把所需的代码存放在虚拟文件中,重写系统的API(应用程序接口)以将自己藏入,每当系统有程序访问这些API时就会将病毒代码调入内存。
 
  内存运行:病毒会在内存中运行时自动判断CPU负载情况,只在轻载时运行,以避免系统速度表现异常而被发现。关机后代码消失,开机病毒重启。
 
  精选目标:由于铀浓缩厂使用了西门子S7-315和S7-417两个型号的PLC(可编程逻辑控制器),病毒就把它们作为目标。如果网内没有这两种PLC,病毒就潜伏。如找到目标,病毒利用Step 7软件中漏洞突破后台权限,并感染数据库,于是所有使用该软件连接数据库的人的电脑和U盘都被感染,他们都变成了病毒输送者。
 
  巧妙攻击:在难以察觉中,病毒对其选中的某些离心机进行加速,让离心机承受不可承受的高转速而损毁。初期伊朗人还以为这种损坏仅仅是设备本身的质量问题,直到发现大量设备损毁之后,才醒悟过来,但为时已晚。
 
  2017年5月13日,坊间被一款名为WanaCrypt0r 2.0的比特币勒索病毒爆发的消息刷屏,该病毒大规模集中爆发于英国医疗机构以及中国高校。一时间,人人自危,谈勒索病毒色变。刚刚应对完过去这一波勒索病毒,很多人还没有喘过气来,当年6月27日晚间,一波大规模PetyaWrap勒索蠕虫病毒攻击再度席卷全球。近百个国家的政府部门、银行、电力系统、通信系统、企业以及机场等都不同程度地受到影响。不少依靠网络设备进行“无纸办公”的政府部门,重新用上了纸文件,加油站、医疗设备停止运行,待抢救的病人只能等死。
 
  剑上涂毒,见血封喉;伪装潜伏,择机爆发。这是“毒剑”的显着特点。
 
  由此可见,软件的漏洞让诸如“震网”这类病毒变得无比狡猾,且让病毒攻击变得很有针对性。谁能说赛博通道是安全的?谁又能说在我国某地或某企业的内网中,一定没有类似“震网”病毒存在呢?
 
  3. 软件后门之“阴剑”
 
  目前国内在用的工业软件中,国外的软件普遍具有明显优势。在大型央企、国企、民企等关键企业中,国外软件占据垄断地位。这些软件多数为美、欧、日等西方发达国家开发,并且绝大多数对中国客户不开放源代码,特别是近年来这些软件又都融合了互联网技术。
 
  根据笔者多年来在企业调研和在市场上观察到的种种现象,在泄露商业机密和军工机密的案例中,除了国外黑客网络攻击和木马病毒植入之外,国外软件的数据“走后门”现象也十分普遍。这种现象大致源于两种情况:
 
  一是软件原厂商为了改进产品质量,对用户使用软件产品的情况进行跟踪。厂商希望通过收集使用大数据,找出用户的使用习惯和操作不便之处,以便在后期版本中改进软件功能。这种收集数据的出发点是善意的,通常也用“是否愿意加入XX产品的改进计划”的名义问询用户的意愿。
 
  二是完全出于某种不可告人的目的,特定设计的软件“后门”。如果安装使用软件的电脑是联网的,那么某些“厂商所需数据”就在以某种触发机制(如按照累积量)随机或定时发送。如果电脑是不联网(如物理隔绝)的,那么就伺机寻找网络发送。其实这种发送机制已经就是“明偷暗抢”了。只不过,用户可能知道,也可能不知道,即使知道了也没办法制止。因为软件代码都是不可见的二进制执行代码,通常很难查出这种后门发送数据的代码处于软件中的位置。
 
  阴损之剑,杀人无形;每日一剑,伤皮放血。这是“阴剑”的显着特点。
 
  企业里的各种杀毒软件,对软件后门是发现不了的,因为软件后门并非病毒,而是前门紧闭,后门洞开,开门揖盗。长此以往,情况就会变得严重。国外软件厂商(和情报部门)甚至能对央企、国企的人事变动、管理规章、内部报价、产品数据、合同文本、谈判条款等机密数据一清二楚,即使在服务器物理隔绝的状态下,有些数据仍可能外泄。
 
  4. 为钱卖钥之“鬼剑”
 
  6月25日,发生在两年前的国内一个工程领域的盗窃大案宣判,案值涉及近10亿元,首犯仅判4年半,内鬼获刑两年半。
 
  事情起源于2016年3月,国内某工程机械企业不断接到各地分公司反馈称,多台已销售出的设备突然失联,从该企业的控制大屏幕上莫名其妙地“消失”了。随后,“消失”的设备越来越多,数量多达千台,价值近10亿元。
 
  该企业检查发现,连接设备的远程监控系统(简称ECC系统)被人非法解锁破坏,使该企业对在外的工程机械设备失去了网络监控能力。
 
  国内大部分工程机械企业都会在泵车中安装类似的远程操控系统,系统内置的传感器会把泵车的GPS位置信息、耗油、机器运行时间等数据传回总部。因为这类大型设备较为昂贵,客户很难一次全款买断,往往采用“按揭销售”的形式购买:泵车开机干活就付钱,停机就无需付费,这原本是一个对双方都有利的“结果经济”模式。工程机械企业对泵车的基本控制思路是,如果客户每个月正常还款,则泵车运行正常;如果还款延后,泵车的运行效率会降为正常情况下的30%至50%;如果一再拖延,泵车就会被锁死,无法运转。
 
  警方发现,破坏ECC系统的是一群熟知系统后台操作的团伙成员。其中一名成员竟然是该企业在职员工。另一名成员虽然在2013年离职,但同为熟知ECC系统操作的技术人员。他们合伙利用ECC系统的软件漏洞进行远程解锁,几分钟就可以解锁一台设备GPS,非法获利一两万元。该团伙一而再再而三地作案,最终酿成震惊全国的大案。
 
  家有内鬼,鬼必作祟;“鬼剑”刺处,机失难追。这是“鬼剑”的显着特点。
 
  再好、再严密的设备防御措施,也禁不住内鬼为钱卖钥,贪财解锁。其实,无论多么严密的设备上网防护措施,多么完美的加密算法,当人心有鬼时,防护都可以破解。最可靠的加密钥匙,是人心、制度和法律。
 
  如果按照此案的涉案值而不是按照其获利额度来判决的话,首犯起码应该入狱10年以上。乱世用重典,如果此案重判,可能未来鲜有人敢做此事。看来,与工联网相适应的法律条款,仍然在不断完善和修订的路上。
 
  后记:赛博空间,谁主沉浮
 
  设备联网了,数据流通了,控制精准了,管理提升了……工联网仅仅呈现这些正面美好的景象吗?每遇重大判断,笔者常做反向思考:万物互联的反面是什么?或如“祸兮福所倚,福兮祸所伏”。
 
  显然,4把达摩克利斯之剑高悬于工联网之上。如果仔细寻找,恐怕还不止于此。
 
  在对工联网的认知中,太多人都在强调:“网络是基础,平台是核心,安全是保障。”但知行难以合一,人有认知局限和惰性,往往后知后觉。剑不砍在自己身上,并不能体察彻骨之痛,亦难做到未雨绸缪。
 
  病毒、黑客、后门、内鬼,无论哪一把剑都足以让企业鲜血淋漓。4种灾害场景的区别仅仅是,企业感受到身上有多少道伤口,流了多少血,是否致命。
 
  牛顿曾言:“给我一个支点,我可以撬动地球。”今人亦言:“给我一个赛博通道,我可以隔空打牛。”到了工联网时代,一切都可以互联互通互操作,比特数据已经可以往返太阳系边缘,遍布全球的无数终端形成了无数赛博通道。
 
  此间,究竟是谁来操控谁?笔者以为,一定是恶意侵入者操控毫无防范者,黑客高手操控技术菜鸟,赛博强国操控赛博弱国。无他。
 
  若没有技术金盾、严格内控以及法律重典,工联网就难有不破金身,也就难以健康发展。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。