2014年 Jun月 4日
网络新闻报忧 - 2014年6月4日
我曾说过新开的”网络新闻报忧”系列将每周(差不多吧)连载,说到做到,本周是第二期……
今天,主要的主题是围绕关键基础设施;尤其是值得警惕的各种问题和危险。例如,生产设备和核装置、交通、电网以及其他工业控制系统(ICS)。
实际上,根据上周的内容,这些信息已经算不上什么新鲜”新闻”,只是有点新闻的意思罢了:幸好关键基础设施安全问题并不是每周都有,至少值得一提的几乎没有。但我们在此仍要讨论的原因是,很可能最大的问题仍未浮出水面(虽然可以理解,但同样让人忧心),或者只是没人意识到这些问题(黑客可能会悄悄行动 - 这更让人担心)。
下面给出的一些奇怪事实说明了关键基础设施安全问题目前的现状和趋势,并指出需要采取哪些行动来应对相应的威胁。
事实证明有充分的理由来关注关键基础设施安全问题……
工业控制系统制造和安装工程师的座右铭是”确保稳定、持续运行,无需照管!”所以,控制系统中是否有漏洞会被黑客用来取得对系统的控制权,系统是否接入互联网,或者密码实际上是否为12345678(真的,不是开玩笑),工程师们统统不关心!他们只关心系统是否稳定、顺利地以同一温度运行。
别忘了,给系统打补丁或执行其他一些干预操作,都可能且确实会要求系统停止运行一段时间,而这是工业控制系统工程师极不情愿看到的事。是的,即便到今天,关键基础设施仍然是以这种方式运作的 - 非黑即白,没有中间的灰色地带。那么是否要像驼鸟一样,一头扎在沙堆里坐以待毙呢?
去年9月,我们设置了一个诱捕系统(honeypot),我们把此系统接入互联网,并假装是一套运行中的工业系统。结果如何?在一个月的时间里,它被入侵了422次,其中有几次黑客甚至取得了对内部可编程逻辑控制器(PLC)的控制权,最坏的情况甚至重新对PLC进行了编程(与震网(Stuxnet)蠕虫病毒一样)。我们的诱捕试验表明,工业控制系统一旦接入互联网,几乎100%会立刻被黑客入侵。被黑的工业控制系统会被操控用于干什么……没错,想想就让人恐惧,就像好莱坞动作片剧本中描写的情况一样。工业控制系统造型各异,规模不等。下面将举例说明:
核装置恶意软件
在新的一年,我们发现了一种新的感染方法……日本Monju(文殊)核电厂控制中心的一台计算机跨入新年仅仅若干小时后,就被发现感染了某种恶意程序,该病毒被认为是工作人员更新一些免费软件时感染的。是的,我绝对没有开玩笑。
我花了些时间才消化了这一事实。
值班人员在核反应堆的控制器上使用免费软件?更新视频播放器能让孤独的漫漫长夜好过些?这台计算机最初是接入互联网的吗?????
一劳永逸的方法:工业计算机得像隐士一样,绝对不能与外面的世界发生联系。简单如斯。此方法也适用于U盘:连到这类重要设施的每个U盘,都需要认真调查其实际内容。别忘了震网蠕虫病毒就是通过USB入侵伊朗纳坦兹的核设施的。
坏事预言家
我之前曾提到过《虎胆龙威4》中的场景 - 虽然有一半内容是好莱坞式的瞎编,但另一半则是真真切切地对未来可能发生情境的描写。下面是一些类似场景,可能会在某一天发生……
有一位研究人员曾抽出时间来研究是否有可能通过入侵美国城市街道上的交通信号灯控制系统,将信号灯设置成迪斯科灯。
该研究人员的报告极具说服力。我尤其喜欢下面的结论:
可卡因钟爱香蕉
事实上,如今计算机控制无所不在,几乎涉及所有对象。只要你有计算机,就总是存在被入侵的可能性,既然有被入侵的可能性,那么像Watch_Dogs 游戏中的场景也越来越可能成为现实。
下面是比利时的一个案例。
南美的毒贩们更有创意,他们在运输香蕉的货运集装箱中混入可卡因。集装箱经船运输到欧洲后,会放入比利时安特卫普的仓库中。接下来的行动由毒贩所雇黑客负责:黑客利用恶意软件以某种方式入侵仓库控制系统,跟踪装有可卡因的集装箱所在位置。然后抢在香蕉收货方出现之前,先一步向卡车司机发送指令,要求其提出混有可卡因的货物。
从此案例中可以看出,传统的毒枭行动和网络犯罪正逐渐合为一体 - 在工业系统领域中也必定如此。
嫌苹果打补丁太慢?工业控制系统更要慢得更多
工业控制系统安全性问题的恶化,不仅仅是因为操作人员不愿意干预工业控制系统操作,工业控制系统供应商也要承担一部分责任。
但是,至少照目前的形势来看一切都开始渐渐有所起色;我曾遇到过非常离谱的开发人员,他们明目张胆地筑起石墙,假装看不见自己所开发产品安全性中的明显漏洞,但这是较早以前的事了。为了了解真正存在的问题,我想先谈下涉及RuggedCom公司的案例,该公司专业生产用于能源、工业、交通和其他关键部门的网络设备。
这绝不是个案;恰恰相反,是非常普遍的现象。
2011年早些时候,一位研究人员发现RuggedCom设备中有一个漏洞,通过此漏洞能够相对轻松地获取管理员权限详细信息。他向RuggedCom报告了此漏洞的情况,并一直要求(时间长达一年!)该公司采取措施来解决这一安全问题,或者至少建议客户阻止远程访问。但一切都是徒劳的。该公司对此完全无视。一年后他实在忍无可忍,决定求助于US-CERT,将此情况公之于众。
当然,这次愤怒的行动一举切中了要害,而且闹出了很大的动静,所以漏洞很快被修复了。所有人都长长地松了一口气,包括这名勇敢的研究人员(做得好!)。问题是,我敢打赌,最多有不到一半的用户会腾出时间来修复此漏洞。唉,所有这些脆弱的系统都还在继续运行……
你能把漏洞填上吗,你这个漏洞百出的家伙?
为了说明现代工业控制系统的漏洞是怎样出现的,我给你举个例子。
感恩节一大早,有一位安全研究人员(碰巧以前从未接触过工业控制系统)决定深入研究某个工业控制系统软件,并随便找找看有没有漏洞(休息日?这名研究人员还打算做什么?)。到该吃火鸡的时候,他几乎快崩溃了。他在7分钟内就找到了第一个零日漏洞,接着在剩下的时间里又发现了20个 - 其中有几个漏洞甚至允许远程运行代码!
据SAS的一位发言人称:”工业控制系统还仍停留在90年代的水平“。这些系统是上世纪的人在上世纪制作的,依据的标准也是上个世纪的,但这些系统如今仍在运行中。
如果全球网络混乱情况进一步恶化,并且政府开始启动紧急网络预案,那时才是真正的网络混乱开始,到那时工业控制系统的漏洞会被利用得最为彻底。冰山下面(庞大)的部分将浮出水面。不,我们会听到的。呃……不,我们会看到关于此的报道……不!我们甚至从来没有弄清楚过:一切都是徒劳!
机器*.*
我毫不怀疑不出五年的时间,我们周围将充斥着一大堆各种类型和用途的遥控无人机,或飞、或跑或爬。
去年,亚马逊宣布计划利用遥控无人机送货。这不是未来公关策略,而是事实:遥控无人机时代即将来临!但无人机面临的法律和技术问题不相上下 - 因为有必要制定专用空中路线,出台针对遥控无人机飞行的新规定,发布飞行天气报告,向用户和制造商发放许可证等等,问题一大堆。
但一切都在向前发展!……不仅仅是空中。最近Google也提出了第一部无人驾驶汽车的概念(术语”自动汽车”在一个多世纪后终于成为现实:))。
遥控无人机甚至能够应用于关键基础设施领域。
一方面,确实好处多多:遥控无人机能够自动执行许多讨厌/难做/不赚钱……的流程;而另一方面所有这种自动化总有一天会崩溃,弄出极大动静。那就像是爆米花开爆……
是的,必会有光!
最后,谈点”罗曼蒂克”。
本世纪初,我们就知道电网容易被病毒入侵 - 电网的脆弱程度堪与普通用户的家用电脑相提并论。
法国摄影师曾拍摄过一系列奇怪的照片,命名为”夜幕垂城“,照片中情境可能与电网受攻击后的情况极为类似:香港、纽约、旧金山、巴黎、上海、圣保罗和其他许多大都市完全熄灯后的景象,夜幕中只有闪烁的星星。所以万一有天晚上家里突然全部停电,别慌。有可能是电网受到病毒或黑客攻击。事实上,这很可能会造成恐慌……
全面停电后,是否所有人都会躲到床下或藏在沙发后面,就像小时候看《神秘博士》时一样?或者缓慢地走向墓地?形势真的这么糟,而且注定会更糟吗?
是的,形势确实不容乐观 - 多年来我们一直游走在地狱边缘。关键基础设施的主要元素就像纸牌屋一样,随时都可能坍塌。但至少我们在 - 我们这些安全专家在:)。
停止愤怒和抱怨吧 - 这不是解决问题之道。我敢肯定地说,全世界将努力解决这些问题,在下面三个方面不懈努力:开发新一代软件;全新开发更安全的关键基础设施架构;制定国内和国际安全标准。
通过三管齐下,任何停电都只会是因为个别灯泡烧坏,而不会是别的原因:)。