|
病毒、黑客、后門、內(nèi)鬼——工業(yè)互聯(lián)網(wǎng)頭懸四把”利劍“世界又多了個“賽博空間” 與上個世紀相比,今天的世界有了很大變化:世界之上疊加了一個賽博空間。 什么是賽博空間? 賽博空間(Cyberspace)是哲學和計算機領域中的一個抽象概念,指在計算機及計算機網(wǎng)絡里的虛擬現(xiàn)實。賽博空間一詞是控制論(cybernetics)和空間(space)兩個詞的組合,是由居住在加拿大的科幻小說作家威廉•吉布森在1982年發(fā)表于《omni》雜志的短篇小說《全息玫瑰碎片(Burning Chrome)》中首創(chuàng)造,并在后來的小說《神經(jīng)漫游者》中被普及。 高度重視賽博空間的美國國防部,早在2009年就組織出版了《賽博力量和國家安全》一書,書中這樣定義賽博空間: 賽博空間是一個可操作的領域,由電磁頻譜、電子系統(tǒng)及網(wǎng)絡化基礎設施三部分組成,人類通過電子技術和電磁頻譜進入該領域,進行信息的創(chuàng)建、存儲、修改、交換和利用。該定義強調(diào)賽博空間包含三個基本部分: 1.電磁頻譜——主要指遠程控制與信息承載能力; 2.電子系統(tǒng)——主要指計算機所形成的計算能力; 3.網(wǎng)絡設施——主要指基于網(wǎng)絡的互聯(lián)互通能力。 國內(nèi)出版的《三體智能革命》一書則是這樣定義賽博空間:20世紀的賽博空間是一個抽象的科技概念,指在計算機以及計算機網(wǎng)絡里的數(shù)字化虛擬現(xiàn)實。 一直以來,很多人認為用一個“數(shù)字空間”就可做計算、存儲和無線傳輸,這是不可能實現(xiàn)的。數(shù)字空間僅僅是一個二進制數(shù)理系統(tǒng),所有的“1、0”的具體實現(xiàn),都必須有能量、有載體。目前最方便的能量場是電(做計算)、磁(做存儲)和電磁波(無線傳輸),一切不談能量場或電磁波的“數(shù)字空間”都是虛幻的假說。 正是這個賽博空間,讓電磁場以比特數(shù)據(jù)流的載體形式存在。無形無態(tài)的比特數(shù)據(jù)流可由人來構(gòu)建和管控,彼此間以數(shù)字化信息的方式互聯(lián),可以通達并控制與其連接的物理設備,其作用范圍伴隨著電磁波的運動可以無限延伸,例如人類利用電磁波對人造系統(tǒng)(旅行者1號)的作用已經(jīng)達到170億公里。 在賽博空間中,諸多事物的特點是: 1.每一個物理設備都在賽博空間中有了名稱、位置、功能等基本數(shù)據(jù),甚至建立了與物理設備完全虛實映射的“數(shù)字孿生體”; 2.不僅物理設備與數(shù)字孿生體之間是彼此互聯(lián)互通的,而且數(shù)字孿生體之間也是互聯(lián)互通的; 3.工業(yè)物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)(統(tǒng)稱“工聯(lián)網(wǎng)”)的迅猛發(fā)展,既讓越來越多的物理設備成為終端入口,也讓這些物理設備成為被侵害的犧牲品。 總而言之,賽博空間,無處不在。原本互不相連的事物經(jīng)由賽博空間中的數(shù)據(jù)通道(簡稱“賽博通道”)聯(lián)到了一起。因此,正常善意的賽博通道建立了,異常惡意的賽博通道也建立了。天使與魔鬼同在。 實際上,在賽博空間經(jīng)常發(fā)生的4種惡意行為,如同懸在工聯(lián)網(wǎng)頭上的4把達摩克利斯之劍,隨時都可能落下。這四把劍是黑客攻擊之“暗劍”、木馬植入之“毒劍”、軟件后門之“陰劍”、為錢賣鑰之“鬼劍”,都是經(jīng)由賽博通道發(fā)生。 不管你是否看得到,只要你行走在賽博空間,只要你使用任何一種可以聯(lián)網(wǎng)的終端產(chǎn)品建立起賽博通道,4把利劍就高懸在那里,是否砍到你的頭上,那就要看你的技術與防御能力,還有你的運氣。 工業(yè)互聯(lián)網(wǎng)頭懸四把利劍 黑客攻擊之 “暗劍” 2015年12月23日15:30,烏克蘭西部伊萬諾-弗蘭科夫斯克電力控制中心。運維人員猛然發(fā)現(xiàn),計算機屏幕上的光標被一只看不見的“幽靈之手”控制了,光標指向屏幕上的變電站斷路器按鈕,一個斷路器被斷開。城外某區(qū)域內(nèi)數(shù)以千計的居民立即陷入黑暗和寒冷。隨后一個又一個斷路器被“幽靈之手”斷開,最終導致約30座變電站下線,兩座配電中心停擺,23萬當?shù)鼐用駸o電可用。 雖然變電站在數(shù)小時后以手動方式恢復了電力供應,但黑客們對16座變電站的斷路器設備固件(指嵌入式軟件)進行了改寫,用惡意固件替代了合法固件,這些斷路器全部失靈,任憑黑客擺布。高大上的供電設備似乎被武功高手點了穴,癱倒在地。 你看不見它們,但它們卻可以接管并攻擊你的設備,這就是黑客刺向受害者的“暗劍”。刀光劍影閃過,一片狼藉,設備尸橫遍野。 事實上,烏克蘭電站擁有強大的安全防火墻,其控制系統(tǒng)的安全水平比美國境內(nèi)部分設施還要高?杉词乖谌绱藦姾贩烙胧┫,經(jīng)過“完美預謀和精心組織”,黑客仍然攻破了電站防線。 在更早的2008年8月5日,里海石油大動脈“巴庫-第比利斯-杰伊漢石油管道”30號閥門站因遭受攻擊在土耳其境內(nèi)發(fā)生爆炸。令人奇怪的是,攻擊閥門站的武器并非炸彈,而是黑客,而黑客進入控制系統(tǒng)的切入點竟是監(jiān)控攝像頭。 黑客利用監(jiān)控攝像頭存在的通信軟件漏洞,用一個惡意程序建立了隨時可進入內(nèi)部系統(tǒng)的賽博通道,接下來的攻擊行動就很簡單了。在不觸動警報的情況下,黑客通過加大石油管道內(nèi)的壓力,當壓力大到管道或閥門難以承受時,爆炸就發(fā)生了。 2015年,兩名黑客查理·米勒和克里斯·瓦拉賽克就曾演示過如何侵入Uconnect車載系統(tǒng)。利用Uconnect軟件的缺陷,很容易從任何接入互聯(lián)網(wǎng)的地方展開攻擊,遠程獲取汽車的關鍵功能操作權限,利用汽車CAN總線將惡意控制信息發(fā)送至電子控制單元,由此而控制汽車的物理系統(tǒng)——如啟動雨刷、調(diào)大冷風、踩下剎車、讓引擎熄火、令所有電子設備宕機等。幸好這兩位是白帽子黑客(指不做壞事的黑客)——他們是在通知了原廠商9個月后才對外公布Uconnect漏洞的。也許在不遠的將來,一輛無人駕駛汽車被恐怖分子劫持,加速撞向某個指定目標,這是否有可能發(fā)生? 明槍易躲,暗“劍”難防。人為刀俎,汝為魚肉。這是“暗劍”的顯著特點。 這些安全隱患皆源于軟件缺陷、賽博通道以及意想不到的疏漏。設備太多,防護太少。防不勝防。 木馬植入之 “毒劍” 木馬病毒植入最具代表性的案例,當屬大規(guī)模破壞了伊朗濃縮鈾工廠離心機的“震網(wǎng)”病毒。 伊朗濃縮鈾工廠的離心機是仿制的法國老產(chǎn)品,加工精度差,承壓性差,只能低速運轉(zhuǎn),而且是完全物理隔離的。但是,美以情報部門通過長時間的研究與合作,設計出了最強的“震網(wǎng)”病毒,通過加速旋轉(zhuǎn)摧毀了大批離心機,“效果比全炸毀還好”,主要步驟可謂精心設計。 無形植入:通過感染所有潛在工作者(如西門子員工)的U盤,病毒不知不覺被帶入工廠。伊朗方面會用查殺病毒軟件做常規(guī)檢測,但這種病毒根本查不出來。病毒悄悄嵌入系統(tǒng),使殺毒軟件看不到病毒文件名。如果殺毒軟件掃描U盤,木馬就修改掃描命令并返回一個正常的掃描結(jié)果! 感染傳播:利用電腦系統(tǒng)的.lnk漏洞、Windows鍵盤文件漏洞、打印緩沖漏洞來傳播病毒,8種感染方式確保電腦內(nèi)網(wǎng)上的病毒都會相互自動更新和互補。 動態(tài)隱藏:把所需的代碼存放在虛擬文件中,重寫系統(tǒng)的API(應用程序接口)以將自己藏入,每當系統(tǒng)有程序訪問這些API時就會將病毒代碼調(diào)入內(nèi)存。 內(nèi)存運行:病毒會在內(nèi)存中運行時自動判斷CPU負載情況,只在輕載時運行,以避免系統(tǒng)速度表現(xiàn)異常而被發(fā)現(xiàn)。關機后代碼消失,開機病毒重啟。 精選目標:由于鈾濃縮廠使用了西門子S7-315和S7-417兩個型號的PLC(可編程邏輯控制器),病毒就把它們作為目標。如果網(wǎng)內(nèi)沒有這兩種PLC,病毒就潛伏。如找到目標,病毒利用Step 7軟件中漏洞突破后臺權限,并感染數(shù)據(jù)庫,于是所有使用該軟件連接數(shù)據(jù)庫的人的電腦和U盤都被感染,他們都變成了病毒輸送者。 巧妙攻擊:在難以察覺中,病毒對其選中的某些離心機進行加速,讓離心機承受不可承受的高轉(zhuǎn)速而損毀。初期伊朗人還以為這種損壞僅僅是設備本身的質(zhì)量問題,直到發(fā)現(xiàn)大量設備損毀之后,才醒悟過來,但為時已晚。 2017年5月13日,坊間被一款名為WanaCrypt0r 2.0的比特幣勒索病毒爆發(fā)的消息刷屏,該病毒大規(guī)模集中爆發(fā)于英國醫(yī)療機構(gòu)以及中國高校。一時間,人人自危,談勒索病毒色變。剛剛應對完過去這一波勒索病毒,很多人還沒有喘過氣來,當年6月27日晚間,一波大規(guī)模PetyaWrap勒索蠕蟲病毒攻擊再度席卷全球。近百個國家的政府部門、銀行、電力系統(tǒng)、通信系統(tǒng)、企業(yè)以及機場等都不同程度地受到影響。不少依靠網(wǎng)絡設備進行“無紙辦公”的政府部門,重新用上了紙文件,加油站、醫(yī)療設備停止運行,待搶救的病人只能等死。 劍上涂毒,見血封喉;偽裝潛伏,擇機爆發(fā)。這是“毒劍”的顯著特點。 由此可見,軟件的漏洞讓諸如“震網(wǎng)”這類病毒變得無比狡猾,且讓病毒攻擊變得很有針對性。誰能說賽博通道是安全的?誰又能說在我國某地或某企業(yè)的內(nèi)網(wǎng)中,一定沒有類似“震網(wǎng)”病毒存在呢? 軟件后門之 “陰劍” 目前國內(nèi)在用的工業(yè)軟件中,國外的軟件普遍具有明顯優(yōu)勢。在大型央企、國企、民企等關鍵企業(yè)中,國外軟件占據(jù)壟斷地位。這些軟件多數(shù)為美、歐、日等西方發(fā)達國家開發(fā),并且絕大多數(shù)對中國客戶不開放源代碼,特別是近年來這些軟件又都融合了互聯(lián)網(wǎng)技術。 根據(jù)筆者多年來在企業(yè)調(diào)研和在市場上觀察到的種種現(xiàn)象,在泄露商業(yè)機密和軍工機密的案例中,除了國外黑客網(wǎng)絡攻擊和木馬病毒植入之外,國外軟件的數(shù)據(jù)“走后門”現(xiàn)象也十分普遍。這種現(xiàn)象大致源于兩種情況: 一是軟件原廠商為了改進產(chǎn)品質(zhì)量,對用戶使用軟件產(chǎn)品的情況進行跟蹤。廠商希望通過收集使用大數(shù)據(jù),找出用戶的使用習慣和操作不便之處,以便在后期版本中改進軟件功能。這種收集數(shù)據(jù)的出發(fā)點是善意的,通常也用“是否愿意加入XX產(chǎn)品的改進計劃”的名義問詢用戶的意愿。 二是完全出于某種不可告人的目的,特定設計的軟件“后門”。如果安裝使用軟件的電腦是聯(lián)網(wǎng)的,那么某些“廠商所需數(shù)據(jù)”就在以某種觸發(fā)機制(如按照累積量)隨機或定時發(fā)送。如果電腦是不聯(lián)網(wǎng)(如物理隔絕)的,那么就伺機尋找網(wǎng)絡發(fā)送。其實這種發(fā)送機制已經(jīng)就是“明偷暗搶”了。只不過,用戶可能知道,也可能不知道,即使知道了也沒辦法制止。因為軟件代碼都是不可見的二進制執(zhí)行代碼,通常很難查出這種后門發(fā)送數(shù)據(jù)的代碼處于軟件中的位置。 陰損之劍,殺人無形;每日一劍,傷皮放血。這是“陰劍”的顯著特點。 企業(yè)里的各種殺毒軟件,對軟件后門是發(fā)現(xiàn)不了的,因為軟件后門并非病毒,而是前門緊閉,后門洞開,開門揖盜。長此以往,情況就會變得嚴重。國外軟件廠商(和情報部門)甚至能對央企、國企的人事變動、管理規(guī)章、內(nèi)部報價、產(chǎn)品數(shù)據(jù)、合同文本、談判條款等機密數(shù)據(jù)一清二楚,即使在服務器物理隔絕的狀態(tài)下,有些數(shù)據(jù)仍可能外泄。 為錢賣鑰之 “鬼劍“ 6月25日,發(fā)生在兩年前的國內(nèi)一個工程領域的盜竊大案宣判,案值涉及近10億元,首犯僅判4年半,內(nèi)鬼獲刑兩年半。 事情起源于2016年3月,國內(nèi)某工程機械企業(yè)不斷接到各地分公司反饋稱,多臺已銷售出的設備突然失聯(lián),從該企業(yè)的控制大屏幕上莫名其妙地“消失”了。隨后,“消失”的設備越來越多,數(shù)量多達千臺,價值近10億元。 該企業(yè)檢查發(fā)現(xiàn),連接設備的遠程監(jiān)控系統(tǒng)(簡稱ECC系統(tǒng))被人非法解鎖破壞,使該企業(yè)對在外的工程機械設備失去了網(wǎng)絡監(jiān)控能力。 國內(nèi)大部分工程機械企業(yè)都會在泵車中安裝類似的遠程操控系統(tǒng),系統(tǒng)內(nèi)置的傳感器會把泵車的GPS位置信息、耗油、機器運行時間等數(shù)據(jù)傳回總部。因為這類大型設備較為昂貴,客戶很難一次全款買斷,往往采用“按揭銷售”的形式購買:泵車開機干活就付錢,停機就無需付費,這原本是一個對雙方都有利的“結(jié)果經(jīng)濟”模式。工程機械企業(yè)對泵車的基本控制思路是,如果客戶每個月正常還款,則泵車運行正常;如果還款延后,泵車的運行效率會降為正常情況下的30%至50%;如果一再拖延,泵車就會被鎖死,無法運轉(zhuǎn)。 警方發(fā)現(xiàn),破壞ECC系統(tǒng)的是一群熟知系統(tǒng)后臺操作的團伙成員。其中一名成員竟然是該企業(yè)在職員工。另一名成員雖然在2013年離職,但同為熟知ECC系統(tǒng)操作的技術人員。他們合伙利用ECC系統(tǒng)的軟件漏洞進行遠程解鎖,幾分鐘就可以解鎖一臺設備GPS,非法獲利一兩萬元。該團伙一而再再而三地作案,最終釀成震驚全國的大案。 家有內(nèi)鬼,鬼必作祟;“鬼劍”刺處,機失難追。這是“鬼劍”的顯著特點。 再好、再嚴密的設備防御措施,也禁不住內(nèi)鬼為錢賣鑰,貪財解鎖。其實,無論多么嚴密的設備上網(wǎng)防護措施,多么完美的加密算法,當人心有鬼時,防護都可以破解。最可靠的加密鑰匙,是人心、制度和法律。 如果按照此案的涉案值而不是按照其獲利額度來判決的話,首犯起碼應該入獄10年以上。亂世用重典,如果此案重判,可能未來鮮有人敢做此事?磥恚c工聯(lián)網(wǎng)相適應的法律條款,仍然在不斷完善和修訂的路上。 后 記 賽博空間,誰主沉浮 設備聯(lián)網(wǎng)了,數(shù)據(jù)流通了,控制精準了,管理提升了……工聯(lián)網(wǎng)僅僅呈現(xiàn)這些正面美好的景象嗎?每遇重大判斷,筆者常做反向思考:萬物互聯(lián)的反面是什么?或如“禍兮福所倚,福兮禍所伏”。 顯然,4把達摩克利斯之劍高懸于工聯(lián)網(wǎng)之上。如果仔細尋找,恐怕還不止于此。 在對工聯(lián)網(wǎng)的認知中,太多人都在強調(diào):“網(wǎng)絡是基礎,平臺是核心,安全是保障!钡须y以合一,人有認知局限和惰性,往往后知后覺。劍不砍在自己身上,并不能體察徹骨之痛,亦難做到未雨綢繆。 病毒、黑客、后門、內(nèi)鬼,無論哪一把劍都足以讓企業(yè)鮮血淋漓。4種災害場景的區(qū)別僅僅是,企業(yè)感受到身上有多少道傷口,流了多少血,是否致命。 牛頓曾言:“給我一個支點,我可以撬動地球!苯袢艘嘌裕骸敖o我一個賽博通道,我可以隔空打牛!钡搅斯ぢ(lián)網(wǎng)時代,一切都可以互聯(lián)互通互操作,比特數(shù)據(jù)已經(jīng)可以往返太陽系邊緣,遍布全球的無數(shù)終端形成了無數(shù)賽博通道。 此間,究竟是誰來操控誰?筆者以為,一定是惡意侵入者操控毫無防范者,黑客高手操控技術菜鳥,賽博強國操控賽博弱國。無他。 若沒有技術金盾、嚴格內(nèi)控以及法律重典,工聯(lián)網(wǎng)就難有不破金身,也就難以健康發(fā)展。 |