中国自动化学会专家咨询工作委员会指定宣传媒体
新闻详情
isee-

美以制造零日漏洞病毒 利用“震网”攻入伊朗核电站

http://www.gkong.com 2011-11-14 11:35 来源:南方日报

   轻轻一按键盘,千里之外的城市里所有十字路口的绿灯都会同时亮起,愤怒的司机们围着相撞的汽车争执不休;银行里,存款会莫名其妙地被转移到其他账户;工厂里,所有的生产设备都亮起红灯,停止运转;互联网一团乱麻,陷入全面瘫痪……

  这些看起来像是科幻大片的场景,极有可能就在现实中出现。而中国,业已成为网络攻击的目标。

  不久前,在拉斯维加斯举行的黑客大会上,独立安全评测机构NSS Labs的研究人员Dillon Beresford专门向与会者演示了如何进攻中国重要基础行业正在使用的工控系统。

  工控系统是对专用设备进行遥控或自控的系统,被我国广泛使用,比如金融行业中的ATM及监控设备等,电力行业中的通信平台,通讯行业中的交换机和路由器,以及能源、水利、交通和军工等重要基础行业的相关设备。这意味着网络攻击已经从传统计算机网络拓宽到智能终端和工业控制电脑方向。

  为了应对网络攻击的挑战,广东省今年专门成立了广东省信息安全测评中心,承担全省基础信息网络和重要信息系统的信息安全漏洞发现、分析和信息通报、风险评估以及相关信息安全测评工作。

  APT攻击 黑客向RSA公司部分基层员工发了钓鱼邮件。邮件利用“零日漏洞”,一旦附件表格被打开,木马程序就进入系统。然后黑客披上“RSA员工”的马甲,在内网游荡寻找权限更高的账号。最终,RSA的SecurID密钥核心技术被盗。

  中间人攻击

  今年7月中旬,黑客入侵了荷兰DigiNotar公司网站,盗取并伪造了531个著名域名的安全证书。入侵者利用伪造证书可以侵入不同人的电子邮件和Skype账户,并在他们的电脑中安装监控软件。

  日前,南方日报记者就网络安全问题采访了多位国内权威的网络问题专家,他们说,在政治利益和商业利益的驱动下,近年来,黑客不断研发新的攻击方式,其中高级持续性威胁APT(Advanced Persistent Threat)攻击成为了当前黑客运用的主要攻击手段。

  APT将网络攻击提升到了一个更高的层次。从2009年以来,国际网络空间的APT攻击日益猖獗,无论是政府、大型基础设施还是信息安全厂商都深受其害。著名的“震网”病毒,就攻陷了伊朗的核设施设备;美国政府遭遇“维基泄密”,导致大量文件外泄;韩国农协银行被攻击;荷兰政府网站的CA证书被黑客伪造……

  “可以看出,政府、企业无不成其攻击的对象,强大如美国者也难以幸免。”国内一名不愿透露姓名的网络安全专家在接受南方日报采访时说。

  今年3月11日,美国老牌信息安全公司RSA遭到黑客攻击,主要安全产品SecurID被窃取。“这好比窃贼虽没进你的家,却偷走了你家防盗门的设计图。”

  一时间全美上下风声鹤唳,RSA的多家企业用户——军火商洛克希德-马丁、通讯服务商L-3通信、军用飞机厂商诺斯罗普•格鲁曼等行业巨头纷纷连夜升级安全系统。由于此事涉及多家美国军火企业,奥巴马甚至连夜赶到五角大楼听取事件相关报道。

  国内的网络安全问题专家向记者介绍了RSA被攻击的手法:黑客先向RSA公司的部分基层员工发出了名为“2011年招聘计划”的钓鱼邮件,该邮件利用了一个“零日漏洞”,一旦附件中的电子表格被打开,允许对电脑进行远程操控的木马程序就会进入系统。有了这样的木马,黑客就利用被感染的电脑,披上一件“RSA员工”的马甲,在内网中游荡并寻找权限更高的账号。最终,RSA的SecurID部分密钥核心技术被盗。

  由于SecurID硬件部署量为4000万台,移动设备数量为2.5亿部,美国五角大楼也在使用RSA的电子密钥技术,美国约有80%的银行使用了这种类型的安全标牌,而RSA占据了50%的市场。

  此外,网络黑客还可以通过“中间人攻击”的方式,直接攻入不同人的电子邮箱,只要他们愿意。

  今年7月中旬,黑客入侵了DigiNotar公司的网站,该公司是荷兰一家互联网信托服务供应商,也是荷兰政府网站唯一的CA(Certificate Authority)证书供应商。黑客入侵、盗取并伪造了531个著名域名的安全证书,涉及了Google、微软、雅虎、Twitter、Face book、美国FBI、英国军情六处和以色列摩萨德等。入侵者利用这些伪造的证书,不仅可以侵入任何人的电子邮件和Skype账户,还可以在他们的电脑中安装监控软件。荷兰政府认为使用DigiNotar的证书风险太高,因此决定废除其所有的证书。

  两样担心

  智能手机领域 今年8月,一家国外信息安全公司发现一种针对智能手机的恶性木马,可将用户通话录音并存储,最后发送到黑客指定的地址。当谷歌发现这种木马后,直接从几百个用户的手机上远程删除木马。看上去服务很贴心,但用户根本不知情。

  工业控制领域 目前工控电脑软件一般都是定制,不与外部互联。但黑客们可以通过局域网和USB接口传播,并定点干扰。

  最近几年,信息安全领域发生了巨大的变化,移动智能终端和工业控制系统成为了新的信息安全战场。

  拥有无数应用程序的iPhone和安卓等智能手机在国内拥有很高的人气,精英人士基本人手一台甚至两台。但是,“这些华丽的手机背后,却存在着巨大的安全漏洞。”网络安全问题专家说,这种手机是个自由度很高的开源平台,任何人都可以通过应用商店发布软件。虽然有审核制度,但是难免百密一疏,放过一些恶意软件。这些恶意软件一旦进入手机,轻则大肆占用网络流量来骗取费用,重则窃取用户个人数据。今年8月,一家国外信息安全公司发现一种针对该智能手机的恶性木马,可以对用户的全部通话进行录音并存储下来,最后发送到黑客指定的地址。

  “当谷歌发现这种木马后,处理方式是直接从几百个用户的手机上远程把这些木马删除了。有些人也许觉得这种服务很贴心,但从另一个角度来看,在用户不知情的情况下谷歌就能删除软件,那么如果它想做些别的事情呢?”该专家说。

  恶意软件之外,系统提供商本身也可能成为信息安全的威胁。“iOS和安卓都会对用户的操作进行秘密记录,从而提升用户体验。但是用户对系统提供商如何应用这些数据并不能进行有效的监控。如果系统提供商出卖了这些数据,那么用户就变成了透明人。你在哪里?做过什么?跟谁聊过天?全都一清二楚。”专家说,正是由于这些原因,苹果和谷歌等公司在部分国家陷入了争议和诉讼之中。

  工业控制领域同样危机四伏。工厂使用的控制电脑的软件一般都是特别定制版,而且不与外部互联网联通。但是黑客们“道高一尺,魔高一丈”——他们可以通过局域网和USB接口传播,并定点干扰工业控制软件的病毒。

  美国早已经意识到了重要基础设施的问题,早在10年前,美国就已经发布安全战略,关注关键基础设施的安全问题。去年5月21日,五角大楼更宣布成立美军网络司令部,国家安全局局长、四星上将凯西•亚历山大兼任司令,下辖2万余人。这标志着美军正式把网络作战纳入体系。今年美国又连颁两份网际空间战略,把网际空间视为陆、海、空、天之外的“第五度空间”。

  与踌躇满志的美国相比,我国的信息安全领域基础要薄弱得多。“一句话——全面危急。网络空间是人造空间,但是归根结底是美国的人造空间。我们使用的硬件和软件大部分都来自美国。”

  不过我国很早就意识到这一问题,近几年一直提倡“自主可控”,发展国有技术。另一方面,我国在信息安全建设上也开始加快步伐,尤其广东作为信息化建设发展最快的省份,针对信息安全,今年专门成立了广东省信息安全测评中心,为广东省企事业单位的信息化建设提供可靠的安全服务。

  两种攻击

  零日漏洞

  词典:

  “零日漏洞”(0-day vulnerability),本意指刚刚被发现的软件漏洞。由于软件开发商和安全公司都还未得知“零日漏洞”的存在,从而进行对应的升级,黑客们就利用它们发起网络攻击,成功率非常高。

  这个词还泛指那些被发现但是尚未公开的漏洞。因为,这样的漏洞在被黑客利用时,和字面意义的“零日漏洞”并无区别。

  发现零日漏洞的数量可以间接反映一个国家在信息安全领域的实力。

  据称病毒系美以制造,开启网络战时代

  “震网”借助优盘

  攻入伊朗核电站

  ■案例

  近年来的黑客攻击事件频发,“但最具有划时代意义的事件莫过于2010年的伊朗‘震网’病毒事件,标志着电脑病毒作为一种武器正式登上战场。”国内一位网络安全问题专家说,这也代表了中国业界的看法。

  2010年9月,伊朗称布什尔核电站部分员工电脑感染了一种名为“震网(Stuxnet)”的超级电脑病毒。这种病毒可以悄无声息地潜伏和传播,并对特定的西门子工业电脑进行破坏。万幸的是,这次电站主控电脑并未感染。

  该专家说:“据国外媒体报道,该病毒是美国和以色列两国政府联手在美国的一个实验室研制成功的,2008年开始研制,2010年正式投放到了伊朗。”

  首先,“震网”具有极强的针对性。它会自动依据被感染电脑的语言、IP地址、生产厂商等条件进行判断,如果不是位于伊朗境内的西门子工业电脑,它就会悄悄潜伏起来,以免引起杀毒软件的反应。

  其次,这种病毒的渗透力非常可怕。为了防止被病毒感染,工业控制电脑往往自成体系,不通过网络与外界联接,这种做法称为“物理隔离”。有时候,物理隔离会让很多部门产生麻痹思想。“震网”正是利用了这种心态——一开始,它静静地潜伏在普通的个人电脑上,通过USB接口无声无息地感染着一个个优盘,直到某天某个粗心大意的家伙把被感染的优盘插到核电站里的某台电脑上,“震网”就会通过打印机等设备快速感染整个局域网。

  最可怕的一点是“震网”强大的破坏力。由于攻击目标是与外界物理隔离的工业电脑,因此“震网”并不以盗窃信息为首要目标,而是“自杀式攻击”——利用一些漏洞伪装自己,夺取控制权,随后向该电脑控制的工业设备传递错误命令,令整个系统自我毁灭。西门子工业系统广泛应用于水利、核能、交通等关键领域,一旦被类似“震网”的病毒劫持,后果不堪设想。

  业内人士称,“震网”的出现,标志着网络攻击对象已经从传统的计算机网络拓展到工业控制系统。

  建立安全系统,培训员工安全意识,个人密码要不时更换

  企业需要提升

  自身安全能力

  ■两招应对

  针对目前全球的信息安全问题,南方日报记者专门采访了广东省信息安全测评中心主任助理骆林勇。

  “相对于欧美的企业和政府已经建立起了完整的安全网络系统,我国大多数企业信息安全还处于逐步建设的阶段,重点聚焦的是通过信息安全产品和技术建立保障体系。”骆林勇说。

  他说,信息安全技术保障并不等同于信息安全能力的提升。如果过于强调技术而忽视管理和对人员意识的培育,会导致信息安全技术保障体系形同虚设。黑客往往利用社会工程学的“六度空间”(意思是在全世界任何两个人之间建立联系,最多只需要经过6个人)进行攻击。或许一个人不是机密信息持有者,但黑客可以用他作跳板去找到那些更关键的人。所以说,企业所有人员的安全教育都很重要。

  “而对于个人来说,最重要的是洁身自好,少上非法网站。”骆林勇说。此外,他还建议:密码要不时地换一下;系统要勤升级,打好补丁;不要上一些不良网站;收到陌生邮件和链接都不要随便打开。

版权所有 中华工控网 Copyright©2024 Gkong.com, All Rights Reserved