去年,有訊息稱一種計算機病毒已經設法潛入伊朗高度安全的核濃縮設施。大多數病毒會毫無偏見地繁殖,但“震網”病毒的目標非常明確——一個未連線到網際網路的目標。“震網”病毒被植入一個USB快閃記憶體盤中,該快閃記憶體盤被交給一位毫無戒心的技術人員,後者將其插入安全設施中的一臺計算機。一旦進入,病毒就會悄無聲息地傳播數月,尋找一臺連線到普通機械裝置的計算機:可程式設計邏輯控制器,這是一種特殊的微電子裝置集合,通常控制工業的齒輪——閥門、齒輪、馬達和開關。當“震網”病毒識別出它的獵物時,它悄無聲息地潛入並奪取了控制權。
被攻擊的目標控制器連線到伊朗核野心核心的離心機。需要數千臺這樣的離心機將鈾礦加工成製造核武器所需的高度濃縮鈾。在正常執行條件下,離心機的轉速非常快,以至於其外邊緣的執行速度略低於音速。科學與國際安全研究所 12 月份的一份報告稱,“震網”病毒將這一速度提高到接近每小時 1000 英里,超過了轉子可能解體的速度。與此同時,“震網”病毒向控制系統傳送虛假訊號,表明一切正常。儘管伊朗核計劃遭受的損害程度仍然不明朗,但該報告指出,伊朗不得不在 2009 年末或 2010 年初更換了納坦茲濃縮設施的約 1000 臺離心機。
“震網”病毒表明,常見的工業機器在多大程度上容易受到電子攻擊的威脅。該病毒攻擊並摧毀了本應安全的裝置,同時躲避檢測長達數月之久。它為流氓國家或恐怖組織可能如何在世界任何地方使用類似技術攻擊關鍵民用基礎設施提供了一個令人沮喪的藍圖。
支援科學新聞事業
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞事業 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
不幸的是,電網比任何核濃縮設施都更容易入侵。我們可能認為電網是一個巨大的電路,但實際上,電網是由數千個相隔數百英里的元件以精確的協調方式組成的。流入電網的電力供應必須與需求同步升降。發電機必須以精確的協調方式分配能量,與電網其餘部分所遵循的每秒 60 週期節拍保持一致。雖然任何單個元件的故障對這個龐大的電路的影響有限,但對電網多個點進行協調的網路攻擊可能會嚴重損壞裝置,以至於我們國家發電和輸電的能力將在數週甚至數月內受到嚴重損害。
考慮到電網的規模和複雜性,協調攻擊可能需要大量的時間和精力才能發起。“震網”病毒可能是迄今為止見過的最先進的計算機病毒,這導致人們猜測它是以色列或美國情報機構——或兩者兼而有之——的傑作。但是,“震網”病毒的程式碼現在可以在網際網路上獲得,這增加了流氓組織可能對其進行定製以攻擊新目標的可能性。像基地組織這樣技術不太精湛的組織目前可能沒有能力對電網造成重大損害,但在中國或前蘇聯僱傭的駭客可能有能力。我們早就應該確保國家的電力供應安全了。
入侵
一年前,我參加了一次測試演習,該演習的中心是一個虛構的針對電網的網路攻擊。參與者包括來自公用事業公司、美國政府機構和軍方的代表。(軍事基地依賴商業電網供電,五角大樓並沒有忽視這一事實。)在測試場景中,惡意代理人入侵了多個輸電變電站,破壞了專門且昂貴的裝置,這些裝置確保電壓在電力流經長距離高壓輸電線路時保持恆定。到演習結束時,已有六個裝置被摧毀,導致美國西部的一個州停電數週。
計算機控制著電網各個層級的機械裝置,從化石燃料或鈾驅動的大型發電機,一直到您街道上的輸電線路。這些計算機中的大多數使用常見的作業系統,如 Windows 和 Linux,這使得它們與您的臺式 PC 一樣容易受到惡意軟體的攻擊。“震網”等攻擊程式碼之所以成功,主要有三個原因:這些作業系統預設信任正在執行的軟體是合法的;它們通常存在漏洞,允許惡意程式滲透;工業環境通常不允許使用現成的防禦措施。
即使知道所有這些,普通的控制系統工程師也曾經斷然否定遠端啟動的惡意軟體接近關鍵控制器的可能性,認為該系統未直接連線到網際網路。然後,“震網”病毒表明,與任何其他事物沒有永久連線的控制網路仍然容易受到攻擊。例如,惡意軟體可以搭乘技術人員插入控制系統的 USB 快閃記憶體盤的便車。當涉及到關鍵電子電路時,即使是最小的後門也可能讓有進取心的竊賊進入。
以輸電變電站為例,它是電力從發電廠到您家中的途中的一箇中轉站。變電站接收來自一個或多個發電廠的高壓電,降低電壓,並將電力分成多條輸出線路以進行本地分配。斷路器保護著這些線路中的每一條,隨時準備在發生故障時切斷電源。當一條輸出線路的斷路器跳閘時,它本應承載的所有電力都會流向其餘線路。不難看出,如果所有線路都以接近其容量的功率執行,那麼一次網路攻擊導致一半輸出線路跳閘並保持其餘線路在電路中,可能會使它們過載。
這些斷路器歷來由連線到電話調變解調器的裝置控制,以便技術人員可以撥入。找到這些號碼並不困難;駭客在 30 年前就發明了程式,可以撥打交換機內的所有電話號碼,並記下調變解調器響應的號碼。變電站中的調變解調器通常在其撥號響應中包含一條獨特的訊息,揭示其功能。再加上薄弱的身份驗證手段(例如眾所周知的密碼或根本沒有密碼),攻擊者可以使用這些調變解調器來入侵變電站的網路。從那裡,可以更改裝置配置,以便忽略原本會開啟斷路器以保護裝置的危險狀況。
新系統不一定比調變解調器更安全。越來越多的部署在變電站中的新裝置可能會透過低功率無線電相互通訊,而無線電不會止步於變電站的邊界。攻擊者只需躲在附近的灌木叢中,用他的計算機就可以訪問網路。加密的 Wi-Fi 網路更安全,但經驗豐富的攻擊者仍然可以使用現成的軟體工具破解其加密。從這裡,他可以執行中間人攻擊,使兩個合法裝置之間的所有通訊都透過他的計算機,或者欺騙其他裝置接受他的計算機為合法裝置。他可以精心製作惡意控制訊息,劫持斷路器——可能跳閘精心挑選的幾個以使其他線路過載,或者確保它們在緊急情況下不會跳閘。
一旦入侵者或惡意軟體通過後門潛入,它的第一步通常是儘可能廣泛地傳播。“震網”病毒再次說明了一些眾所周知的策略。它透過使用一種名為 autoexec 的作業系統機制來擴散。Windows 計算機每次有新使用者登入時都會讀取並執行名為 AUTOEXEC.BAT 的檔案。通常,該程式會查詢印表機驅動程式、執行病毒掃描或執行其他基本功能。然而,Windows 假定任何具有正確名稱的程式都是受信任的程式碼。因此,駭客會找到更改 AUTOEXEC.BAT 檔案的方法,以便它執行攻擊者的程式碼。
攻擊者還可以使用巧妙的方法來利用電力行業的經濟性。由於放松管制,競爭的公用事業公司共同承擔電網運營的責任。電力的產生、傳輸和分配都根據線上拍賣獲得的合同進行。這些市場在多個時間尺度上運作——一個市場可能交易即時交付的能源,另一個市場可能交易明日需求的能源。公用事業公司的業務部門必須從其運營部門獲得持續的即時資訊流,才能進行明智的交易。(反之亦然:運營部門需要知道他們需要生產多少電力才能滿足業務部門的訂單。)這裡的漏洞就在於此。有進取心的駭客可能會入侵業務網路,找出使用者名稱和密碼,並使用這些被盜的身份來訪問運營網路。
其他攻擊可能會透過利用嵌入在檔案中的稱為指令碼的小程式來傳播。這些指令碼無處不在——例如,PDF 檔案通常包含有助於檔案顯示的指令碼——但它們也存在潛在危險。一家計算機安全公司最近估計,超過 60% 的定向攻擊都使用了隱藏在 PDF 檔案中的指令碼。僅僅閱讀一個損壞的檔案就可能讓攻擊者進入您的計算機。
考慮這樣一種假設情況:一個潛在的電網攻擊者首先滲透到軟體供應商的網站,並將線上手冊替換為惡意手冊,該手冊看起來與第一個手冊完全相同。然後,網路攻擊者向發電廠的工程師傳送一封偽造的電子郵件,誘騙工程師獲取並開啟帶有陷阱的手冊。僅僅透過線上下載更新的軟體手冊,這位不知情的工程師就向特洛伊木馬打開了發電廠的大門。一旦進入,攻擊就開始了。
搜尋與摧毀
控制網路上的入侵者可以發出可能造成災難性後果的命令。2007 年,美國國土安全部在愛達荷國家實驗室上演了一場代號為“極光”的網路攻擊演習。在演習期間,一名冒充惡意駭客的研究人員設法進入了一個連線到中型發電機的網路。像所有發電機一樣,它產生幾乎正好以每秒 60 週期執行的交流電。在每個週期中,電子流的流動方向首先朝一個方向移動,然後反轉方向,然後返回到其原始狀態。發電機必須在與電網其餘部分完全相同的時間以完全相同的方向移動電子。
在“極光”攻擊期間,我們的駭客向實驗室測試發電機的斷路器發出了一連串快速的開/關命令。這使其與電網自身的振盪失去同步。電網朝一個方向拉,發電機朝另一個方向拉。實際上,發電機的機械慣性與電網的電氣慣性作鬥爭。發電機輸了。解密影片顯示,這個龐大的鋼鐵機器顫抖著,彷彿一列火車撞上了建築物。幾秒鐘後,蒸汽和煙霧充滿了房間。
當工業系統超出其極限時,也可能發生故障——當離心機轉速過快時,它們會解體。同樣,攻擊者可能會使發電機產生超過輸電線路承載極限的電湧。過多的電力將不得不以熱量的形式逸出。足夠多的過量電力持續足夠長的時間會導致線路下垂並最終熔化。如果下垂的線路與任何東西(樹木、廣告牌、房屋)接觸,都可能造成大規模短路。
保護繼電器通常可以防止這些短路,但網路攻擊可能會干擾繼電器的正常工作,這意味著會造成損壞。此外,網路攻擊還可能更改傳送到控制站的資訊,使操作員不知道發生了任何異常情況。我們都看過電影,其中騙子向警衛傳送虛假的影片資訊。
控制站也容易受到攻擊。這些是帶有巨型顯示屏的指揮和控制室,就像《奇愛博士》中的作戰室一樣。控制站操作員使用顯示屏來監控從變電站收集的資料,然後發出命令來更改變電站控制設定。這些站點通常負責監控分佈在一個州大部分地區的數百個變電站。
控制站和變電站之間的資料通訊使用專門的協議,這些協議本身可能存在漏洞。如果入侵者成功發起中間人攻擊,則該個人可以將訊息插入到交換中(或破壞現有訊息),從而導致兩端計算機中的一臺或兩臺發生故障。攻擊者也可以嘗試僅注入格式正確但與上下文無關的訊息——一種數字上的不合邏輯,導致機器崩潰。
攻擊者也可能只是試圖延遲控制站和變電站之間傳輸的訊息。通常,變電站對電力流量的測量與控制站使用該資料來調整流量之間的時間延遲很小——否則,就像開車時只能看到 10 秒鐘前的位置一樣。(這種缺乏態勢感知是 2003 年東北部大停電的原因之一。)
許多此類攻擊不需要“震網”等花哨的軟體,而僅僅是標準的駭客工具包。例如,駭客經常控制數千甚至數百萬臺普通 PC 的網路(殭屍網路),然後指示它們執行他們的命令。最簡單的殭屍網路攻擊型別是用虛假訊息淹沒普通網站,阻止或減慢普通訊息流。這些“拒絕服務”攻擊也可用於減慢控制站和變電站之間移動的流量。
殭屍網路也可能在變電站計算機本身中紮根。2009 年的某個時候,“Conficker”殭屍網路已滲透到 1000 萬臺計算機中;控制它的個人(尚未知)可以命令它擦除網路中每臺計算機的硬碟,並聽從命令。像“Conficker”這樣的殭屍網路可以在變電站內建立自身,然後讓其控制器指示它們在任何時間同時執行任何操作。根據賓夕法尼亞州立大學和科羅拉多州戈爾登市國家可再生能源實驗室的研究人員在 2004 年進行的一項研究,攻擊導致精心挑選的少數輸電變電站(約佔總數的 2%,即總共 200 個)癱瘓,將導致 60% 的電網癱瘓。損失 8% 將引發全國範圍的停電。
應該怎麼做
當微軟瞭解到其 Windows 軟體中存在潛在的安全漏洞時,通常會發布軟體補丁。世界各地的個人使用者和 IT 部門下載補丁,更新其軟體並保護自己免受威脅。不幸的是,在電網上,事情並非如此簡單。
雖然電網使用與世界其他地方相同型別的現成硬體和軟體,但發電站的 IT 管理員不能簡單地在出現漏洞時修補有缺陷的軟體。電網控制系統不能每週停機三小時進行維護;它們必須持續執行。電網運營商也具有根深蒂固的制度保守主義。控制網路已經存在很長時間了,運營商對其工作方式既熟悉又舒適。他們傾向於避免任何威脅可用性或可能干擾正常執行的事情。
面對明確而迫在眉睫的危險,北美電力可靠性公司 (NERC)(電網運營商的傘式機構)制定了一套旨在保護關鍵基礎設施的標準。現在要求公用事業公司識別其關鍵資產,並向 NERC 指定的審計員證明他們可以保護這些資產免受未經授權的訪問。
然而,安全審計就像財務審計一樣,不可能做到詳盡無遺。當審計深入技術細節時,也只是有選擇性地進行。合規性取決於審計員的看法。
最常見的保護策略是採用電子安全邊界,這是一種網路安全馬奇諾防線。第一道防線是防火牆,這是一種所有電子訊息都必須透過的裝置。每條訊息都有一個標頭,指示訊息的來源、去向以及用於解釋訊息的協議。根據這些資訊,防火牆允許某些訊息透過,而阻止其他訊息。審計員的工作部分是確保公用事業公司中的防火牆配置正確,以便它們不會讓任何不需要的流量進入或流出。通常,審計員會識別出一些關鍵資產,獲取防火牆配置檔案,並嘗試手動梳理駭客可能突破防火牆的方式。
然而,防火牆非常複雜,審計員很難解析所有無數的可能性。自動化軟體工具可能會有所幫助。我們在伊利諾伊大學厄巴納-香檳分校的團隊開發了網路訪問策略工具,該工具目前正被公用事業公司和評估團隊使用。該軟體只需要公用事業公司的防火牆配置檔案——甚至不需要連線到網路。它已經發現了一些未知的或長期被遺忘的路徑,攻擊者可能已經利用了這些路徑。
美國能源部已經發布了一個路線圖,其中列出了到 2015 年加強電網安全的戰略。(今年到期的修訂版將此截止日期延長至 2020 年。)一個重點是:建立一個能夠識別入侵企圖並自動做出反應的系統。這將阻止類似“震網”病毒從 USB 快閃記憶體盤跳轉。但是,作業系統如何知道哪些程式是值得信任的?
一種解決方案是使用單向雜湊函式,這是一種密碼學技術。雜湊函式採用一個非常大的數字——例如,計算機程式的所有數百萬個 1 和 0,表示為一個數字——並將其轉換為一個較小的數字,該數字充當簽名。由於程式非常大,因此兩個不同的程式不太可能產生相同的簽名值。假設每個想要在系統上執行的程式都必須首先透過雜湊函式。然後,將其簽名與主列表進行檢查;如果檢查不透過,攻擊就會在那裡停止。
美國能源部還建議其他安全措施,例如在操作員工作站進行物理安全檢查(想想身份證中的無線電晶片)。它還強調需要加強對網路內部裝置之間通訊的控制。2007 年的“極光”演示涉及一個惡意裝置欺騙發電機的網路,使其相信它正在傳送權威命令。這些命令最終導致了發電機的損壞。
這些有價值的步驟將需要時間和金錢和精力。如果我們要在未來十年內實現美國能源部關於更安全電網的路線圖,我們就必須加快步伐。讓我們希望我們還有那麼多時間。