上週,國土安全部披露了一系列針對天然氣管道公司的網路攻擊。與之前的基礎設施網路攻擊一樣,沒有發生已知的物理損壞。但安全專家擔心這可能只是時間問題。
儘管人們普遍認為管道和其他關鍵系統容易受到諸如“震網”之類的病毒的攻擊,但保護這些系統的努力卻停滯不前。“震網”是一種神秘的蠕蟲病毒,兩年前曾對伊朗的核計劃造成嚴重破壞。
這種類似弗蘭肯斯坦的病毒感染了一種普遍存在的工業控制器——從管道到電網,世界各地的各種裝置都在使用它。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過 訂閱來支援我們屢獲殊榮的新聞事業。透過購買訂閱,您正在幫助確保有關當今世界塑造的發現和想法的具有影響力的故事的未來。
專家表示,製造商尚未修復這些基本但晦澀的裝置中的安全漏洞。
為什麼沒有采取更多措施?這就是為什麼“震網”仍然是國家安全的首要風險的原因。
問:到底什麼是“震網”?
當“震網”入侵伊朗非法核計劃中控制鈾離心機的計算機時,它首次成為頭條新聞。它的自我複製計算機程式碼通常透過任何人都可以插入計算機的快閃記憶體驅動器傳輸。一旦啟用,該病毒會導致伊朗的離心機失控旋轉,同時使技術人員認為一切正常——想想銀行搶劫電影中的一個場景,搶劫犯在潛入金庫時迴圈播放舊的監控錄影。
問:是誰建立的?
無論誰知道這個問題的答案都沒有透露——但如果網路安全研究人員、伊朗政府和直言不諱的網際網路使用者所言屬實,那麼兩個主要嫌疑人是美國和以色列政府。
問:它是如何工作的?
“震網”尋找被稱為可程式設計邏輯控制器或 PLC 的小型灰色計算機。PLC 的大小和形狀與一包香菸相似,用於從椒鹽捲餅工廠到核電站的工業環境中。不幸的是,安全研究人員表示,這些裝置的密碼要求通常很弱,從而為“震網”(或其他病毒)可以利用的機會創造了條件。西門子製造了執行伊朗離心機的 PLC;其他製造商包括 Modicon 和 Allen Bradley。一旦透過執行 Microsoft Windows 的計算機引入,“震網”就會尋找它可以控制的 PLC。
問:問題有多嚴重?
全球正在使用數百萬個 PLC,而西門子是排名前五的供應商之一。
問:在伊朗事件之後,西門子是否修復了其裝置?
西門子釋出了一個軟體工具,供使用者檢測和刪除“震網”病毒,並鼓勵其客戶在伊朗襲擊事件公開後儘快安裝微軟為其 Windows 系統釋出的修復程式(大多數 PLC 都是透過執行 Windows 的計算機進行程式設計的)。它還計劃為其 PLC 釋出一種名為通訊處理器的新硬體,以使其更加安全——儘管尚不清楚新的處理器是否會修復“震網”利用的具體問題。與此同時,該公司承認其 PLC 仍然容易受到攻擊——在向ProPublica 發表的宣告中,西門子表示不可能防範每一次可能的攻擊。
問:只有西門子存在問題嗎?
來自安全研究公司 NSS 實驗室的研究人員指出,其他公司製造的邏輯控制器也存在缺陷。一家名為 Digital Bond 的諮詢公司的研究人員在今年早些時候釋出了一些針對常用 PLC 的程式碼時,使用了“震網”的一些技術,從而更加引起了人們對這個問題的關注。關鍵的漏洞是密碼強度——連線到企業網路或網際網路的 PLC 經常被完全暴露,Digital Bond 執行長 Dale Peterson 表示。
問:是什麼讓這些系統如此難以保護?
與任何計算機產品一樣,工業控制系統也存在程式設計師無法預見的錯誤。政府官員和安全研究人員表示,關鍵系統絕不應該連線到網際網路——儘管它們經常被連線。但是,對於運營水、電力、運輸和其他系統的公司來說,接入網際網路很方便且可以節省資金。
問:成本是一個問題嗎?
政府和私營部門的研究人員表示,系統製造商不願修補其產品的舊版本。公用事業公司和其他運營商不想花錢更換看起來執行良好的系統。電子前沿基金會的 Dan Auerbach(以前是 Google 的一名安全工程師)表示,科技公司快速釋出產品的壓力有時會勝過安全性。“存在激勵問題,”他說。
問:政府在做什麼?
能源部和國土安全部的計算機緊急響應小組(CERT)與基礎設施所有者、運營商和供應商合作,以預防和應對網路威脅。政府資助實驗室的研究人員還會評估威脅並推薦修復程式。但是政府機構不能——也不會試圖——強迫系統供應商修復錯誤。
唯一的國家網路安全法規是聯邦能源管理委員會批准的一套八項標準——但這僅適用於高壓電力生產商。能源部去年的一份審計報告得出結論,認為這些標準薄弱且執行不力。
問:那麼國會正在介入嗎?
網路安全一直是一個備受爭議的問題。包括《網路情報共享和保護法案》在內的主要法案將使政府和私營部門能夠共享更多威脅資訊。但是,儘管 CISPA 和其他法案賦予國土安全部和其他機構更多權力來監控問題,但它們都採取自願的方式。
“我的一些同事說,除非發生非常糟糕的事情,否則一切都不會改變,”Peterson 說,他的諮詢公司暴露了漏洞。“我希望這不是真的。”
問:奧巴馬政府想要什麼?
白宮呼籲立法,鼓勵私營公司在遭遇網路入侵後通知政府機構,並建議私營公司保護自己的系統免受駭客攻擊。但是,白宮並未要求對私營部門實施強制性的網路安全標準。
摘自 ProPublica.org(在此處找到原始故事);經許可轉載。