本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
1999年,一位名叫凱文·阿什頓的技術經理創造了“物聯網”一詞。它是為了表達這樣一個事實:並非所有連線到網際網路的東西都是透過人類敲擊鍵盤來生成資料的。今天,這些“事物”現在包括我們國家關鍵基礎設施的組成部分,透過所謂的SCADA(監控和資料採集)系統或ICS(工業控制系統)。不幸的是,這些系統可能像我們的筆記型電腦一樣容易受到攻擊。
由於這些系統對於普通網際網路使用者來說並不明顯,因此透過默默無聞來保護這些系統直到最近才奏效。然而,現在已經無處可藏。許多人知道,如果使用“高階運算子”進行查詢,像谷歌這樣的搜尋引擎可以揭示暴露的裝置。對於像Shodan這樣的搜尋引擎來說,這變得更加簡單,這些搜尋引擎專門用於幫助定位暴露的網路攝像頭、路由器等,但同樣可以輕鬆地揭示SCADA系統。
不直接連線到網際網路也不能保證安全。通常情況下,可以使用“轉椅介面”間接訪問未受保護的控制系統,在這種情況下,可以說服人類將網際網路上的內容傳輸到自動化系統,反之亦然。
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們今天世界的發現和想法的具有影響力的故事的未來。
2010年,我們看到了即使是最安全的“氣隙”也可能被突破,當時伊朗納坦茲核燃料後處理廠感染了Stuxnet病毒。這似乎是透過操作員將受感染的USB驅動器插入一臺隔離的PC來實現的,該PC用於與控制和報告生產濃縮鈾的離心機的嵌入式計算機進行通訊。Stuxnet病毒同時導致離心機發生故障,同時向操作員報告一切正常。隨意放置一個看起來像免費遊戲的USB驅動器,您會驚訝於有多少使用者會將其插入最近的計算機。
自此事件以來,人們越來越意識到,國家關鍵基礎設施的各個要素同樣脆弱。它們使用與納坦茲使用的嵌入式計算機系統類似(如果不是完全相同)的系統。最初的想法是保衛國家免受外國侵略者的侵害。畢竟,這是一種無需發射實彈即可癱瘓一個國家的明顯方法。如果可以關燈和關水,為什麼要發射導彈呢?而且也更便宜。以至於這種形式的攻擊已經成為一個偉大的均衡器,允許小國有可能發揮超出其自身實力的作用。
有一段時間,有人批評說這種型別的威脅是無稽之談,而且根本不可能發生。然而,在Stuxnet釋出時,愛達荷國家實驗室(稱為Aurora)等研究機構已經在進行測試。此類測試表明,訪問這些SCADA系統不僅可以關閉我們都依賴的裝置,而且還可能導致裝置自毀。
因此,嵌入式計算需要保持更新並具有保護,就像我們都更熟悉的計算機一樣。不幸的是,保持嵌入式計算機的更新可能存在問題。具有諷刺意味的是,儘管它們可能容易受到遠端攻擊,但更新其軟體(如果無法透過遠端計算機例行訪問,則稱為韌體)可能需要訪問物理裝置。這需要時間和精力,並且加上長期以來對攻擊風險的自滿情緒,許多系統在漏洞報告後很長一段時間內仍然容易受到攻擊。
愛達荷州的戲劇性測試以及對Stuxnet的公開分析相結合,充分揭示瞭如果在大範圍內發動此類攻擊的潛力。當與Stuxnet相關的以及Stuxnet自身副本以及如何使用它的文件和影片開始出現在網際網路上時,這一點得到了加強。Stuxnet的後代如此迅速地開始出現,暴露出這種武器型別的一個缺點:它是你自願交給敵人的唯一武器,然後敵人可以立即用它來對付你。就像生物戰一樣,一旦釋放,你最好有防禦自己武器的能力。
一些政府已經認識到這種危險,並正在集結其網路部隊,以瞭解威脅,並希望為任何攻擊做好準備。英國政府成立了國家關鍵基礎設施保護中心,專門應對網路威脅。這是英國政府宣佈網路攻擊為對英國國家利益的“一級威脅”的結果之一。然而,並非所有國家在思想上都如此先進。在那些例如沒有國家電網,並且國家關鍵基礎設施幾乎完全由監管甚少的私營企業提供的國家,情況尤其困難。
正在進行的許多準備工作(如果正在進行的話)都假設威脅來自民族國家。但是,他們不是這場博弈中唯一的參與者。當犯罪分子獲得發動此類攻擊的能力時會發生什麼?
想象一下類似於當前使用“勒索軟體”進行的攻擊,您的計算機被鎖定,只有在您支付“罰款”後才會解鎖。有什麼可以阻止犯罪分子劫持我們國家關鍵基礎設施的要素?網路保護敲詐勒索的不良景象開始浮現。隨著犯罪分子在網際網路惡作劇中變得越來越大膽,這是我們需要為之做好準備的事情。
每個人都有一份責任:不僅僅是政府。無論是您家中的智慧電錶、您的客戶和患者使用的機器,還是您在工業規模上負責的某些東西,我們都需要記住,我們生活在一個日益互聯的世界中,有時甚至互聯了我們可能甚至沒有考慮過的“事物”。
套用約翰·菲爾波特·柯倫的話,技術正在給我們一個日益互聯的世界,但代價是永恆的警惕。
~~~
SCADA影像(#2)由Ecava提供,其他影像屬於公共領域。
