黑客向智能终端和工业控制领域蔓延

根据美国政府官员和行业专家的意见,看似针对伊朗核能源工厂的蠕虫Stuxnet可以被调整,从而对全球范围内的工业控制系统造成破坏,并构成了目前已知的对工业界最严重的网络威胁。他们担忧随着工业系统不断整合网络和计算机系统以提高效率,这些系统也变得越来越容易受到Stuxnet的攻击。

美国国会议员说,这一日益严重的威胁将让国会提出法案,以扩大政府的控制范围来建立提高系统安全性的需求。赛门铁克的DeanTurner最近向参议院国土安全与政府事务委员做报告时说,目前在全世界有44,000台Stuxnet感染的计算机,而在美国就有1600台。Stuxnet目前以安装Windows操作系统软件的计算机和西门子公司设计的控制系统为攻击目标,但美国国土安全部的SeanMcGurk认为攻击者可以利用该蠕虫的公开资料进行修改,从而改变攻击目标。

轻轻一按键盘,千里之外的城市里所有十字路口的绿灯都会同时亮起,愤怒的司机们围着相撞的汽车争执不休;银行里,存款会莫名其妙地被转移到其他账户;工厂里,所有的生产设备都亮起红灯,停止运转;互联网一团乱麻,陷入全面瘫痪……这些看起来像是科幻大片的场景,极有可能就在现实中出现。而中国,业已成为网络攻击的目标。

不久前,在拉斯维加斯举行的黑客大会上,独立安全评测机构NSSLabs的研究人员DillonBeresford专门向与会者演示了如何进攻中国重要基础行业正在使用的工控系统。

工控系统是对专用设备进行遥控或自控的系统,被我国广泛使用,比如金融行业中的ATM及监控设备等,电力行业中的通信平台,通讯行业中的交换机和路由器,以及能源、水利、交通和军工等重要基础行业的相关设备。这意味着网络攻击已经从传统计算机网络拓宽到智能终端和工业控制电脑方向。

为了应对网络攻击的挑战,广东省今年专门成立了广东省信息安全测评中心,承担全省基础信息网络和重要信息系统的信息安全漏洞发现、分析和信息通报、风险评估以及相关信息安全测评工作。

APT攻击黑客向RSA公司部分基层员工发了钓鱼邮件。邮件利用“零日漏洞”,一旦附件表格被打开,木马程序就进入系统。然后黑客披上“RSA员工”的马甲,在内网游荡寻找权限更高的账号。最终,RSA的SecurID密钥核心技术被盗。

“震网”借助优盘攻入伊朗核电站

近年来的黑客攻击事件频发,“但最具有划时代意义的事件莫过于2010年的伊朗‘震网’病毒事件,标志着电脑病毒作为一种武器正式登上战场。”国内一位网络安全问题专家说,这也代表了中国业界的看法。

2010年9月,伊朗称布什尔核电站部分员工电脑感染了一种名为“震网(Stuxnet)”的超级电脑病毒。这种病毒可以悄无声息地潜伏和传播,并对特定的西门子工业电脑进行破坏。万幸的是,这次电站主控电脑并未感染。

该专家说:“据国外媒体报道,该病毒是美国和以色列两国政府联手在美国的一个实验室研制成功的,2008年开始研制,2010年正式投放到了伊朗。”

首先,“震网”具有极强的针对性。它会自动依据被感染电脑的语言、IP地址、生产厂商等条件进行判断,如果不是位于伊朗境内的西门子工业电脑,它就会悄悄潜伏起来,以免引起杀毒软件的反应。

其次,这种病毒的渗透力非常可怕。为了防止被病毒感染,工业控制电脑往往自成体系,不通过网络与外界联接,这种做法称为“物理隔离”。有时候,物理隔离会让很多部门产生麻痹思想。“震网”正是利用了这种心态——一开始,它静静地潜伏在普通的个人电脑上,通过USB接口无声无息地感染着一个个优盘,直到某天某个粗心大意的家伙把被感染的优盘插到核电站里的某台电脑上,“震网”就会通过打印机等设备快速感染整个局域网。

最可怕的一点是“震网”强大的破坏力。由于攻击目标是与外界物理隔离的工业电脑,因此“震网”并不以盗窃信息为首要目标,而是“自杀式攻击” ——利用一些漏洞伪装自己,夺取控制权,随后向该电脑控制的工业设备传递错误命令,令整个系统自我毁灭。西门子工业系统广泛应用于水利、核能、交通等关键领域,一旦被类似“震网”的病毒劫持,后果不堪设想。

业内人士称,“震网”的出现,标志着网络攻击对象已经从传统的计算机网络拓展到工业控制系统。

中间人攻击

今年7月中旬,黑客入侵了荷兰DigiNotar公司网站,盗取并伪造了531个著名域名的安全证书。入侵者利用伪造证书可以侵入不同人的电子邮件和Skype账户,并在他们的电脑中安装监控软件。

日前,南方日报记者就网络安全问题采访了多位国内权威的网络问题专家,他们说,在政治利益和商业利益的驱动下,近年来,黑客不断研发新的攻击方式,其中高级持续性威胁APT(AdvancedPersistentThreat)攻击成为了当前黑客运用的主要攻击手段。

APT将网络攻击提升到了一个更高的层次。从2009年以来,国际网络空间的APT攻击日益猖獗,无论是政府、大型基础设施还是信息安全厂商都深受其害。著名的“震网”病毒,就攻陷了伊朗的核设施设备;美国政府遭遇“维基泄密”,导致大量文件外泄;韩国农协银行被攻击;荷兰政府网站的CA证书被黑客伪造……

“可以看出,政府、企业无不成其攻击的对象,强大如美国者也难以幸免。”国内一名不愿透露姓名的网络安全专家在接受南方日报采访时说。

今年3月11日,美国老牌信息安全公司RSA遭到黑客攻击,主要安全产品SecurID被窃取。“这好比窃贼虽没进你的家,却偷走了你家防盗门的设计图。”

一时间全美上下风声鹤唳,RSA的多家企业用户——军火商洛克希德-马丁、通讯服务商L-3通信、军用飞机厂商诺斯罗普•格鲁曼等行业巨头纷纷连夜升级安全系统。由于此事涉及多家美国军火企业,奥巴马甚至连夜赶到五角大楼听取事件相关报道。

国内的网络安全问题专家向记者介绍了RSA被攻击的手法:黑客先向RSA公司的部分基层员工发出了名为“2011年招聘计划”的钓鱼邮件,该邮件利用了一个“零日漏洞”,一旦附件中的电子表格被打开,允许对电脑进行远程操控的木马程序就会进入系统。有了这样的木马,黑客就利用被感染的电脑,披上一件“RSA员工”的马甲,在内网中游荡并寻找权限更高的账号。最终,RSA的SecurID部分密钥核心技术被盗。

由于SecurID硬件部署量为4000万台,移动设备数量为2.5亿部,美国五角大楼也在使用RSA的电子密钥技术,美国约有80%的银行使用了这种类型的安全标牌,而RSA占据了50%的市场。

此外,网络黑客还可以通过“中间人攻击”的方式,直接攻入不同人的电子邮箱,只要他们愿意。

今年7月中旬,黑客入侵了DigiNotar公司的网站,该公司是荷兰一家互联网信托服务供应商,也是荷兰政府网站唯一的 CA(CertificateAuthority)证书供应商。黑客入侵、盗取并伪造了531个著名域名的安全证书,涉及了Google、微软、雅虎、 Twitter、Facebook、美国FBI、英国军情六处和以色列摩萨德等。入侵者利用这些伪造的证书,不仅可以侵入任何人的电子邮件和Skype账户,还可以在他们的电脑中安装监控软件。荷兰政府认为使用DigiNotar的证书风险太高,因此决定废除其所有的证书。