摘要: 據(jù)悉�,去年5月底,多家網(wǎng)絡(luò)安全供應(yīng)商發(fā)出安全警告����,一種名為火焰(Flame)的惡意間諜軟件已在中東和北非部分地區(qū)大范圍傳播���,該木馬病毒已經(jīng)或即將造成的巨大危害不容忽視。
關(guān)鍵字: 工業(yè)控制系統(tǒng)�,網(wǎng)絡(luò)安全,西門子
據(jù)悉����,去年5月底,多家網(wǎng)絡(luò)安全供應(yīng)商發(fā)出安全警告��,一種名為火焰(Flame)的惡意間諜軟件已在中東和北非部分地區(qū)大范圍傳播�,該木馬病毒已經(jīng)或即將造成的巨大危害不容忽視���。
早在半年前�,邁克菲(McAfee)在其發(fā)布的《2012年威脅預(yù)測報告》中展望了2012年的十大安全威脅����,其中工業(yè)系統(tǒng)面臨的安全威脅位居首位,很重要的一個原因就是很多工業(yè)控制系統(tǒng)尚未做好應(yīng)對網(wǎng)絡(luò)攻擊的準(zhǔn)備�����。
工業(yè)控制系統(tǒng)所面臨的信息安全威脅(參考圖)
工業(yè)控制系統(tǒng)所面臨的信息安全威脅
2012年5月底�����,多家網(wǎng)絡(luò)安全供應(yīng)商發(fā)出安全警告,一種名為火焰(Flame)的惡意間諜軟件已在中東和北非部分地區(qū)大范圍傳播�����,該木馬病毒已經(jīng)或即將造成的巨大危害不容忽視��。據(jù)報道����,聯(lián)合國電信聯(lián)盟官員也表示,火焰病毒是危險的間諜工具�����,可能用來攻擊重要的基礎(chǔ)設(shè)施�,并擬就其危險性向成員國發(fā)出強(qiáng)烈警告。鑒于其表現(xiàn)出來的特征���,許多安全專家寧愿稱其為病毒武器���,與普通的病毒不同,病毒武器并不以普通用戶為對象�����,而是針對企業(yè),工廠�����,政府等重要設(shè)施���。
初步研究表明�����,火焰與2011年發(fā)現(xiàn)的Duqu很相似�����,都是以收集和盜竊目標(biāo)的機(jī)密信息為目的,為了實現(xiàn)這一目標(biāo)���,它能夠使出秘密錄音����、自動截屏����,記錄用戶敲擊鍵盤等各種手段盜竊重要工業(yè)數(shù)據(jù)�。但與Duqu不同的是�,F(xiàn)lame更加復(fù)雜,并具有顯著的差異�����?;鹧娲a是模塊化的、可擴(kuò)展和可更新的����,并將結(jié)果和其他重要文件發(fā)送給遠(yuǎn)程操控病毒的服務(wù)器。其隱蔽性特點也非常引人注目���,當(dāng)感染已被反病毒程序保護(hù)的計算機(jī)時���,火焰會停止進(jìn)行某種行動或執(zhí)行惡意代碼,因為這可能引起安全應(yīng)用程序進(jìn)行主動檢測���,這意味著該病毒可以潛藏很久���。而且一旦完成搜集數(shù)據(jù)任務(wù)���,這些病毒還可自行毀滅,不留蹤跡����。
由于病毒利用微軟加密算法的漏洞,將病毒偽裝成微軟簽名文件進(jìn)行傳播���,可以成功騙過絕大多數(shù)殺毒軟件�,微軟官方已正式發(fā)布KB2718704補(bǔ)丁修補(bǔ)簽名漏洞�����?;裟犴f爾安全更新認(rèn)證小組(SUIT)技術(shù)人員已驗證了KB2718704與霍尼韋爾系統(tǒng)的兼容性,并發(fā)出安全警告����,希望用戶盡快安裝該操作系統(tǒng)補(bǔ)丁��。
Honeywell"sSecurityUpdateInvestigationTeam(SUIT)
到面前為止�����,火焰似乎主要針對部分中東和北非國家,據(jù)報道火焰已感染了伊朗�����、黎巴嫩���、敘利亞�����、蘇丹以及其他中東和北非國家的相應(yīng)目標(biāo)計算機(jī)系統(tǒng)����。在中國��,已有截獲該病毒的報告�����,瑞星已發(fā)布紅色安全警報�,并特別提醒廣大企事業(yè)單位、政府部門�,應(yīng)高度重視此病毒,積極做好相對應(yīng)的安全防范工作。
在火焰之前�����,另一著名案例是2010年發(fā)現(xiàn)的被稱為世界"首枚數(shù)字彈頭"的超級工廠病毒(Stuxnet)����,該病毒也被稱為震網(wǎng),當(dāng)年伊朗大約3萬個互聯(lián)網(wǎng)終端和布什爾核電站員工個人電腦被超級工廠病毒感染�,造成大量離心機(jī)停轉(zhuǎn)或損壞。這種蠕蟲程序?qū)iT針對廣泛應(yīng)用于伊朗基礎(chǔ)設(shè)施的德國西門子公司工業(yè)控制系統(tǒng)�,利用操作系統(tǒng)和WinCC系統(tǒng)的漏洞,通過感染控制軟件Step7可以實現(xiàn)惡意修改控制程序的目的��。從此案例�����,可以斷定那種認(rèn)為控制協(xié)議的私密性特點足以防范網(wǎng)絡(luò)攻擊的觀點已不合時宜��。
工業(yè)控制系統(tǒng)在網(wǎng)絡(luò)攻擊面前顯得"不堪一擊"
早在半年前����,邁克菲(McAfee)在其發(fā)布的《2012年威脅預(yù)測報告》中展望了2012年的十大安全威脅,其中工業(yè)系統(tǒng)面臨的安全威脅位居首位���,很重要的一個原因就是很多工業(yè)控制系統(tǒng)尚未做好應(yīng)對網(wǎng)絡(luò)攻擊的準(zhǔn)備�,火焰病毒的出現(xiàn)是此預(yù)測的最新例證�。
從目前披露的工業(yè)病毒特點來看,工業(yè)病毒對控制系統(tǒng)的影響已不再僅僅是影響計算機(jī)和網(wǎng)絡(luò)設(shè)備運(yùn)行那么簡單�����,它們可以導(dǎo)致控制系統(tǒng)拒絕服務(wù)���,可以修改控制程序從而控制或破壞工業(yè)生產(chǎn)��,可以向操作人員發(fā)出虛假信息�,以使操作員采取錯誤動作�,其結(jié)果可能是造成生產(chǎn)癱瘓而導(dǎo)致重大經(jīng)濟(jì)損失,甚至于造成人員傷亡���、環(huán)境破壞等重大事故�。
然而在來勢洶洶的工業(yè)網(wǎng)絡(luò)威脅面前���,絕大多數(shù)工業(yè)用戶還沒有做好準(zhǔn)備����,信息安全的缺陷比比皆是,相對于傳統(tǒng)的信息安全重點行業(yè)���,如金融行業(yè)����,有些缺陷可以說很低級��,對于攻擊者而言����,不需要高超技術(shù)就可以攻破這些不設(shè)防的網(wǎng)絡(luò)。下面描述的Conficker蠕蟲病毒感染案例足以說明工業(yè)系統(tǒng)信息安全的現(xiàn)狀����。
Conficker,也被稱作Downup��,Downadup或Kido��,Conficker蠕蟲最早于2008年11月20日被發(fā)現(xiàn)�,主要利用Windows操作系統(tǒng)MS08-067漏洞來傳播,同時也能借助任何有USB接口的硬件設(shè)備來感染�����。一旦感染該蠕蟲病毒,網(wǎng)絡(luò)帶寬會被大量占用��,網(wǎng)絡(luò)速度變的異常緩慢���,嚴(yán)重影響數(shù)據(jù)交換,并最終導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓;而且受病毒感染主機(jī)形成一個規(guī)模龐大的僵尸網(wǎng)絡(luò)���,病毒控制者可以利用這個僵尸網(wǎng)絡(luò)����,侵入受感染計算機(jī)進(jìn)行非法操作��,如下載指定文件�、安裝其他惡意軟件等。這種病毒在最近幾年感染了許多疏于防范的工業(yè)系統(tǒng)的主機(jī)�。
2011年12月,西南管線廣東調(diào)控中心及場站感染Conficker病毒及其變種��,造成部分場站的服務(wù)器與控制器通訊中斷����。
2010年5月,齊魯石化某裝置控制系統(tǒng)感染Conficker病毒����,造成控制系統(tǒng)服務(wù)器與控制器通訊中斷�。
2011年3月���,大慶石化煉油廠某裝置控制系統(tǒng)感染Conficker病毒����,造成控制系統(tǒng)服務(wù)器與控制器通訊中斷��。
其實Conficker病毒的防范并不困難���,嚴(yán)格管理移動數(shù)據(jù)存儲介質(zhì)基本上就可以防止該病毒傳入封閉的控制系統(tǒng)網(wǎng)絡(luò);及時安裝Windows操作系統(tǒng)補(bǔ)丁程序可以防止該病毒利用知名的漏洞端口�,從而對計算機(jī)系統(tǒng)進(jìn)行感染;合理部署防病毒軟件可以在該病毒爆發(fā)之前提早進(jìn)行查殺處理����,避免其危害�����。
窺一斑而見全豹�����,一種幾年前的病毒還在大肆傳播,足以說明系統(tǒng)信息安全措施之薄弱�����。
工業(yè)控制系統(tǒng)信息安全建設(shè)上的理解誤區(qū)
工業(yè)系統(tǒng)之所以在網(wǎng)絡(luò)攻擊面前顯得如此脆弱�,究其根源,大都來自于控制系統(tǒng)維護(hù)人員對信息安全理解上的誤區(qū)��,例如:
系統(tǒng)是孤立的�、封閉的不代表不存在信息安全隱患
即便工業(yè)系統(tǒng)是封閉的��,Wi-fi����,USB等方式仍能提供了很多侵入點,一個配備wifi-modem的USB設(shè)備甚至能將一個封閉的網(wǎng)絡(luò)接入公網(wǎng)����。而且大多數(shù)工業(yè)系統(tǒng)普遍沒有相應(yīng)的帳號管理、口令管理措施�����,管理員帳號公開��,帳號權(quán)限分配不合理,帳號失效后不及時刪除����,口令公開、口令長期保持不變或過于簡單等問題普遍存在����,這都為非法侵入提供方便之門。
據(jù)相關(guān)統(tǒng)計數(shù)據(jù)顯示���,只有20%的數(shù)據(jù)破壞是由公司外部人所為���,而80%的安全威脅來自內(nèi)部,這包括操作失誤��、故意破壞和知識欠缺�。
