信息安全系列(4) - 东朝鲜西伊朗从核说起

核武器乃国之重器,其原材料提纯制造的过程属于国家机密,是信息安全领域的典型案例。本篇通过2010年震惊世界的伊朗震网事件,介绍现代社会宏观层面的信息安全威胁。

说说最近的一则新闻,2017年12月22日,联合国安理会一致通过第2397号决议,针对朝鲜上月底不顾国际社会反对再次进行洲际弹道导弹试射进行制裁。这几年,我们的东北角近邻制造的新闻不少,主题都围绕着核试验与美国,因为就在家门口,搞不好局面失控,对我们国内安全也有重大威胁。再往前几年,我们西边的一个邻居伊朗,也经常在国际新闻中听到,也与核有关,围绕着核,美伊之间的争斗也是不断。

既然核如此敏感与重要,我们今天谈谈“U235”。没搞错吧?是的,没错。我们回忆一下中学物理,铀235元素里中子数为143的放射性同位素,是自然界至今唯一能够裂变的同位素,主要用做核反应中的核燃料,也是制造核武器的主要原料之一。但在天然矿石中铀的3种同位素共生,其中铀-235的含量非常低,只有约0.7%。只有把其他同位素分离出去,不断提高铀235的浓度,它才能用于制造核武器。这一加工过程称为铀浓缩。

我国兰州铀浓缩工厂内景

铀浓缩关信息安全什么事?各位勿急。铀浓缩需要一种称为离心机的“清洗设备”,对天然的铀矿石提纯,直至可核电站中使用,甚至制造核武器。离心机类似洗衣机,就是利用离心力使得需要分离的不同物料得到加速分离的机器。离心机大量应用于化工、石油、食品、制药、选矿、煤炭、水处理和船舶等部门。在提纯铀235元素的工厂里,有多达数千台数的离心机在工作,它们都是专用网络连接在一起的,并使用工业控制系统自动控制。这套系统国际上有少数几个公司可以提供,其中一家就是西门子,他们提供一套叫SIMATIC WinCC商用系统,可用于监控离心机的运转,从本质上来讲就是一套工业级应用软件。铀浓缩过程中就需要用到这种工业控制设备,西门子的系统占据了相当的份额。

背景说罢,现在可以介绍故事的两个主角:伊朗和美国。伊朗希望发展本国的核技术、核工业,当然也不乏拥有核武器的野心,瞧瞧朝鲜,世界上第8个拥有核武器的国家,只不过人家还没签不扩散核武器条约。这不是第三世界国家活生生的励志榜样么。事实上,伊朗早就开始研发核武器的事也不是什么国际新闻。80年代,美伊断交,两国关系开始陷入敌对状态。美国的中央情报局岂是吃素的,对伊朗的核研发心知肚明,岂能坐视不管,于是,推动安理会通过了对伊制裁的1737和1747号决议。当然这只是决议,还需要相关配套行动的配合,从布什政府到奥巴马两届政府,不遗余力的推动阻止伊朗发展核能研究。上文已介绍过,核开发需要铀235,这是需要离心机进行提纯才能得到的材料,如果能破坏他们的铀浓缩工业,那么伊朗人的核研发就成为无米之炊。于是乎,美国人借着他们全方位的科技优势,联合以色列的软件专家,制造了大名鼎鼎的震网病毒,感染了伊朗铀浓缩的控制计算机,人称“震网”事件,英文代号"Stuxnet", 事件曝光之后,举世震惊。

震网的威力

我们且看一下震网事件的破坏力:

  • 2008年,“震网”病毒攻击就开始奏效,伊朗核计划被显著拖延。
  • 到2010年9月29日为止,“震网”病毒在世界范围内感染了10万台主机,其中有6万台位于伊朗
  • 根据科学和国际安全研究所的统计,位于伊朗纳坦兹的大约8000台离心机里有1000台因震网病毒破坏而发生故障,无法使用。
  • 据国际原子能机构的证实,伊朗在2010年11月中旬暂停了纳坦兹的铀浓缩活动,因为离心机发生技术故障。
  • 截至目前,Stuxnet病毒已经感染了全球超过 45000个网络,伊朗、印尼、美国、台湾等多地均不能幸免,其中,以伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。

对于美国发动的“震网事件”,它背后的来龙去脉,值得我们好好分析。震网病毒又称Stuxnet蠕虫,攻击目标是西门子 SIMATIC WinCC软件。这里介绍一下这个病毒的破坏原理:

  1. 首先感染外部主机;
  2. 然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;
  3. 在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;
  4. 最后抵达安装了WinCC软件的主机,展开攻击。病毒会攻击西门子的工控设备,改写SCADA系统(数据采集与监视控制系统)传递的数据,导致WinCC软件控制离心机失败,于是在伊朗的铀浓缩工厂,离心机也不停变换着报废原因,时而是转子磨损,时而是压力阀损坏,严重影响铀浓缩活动,还弄不清楚哪里毛病。
伊朗铀一座浓缩工厂实景

震网病毒的入侵路径

关于震网病毒是怎样传播进纳坦兹核工厂的,广为流传的一个说法是,美国情报部门调查了核工厂工程师的背景,发现其中一个工程师特别喜欢钓鱼。于是他们派出一个特工,伪装成钓鱼爱好者,跟那位工程师交上了朋友。两人熟悉以后,特工给工程师发送一份邮件,邮件的内容是一张被震网病毒感染的钓鱼图片,工程师一打开图片,他的私人电脑就被感染了,并且随后感染到他的U盘。后来的某一天,那个工程师在工厂内使用了一次被感染的U盘,病毒就此传进了核工厂内,一步步地感染到所有设备,并且控制了离心机的运行。

伊朗总统视察铀浓缩工厂

这种说法未经证实,但有一点是研究者所公认的:病毒必定是通过U盘传进工厂的。核工厂跟大部分工程设施一样,内部的控制网络跟外部互联网是完全隔离的,彻底断绝从互联网上发动的攻击。病毒根本无法从网络连接传进去,唯一可能的途径就是内部设备上的USB接口。这一结论,从震网病毒特意加强的USB传播能力也能得到证实。美国特工也对核设施周边环境做了缜密的调查,必定也早已发现,USB口才是唯一的突破口。

至于具体的传播者,美国人自然不肯透露。但据研究者推测,不大可能是无意中掉入圈套的工程师,倒更有可能是被收买的内部人员。因为病毒版本更新比较频繁,而U盘的使用是偶尔的、不定期的,靠USB感染,不能保证新的病毒版本及时传入工厂。

震网中看信息安全

我们在回顾曾经讲过的信息安全基础理论,真正的风险需要两要素:漏洞和威胁。

威胁:至上的国家利益

震网事件中,美国中情局对伊朗而言就是一个大大的威胁,他们有着训练有素的顶尖黑客,能够制造病毒,还有以色列这个犹太民族,人家可是对伊拉克的实施过定点轰炸的,对伊朗也是欲除之而后快。

漏洞: 落后就要挨打

  • 伊朗核机构人员管理有问题,这么容易被人收买,政审部门应该好好向我国学习一下
  • 电脑设备准入管理也有问题,华为这样的商业公司内部都不允许外来人员携带U盘,而伊朗堂堂一个国家核研究机构,如此高水准的保密单位,居然允许U盘随便插入,弄点固体胶把所有USB接口堵上也可以防住啊,太业余了。
  • 工控电脑又都是用美帝的Microsoft Windows,还各种版本都有,在国际利益面前,说什么“为了客户利益,坚决不作恶”,那也只是说给小孩听听的。这不震网同时利用了好几个微软的漏洞,打入内部。2017年5月份的勒索病毒,那不也是微软系统的各种漏洞引发的么。
  • 控制系统用的是西门子的WinCC,德国的工业控制确实世界一流,但在信息安全方面也只能说,还有极大的提升空间。

一种新型的战争方式诞生了,这是没有硝烟的战场,同样也会血流成河,生灵涂炭。

震网拉开了网络战争的大幕,好戏才刚刚开始。我再举一个例子:

俄罗斯黑客组织积极向美国同行学习,一款恶意软件“BlackEnergy”(黑暗力量)。2015年12月23日下午,也就是圣诞节的前两天, 黑客攻击了乌克兰约60座变电站,黑客首先操作恶意软件将电力公司的主控电脑与变电站断连,随后又在系统中植入病毒,让电脑全体瘫痪,乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。同时,黑客还对电力公司的电话通讯进行了干扰,导致受到停电影响的居民无法和电力公司进行联系。

可以预见,震网开了一个针对他国基础设施的工业系统攻击先例后,以后会有更多的国际或组织效仿,多米诺骨牌已经开始倒下。

对我国而言,一个很直接的问题就摆在眼前。Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行异常,甚至造成商业资料失窃、停工停产等严重事故。同时,我国主要工业设施、城市基础设施的工控安全系统大部分由西屋电气、西门子、阿尔斯通、ABB等国外公司提供,安全具有不可控制性。应当充分认识到我们面临的风险。

2015年12月16日,习近平在第二届世界互联网大会开幕式上的讲话"维护网络安全不应有双重标准,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能以牺牲别国安全谋求自身所谓绝对安全。",显然此话是说给美国听的。

2016年4月19日,习近平在网络安全和信息化工作座谈会上的讲话指出“要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。”

在实施层面,震网事件之后,工业和信息化部出台了《关于加强工业控制系统信息安全管理的通知》(亦称451号文件》。相关的工控领域安全标准也正在由信息安全标准委员会牵头制定当中。我们国家正在采取更多的应对措施来防范国家基础设施的安全性。

总结

回到信息安全主题上,无论是个人还是国家,都面临着大大小小、方方面面的安全威胁。国家若不安全,则个人的安全也就没有了保障。保证国家安全是头等大事”。“位卑未敢忘忧国”,我们正在处于工业化与信息化融合发展的时代,尤其需要知道面临的安全威胁,对诸如震网这样的安全事件应当有概念,在实际工作中不断加强自身安全意识,加强安全技术研究,以实实在在的行动来履行我们所肩负的使命。

参考链接

  1. 百度百科上的震网病毒词条
  2. BlackEnergy攻击致乌克兰停电事件分析
0 2 分享至

此刻您有话要说

留言选辑