第九章工控系統失控 · 零日漏洞：震網病毒全揭秘

愛達荷州愛達荷瀑布50英里之外，有一片廣闊的大草原。這里是美國能源部愛達荷國家實驗室。厚厚的水泥板上，放著一個巴士大小的巨型發電機。一群工程人員一邊繞著它走，一邊凍得瑟瑟發抖。這是2007年3月4日，這些人正在為即將進行的地面爆炸實驗做最后的安檢。 1英里之外是實驗室的展廳，來自華盛頓特區的官員、發電行業和北美電力安全委員會的高管們齊聚一堂，一邊用盛滿熱咖啡的杯子暖手，一邊等著觀看爆炸試驗的“現場直播”。 2010年，當賽門鐵克的研究員發現震網是用來破壞西門子公司PLC的時候，他們認為這是第一個有證可循的數字代碼對設備造成物理破壞的實例。但事實上，早在3年前，在愛達荷平原上演的“極光發電機實驗”（Aurora Generator Test）已經展示出這類攻擊的可行性。上午11:30，位于愛達荷瀑布的工人收到“向目標注入[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")”的信號。展廳揚聲器中傳出了這臺5000馬力柴油發電機的轟鳴聲，參觀者們緊張的注視著屏幕，試圖看到[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")引起的反應。一開始，什么事都沒有發生。之后，他們聽到了一聲脆響，像是用一條沉重的鐵鏈敲擊金屬制成的大鼓。隨后，這只鋼鐵巨獸不斷發出咯吱咯吱的聲音，似乎被驚醒了。幾秒鐘后，又是一聲脆響，這一次它傾斜、顫動得更加厲害，仿佛它的心臟遭到了除顫器的電擊。橡膠制成的墊圈一塊接一塊的從發電機里面彈出來，飛向攝像頭，讓參觀者無不膽顫心驚。15秒后，響聲第三次出現，發電機愈加傾斜。震動平息之后，發電機冒出了一縷白煙。突然間，咚！發電機再次受到沖擊。接下來是漫長的等待。正當人們以為這只巨獸得到了喘息、攻擊即將收場之時，發電機的內膛中燃氣了濃烈的黑煙。 [![](https://box.kancloud.cn/2015-12-08_5666b18bc6f2b.jpg)](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp_40.jpg) 這時候離實驗開始只有3分鐘。對于惡意代碼來說，3分鐘已經足夠讓這個巨型發電機燃起黑煙，并冒出刺鼻的金屬氣味。實驗結束后，展廳內無人鼓掌，只有沉默。要撼動這樣一個像坦克一樣大的東西，得需要多大的外力啊。但在這個實驗中，完成任務的居然是區區21行代碼。這次實驗經過了為期數周的精密計劃和科學建模，在實施前就達到了確保萬無一失的水準。即便如此，對于親身參與實驗準備的工人而言，攻擊所具備的威力和破壞力依然令人震撼。“難以置信的亮瞎時刻”，實驗設計者之一邁克爾?阿桑特（Michael Assante）興奮的說。之前，他們曾做過一次模擬實驗，模擬的攻擊目標是放在桌上的一個小型馬達。當他們看到一個27噸重的機器像個玩具一樣被搖來晃去、碎片四處飛散時，那感覺就像是親歷侏羅紀公園般刺激。這個實驗用鐵一般的事實證明，要摧毀發電廠中的關鍵設備，并不需要和它發生物理接觸，遠程注入一段精心設計的惡意代碼即可。因此，3年后，當震網在伊朗被發現時，這些曾在極光項目中工作的人們一點都不覺得驚訝。唯一讓他們覺得驚訝的是，這場“針對工業控制系統的史上首次攻擊”讓他們等了這么久。當賽門鐵克公司的研究員在2010年8月發現，震網的真實意圖是對西門子PLC進行物理破壞之后，還是有許多人搞不清楚PLC到底是什么東西。盡管PLC作為控制組件，控制著世界上很多最重要的關鍵基礎設施和業務流程，卻只有極少數人聽說過這種設備。 PLC被用于各種各樣的自動控制系統，包括知名度略高的“工業控制系統”（SCADA，Supervisory Control and Data Acquisition，監視控制與數據獲取系統）、分布式控制系統以及那些能夠讓發電廠的發電機、渦輪機、鍋爐等大型設備正常運轉的控制系統。使用PLC的系統，還控制著把未經處理的污水送往水凈化廠、防止水庫溢出的大型水泵，控制著防止天然氣管道生成導致致命破裂或爆炸高壓的閥門開關。一旦這類系統出現問題，后果就是致命的。比如，2010年加利福尼亞州圣布魯諾市的一場天然氣管道爆炸，造成了8人死亡、38間房屋被毀。除此之外，自動控制系統還有一些不那么顯眼、但同樣關鍵的用途。它們控制著汽車生產流水線上的工業機器人，在化工廠、制藥廠中擔負著“按恰當比例分配并混合各種配料”的任務。食品飲料廠商用它們設置并監控溫度，確保加工和消毒過程的安全，殺滅有害細菌。它們還可以用于保持熔爐或窯爐中溫度的穩定，確保煉出來的玻璃、玻璃纖維和鋼鐵質量優良，可以建造摩天大樓、汽車和飛機。它們控制著每一盞交通信號燈的亮和滅，控制著聯邦監獄中每一間牢房門的開與關，控制著高速公路和江河水道上每一座橋的升與降。它們幫助客運列車和貨運列車保持正確的行駛方向而不脫軌。在較小的尺度上，自動控制系統控制著高層建筑的電梯、控制著醫院、學校和辦公樓的供暖設備和中央空調。簡言之，自動控制系統是確保全世界所有工業活動正常開展、基礎設施正常運作的關鍵組件。它們應具備很高的可靠性和安全性。但震網的出現，讓人們的希望化為泡影。如今，每個人都可以拿到震網的代碼，并對它展開研究甚至進行復制。潛在攻擊者可以以震網為模板，制作其他惡意代碼，再用這些惡意代碼去攻擊美國及其他國家脆弱的控制系統。比如，去操縱天然氣管道的閥門、將污水排進自來水管道、乃至破壞核電站的發電機組。有了震網這個完美的模板，要發動類似攻擊，已經無須一個富裕的國庫作后盾了。震網制作者已經完成了與“如何利用自動控制系統漏洞”的關鍵研發工作，這些工作的成果客觀上降低了其他攻擊者發動類似行動的門檻，越來越多的國家行為體和非國家行為體成為這場游戲的新晉玩家。不論是像“匿名者”或LulzSec這樣的無政府主義黑客團體，還是為恐怖組織服務、以控制某個發電廠為要挾的勒索者，震網的出現，讓這些之前根本不敢想象去攻擊自動控制系統的各種攻擊者們，一下子摸到了成為“高大上”黑客的門道。當然，雖然震網是一種通過非接觸途徑就能對目標造成外科手術式打擊的病毒，這并不代表其他所有以自動控制系統為目標的黑客攻擊都是這樣目標明確、技藝精湛，而且會造成大范圍的破壞和次生影響。此外，攻擊者要發動攻擊，不一定非得編寫震網那么復雜的代碼。一個普通病毒或蠕蟲就可以達到目的。以下試舉兩例。佛羅里達州的CSX公司是一家為23個州提供客貨運列車鐵路服務的公司。2003年，由于CSX的計算機遭到Sobig病毒感染，美國東海岸的列車信號燈系統瞬間宕機，導致賓夕法尼亞州和南加州之間的鐵路、哥倫比亞特區的高速環線停運。同年，Slammer蠕蟲的感染，造成俄亥俄州Davis-Besse核電站的安全監視系統和流程控制網絡暫停運轉5小時。 2013年，NSA（美國國家安全局）對美國關鍵基礎設施抵抗大規模破壞性網絡攻擊的能力進行了一次檢測。局長基思?亞歷山大對參議院某委員會提交的結果是：3分（1分最低，10分最高），部分原因是自動控制系統安全性不足。 “國防部發展進攻性網絡能力已經超過10年了，”戰略與國際研究中心的吉姆?劉易斯說，“不過，我覺得…人們并沒有充分意識到其中的問題所在。正是這些新的脆弱性，將我們生活中的各方各面都暴露在風險之中。” 事實上，關于自動控制系統的問題早已存在，相關領域專家多年前就已經對此了如指掌。但正是震網的出現，才第一次把這些問題擺在了公眾的面前。（待續）可編程邏輯控制器（PLC）出現于20世紀60年代，當時計算機黑客和病毒還只是科幻小說中的想象。它們的功能，是替換工廠中那些由繼電器等硬件電路構成的“流水線控制系統”。對于這些硬件控制系統，調整控制邏輯的唯一途徑，就是找個電工去重新布線。PLC出現后，要更新控制系統，只需讓操作人員進入流水線，找到PLC控制臺，用裝有新代碼的磁帶盒換掉舊磁帶盒即可。雖然更新過程仍須手工干預，但畢竟實現了編碼與操作的分離。PLC技術人員的工作大大簡化，只是編寫、調試幾百行代碼。 90年代，數字控制系統得到廣泛應用，工廠運營者要求PLC供應商向其提供“通過調制解調器撥號，遠程登錄控制系統”的功能。從那時起，各種黑客陸續出現。但由于控制系統所在網絡與外界物理隔離、使用特定通信協議、專用軟件無法與其他程序和系統兼容，多數運營者對系統的安全性毫不在意。他們認為：黑客根本無法接入系統中的任何一臺計算機并與與之通信。就算找到一臺能夠與控制系統通信的計算機，也沒幾個人能搞清楚控制系統的工作原理，更別說實施操縱和破壞了。然而，到了90年代末，形勢開始生變。美國國會通過了環境法案，要求工廠對排放物進行監視和控制，聯邦能源管理委員會也開始使用數字傳輸系統來監控電力的輸出與分配。突然之間，公司的合規事務主管和高層們產生了“訪問控制系統、獲取其中數據”的強烈需求，而一直以來，這些系統只有工廠一線的運營者才能訪問。就這樣，那些少人用、少人懂的控制系統專用軟件逐漸被淘汰，取而代之的是運行在Windows、Linux商用操作系統上的新一代控制系統軟件。這一改變，讓公司內網中其他計算機可以更加便捷的連接控制系統、并與其通信。然而，切換到Windows平臺意味著，控制系統引入了與PC相同的脆弱性，即將面對與PC相同的病毒和蠕蟲。同時，由于系統與因特網的連接更加緊密，運營者通過撥號實現遠程控制的行為更加頻繁，被黑客發起遠程攻擊的風險也大大增加。 1997年3月，一位名叫Jester的少年黑客上演了一出好戲，可借此窺斑見豹。他用普通的貓撥號進入了貝爾大西洋公司的計算機內網，攻擊了用于向伍斯特機場航運控制塔和附近某鎮600余戶居民提供電話和無線通信業務的系統。機場安全部門和消防部門的電話因此中斷了6個小時，同時中斷的還有飛行員用來激活機場跑道指示燈的某個控制系統。在這6個小時中，航管人員只好用手機和裝有干電池的無線電臺指揮飛機起降。謝天謝地，沒有出事。航管經理事后對CNN說：“那天我們是死里逃生。” 同年，馬什委員會發布了一個報告，對關鍵基礎設施面對物理攻擊和數字攻擊時的脆弱性進行了深入分析。1995年，提摩太·麥克維（Timothy McVeigh）在俄克拉荷馬城政府大樓制造了一起大爆炸，馬什委員會負責了此次事故的調查，并獲得了過程中大量關鍵數據和通信活動資料。調查結束后，他們對將石油、天然氣和電力等關鍵系統接入因特網，而造成的不斷增加的風險提出了警告。“造成重大危害的能力…正在以驚人的速度增長，而我們卻沒有任何防范。”他們在報告中寫道，通過網絡向發電廠控制系統計算機發送命令的方式“所蘊含的風險就像是背著一個裝滿炸彈的雙肩包……我們應該在災難發生前，就把這些關鍵基礎設施安頓好，而不是等到災難發生之后。消極等待是不負責任的行為。” 同年的第二份報告，來自白宮國家安全電信咨詢委員會。這份報告警告說，國家電網及其輸送設施“漏洞百出”，十分脆弱。“電網入侵者……可以通過撥號方式接入未受任何防護的端口，并對斷路器進行重置，使通過斷路器的電流強度超過其可承受的范圍。”一位在10年后參加“極光發電機實驗”的調查者如是寫道，“通過這種攻擊方式，可能對變電站的部分設備造成物理損毀。” 雖然出現了這些警告，但沒有跡象表明會有人真的想要發動類似攻擊。直到2000年，第一起公開報道的、針對自動控制系統的黑客攻擊事例終于出現：一位澳大利亞水處理廠的前員工用黑客手段破壞了水泵。馬盧奇郡位于澳大利亞昆士蘭州的陽光海岸，那里有繁茂蔥郁的雨林、崎嶇陡峭的火山峰、碧藍潔凈的海水和雪白松軟的沙灘，風景美到能印上明信片。但在2000年初，美麗的馬盧奇郡慘遭毀容，在長達4個月的時間中，一場黑客攻擊造成超過75萬加侖未經處理的臟水從無數井口中溢出，公共水道中污水橫流。一開始，有人發現凱悅麗晶酒店PGA（北美職業高球協會）高爾夫球場的一個澙湖中，有污水從井口向外涌出。但每次工人剛一把它清理干凈，又會有污水涌出來。最嚴重的情形出現在馬盧奇河沿岸的太平洋天堂（Pacific Paradise，陽光海岸城郊地名）。數萬加侖的污水流進了潮汐運河，對住在運河附近孩子的健康造成了巨大的威脅。污水還流進了馬盧奇河，造成了大量魚類和海洋生物的死亡。問題始于1999年底，當時馬盧奇河的水凈化廠中剛剛安裝了一個新的數字化管理系統。水凈化廠與獵手水利科技（Hunter WaterTech）公司簽了合同，由后者負責系統的安裝。向水凈化廠引流污水的泵站是其中的一個關鍵環節，當完成對泵站的配置后，整個系統的部署就算到位了。但就在此時，事情出現了令人難以理解的變化。水泵完全不按操作指令工作，該停的時候轉，該轉的時候停。用于向各個泵站發送指令的雙工無線電通信網絡遭遇流量阻塞，操作人員無法與泵站通信。事已至此，理應向公眾發出警報，但相關人員卻置若罔顧。水泵由兩臺中心計算機控制，使用的是獵手水利科技公司的專用軟件，通過雙工無線電信號與裝在每個泵站上的遠程終端模塊進行通信。信號可以從計算機傳輸至RTU（類似PLC的控制單元），并利用工作在非公開頻段上的無線中繼站，在RTU之間傳輸。只有能接觸到這兩臺計算機或中繼站、會使用獵手公司專用軟件及理解通信協議的人，才能向泵站發送命令。獵手公司起初懷疑，攻擊可能是有人從外部發起的，但是，廠里根本沒有用于偵測非法操作行為的入侵檢測系統或日志系統。而且，就算裝了入侵檢測系統，也沒辦法偵測到對RTU的攻擊。攻擊斷斷續續的持續了幾周，在3月的一個夜晚達到了頂峰，當天就釀成了幾十起事故。調查人員最終斷定，這一定是某個內鬼干的，因為只有在操作區內向泵站發送無線信號才會產生這樣的效果。他們鎖定了一個名叫維泰克?博登（Vitek Boden）的前水利工程師。他時年49，一直在獵手公司工作，直到去年12月合同到期。（據信，他因未能續約對公司耿耿于懷。）而不正常的狀況正是從這個時點開始出現的。之后，博登想在這個供水管理區再找一份全職工作，但又遭到了拒絕。這個時候是2000年1月，正好也是事故集中爆發的時點。（待續）在4個泵站的報警系統失效后，警方終于發現了蛛絲馬跡。警察在博登的汽車里找到一臺裝有獵手公司專用軟件的筆記本電腦，還有一臺使用特定非公開頻段的無線電臺。而這個頻段，正是本供水管理區用于向泵站發送指令所用的。同時發現的，還有一個用于發送攻擊指令的RTU。證據確鑿，4月的一個晚上，警方逮捕了博登。博登事件，是有史以來第一起對外公開報道的“關鍵基礎設施網絡攻擊”。可以想見，類似事情之前肯定有過，只是公眾沒發現或不知情罷了。作為馬盧奇事件的結果，在其他公共事業單位上班的工人們紛紛表態，他們絕不會做出像博登在馬盧奇所做的事情來。至此塵埃落定。這個事件本應向全球工業控制系統運營者敲響警鐘，但是，由于考慮到攻擊者是一個對馬盧奇郡供水控制系統了如指掌、又能親自接觸相關設備的內部人，很多人都覺得，這件事對自己沒什么借鑒價值。他們聲稱，外部人員根本不可能干得了博登這種勾當。而實際上，馬盧奇郡供水控制系統已經暴露出一系列安全問題，外部人員也有機會利用這些漏洞發起類似攻擊。一位名叫彼得?金斯利（Peter Kingsley）的事故調查員后來在一場控制系統研討會上，向與會者明確表示，雖然馬盧奇郡事件中，攻擊發自內部，但并不能因此判斷外部攻擊不可行。“有些運營者覺得他們的系統是安全的，只是因為他們自己不具備非授權進入控制系統的能力，”他說，“但是黑客可不會拘泥于一般的技術手段。” 金斯利的這番話在2002年聽起來有點搞笑，因為那時候沒有什么跡象表明外部人員會對攻擊關鍵基礎設施的控制系統感興趣。在令人印象深刻的大型災難發生之前，單靠呼吁，恐怕難以喚起大多數人對控制系統安全問題的關注。就在此時，喬?韋斯（Joe Weiss）挺身而出，開始扮演控制系統安全“傳教士”的角色。 [![](https://box.kancloud.cn/2015-12-08_5666b18be4e60.jpg)](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-127.jpg) 喬?韋斯韋斯是一個64歲的精干長著，在位于硅谷中心的加州庫比蒂諾居住和工作，經常對災難性的場景進行思考、研究。他家離著名的圣安德烈亞斯斷層和建造于70年前的史蒂文斯溪大壩只有5英里遠。1989年，這里發生了里氏7.0級的洛馬普列塔大地震，彼時，煙囪倒塌，街燈和電話系統被破壞，震波還把附近迪安薩學院游泳池中的水球隊員彈了出去。落在人行道路上的水球隊員們莫名驚詫，就像一只只擱淺的海豹。韋斯早在1999年就開始意識到控制系統安全的問題。當“千年蟲”爆發的時候，他作為一名專業核能工程師，正在電力研究院工作。坊間流行著這樣的“末日預言”：因為大多數程序中的“年”字段或變量只有2位，在2000年來臨時沒辦法顯示出3個0，所以，當除夕夜的新年鐘聲敲響的那一刻，所有程序都將崩潰，災難隨之降臨。韋斯開始思考，如果像日期變更這樣普通的事情都能造成控制系統癱瘓，那么出現更嚴重的問題會怎么樣？更重要的是，如果千年蟲都會造成巨大的影響，那么來自黑客的惡意攻擊會造成什么呢？在那個年代，世界各地有很多以通用計算機安全為主題的研討會，卻幾乎無人關注控制系統安全。于是，韋斯開始四處參會，看控制系統業界到底該采用怎樣的安全準則。但參會越多，擔憂越重。網管們全都在談論，如何用加密技術和身份驗證來防止非授權用戶登錄通用計算機系統，而韋斯卻意識到，控制系統在網絡安全方面完全是不設防的。當計算機安全業者問他“電廠的控制系統裝了什么品牌的防火墻，多長時間會檢查一下系統日志、以查看入侵痕跡”時，他只能不好意思的說，“沒裝防火墻，也沒有系統日志。”而他轉過頭來，詢問控制系統生產商關于產品安全的問題時，得到的卻只有茫然困惑的眼神。他們說，從來沒人問過他們這個問題。 2001年9月，兩架飛機撞擊了紐約的雙子塔。沒過多久，官方發現了一種針對加州政府網站的可疑搜索行為模式。搜索者的目標是舊金山地區內、用于管理基礎設施或政府辦公室的數字系統。這些疑似源于沙特阿拉伯、印度尼西亞和巴基斯坦等國IP的搜索行為，對應急電話系統、發電廠、供水廠和天然氣設施具有特殊的興趣。另一些搜索行為則聚焦于用于控制消防調度系統和管道的計算機程序。 2002年，美軍在喀布爾的一間基地組織辦公室中查獲了一臺計算機，并在上面發現了一個工程軟件，其中有對水壩的建模，還有令其停止運轉的模擬程序。同年，中情局發布的《情報備忘錄》中指出，基地組織對發動網絡攻擊“非常感興趣”，并已開始認真考慮雇傭黑客。多種跡象表明，還有其他人也對美國的關鍵基礎設施很感興趣。加州電力調度中心（Cal-ISO）是一家負責管控加州大部分電力傳輸的非營利性公司。2001年，黑客闖入了這家公司兩臺無任何防護措施的服務器，直到兩周后有工人報告機器故障時才被發現。公司官員堅稱，攻擊并未對電網造成實質影響，但有未具名人士向《舊金山時報》透露，在黑客想要深入能引起嚴重電力供應問題的“核心部分”時，公司才發現他的蹤跡。有人稱，這次攻擊近乎“災難性事故”。隨著時間的推移，各界對關鍵基礎設施安全狀況、特別是對國家電網安全狀況的擔憂與日俱增。作為回應，能源部于2003年在愛達荷國家實驗室（INL）推出了“國家SCADA測試平臺”項目。該項目的目標是與控制系統生產商合作，評估其產品中的安全漏洞。正是由于這個項目的出現，才有了后來的“極光發電機實驗”。美國共有2800個發電廠和30萬處石油、天然氣生產基地。此外還有超過包括水庫、水壩、水井、水凈化廠、泵站和管道在內的17萬處公共水利設施。但是，全國關鍵基礎設施的85%都由私營機構所有，這意味著，除了核電站等少數國營企業之外，政府沒有辦法強制其他公司為其轄內控制系統增加安防措施。不過，政府至少可以勸導控制系統的生產商改善控制系統的安全性能。在“測試臺”項目中，只要供應商同意修復實驗室發現的漏洞，政府就會為供應商實施免費測試。幾乎同時，國土安全部推出了一個“場站評估”項目，指派旗下的“工業控制系統網絡應急響應團隊”（ICS-CERT）對關鍵基礎設施的安全配置和設備內網進行評估。在2002至2009年間，這個團隊對石油天然氣、化工、水利等多個行業的100多個場站進行了評估，發現了超過38000個漏洞。這些漏洞包括：與互聯網之間有直接連接，用戶無法修改的默認出廠密碼及硬編碼密碼（如西門子公司PLC），過期的軟件補丁，缺少防火墻和入侵檢測系統之類的標準防護措施等。然而，盡管上述兩個項目的研究人員工作非常勤奮，他們還是不得不跟工業界沿襲了數十年的積習和惰性做斗爭。比如，政府可以很快發現漏洞，有些供應商卻需要花幾個月甚至幾年時間才打上補丁。再如，關鍵基礎設施的業主們只愿意在控制系統和網絡的安全防護上花點小錢、做做樣子，而不愿意大動干戈。在INL做“測試臺”項目聯絡官的韋斯，實在是受夠了他們這種拖沓的調調，親自發起并召開了一場旨在提高關鍵基礎設施運營者“控制系統安全風險意識”的研討會。2004年，他采用的是“恐嚇戰術”——通過展示遠程攻擊，告訴他們攻擊者可以干什么。黑客的角色由INL的研究員杰森?勞爾森（Jason Larsen）扮演。他演示的內容是，從新墨西哥州的桑迪亞國家實驗室，對愛達荷州瀑布市的一個變電站發起攻擊。利用服務器軟件中的一個最近發現的漏洞（目標顯然沒打補丁），勞爾森穿越了多層防火墻，對控制變電站的PLC實施了攻擊，并釋出載荷。演示中的攻擊場景共分三幕。攻擊的第一幕是對斷路器進行開、關操作，第二幕是在瞬間同時打開所有斷路器，第三幕是同時打開所有斷路器、并操控代碼，使操作人員的屏幕上顯示“所有斷路器處于閉合狀態”。 “我把它稱為‘嚇尿’演示，”韋斯得意的說，“這場演示之成功，可以說是現象級的。” 之后的幾年中，韋斯就這樣一次又一次的重復著他的“嚇尿”演示，每一次都會邀請不同的安全專家演示不同類型的攻擊。這些演示唯一的問題在于，他們太超前了。每次研討會結束后，都會有一些工程師冒出一些改進控制系統網絡安全性的好點子，但當他們向管理層匯報時，卻往往會遭遇挫折。因為，重新構造系統或提升系統安全性的花費實在太高了。管理層的想法是，既然競爭對手都沒做這件事，也沒人真的發動攻擊，那我干嘛花錢吃這個螃蟹呢？令人無語的是，韋斯和測試實驗室未能畢其功于10年的事業，震網幾個月就搞定了。這個數字武器長久的吸引著公眾的眼球，讓人們第一次充分意識到，工業控制系統中存在的漏洞是致命的！同時，PLC、RTU等長久以來不為人所知的關鍵控制設備突然間躍上舞臺中央，吸引了大量研究人員和黑客的注意，也讓控制系統供應商和作為用戶的關鍵基礎設施業主們不得不揮鞭跟上。（待續） 2010年8月關于震網病毒破壞西門子公司PLC的新聞，引起了德克薩斯州奧斯汀市一位25歲計算機安全研究員的興趣。這位研究員名叫迪龍?貝雷斯福德（Dillon Beresford），他和其他大多數人一樣，從來沒聽說過PLC，特別想看看PLC到底能有多脆弱。因此，他從網上買了幾個西門子公司的PLC。接下來的兩個月，他就躲在鴿子籠公寓的臥室里研究、測試。幸運的是，他只用了幾個星期就發現了幾個可以用來攻擊的漏洞。比如，他發現程序員計算機和PLC之間的所有通信都是非加密的，所以任何攻入網絡的黑客都可以在代碼由計算機向PLC傳輸時，看到代碼并把它復制下來，之后再根據自己的意圖將修改后的代碼發往PLC，實現操縱等目的。如果PLC拒絕非授權計算機向其發送命令的話，這種情況將不會發生。但是，貝雷斯福德發現，PLC會無原則的接受任何用特定協議“說話”的計算機發來的命令。PLC甚至不要求命令發送方“加蓋”用來證明其來源可信的數字簽名戳。雖然在安裝Step 7的計算機和PLC之間會有一個身份驗證包和某種密碼，但貝雷斯福德可以在3小時以內就把這個密碼破掉。他還發現，居然可以通過在通信過程中簡單抓取身份驗證包，并在自己發送（偽造）命令時重放驗證包的手段，輕松繞過這個安全機制而免去破解密碼的麻煩。此外，一旦控制了某個PLC，就可以發布修改密碼的指令，從而把合法用戶拒之門外。貝雷斯福德還發現了其他的漏洞，包括西門子公司的程序員在PLC固件中有意留下的后門。比如，供應商經常會在產品中留下一個硬編碼的密碼，以便于在用戶出現麻煩時，自己可以遠程登錄并提供幫助，就像是給控制系統產品加裝了“安吉星”（OnStar，通用公司為汽車提供遠程協助和遠程控制的一種服務系統）。但既然供應商可以利用后門，攻擊者又何嘗不可？進入西門子所有系統的預留后門，用的都是同樣的用戶名和密碼：basisk。這個數據硬編碼在固件上，任何一個有些手段的人都可以設法看到。利用這個高權限后門，攻擊者可以刪除、修改PLC上的數據，甚至向PLC發出指令，破壞任何受其控制的設備或進程。貝雷斯福德把他的發現報給了正與西門子公司合作修復系統漏洞的ICS-CERT。但是，并非每個漏洞都有辦法修復。有些問題，比如命令非[加密傳輸](http://www.aqniu.com/infosec-wiki/2457.html "加密傳輸")、缺乏強有力的安全認證機制等，屬于系統底層構架的問題，而非程序代碼中的錯誤（bug）。要解決這些問題，西門子公司必須更新系統固件，對于某些系統而言甚至必須重新設計。而且，這些問題并非僅僅存在于西門子公司的產品中，而是普遍存在于市面上大多數控制系統產品中。這些問題可以成為“前互聯網時代的遺產”——那時候設備所處的網絡環境是孤立的，因而不需要考慮外部攻擊的問題。一直以來，控制系統供應商和關鍵基礎設施業主認為，要對控制系統發起攻擊，必須掌握與PLC相關的大量知識和豐富經驗，因此，系統是相對安全的。但是，貝雷斯福德的發現，顛覆了他們的認識。他只花了2萬美元在網上買了一些二手設備，然后花了2個月的業余時間來研究，就在PLC里面找到了這么多漏洞，并掌握了利用漏洞進行攻擊所需的全部技能。在貝雷斯福德之后，又有眾多研究者發現了西門子和其他公司多型產品的更多漏洞。關鍵基礎設施安防系統制造商伍泰安全（Wurldtech Security）創建的控制系統漏洞數據庫顯示，2008年以來，共有超過1000種控制系統漏洞和控制系統協議漏洞被發現。其中，大多數漏洞僅能讓攻擊者造成“操作人員無法正常監視”的效果，也有一些漏洞一旦被利用，將產生更嚴重的后果。 2011年，南加州某公共事業公司專門聘請了Mocana安全公司，對其變電站控制系統的安全性進行評估。結果發現，系統存在多個漏洞，攻擊者可以借此控制變電站的設備。“我們之前從來沒接觸過這種設備，但是在一天之內就發現了這么多漏洞，”公司副總裁庫爾特?斯坦姆伯格（Kurt Stammberger）說，“這是非常嚴重的問題，坦白的說，至少一年半之前這些問題就已經出現了，可是卻沒人注意。” 由于控制系統的壽命長達數年、又缺乏像通用計算機那樣定期打補丁的安全機制，控制系統的安全問題越來越突出。一臺普通臺式計算機的生命周期約為3-5年，到時間就會換新的。但控制系統的壽命可以長達20年。即使舊系統被換掉，新系統仍然要具備跟其他設備通信的能力，這樣一來，舊系統中固有的安全漏洞也被繼承下來。再來看打補丁。有些控制系統運行在已無法從微軟得到技術支持的老舊Windows版本上，這意味著，如果發現新的漏洞，根本沒有補丁可打。退一步來說，就算有補丁可用，也往往會被擱置一旁。因為，一方面，操作人員害怕打了補丁之后，系統會運行不穩定；另一方面，打補丁或者進行其他安全配置需要花上幾個小時，而控制系統及受其控制的進程（往往是公共事業服務）卻不能輕易暫停。此外，隨著越來越多的供應商將安全系統和控制系統打包在一起，新的問題又出現了。過去，安全系統是與控制系統分別配置的硬件模擬系統，這樣，即使控制系統出現問題，也不會影響到安全系統緊急關閉設備和進程的能力。但是，現在供應商們把安全系統和控制系統集成到一起，使得一次攻擊同時癱瘓兩個系統成為可能。其實，控制系統中的很多漏洞都可以通過“物理隔離”的方法解決。也就是說，讓內網無法與因特網連接、也無法與可能連接因特網的其他系統連接。但實際中，這一點往往很難實現。 2012年，一名英國的研究者就曾經用一種專門定位網絡電話、智能電視和控制系統等設備位置的特殊搜索引擎“撒旦”（Shodan），發現至少有1萬個控制系統存在與因特網的連接。這些控制系統分別來自水凈化廠、大壩、橋梁和火車站。 2011年，一位名叫pr0f的黑客在網上搜到南休斯頓地區的某個西門子控制系統之后，成功侵入某水廠的控制系統。雖然系統有密碼保護，但密碼只有3位，一下就被他猜中了。“很遺憾，這根本不是什么高級持續性威脅之類的高大上攻擊，”他對記者說，“坦白的講，我所看到的多數情況都是由于（遭入侵方的）無知和愚蠢、而非攻擊者有多大本事造成的。”進入工業控制系統之后，pr0f對水槽布局圖和數字控制系統界面進行了截圖，并沒有實施破壞行為。“我不是沒頭腦的汪達爾主義者（故意破壞他人財產的人）。那樣做很愚蠢。”他在一封網上發布的信中寫道，“把安裝著工業控制系統的計算機接入因特網的人，是不是更愚蠢呢。” 更可怕的是，工業控制系統中的很多現場設備，要么直接接入因特網，要么與因特網之間只隔著一個調制解調器或一道默認口令。比如，用來控制電網開關和斷路器的口令就是默認的，這樣一旦出現緊急情況，工人就能馬上想起來、不至于忘記。出于同樣理由，控制系統不會像標準IT系統那樣，為防止有人暴力破解密碼，而設置“連續輸錯密碼N次自動鎖定”的功能。因為，沒有人希望看到，在某種緊急狀況下，操作員卻由于輸錯幾次密碼而被徹底擋在系統之外。2011年，馬克?梅弗雷特（Marc Maiffret）帶領一個測試團隊滲入了南加州某水處理廠的遠程控制系統，并獲得了用于向飲用水中添加化學物質的設備的控制權。整個過程用時不到一天。梅弗雷特說，只須再向前幾步，就可以把大量化學物質倒入水中，讓水變得無法飲用。事實證明，將關鍵系統遠程接入因特網，會帶來顯而易見的安全隱患。但是震網卻揭示了更為可怕的場景。攻擊者無須遠程接入目標，只須讓精心設計的蠕蟲利用U盤在不同計算機間插拔就能實現傳播，通過將[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")嵌入工程師用來對PLC編程的項目文件即可實現感染。2012年，智能電網控制系統制造商加拿大特爾文特公司（Telvent Canada）就曾遭到黑客入侵。入侵者盜取了該公司生產的工業控制系統的項目文件。美國很多石油、天然氣和水利系統中所使用的，正是這些系統。特爾文特公司對用戶系統進行管理的，也正是這些項目文件。雖然公司沒有聲明攻擊者是否對這些項目文件進行了修改，但這次事故充分表明，攻擊者可以通過滲透類似特爾文特這樣的公司、并感染其產品項目文件的途徑，對石油、天然氣管道發起攻擊。對于關鍵基礎設施而言，直接入侵計算機網絡并非唯一風險源。有證據表明，曾有利用電磁脈沖手段干擾工業控制系統和現場設備的事故發生。1999年11月，一艘正在距圣迭戈海岸25英里處進行訓練的美國海軍艦船上的雷達系統，對附近沿海某地區的水利和電力基礎設施的控制系統無線通信網造成了干擾。這讓工人們無法對水管中的閥門進行開啟和閉合操作，只好派技術人員到偏僻的現場去進行手動操作，以避免水庫溢出事故。電磁脈沖干擾還曾經在20世紀80年代引發一起天然氣爆炸。當時，荷蘭登海爾德軍港附近的某個海軍雷達系統，干擾了用于控制天然氣管道開關閥門的控制系統無線通信網，造成管道爆炸。（待續）多年來，人們想象出了由大規模網絡攻擊引發的、各種各樣的末日災難場景。但時至今日，這樣的攻擊并未發生，而且，絕大多數與控制系統有關的事故，都是意外而非人為。不過，人們可以從意外發生的工業事故中，窺見網絡攻擊可以造成怎樣的后果。因為，一般而言，網絡攻擊可以讓每一個意外事故“昨日重現”。聰明的黑客可以利用新聞報道的細節，對意外災難發生的原因和效果進行研究，并據此設計能造成類似破壞性后果的網絡攻擊。南西伯利亞地區的薩揚舒申斯克水電站，是世界第6大水壩。水壩位于葉尼塞河上一個風景如畫的峽谷，始建于30年前，高800英尺，跨度約半英里。2009年，水壩發生爆炸，造成75人死亡。美國國家安全局局長基思?亞歷山大曾援引此例，以討論網絡攻擊所能造成的后果。那是8月17日午夜剛過，大壩發電裝置中一臺重大940噸的渦輪機被突然噴涌而來的高壓水流擊中。它的螺栓被敲掉，旋即發生爆炸。之后，巨浪從已爆炸渦輪機形成的空隙中沖入了發動機房，破壞了另外6臺渦輪機，觸發了連環爆炸，最終炸塌了房頂。這場災難，應部分歸咎于大約500英里外布拉茨克電站的一起火災。這場火災導致布拉茨克的電力輸入中斷，進而迫使薩揚舒申斯克水電站的渦輪機滿負荷運轉。不幸的是，其中一臺已接近使用壽命的渦輪機開始間歇性的搖晃，進入了“帶病工作”的危險狀態。為確保安全，水電站在已幾個月前安裝了新的控制系統，但突然增加的負荷，讓渦輪機無法承受。用于固定渦輪機的螺栓開始松動、掉落，渦輪機一步步被“拔錨”。監控圖像顯示，故障發生的那一刻，工人們拼命向上爬，想逃離現場。事故除了造成75人死亡、將附近地區變為汪洋之外，還泄漏了100噸汽油。這些汽油流入了葉尼塞河，使當地漁業減產鱒魚4000噸。專家估計，要將水電站復原，至少需要4年時間和13億美元。 1999年6月發生在華盛頓州的管道爆炸事故，也是黑客可以仿效的樣板。在這起事故中，貝靈翰姆奧林匹克管道公司直徑16英寸的管道破裂，噴出的237000加侖汽油流入了沃特科姆瀑布公園的一條小溪中。同時噴出的還有瓦斯。90分鐘后，爆炸發生了。巨大的火球一直延伸到小溪下游1.5英里處、造成3名兒童死亡、8人受傷。這次災難的原因，包括閥門配置不當、鏟車挖到管道讓管道變脆弱等，但萬萬不可忽略，反應遲鈍的控制系統也是罪魁禍首之一。“如果工業控制系統的計算機，始終能對奧林匹克公司管理人員的指令做出及時反應，”調查者說，“負責維護事故管道的管理人員很可能（看到壓力增大）會采取行動，防止管道內的壓力增大到使管道破裂的程度。” 而實際中，管理人員在1小時后才確定泄露發生，而此時附近的居民們已經報了警。居民在電話里告訴警察，他們在小溪的水流中聞到了一股濃烈的石油味道。雖然這起油氣泄露事件不是黑客攻擊造成的，但調查者的確在奧林匹克公司的控制系統中發現了一些可供利用的安全漏洞。比如，可以從公司通過撥號，遠程接入工業控制系統，安全措施只有一道用戶名/密碼，而且，公司的業務網絡與工業控制網絡之間并未隔離。雖然橋接策略提供了一定程度的安全防護，但是，由于既沒有魯棒的防火墻，也沒有反病毒和接入控制系統，根本無法阻止一個有想法的黑客先從因特網攻入公司業務網絡，再從業務網絡攻入核心的工業控制網絡。 2000年發生在加州圣布魯諾的天然氣管道爆炸事故，其情節之狗血、后果之嚴重，堪稱工控系統安全的警示教科書。出事那天，操作人員在對不間斷電源（UPS）進行維護時，不小心引起了工業控制系統供電中斷。根據事先編好的程序，管道的某個控制閥會在工業控制系統斷電時自動開啟；而實際的結果是，缺少了壓力監測和反饋的機制，天然氣不斷進入管道，管道中個別老化部位的壓力持續增加，直到引發爆炸。由于控制系統斷電，操作人員對這一切渾然不覺。 2005年12月，密蘇里州還發生了一起堤壩傾覆事故。事故的起因是堤壁上的傳感器和浮在水面上的水位測量裝置之間的通信中斷，當水庫容量超過15億加侖（約5.7萬立方米）的極限時未能及時報警。就在水位持續上升的過程中，“自動應急保險系統”也失效了。一天早晨的5:10，大水開始漫過堤頂，向外溢出。短短6分鐘之后，堤壩就被沖開了一個60英尺（18米）寬的大口子。之后，超過10億加侖的水從普羅菲特山（Proffit Mountain）上傾瀉而下，一路上席卷著無數的石塊和樹木，沖進了約翰遜溪瀑州立公園（Johnson’s Shut-Ins State Park），把公園管理員一家連人帶屋一起沖出了四分之一英里遠。洪流還沖向了附近高速公路上的汽車，淹沒了公園中的露營地，所幸時值冬季、戶外無人，沒有造成人員傷亡。可以作為黑客攻擊素材的，還有一些列車事故。客運列車的運行是由多個系統共同控制的：負責查驗車票的檢票系統、信用卡交易處理系統、電子廣告系統、燈光管理系統、閉路電視系統，還有最重要的消防應急系統、交通信號系統和列車運行控制系統。它們之間的相互連接，為攻擊提供了可能的途徑。過去，除非刻意連接，這些系統彼此之間并沒有通信。但如今，這些系統的數字化程度越來越高、連接也越來越多，很多系統之間通過無線信號進行通信，非加密控制指令在其中隨意傳輸。雖然鐵路系統設立了冗余備份和故障應急響應等安全機制，但多個互聯系統的存在，增加了配置錯誤的可能性，從而給有心人入侵安全系統并實施破壞留下了可乘之機。 2009年6月22日下午的晚高峰時段，華盛頓特區地鐵中，一列運行中的列車與另一列停靠在軌道上的列車發生了碰撞，造成8死80傷的慘劇。軌道上的傳感器，本應探測到那列靜止列車，并將這個消息發送給運行中的列車，但是，這個傳感器恰巧壞了。后面那列列車上安裝的防碰撞傳感器，本應在距離前面列車1200英尺時自動觸發剎車，但是，這個傳感器也壞了。更要命的是，列車駕駛員連手動剎車都沒有拉。真是各種無語。更奇葩的是，10年前，這套地鐵系統，就曾多次發出錯誤信號——其中一次，是指示列車在一個限速15碼的路段上以45碼的速度行駛。以上事故都是偶發的，但也有人為的。2008年，波蘭羅茲一個14歲的男孩，通過網絡攻擊引發了數起列車脫線事故。當時，他用一個經過改裝的電視遙控器的紅外信號，成功侵入了鐵路信號系統并扳動了道岔。這起事故造成4列列車脫軌，12人死亡。攻擊關鍵基礎設施的方法有無數種，其中最有效的，當屬攻擊所有關鍵基礎設施的共同要害——電網。如果斷電相當長一段時間，那么將會有N多種基礎設施受到影響——通勤車輛和交通信號燈，銀行和證券交易，學校和軍事設施，食品和血液供應站的溫控空調，醫院里的呼吸機、心臟監護器和其他重要設備，機場的跑道燈和航管控制系統，諸如此類。有些場所可能配有應急發電機，但應急發電機也只能撐上一會，遇上長時間停電就會應付不來。如果核電站出現掉閘事故，就會讓核裂變反應堆出現不可挽回的停機。要想攻擊電網，有一個辦法，就是入侵裝在一眾家庭和商戶住所內的智能電表。至今，美國政府已在智能電表項目上投資30億美金，完成了數千只智能電表的安裝。然而，這個項目在大力推進新技術應用的同時，卻沒有充分考慮到它所帶來的安全問題。安全研究人員在智能電表系統中發現的最大問題，就是它的遠程控制功能。這項功能，讓電力公司可以在不派遣工程人員上門的情況下，對一幢建筑的電閘執行閉合和切斷操作。既然如此，黑客同樣可以利用這個功能，設法切斷千家萬戶的電力供應，并令其難以迅速復原。2009年，一位名叫邁克?戴維斯（Mike Davis）的研究員真的制作出來一種“斷電蠕蟲”。（待續）戴維斯在西南太平洋地區的一家電力公司上班，具體負責檢測公司將要向客戶大力推廣的智能電表。就像貝雷斯福德檢測西門子公司PLC時一般，戴維斯發現，智能電表的通信模式存在缺陷。只要使用相同的通信協議，相鄰的智能電表之間就可以任意通信。甚至，可以通過通信實現固件更新。這意味著，攻擊者只要拿到網絡密鑰，就能刷新電表的固件！而且，公司還把這個密鑰寫到了每一塊電表的固件中！這些電表一旦安裝，攻擊者只需破解任意一塊的密鑰，就可以把自己的代碼刷到所有電表的固件中！！“只要手上有一塊電表，我就能對所有電表想干嘛就干嘛，”戴維斯說，“各家供應商生產的智能電表也都是一個貨色。” 這些電表彼此之間通過無線電進行通信，且始終保持在監聽模式，隨時準備接受附近電表的信號。有些型號的電表，有效通信距離甚至可達幾公里。戴維斯測試的那一款，有效通信距離是400英尺，比足球場兩個球門之間的距離還要大。這個距離，讓攻擊者可以輕松跨越智能電表的部署間距，毫不費力的傳播“拉閘病毒”。戴維斯甚至不需要潛入某家宅院，只須從市場上買一塊使用相同通信協議的同品牌電表，注入[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")和必要密鑰，然后在其他智能電表附近開工即可。戴維斯說：“因為，無線信號會自動被附近的智能電表偵測并‘查收’。”當固件更新完畢，遭攻擊的智能電表會使用感染后的固件程序重啟，并自動將更新信息發送給有效通信范圍內的其他電表，從而形成一個傳播鏈。電廠的運營人員就算看到自己地盤上發生了停電事故，也根本沒辦法弄清原委。通常情況下，智能電表供應商會通過電廠的中心網絡，對電表固件進行統一的遠程更新，或者讓技術人員在用戶所在地附近，用一臺插著加密狗的筆記本，通過無線信號進行點對點更新。所以，當戴維斯和他的團隊告訴這位供應商“我們可以不通過電廠中心網絡、也不通過加密狗就能讓[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")自動在電表間傳播”時，供應商哈哈大笑，回應說“大哥，我們的電表根本就沒有讓其他電表更新固件的功能好吧。”戴維斯只好告訴他，“我們知道，但我們可以在[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")中加入這項功能。”供應商還是不信。戴維斯只好寫了一個程序，對感染過程進行模擬。在模擬場景中，惡意代碼通過固件更新的方式，在一天之內就感染了2萬個電表。“我們已經很給面子了，”他說，“我們只找了一個電表發起攻擊，而真正的攻擊者肯定會從城市中的多個位置同時發動攻擊，并造成洪泛式的感染。” 這位供應商對此仍然不屑一顧。他說，蠕蟲病毒更新一臺智能電表的固件需要2-4分鐘，在此期間，電廠的技術人員將及時發現電力中斷的情況，并通過遠程發送正確的固件更新包，阻止其他電表受到攻擊。戴維斯也是醉了。他告訴供應商，惡意代碼不僅可以造成斷電，它還可以在感染之后、將電表固件自動更新的功能閹割掉。這樣一來，電廠根本沒辦法搞什么遠程更新，而只能讓技術人員挨家挨戶的把電表換掉，拿回實驗室、接到機器上重新注入固件代碼。“他們似乎總算聽明白了，”他說，“我們已經反復驗證了一點，就是在他們能夠發現問題的時候，事情已經無可挽回了。” 戴維斯欣慰的看到，由于他的努力，供應商們終于改進了電表的設計。有些供應商改為使用多個網絡密鑰，再把這些密鑰分配至不同的社區，以減小黑客破解單個密鑰后的攻擊范圍。但是，遠程控制仍然是大部分智能電表共同面臨的問題。如果黑客攻入電廠的中心網絡，就可以用更簡單的方式發動任意攻擊。“如果沒有遠程控制的功能，就不會有這么多煩人的問題，”戴維斯說，“我認為，不管有沒有權限限制，只要‘遠程拉閘’的功能不取消，電表就始終存在重大安全隱患。” 要想造成斷電，攻擊智能電表是個好辦法。但更有效的辦法是，直接攻擊給電網供電的發電機，或者向客戶傳送電力的輸配電系統。萊昂?帕內塔（Leon Panetta）在2011年6月被提名為國防部長的審議聽證會上指出，美國即將經歷的下一場“珍珠港事件”很有可能是針對電網的網絡攻擊。北美電網既龐大又復雜，主要由3個大型區域電網組成，即東部電網、西部電網和德州電網。電網共有45000英里的高壓傳輸線，由約3000家電力公司分別運營。由于電力可以在能源共同市場上進行交易，因此供給端和用戶端之間常常跨越州際。那么，就出現了專門負責電力調度工作的運營商，如之前提到的、在2001年遭受網絡攻擊的加州電力調度中心（Cal-ISO）。雖然多數系統各自獨立，攻擊一家電廠或變電站不會造成多大影響，但是它們彼此之間的連通性，還是為黑客同時對多個系統發動全面協同攻擊提供了便利條件。一旦這類攻擊發生，將造成難以修復的災難性斷電，從而讓用戶陷入長達數周的黑暗之中。比如，當掌管配電線路通斷的斷路器感知到危險的電涌時，會立即打開閘門，斷開與電網之間的連接。那么，有一條線路斷網后，原本流向這條線路的電流就會被重定向至其他線路。如果其他線路達到了飽和容量，上面的斷路器也會跳閘，從而造成大規模斷電。一個精心設計的攻擊會在造成某些線路跳閘的同時，操縱另外一些線路的斷路器，使其在容量過飽和時不會自動跳閘、進而讓整條線路處于過熱狀態。當配電線路過熱后，就會發生電線垂落或熔毀等事故。由于電線垂落，2003年的東南大停電造成了8個州和加拿大部分地區共5000萬人無電可用。雖說事故并非由網絡攻擊引起，但未能對事故進行早期預警和預防響應的軟件缺陷（bug）難辭其咎。事故始于俄亥俄州，當時垂落的電線卷到了樹枝上，但亞克朗市第一能源公司控制中心的應急警報系統卻沒有任何反應。這使得運營管理人員對不斷惡化的情況一無所知。在大停電兩個半小時之前，不斷有工業用電戶和其他電廠給第一能源公司打電話，投訴電壓下降和電路跳閘。這些都是電網出問題的明顯標志。但是，由于第一能源公司的運營管理人員沒有在控制系統中收到任何故障信號，根本就沒那這些投訴當回事。一位員工甚至跟打電話過來的用戶說：“別人家（美利堅電力）的電網還不是一樣會跳閘嘛。”直到第一能源公司控制室的燈都滅了，他們才意識到是自家的系統出了故障。最終，他們發現，造成警報系統失靈的是一個軟件缺陷。“這個bug之前從來沒有出過狀況，”第一能源的發言人事后說，“錯誤藏得很深，他們花了幾個星期、翻遍了幾百萬行代碼和數據才找到。” 比攻擊配電線路更具破壞性的，是攻擊向配電線路供電的變電站設備。電網共有15000個變電站節點，可分為3類：一類是發電廠向外送電的變電站，一類是在不同配電線路間轉接的變電站，一類是向用戶端分發電力的變電站。其中最重要的是第二類，它們在需要遠距離輸電之前進行梯級升壓，在電力抵達目的地后、需要向不同用戶分發電力之前進行梯級降壓。聯邦能源管理委員會近期的一份研究發現，只須攻擊9個關鍵的變電站（東部電網4個、西部電網3個、德州電網2個），就可以引起持續數周甚至數月的全國性大停電，并造成恐慌和人員傷亡。好消息是，由于電網系統的所有者和運營商為數眾多，所以使用的應急設備及軟件配置也是千差萬別。這讓攻擊者不可能用一種攻擊手段和傳播方式對整個電網實施破壞。但是，對于一般黑客來說，發動區域性的攻擊、造成小范圍的斷電絕非難事。而且，如果攻擊真的像“極光發電機實驗”那樣，破壞了發電廠中的工業級發電機，那么修復起來將更加困難。（待續）極光發電機實驗（Aurora Generator Test）名稱取自羅馬神話中的“風之母”奧羅拉女神，其根源是2003年的美國東南大停電事故。停電只持續了2天，卻足夠令人們痛定思痛，考慮遠程攻擊發電機造成不可收拾局面的可能性。邁克?阿桑特（Mike Assante）受命組建實驗團隊。 [![](https://box.kancloud.cn/2015-12-08_5666b18c3ca45.jpg)](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp_51.jpg) “風之母”奧羅拉 2001年時，阿桑特是一名在華盛頓工作的海軍情報軍官，工作單位是聯邦調查局（FBI）新成立的國家基礎設施防護中心，主要任務是對能源基礎設施的網絡攻擊及其潛在風險進行研究。一年后，他退出現役，來到了美國最大的電力公司之一——俄亥俄州的美利堅電力公司。美利堅電力讓他負責一個基礎設施防護項目。從那時起，阿桑特就開始思考這樣一個問題：會不會出現某種能對電網造成物理破壞的網絡攻擊呢？在俄亥俄，阿桑特偶然讀到了《華盛頓郵報》上一篇關于愛達荷國家實驗室（INL）“國家SCADA測試平臺”項目的報道。報道中，聯邦能源管理委員會主席在看過研究人員一次模擬演示之后，驚得瞠目結舌。這次模擬演示的內容是，黑客輕而易舉的通過關閉發電機潤滑裝置，成功破壞了它的渦輪機。活動中的金屬結構失去了潤滑油的潤滑，渦輪機驟然停轉，巨大的力量將它壓成碎塊。這位主席事后接受華盛頓郵報采訪時說：“我當時要是穿著紙尿褲就好了。”演示對他觸動之大，可見一斑。而看過這篇報道的阿桑特，其內心活動自不待言。于是，阿桑特只身一人來到INL“朝圣”，對“國家SCADA測試平臺”項目的專家團隊欽羨不已。除了控制系統工程師，實驗室還聘請了一支由剛從大學乃至高中畢業的年輕人組成的黑客攻擊團隊。他們的工作富有激情、成果豐碩，總是能夠在已經運行多年、受到充分信賴的系統中發現新的脆弱點。實驗室甚至建造了自己的變電站，和一個半徑7英里的小型獨立電網，以便讓研究者對電網實施自由測試，而不會對公共電網造成影響。阿桑特一想到在真實電網、而非模擬環境中進行安全測試和研究，就心旌搖蕩、不可自持。2005年，他辭掉了美利堅電力公司的工作，來到了INL。來了之后，他帶著幾名同事，開始研究如何構設出一個“網絡攻擊造成物理破壞”的真實情境。彼時，在電網網絡安全領域，絕大多數人的注意力都在入侵通信網絡、并通過控制斷路器造成斷電的問題上。然而，這種斷電事故，可以通過重置斷路器的方式很快得到妥善處置。那么，如果攻擊攻破或繞過安全防護系統、對發電機實施物理破壞怎么辦？處理這種情況，可沒那么容易。他們決定，通過攻擊保護繼電器來侵入發電機。保護繼電器是一種監控電網內部變化、在電網遇到可能危害配電線路的危險情況時，觸發斷路器“跳閘”的安全設備。在2008年2月的大斷電事故中，這種設備起到了非常重要的作用。當時，佛羅里達電力照明公司的一名現場工程師，在調查某個變電站中出故障的開關時關掉了保護繼電器，瞬間引發了佛州近60萬用戶斷電。這位工程師沒想到，他這一條線出問題不要緊，緊接著38個變電站都受到了波及。其中一個變電站是為核電廠供電的，它的停電造成了核電廠自動停機事故。保護繼電器不僅可以觸發斷路器跳閘，還能在感知到電網處于危險境地時，切斷發電機和其他重要設備與電網的連接。我們知道，（美國）電網運行頻率為60赫茲，那么與之連接的設備必須與之同步運行，否則就會出問題。如果將一個運行在其他頻率上的設備插入電網，不同頻造間的“扭矩”就會對設備造成破壞。當一臺發電機接入電網時，電網的負載會對發電機產生一個“阻滯”的力，就像地球重力讓上坡的汽車受到“阻滯”一樣。那么，當發電機和電網之間的斷路器開閘、使發電機脫離電網時，發電機就會因失去電網負載的“阻滯”而加速。僅10毫秒，發電機就會加速到無法與電網同步的頻率上。如果此時斷路器合閘，讓已經不再彼此同步的發電機和電網重新連接，就會出現類似汽車撞墻的效果。接入以較低頻率運行的電網時，正以較高頻率運行的發電機輸出的多余電力無處可去，只能形成一個對自身的反作用力，從而對發電機造成損害。在過去的事故中，這種現象曾作為事故原因反復出現。既然如此，阿桑特團隊在實驗中面對的問題就很簡單了——如果保護繼電器可以用于保護設備不受破壞，那么為何不反其道而行之，專門用它來對設備實施破壞呢？解決問題往往比提出問題更容易，攻擊方案很快成型。其內容包括：編寫可以更改（數字型）保護繼電器設置的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")，讓斷路器時通時斷且不斷重復這一操作，使發電機造成“斷開電網——頻率異步——接入電網——造成破壞”的惡性循環。此時，保護繼電器將無法提供任何保護，發電機則完全處于裸奔狀態。“這簡直就是惡魔的詛咒，”喬?韋斯說，“用戶阻止類似攻擊發生的設備和機制，卻被攻擊者用來實施攻擊。”國土安全部也在關于此次實驗的一份報告中寫道，通過對保護電路進行突然、反復的“打開——閉合”操作，繼電器的功能“從提供保護，變成了引起破壞。” 他們用全新價（100萬美元）的1/3，買下了一臺從阿拉斯加油田淘汰下來的瓦錫蘭發電機，作為進行“現場直播”的道具。人們在實驗現場看到，攻擊總共持續了3分鐘，但實際上攻擊可以在15秒內完成。攻擊者在代碼中加入了一些停頓，以便讓工程人員在攻擊起效的每個階段評估破壞程度、測試安全系統的狀態。每當斷路器閉合、讓以較高頻率運轉的發電機接入電網時，發電機都會因過剩能量帶來反作用力而震蕩、并發出巨大的聲響，直到最后，本應耦合在一起的柴油引擎和發電機轉子相互脫離、發電機徹底損毀。在運營中心負責監控電網異常行為的工人們，事先未被告知即將進行這次實驗。在實驗開始前，他們也沒有在監控臺發現任何不對勁的地方。安全系統可以熨平電網中經常出現的輕微波動，但對于破壞性攻擊卻沒法做出任何反應。國土安全部控制系統安全項目負責人、極光發電機實驗監管組長佩里?彼得森（Perry Pederson）說，“我們發動攻擊時，打開、閉合斷路器的速度太快，安全系統根本反應不過來。” 自從2007年極光發電機實驗之后，類似的破壞性網絡攻擊曾再次出現。2009年，《60分鐘》欄目報道了桑迪亞國家實驗室研究員的一個演示。演示中，研究人員通過簡單更改發熱元件配置和禁用用于輔助溫控的循環泵，造成煉油廠關鍵設備過熱。但是，直到目前，除了震網病毒和馬盧奇郡事件，現實世界中還沒有其他的破壞性工控系統網絡攻擊發生。專家們對此給出了一系列可能的理由——要實現類似攻擊比我們想象的要難，掌握攻擊所需技能和資源的人往往缺乏發動攻擊的動機，想發動類似攻擊的人卻往往沒有這些技能和手段。只有一件事確定無疑。考慮到發動類似攻擊的途徑之多元、手段之豐富，加之震網樹立了極為成功的樣板，必然會有人循著這條路不斷前進，并在未來的某天跨越能力或動機的門檻，給世人帶來新的驚奇。（待續）