案例1-2:震网病毒与伊朗核设施的瘫痪
【案例】
曝光美国棱镜计划的斯诺登证实,为了破坏伊朗的核项目,美国国家安全局和以色列合作研制了震网(Stuxnet)蠕虫病毒,以入侵伊朗核设施网络,改变其数千台离心机的运行速度。斯诺登的爆料,让世界的目光聚焦在了震网病毒这个“精确制导的网络导弹”上。
震网病毒让世人惊讶的是攻击目标精准或者说明确,即针对德国西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(Supervisory Control And Data Acquisition,SCA-DA)系统,被伊朗广泛使用于国防基础工业设施中。病毒并不以刺探情报为目的,而是按照设计者的设想,定向破坏离心机等要害目标。目前,这种病毒已经感染了超过10万台个人计算机,并且光顾了全球数万个工业控制系统,但除了伊朗设施的离心机外却没有对其他计算机和工业设备造成任何物理损害。对于那些不属于破坏目标的计算机和工业控制系统,震网病毒会在留下其“电子指纹”后离开,继续寻找其目标。病毒到达装有WinCC系统用于控制离心机的主机后,首先记录离心机正常运转时的数据,如某个阀门的状态或操作温度,然后将这个数据不断地发送到监控设备上,以使工作人员认为离心机工作正常。与此同时,病毒控制WinCC系统向合法的控制代码提供预先准备好的虚假输入信号,以控制原有程序。这时,离心机就会得到错误的控制信息,使其运转速度失控,最后达到令离心机瘫痪乃至报废的目的。而核设施工作人员在一定时间内会被监控设备上显示的虚假数据所蒙骗,误认为离心机仍在正常工作,等到他们察觉到异常时为时已晚,很多离心机已经遭到不可挽回的损坏。
震网病毒另一个让世人惊讶的是,它的传播和渗透非常的精巧,它能够攻击我们平时认为非常安全的,在物理上与互联网隔离的内部局域网。一般来说,保密的内部网络通常都是局域网,其与互联网一般都是没有物理连接的。要想进入这样的局域网,要么想办法进行物理连接,要么通过移动存储设备,要么采用无线注入的方式。据分析,震网病毒采取的是通过移动存储设备进行传播的方式。如图1-3所示,该病毒首先在互联网上进行传播,大量感染的主机也就成为潜在的向内部局域网传播的“桥梁”;病毒利用被感染的主机传染给在其上面使用过的U盘,如果这个U盘在内部局域网上使用,病毒就会利用漏洞传播到内部网络;到达内部局域网后,病毒通过利用一系列的系统漏洞,实现联网主机之间的传播;最后,病毒抵达装有目标软件的主机后展开攻击。这意味着,将带有震网的U盘插入主机的USB接口后,不需要任何操作,病毒就会感染目标主机。
图1-3 “震网”病毒攻击工业控制系统流程
【案例思考】
●震网病毒这类“精确制导的网络导弹”,与传统的网络攻击相比较,有哪些新的特点?
●面对网络空间不断出现的安全问题,我们应当建立怎样的安全防护体系?
●建立网络空间信息安全防护体系应当确立哪些原则?
【案例分析视频】
请用移动设备扫描二维码观看案例分析视频。
案例1 分析视频二维码
【案例分析】
案例1-1中的棱镜门事件,堪称是一场震惊全球的网络空间安全的核冲击波,该事件对全球各国网络空间安全与发展的影响异常深远。斯诺登所揭露的棱镜门事件使网络空间这一全新领域的发展与安全问题成为世界性的焦点论题。棱镜门事件也要求我们重新思考中国未来的网络空间安全和发展的问题。
为此,我们需要从棱镜门事件的本质——大规模网络监控入手,进一步分析目前的网络空间中存在的安全威胁,在不断发展的网络空间的全新范式下思考我国信息安全对策。
案例1-2中,在传统工业与信息技术融合不断加深、传统工业体系的安全核心从物理安全向信息安全转移的趋势和背景下,此次伊朗核设施遭受震网病毒攻击事件,尤其值得我们思考。这是一次极不寻常的攻击,其具体体现在以下几点。
●传统的网络攻击追求影响范围的广泛性,而这次攻击具有极其明确的目的,是为了攻击特定工业控制系统及特定的设备。
●传统的攻击大多利用通用软件的漏洞,而这次攻击则完全针对行业专用软件,使用了多个全新的0 day漏洞(新发现的漏洞,尚无补丁和防范对策)进行全方位攻击。
●这次攻击能够精巧地渗透到内部专用网络中,从时间、技术、手段、目的、攻击行为等多方面来看,完全可以认为发起此次攻击的不是一般的攻击者或组织。
这一攻击事件绝不是偶然发生的,也不是个案。在中国国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)中,已经收录了100余个对我国影响广泛的工业控制系统软件安全漏洞。可以相信,一定还有更多针对我国众多工业控制系统且未被发现的漏洞和潜在的破坏者。
因此,这次攻击事件给我们带来的更多是一种安全观念和安全意识上的冲击。安全威胁无处不在,网络攻击无所不能,建立科学、系统的安全防护体系成为必然。
本章第1.1节介绍信息、信息系统及网络空间的概念;第1.2节从对信息安全的感性认识、安全事件的发生机理、安全的几大需求以及信息安全防护的发展等多个角度带领读者认识信息安全;第1.3节讨论网络空间的信息安全防护体系;第1.4节针对本章案例1-1,介绍“粉碎棱镜”网站提供的躲避监控、保护隐私的软件及服务。