0. 引言
美国《防务新闻》周刊网站2月16日发表题为"五角大楼就破坏性网络攻击发出警告"的报道称,五角大楼的二号人物昨天在旧金山举行的信息安全会议上警告说,对特定目标开发"有毒恶意软件"的程序员应警惕软件失控。人们普遍认为,美国国防部副部长威廉·林恩的讲话是向去年据称对伊朗核电站离心机造成破坏的"震网"蠕虫病毒的开发者发出的警告信息。
1. "震网"
"震网"(Stuxnet)是一种Windows平台上的计算机蠕虫病毒,2010年6月首次被白俄罗斯安全公司VirusBlokAda发现。"震网"同时利用了7个最新漏洞进行攻击,7个漏洞中,有5个针对Windows系统(其中4个是全新的零日漏洞),2个针对SIMATIC WinCC系统。
"震网"的传播途径是首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内部网络中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞等,实现联网主机之间的传播;通过伪装RealTek 和JMicron两大公司的数字签名,顺利绕过安全产品的检测;最后抵达安装了SIMATIC WinCC软件的主机,展开攻击。"震网"病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。
据赛门铁克的研究表明,截至2010年8月6日,几个受影响的主要国家中,受感染的电脑伊朗62,867台、印尼13,336台、印度6,552台、美国2,913台、澳大利亚2,436台、英国1,038台、马来西亚1,013台、巴基斯坦993台。
赛门铁克安全响应中心高级主任凯文·霍根(Kevin Hogan)指出,在伊朗约60%的个人电脑被感染,这意味着其目标是当地的工业基础设施。#p#
2. "震网"特点
与以往的安全事件相比,"震网"攻击呈现出以下特点:
(1) 攻击目标明确
通常情况下,蠕虫的攻击价值在于其传播范围的广阔性和攻击目标的普遍性。"震网"的攻击目标既不是开放主机,也不是通用软件,而是运行于Windows平台,常被部署在与外界隔离的专用局域网中,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程的SIMATIC WinCC数据采集与监视控制系统。
据赛门铁克统计,2010年7月,伊朗感染"震网"病毒的主机占25%,到9月下旬,已达到60%。据称"震网"专门定向破坏伊朗核电站离心机等要害目标,具有明确的地域性和目的性。
专家称,"震网"是一次精心谋划的攻击,具有精确制导的"网络导弹"能力。
(2) 采用技术先进
"震网"病毒一下子利用了微软操作系统的4个零日漏洞,使每一种漏洞发挥了其独特的作用;"震网"运行后,释放出两个驱动文件伪装RealTek和JMicron的数字签名,以躲避杀毒软件的查杀,使"震网"具有极强的隐身和破坏力。"震网"无需借助网络连接进行传播,只要电脑操作员将被病毒感染的U盘插入USB接口,病毒就会在神不知鬼不觉的情况下取得工业用电脑系统的控制权,代替核心生产控制电脑软件对工厂其他电脑"发号施令"。
专家称,一旦"震网"病毒软件流入黑市出售,后果将不堪设想。#p#
3. "震网"行为分析
(1) "震网"攻击目标的高端性显示其攻击为国家行为
一些专家认为,"震网"病毒是专门设计来攻击伊朗重要工业设施的。卡巴斯基高级安防研究员戴维·爱姆说,"震网"与其它病毒的不同之处,在于它瞄准的是现实世界,"震网"被设计出来,纯粹就是为了搞破坏的;德国网络安全研究员拉尔夫·朗纳坚信"震网"被设计出来,就是为了寻找基础设施并破坏其关键部分,是一种百分之百直接面向现实世界中工业程序的网络攻击,绝非所谓的间谍病毒,而是纯粹的破坏病毒,"震网"病毒的高端性,意味着只有一个"国家"才能把它开发出来。
(2) "震网"病毒的影响正向全球蔓延
专家称,"震网"病毒的目标是伊朗,但是也在世界各地的很多电脑系统中被发现。
今年2月,五角大楼二号人物在旧金山举行的一次信息安全会议上警告说,对特定目标开发"有毒恶意软件"的程序员应警惕软件失控。他说:"开发者可能因疏忽而失去对一种破坏性工具的控制并使其蔓延出去。我们必须严肃对待偶然的泄露情况,以防错误插进电脑的小优盘等对全球经济造成灾难性影响。"林恩还说,威胁程度分为很多级,"破坏"是最严重的一级;最可怕的情况是恐怖组织在黑市上从黑客那里购买到恶意软件;几十名穿着人字拖鞋、喝着'红牛'饮料的程序员能够造成很多破坏。
(3) "震网"病毒仅是工业间谍木马的冰山一角
"震网"病毒是第一例公开曝光的工业间谍木马,类似的工业间谍和商业间谍木马其实并不在少数。明枪易躲,暗箭难防,已经在光天化日下曝光的"震网"病毒并不可怕,真正应该警惕的是大量隐蔽潜伏的间谍木马,包括各个企事业单位,都应该特别重视内网的信息安全。一些国内网民最常用的软件中存在严重的安全漏洞,并且可能已经被黑客利用,而这些软件自身又不具备检测和修复漏洞的能力,如果在企事业内网中任由员工电脑使用安全性薄弱的软件,很可能造成信息泄露的严重后果。
(4) "震网"病毒可能影响我国众多企业
据某国内知名安全软件公司技术部门分析,"震网"病毒专门针对西门子公司的WinCC监控与数据采集系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦攻击成功,则可能造成这些企业系统运行异常,甚至造成商业资料失窃、停工停产等严重事故。
(5) "震网"是一种能够改变战局的蠕虫病毒
"震网"病毒的出现和传播,威胁的不仅仅是自动化系统的安全,他使自动化系统的安全性上升到了国家安全的高度。
美国国防部副部长威廉·林恩在接受英国《金融时报》专访时说,美国国防部将网络空间视为继陆地、海洋、空中和太空之后的第五维战场,从网络间谍到信息网络攻击和病毒(如可导致物理破坏的"超级工厂病毒"(震网))的威胁越来越严重。他认为,美国削减国防预算总额时机不对,因为国家仍处于战争状态。
"震网",一种能改变战局的蠕虫病毒,它将开启一个虚幻网络战的新时代,同时也向人们警示确保网络安全的重要性和建立网络安全秩序的紧迫性。#p#
4. 启示
"震网"病毒攻击事件警示我们:
(1) 物理隔离的专用局域网并非牢不可破
"震网"病毒攻击的目标都是未受到良好防护的"内部"系统,这些系统通常被认为其区域防护已经足够,而网络的安全性取决于其最弱的环节。
"震网"病毒通过U盘传播,自动识别攻击对象,具有极强的隐身和破坏能力,可以自动取得自动化系统的控制权限,从而窃取保密信息、破坏甚至控制系统的运行等。完全突破了物理隔离对专用局域网的保护。
"震网"病毒的出现将使内部网络受到攻击者的关注和研究,随之将可能引发出现更多新的攻击方式,值得我们注意。
(2) 采用专用软件的工业控制系统同样能被攻破
"震网"病毒攻击与以往的蠕虫病毒攻击截然不同,其最终目标既不是开放的主机,也不是通用软件,而是专用的工业控制软件,做到了寻常病毒所不能做到的攻击。"震网"病毒突破了工业专用局域网的物理限制,在全球至少光顾了4.5万个工业控制系统,使工业系统安全面临严峻的挑战。
(3) 数字签名的安全性问题亟待解决
"震网"病毒盗用正规软件的数字签名,伪造驱动程序,提高自身的隐藏能力,躲避杀毒软件的查杀,从而顺利绕过安全产品的检测,通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制,开展其有目的的破坏性攻击。
"震网"事件,给攻击者、信息安全人员、企业管理者等带来了一种信息安全观念和意识上的冲击,使我们对网络安全又有了新的认识,他提醒我们信息安全是一个全方位的问题,各种攻击可能来自于任何一个角度,攻击中所采用的漏洞和传播手段可能会不断翻新,攻击思路和攻击视野可能会越来越广泛,信息安全工作任重而道远。
"震网"事件提醒我们应当做好以下安全防范工作:
(1) 加强内部网络系统的安全防范
有关部门和企业应加强主机,尤其是内网主机的安全防范,不能仅仅凭借内网隔离,而疏于防范;加强企业内网安全建设,建立完善的安全管理制度和策略,通过"深度防御"实现有效的安全防护;重视网络服务的安全性,及时更新操作系统补丁,关闭不必要的网络服务,不启用弱口令和默认口令,安装安全防护软件;加强移动存储设备安全管理,关闭计算机的自动播放功能,使用可移动设备前先进行病毒扫描,为移动设备建立病毒免疫,使用硬件式U盘病毒查杀工具。
(2) 提高专用工业控制软件安全意识
目前,工业以太网和现场总线标准均为公开标准,熟悉工控系统的程序员开发有针对性的恶意攻击代码并不存在很高的技术门槛,针对行业专用软件的漏洞挖掘和攻击,可能上升到国家战略层面的关键行业和敏感行业,因此,必须对工业控制网络的信息安全薄弱环节进行信息安全防护加固。我们应尽快提高专用工业控制软件安全意识,对企业中的核心计算机,随时跟踪所用软件的信息安全问题,及时更新或加固存在漏洞的软件,保证软件应用的安全、可靠性。
加强技术创新,坚持自主研发、自主创新的道路,使国产软件满足我国本土需要的同时,具有更高的安全性和可靠性,以从容应对大型系统、复杂系统及特殊领域自动化系统面临的安全性考验。
(3) 强化电子签名数字证书应用安全管理
"震网"事件同时也暴露出我国电子签名数字证书应用中存在的安全问题,需要相关部门尽快提出应对措施。
在我国应尽快建立电子签名证书策略管理体系,以电子签名证书策略体系为核心,逐步建立起我国的数字证书分类、分级管理制度、策略和技术方法;在证书策略体系的基础上,建立相应的电子签名证书验证和认证中心(CA)服务质量评估平台,管理和技术措施双管齐下,有效地引导和管理电子认证中心(CA)的服务,保证电子签名数字证书的安全应用,从而保证电子签名数字证书相关方使用数字证书的合法权益。
最后,作为采取信息安全措施的重要手段,国家有关部门应尽快开展针对工业控制系统的信息安全检查、整改工作,提高工业控制系统信息安全防范意识,加强对工业控制系统的信息安全管理,保证我国重要工业控制系统运行的安全可靠。
作者简介:
严霄凤(1964-),通信专业硕士,中国赛迪实验室信息安全测试部副总经理,主要从事信息安全相关标准、规范和测评方法的研究,长期从事信息系统测试和信息安全测评工作。
