上周,国土安全部披露了一系列针对天然气管道公司的网络攻击。与之前的基础设施网络攻击一样,没有发生已知的物理损坏。但安全专家担心这可能只是时间问题。
尽管人们普遍认为管道和其他关键系统容易受到诸如“震网”之类的病毒的攻击,但保护这些系统的努力却停滞不前。“震网”是一种神秘的蠕虫病毒,两年前曾对伊朗的核计划造成严重破坏。
这种类似弗兰肯斯坦的病毒感染了一种普遍存在的工业控制器——从管道到电网,世界各地的各种设备都在使用它。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过 订阅来支持我们屡获殊荣的新闻事业。通过购买订阅,您正在帮助确保有关当今世界塑造的发现和想法的具有影响力的故事的未来。
专家表示,制造商尚未修复这些基本但晦涩的设备中的安全漏洞。
为什么没有采取更多措施?这就是为什么“震网”仍然是国家安全的首要风险的原因。
问:到底什么是“震网”?
当“震网”入侵伊朗非法核计划中控制铀离心机的计算机时,它首次成为头条新闻。它的自我复制计算机代码通常通过任何人都可以插入计算机的闪存驱动器传输。一旦激活,该病毒会导致伊朗的离心机失控旋转,同时使技术人员认为一切正常——想想银行抢劫电影中的一个场景,抢劫犯在潜入金库时循环播放旧的监控录像。
问:是谁创建的?
无论谁知道这个问题的答案都没有透露——但如果网络安全研究人员、伊朗政府和直言不讳的互联网用户所言属实,那么两个主要嫌疑人是美国和以色列政府。
问:它是如何工作的?
“震网”寻找被称为可编程逻辑控制器或 PLC 的小型灰色计算机。PLC 的大小和形状与一包香烟相似,用于从椒盐卷饼工厂到核电站的工业环境中。不幸的是,安全研究人员表示,这些设备的密码要求通常很弱,从而为“震网”(或其他病毒)可以利用的机会创造了条件。西门子制造了运行伊朗离心机的 PLC;其他制造商包括 Modicon 和 Allen Bradley。一旦通过运行 Microsoft Windows 的计算机引入,“震网”就会寻找它可以控制的 PLC。
问:问题有多严重?
全球正在使用数百万个 PLC,而西门子是排名前五的供应商之一。
问:在伊朗事件之后,西门子是否修复了其设备?
西门子发布了一个软件工具,供用户检测和删除“震网”病毒,并鼓励其客户在伊朗袭击事件公开后尽快安装微软为其 Windows 系统发布的修复程序(大多数 PLC 都是通过运行 Windows 的计算机进行编程的)。它还计划为其 PLC 发布一种名为通信处理器的新硬件,以使其更加安全——尽管尚不清楚新的处理器是否会修复“震网”利用的具体问题。与此同时,该公司承认其 PLC 仍然容易受到攻击——在向ProPublica 发表的声明中,西门子表示不可能防范每一次可能的攻击。
问:只有西门子存在问题吗?
来自安全研究公司 NSS 实验室的研究人员指出,其他公司制造的逻辑控制器也存在缺陷。一家名为 Digital Bond 的咨询公司的研究人员在今年早些时候发布了一些针对常用 PLC 的代码时,使用了“震网”的一些技术,从而更加引起了人们对这个问题的关注。关键的漏洞是密码强度——连接到企业网络或互联网的 PLC 经常被完全暴露,Digital Bond 首席执行官 Dale Peterson 表示。
问:是什么让这些系统如此难以保护?
与任何计算机产品一样,工业控制系统也存在程序员无法预见的错误。政府官员和安全研究人员表示,关键系统绝不应该连接到互联网——尽管它们经常被连接。但是,对于运营水、电力、运输和其他系统的公司来说,接入互联网很方便且可以节省资金。
问:成本是一个问题吗?
政府和私营部门的研究人员表示,系统制造商不愿修补其产品的旧版本。公用事业公司和其他运营商不想花钱更换看起来运行良好的系统。电子前沿基金会的 Dan Auerbach(以前是 Google 的一名安全工程师)表示,科技公司快速发布产品的压力有时会胜过安全性。“存在激励问题,”他说。
问:政府在做什么?
能源部和国土安全部的计算机紧急响应小组(CERT)与基础设施所有者、运营商和供应商合作,以预防和应对网络威胁。政府资助实验室的研究人员还会评估威胁并推荐修复程序。但是政府机构不能——也不会试图——强迫系统供应商修复错误。
唯一的国家网络安全法规是联邦能源管理委员会批准的一套八项标准——但这仅适用于高压电力生产商。能源部去年的一份审计报告得出结论,认为这些标准薄弱且执行不力。
问:那么国会正在介入吗?
网络安全一直是一个备受争议的问题。包括《网络情报共享和保护法案》在内的主要法案将使政府和私营部门能够共享更多威胁信息。但是,尽管 CISPA 和其他法案赋予国土安全部和其他机构更多权力来监控问题,但它们都采取自愿的方式。
“我的一些同事说,除非发生非常糟糕的事情,否则一切都不会改变,”Peterson 说,他的咨询公司暴露了漏洞。“我希望这不是真的。”
问:奥巴马政府想要什么?
白宫呼吁立法,鼓励私营公司在遭遇网络入侵后通知政府机构,并建议私营公司保护自己的系统免受黑客攻击。但是,白宫并未要求对私营部门实施强制性的网络安全标准。
摘自 ProPublica.org(在此处找到原始故事);经许可转载。