本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
1999年,一位名叫凯文·阿什顿的技术经理创造了“物联网”一词。它是为了表达这样一个事实:并非所有连接到互联网的东西都是通过人类敲击键盘来生成数据的。今天,这些“事物”现在包括我们国家关键基础设施的组成部分,通过所谓的SCADA(监控和数据采集)系统或ICS(工业控制系统)。不幸的是,这些系统可能像我们的笔记本电脑一样容易受到攻击。
由于这些系统对于普通互联网用户来说并不明显,因此通过默默无闻来保护这些系统直到最近才奏效。然而,现在已经无处可藏。许多人知道,如果使用“高级运算符”进行查询,像谷歌这样的搜索引擎可以揭示暴露的设备。对于像Shodan这样的搜索引擎来说,这变得更加简单,这些搜索引擎专门用于帮助定位暴露的网络摄像头、路由器等,但同样可以轻松地揭示SCADA系统。
不直接连接到互联网也不能保证安全。通常情况下,可以使用“转椅界面”间接访问未受保护的控制系统,在这种情况下,可以说服人类将互联网上的内容传输到自动化系统,反之亦然。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们今天世界的发现和想法的具有影响力的故事的未来。
2010年,我们看到了即使是最安全的“气隙”也可能被突破,当时伊朗纳坦兹核燃料后处理厂感染了Stuxnet病毒。这似乎是通过操作员将受感染的USB驱动器插入一台隔离的PC来实现的,该PC用于与控制和报告生产浓缩铀的离心机的嵌入式计算机进行通信。Stuxnet病毒同时导致离心机发生故障,同时向操作员报告一切正常。随意放置一个看起来像免费游戏的USB驱动器,您会惊讶于有多少用户会将其插入最近的计算机。
自此事件以来,人们越来越意识到,国家关键基础设施的各个要素同样脆弱。它们使用与纳坦兹使用的嵌入式计算机系统类似(如果不是完全相同)的系统。最初的想法是保卫国家免受外国侵略者的侵害。毕竟,这是一种无需发射实弹即可瘫痪一个国家的明显方法。如果可以关灯和关水,为什么要发射导弹呢?而且也更便宜。以至于这种形式的攻击已经成为一个伟大的均衡器,允许小国有可能发挥超出其自身实力的作用。
有一段时间,有人批评说这种类型的威胁是无稽之谈,而且根本不可能发生。然而,在Stuxnet发布时,爱达荷国家实验室(称为Aurora)等研究机构已经在进行测试。此类测试表明,访问这些SCADA系统不仅可以关闭我们都依赖的设备,而且还可能导致设备自毁。
因此,嵌入式计算需要保持更新并具有保护,就像我们都更熟悉的计算机一样。不幸的是,保持嵌入式计算机的更新可能存在问题。具有讽刺意味的是,尽管它们可能容易受到远程攻击,但更新其软件(如果无法通过远程计算机例行访问,则称为固件)可能需要访问物理设备。这需要时间和精力,并且加上长期以来对攻击风险的自满情绪,许多系统在漏洞报告后很长一段时间内仍然容易受到攻击。
爱达荷州的戏剧性测试以及对Stuxnet的公开分析相结合,充分揭示了如果在大范围内发动此类攻击的潜力。当与Stuxnet相关的以及Stuxnet自身副本以及如何使用它的文档和视频开始出现在互联网上时,这一点得到了加强。Stuxnet的后代如此迅速地开始出现,暴露出这种武器类型的一个缺点:它是你自愿交给敌人的唯一武器,然后敌人可以立即用它来对付你。就像生物战一样,一旦释放,你最好有防御自己武器的能力。
一些政府已经认识到这种危险,并正在集结其网络部队,以了解威胁,并希望为任何攻击做好准备。英国政府成立了国家关键基础设施保护中心,专门应对网络威胁。这是英国政府宣布网络攻击为对英国国家利益的“一级威胁”的结果之一。然而,并非所有国家在思想上都如此先进。在那些例如没有国家电网,并且国家关键基础设施几乎完全由监管甚少的私营企业提供的国家,情况尤其困难。
正在进行的许多准备工作(如果正在进行的话)都假设威胁来自民族国家。但是,他们不是这场博弈中唯一的参与者。当犯罪分子获得发动此类攻击的能力时会发生什么?
想象一下类似于当前使用“勒索软件”进行的攻击,您的计算机被锁定,只有在您支付“罚款”后才会解锁。有什么可以阻止犯罪分子劫持我们国家关键基础设施的要素?网络保护敲诈勒索的不良景象开始浮现。随着犯罪分子在互联网恶作剧中变得越来越大胆,这是我们需要为之做好准备的事情。
每个人都有一份责任:不仅仅是政府。无论是您家中的智能电表、您的客户和患者使用的机器,还是您在工业规模上负责的某些东西,我们都需要记住,我们生活在一个日益互联的世界中,有时甚至互联了我们可能甚至没有考虑过的“事物”。
套用约翰·菲尔波特·柯伦的话,技术正在给我们一个日益互联的世界,但代价是永恒的警惕。
~~~
SCADA图像(#2)由Ecava提供,其他图像属于公共领域。
