免费试用
banner
行业资讯>大数据技术与应用>美国基础建设网络攻击

美国的基础建设要当心哦,听说一大波网络攻击将要向你们袭来

作者: 大数据观察来源: 大数据观察时间:2017-02-17 16:46:520

周五,12月19日,美国联邦调查局认定朝鲜是索尼影业所遭受的网络攻击和邮件泄露的幕后黑手。这次攻击中,许多索尼影业高层间敏感而尴尬的邮件在网上曝光。黑客威胁说,将在讽刺影片《刺杀金正恩》首映日攻击电影院。索尼反映迅速,立马叫停了该电影在好莱坞院线的上映动作(但索尼还是“顶风作案”,允许影片在331个独立电影院上映,并且在线发行片源。)

科技记者很快指出,即使网络攻击可能是以国家领导人为主角,但也没有特别复杂。科技博客Ars Technica的记者肖恩•贾拉汉将其比作“软件中的二踢脚”。而网络安全专家认为,根据一份六月国土安全部门自己手滑泄露的文件来看,索尼受攻击事件可能只是序曲,而紧接着是2015年针对美国基础建设的网络攻击。事件背景如下:6月3号,在防御国家级网络攻击中扮演关键角色的美国国土安全部(DHS),对自由情报法案要求发起针对谷歌的恶意攻击“极光行动”作出了回应。而不幸的是,正如Threatpost的丹尼斯•费舍尔在报道中所言一般,国土安全部的官员在回应中犯了一个重大错误。国土安全部发出了一份针对极光计划(AuroraProject)而非极光行动(OperationAurora)的文件,长达八百多页。而由爱达荷国家实验室所主导的极光计划,证明了攻击水利能源系统的部件有多易如反掌。  

糟糕啦!基础设施信息暴露

极光计划显示,许多发电机、水泵和其他基建设施都有一个共同的致命弱点。只要攻击者远程开关关键电路的断路器,就会将使得机器的旋转部件脱离同步状态,进而造成部分系统故障。在2007年,为了让人了解许多电气部件的常见漏洞,爱达荷国家实验室的研究员策划了极光攻击,CNN全程直播。而极光计划所揭露的漏洞传播有多广泛?在2013年Power杂志的文章上这样写道:“极光计划揭示的漏洞,影响的不仅仅是发电站里那些零部件,而是全世界每个电力系统,且所有旋转设施都是潜在对象——根据是否能生产能源或对于工业、商业设施是否重要来判定。”文章作者有:迈克尔•斯韦林根,当时在Tri-County电力合作公司主管监管政策方面(现已退休);史蒂文•布鲁纳索,市政电力的技术主管;布兹•艾伦•汉密尔顿关键基础设施专家,丹尼斯•胡贝尔,以及乔•威斯,应用控制解决方案(Applied Control Solutions)的执行合伙人。威斯现在是国防部承包者,与海军任务保证部门一起工作。他的目标就是弥补极光计划中发现的漏洞。他认为,国土安全部的错误真是让人叹为观止。威斯说,文件的大部分篇幅都不重要,但小部分包含了重要信息,对准备发起攻击的人十分有用。“其中三页构成了重要基建设施的打击名单。他们明确地告诉你名称,比如‘太平洋煤电公司’配电站,足以毁坏部分电网。他们给出了加州所有大型水站的名字。”国土安全部所公开发表的这份报告,包含了易受攻击的太平洋煤电公司配电站名字和地理位置。专注于国家安全方面报道的媒体DefenseOne,将文件与杰弗瑞•卡尔共享。后者是网络安全公司Taia的CEO,也是《网络内部战:描绘网络黑社会》的作者。“我同意……这次发表没有使得我们的基建更为安全,而且对于特定的攻击者来说,这些信息可以节省他们发起攻击前的策划时间。”发起极光攻击没有那么容易,但一旦潜在攻击者获得了更多目标特定设施的信息,会变得容易许多。

在2011年发布的64届保护型继电器工程师年度论坛的报告里,马克•泽勒(服务于施韦策工程实验公司)大致罗列了成功发起一次极光攻击所需的信息。“犯罪分子必须了解当地能源系统,理解其内部连接机制,针对有漏洞的系统负载和阻抗条件发起攻击,并选择能迅速开关的继电器,才能在攻击窗口内操作。”“假设攻击是通过远程电子控制发起的,犯罪分子必须了解并扰乱电子媒介,找到未被加密或是操作者未知的数据通路,确保操作者不会收的侵入警报,并知道所有密码,或者是进入一个不需要授权的系统。”听起来要跨越不少障碍。但公共设施主要靠公共可用的设施和常用通信协议(DNP,Modbus,IEC60870-5-103,IEC61850,Telnet,QUIC4/QUIN,andCooper2179),来链接系统内不同部分间的通讯。这让设施更易操作、维护、修理以及替换。而简便中,也潜藏着漏洞。在杂志Power的文章中,作者指出“在通信协议上让步会使得出去公共设施的操作,心怀恶意的人能够控制这些系统。”DefenseOne联系了国土安全部,询问是否在此次意外文件外泄中意识到了危机。。一位工作人员回答道:“这是近期信息自由法案所要求的关于极光行动的部分信息国土安全部国家项目计划署提供了一些之前的文件。这些好像不是他们所需要的。但这些文件在发表前已经彻底审核了敏感和机密信息的部分,以保证关键基础设施的安全不会受到危害。”威斯认为这些回应都是瞎扯。威斯提出,国土安全部文件外泄的危害可能极大,或者根本不存在,如同国土安全部希望你相信的那样。但即使是后者,极光所揭示的漏洞依然是关键隐患。2007年当极光漏洞初次曝光的时候,佩里•佩德森是国土安全部控制系统安全项目负责人。在漏洞发现后,他在六月发表的一篇博文里面也说了这样的话。他没有指责国土安全部。但而论及紧迫程度,他与威斯如出一辙。“让我们向前推进到2014。在保护重要的网络设施方面我们学到了什么?仅在上半年,就一些公开的媒体报道来看,我们学习防御的速度似乎没有别人学会攻击的速度快。”在许多方面,相比于索尼的黑客事件,极光漏洞似乎是难以防御。原因很简单:对于任何一个操控公共设施的人来说,没有任何明显诱因促使他们付出相对简单的代价去防御。一位他们很天真。威斯说,在有漏洞的设施上安装常用装置可以有效解决这个问题,让可移动部件不会脱离同步状态。火箭IGR-933上两个转动设施的隔离装置(REID),以及SEL751A上也有,保持部件同步运转。威斯说,据他所知,太平洋煤电公司没有安装任何这样的装置,即使是国防部愿意为任何有需要的公司提供设施。当然这是因为国防部希望保证在能源中断的事故中,基地的也不需要依赖备份的水电资源。“国防部买了几个IGR-933,分发给几个有关键配电站的公共设施,”威斯说:“国防部想给也给不出去,因为任何他们给出去的设施会成为‘重要设施’,然后会受到NERC-CIP的监管。”极光所揭示的不是零日(zero-day)漏洞,即一种采用全新的病毒媒介,让受害者没有时间找到补丁的攻击方式。问题是,无从得知是否有人会这么做,知道某人,可能是朝鲜或是别人,选择采用这种方法。朝鲜有可能攻击这些漏洞吗?威斯认为可以:“朝鲜和伊朗完全有能力这么做。”

虽然可能要打仗,不过大家别慌张

这样的攻击会构成一次网络战吗?可能会。五角大楼新闻秘书、海军少将约翰•基尔比周五接受记者采访时说:“就互联网而言,我列不出网络战可能会怎么样,可能不会怎么样的种种特性。这和固定空间不一样,存在着非此即彼的分界线。这个领域一直充满了未知的挑战,非常易变。部分原因是,缺乏国际认可的标准和协议。这也是我们在国防部一直争论的要点。”彼得•辛格,在与Motherboard的杰森•寇比勒谈话中,说到实际为防御朝鲜武力冲突所设的障碍比黑一个好莱坞电影制片公司高多了。“1970年代,朝鲜用斧子杀害美国军人的时候,我们没有发动战争。当他们向我们盟友发射导弹的时候,我们没有发动战争;当他们用鱼雷袭击我们的盟友并杀害他们的海员的时候,我们没有发动战争。你现在告诉我因为索尼高层形容安吉丽娜•茱莉是个臭丫头我们会发动战争?这不可能。”周五,奥巴马说将会有对黑客事件的回应,但拒绝透露详细信息。“我们在整理几个方案。然后我会根据与案件本质相符的情况,在其中选择一个发表。”对基建故意破坏导致水电中断会构成战争行为吗?这个问题也许没有意义。在美国政府考虑清楚如何恰当地回应网络攻击之前,首先要知道这是由谁发起的。联邦调查局认定朝鲜是黑客事件的幕后黑手。他们几乎是以法医组在罪案现场寻找犯罪分子留下的痕迹那样,仔细分析了恶意攻击。联邦调查局认为:“针对恶意攻击中使用的数据删除技术分析显示,这与联邦调查局此前所知的朝鲜发起的恶意攻击有关。比如,程序某处的语句,加密算法,数据删除方式以及未加防护的网络,有许多相似性。”(攻击者是谁已经成为科技圈的争论话题,其中许多专家认为黑客是从内部突破可能性非常大。)相反地,对极光漏洞的攻击,大概除了一个IP地址,不会留下其他痕迹。和索尼黑客事件不一样,不需要特地编写的恶意软件加载到系统中——恶意软件能证实攻击者的身份,或者至少是其搭档的身份。对极光漏洞进行攻击仅仅是获得访问方式,而且还是远程的。这是因为设施还是以工厂预设的密码运行,然后由开关控制。“针对任何连接,你都可以利用配电站。极光项目将配电站用作攻击媒介。电网同时就是攻击载体。”威斯这样形容,称这是“极其狡猾”的攻击。我们能否避开这样事故完全取决于这些公司如何采取保卫措施。我们会在今年知道答案。

banner
看过还想看
可能还想看
热点推荐
Yonghong的价值观:以卓越的数据技术为客户创造价值,实现客户成功。
免费试用