siemens x
工業(yè)以太網(wǎng)

工業(yè)網(wǎng)絡(luò)安全之網(wǎng)戰(zhàn)魅影

2025China.cn   2011年04月06日

        引言:去年夏天,全球頂尖的計(jì)算機(jī)軟件安全專家檢測(cè)到了令他們深感震驚的新型計(jì)算機(jī)病毒。這種新型病毒結(jié)構(gòu)非常復(fù)雜,不同于目前已知的任何計(jì)算機(jī)病毒。專家們正在對(duì)其進(jìn)行分析研究,希望能夠解碼這種病毒的構(gòu)造,了解它所造成的破壞及其來(lái)源。目前看來(lái),這種病毒的攻擊目標(biāo)似乎是伊朗的核項(xiàng)目。盡管它源自何方仍然成謎,但這種病毒的出現(xiàn)卻代表了21世紀(jì)一種全新的戰(zhàn)爭(zhēng)形式:蹤跡難尋、匿名進(jìn)攻、破壞巨大。

  去年7月中旬的某一天,很多人的智能手機(jī)半夜里突然鈴聲大作。鈴聲震動(dòng)使得手機(jī)在床上跳動(dòng)不已,指示燈閃個(gè)不停。睡夢(mèng)中的人迷迷糊糊地拿過(guò)來(lái),在應(yīng)答的一瞬,便有如接到命令的士兵一般——他們用力搖搖自己的腦袋,盡量讓自己清醒過(guò)來(lái),凝神傾聽(tīng)著手機(jī)里描述的一場(chǎng)漸漸迫近的危機(jī)。隨后幾天,接到這樣電話的人越來(lái)越多——他們都是一些軟件分析和工業(yè)生產(chǎn)控制系統(tǒng)方面的專家,被電話召集到北約臨時(shí)搭建的作戰(zhàn)室里展開(kāi)工作。最高級(jí)別的政府官員們關(guān)注著他們的工作進(jìn)展。他們面對(duì)的這場(chǎng)危機(jī)還沒(méi)有名稱,但初看起來(lái),卻有可能使整個(gè)工業(yè)社會(huì)陷入停頓。

  一種能夠進(jìn)行自我復(fù)制的計(jì)算機(jī)蠕蟲(chóng)病毒,已經(jīng)侵入了全球幾千臺(tái)電腦,目的是搜尋一個(gè)灰色的小塑料盒——可編程邏輯控制器。這種控制器是一種微型計(jì)算機(jī),只有一盒蠟筆大小,卻操控著工廠、電站、建筑工程等許多項(xiàng)目中的機(jī)器運(yùn)轉(zhuǎn)。它們控制著對(duì)人類現(xiàn)代生活至關(guān)重要卻又枯燥無(wú)味的工作——調(diào)節(jié)水閥的開(kāi)關(guān),設(shè)定鈾離心機(jī)的轉(zhuǎn)速,控制每塊奧利奧餅干上的奶油流量,決定交通燈何時(shí)由紅轉(zhuǎn)綠等等。

  盡管這樣的控制器無(wú)處不在,大多數(shù)人卻對(duì)他們極為陌生,甚至就連許多高級(jí)官員也是直到七月中旬那一天才第一次聽(tīng)說(shuō)它們的存在。一些主要西方國(guó)家起初擔(dān)心,這種蠕蟲(chóng)病毒會(huì)發(fā)動(dòng)對(duì)所有控制器的全面進(jìn)攻。如果工廠關(guān)閉,發(fā)電廠停止發(fā)電,那么正常的社會(huì)秩序還能維持多久?誰(shuí)會(huì)開(kāi)發(fā)一個(gè)帶有這種破壞性意圖的程序?開(kāi)發(fā)這樣的程序又是為了什么?

  趁著這一切還沒(méi)發(fā)生,頂尖的電腦工程師們聚在一起,試圖找出這種蠕蟲(chóng)病毒的意圖所在。在收到惡意軟件冗長(zhǎng)繁復(fù)、設(shè)計(jì)精巧的病毒代碼樣本后,全球的計(jì)算機(jī)安全專家開(kāi)始共同對(duì)這種病毒進(jìn)行分析。從功能上看,這種新型病毒是許多研究員所見(jiàn)過(guò)的最大型的惡意軟件,結(jié)構(gòu)上的數(shù)量級(jí)也更復(fù)雜。(以前惡意軟件的長(zhǎng)度冠軍飛客蠕蟲(chóng)病毒,大小僅是這次出現(xiàn)的新型病毒的1/20)。以后的幾個(gè)月里,專家們致力于破解病毒的構(gòu)造,并最終解碼了大部分程序,這種病毒隨即被微軟的研究員命名為Stunxnet(中文稱震網(wǎng)病毒或雙子病毒)。解碼結(jié)果甫一公布,所有人都大驚失色,如墜深淵。

  “零日漏洞”

  在7月17日手機(jī)鈴聲響起那天的一個(gè)月前,白俄羅斯明斯克一家小型信息技術(shù)安全公司的反病毒部門(mén)主任謝爾蓋·烏勒森,正坐在辦公室里閱讀一封電子郵件,獲悉一位伊朗客戶的計(jì)算機(jī)不停地重啟。烏勒森拿到了引起重啟問(wèn)題的病毒樣本,并把它傳給了同事奧列格·柯普瑞耶夫??缕杖鹨?qū)⑺胚M(jìn)一個(gè)除錯(cuò)調(diào)試程序——這種程序用來(lái)檢驗(yàn)其他軟件的代碼,包括病毒軟件。結(jié)果他們發(fā)現(xiàn),這種病毒利用了一個(gè)以前沒(méi)被人們檢測(cè)到的漏洞來(lái)感染微軟操作系統(tǒng)。這種從未被人們發(fā)現(xiàn)、而系統(tǒng)程序創(chuàng)建者也不知曉其存在的漏洞,在計(jì)算機(jī)行業(yè)中被叫做“零日漏洞”。在計(jì)算機(jī)安防領(lǐng)域,發(fā)現(xiàn)這樣一個(gè)漏洞是一件大事,利用零日漏洞編寫(xiě)病毒程序的人絕對(duì)是專家。這種軟件上的缺陷能被用于一系列惡毒的目的,在黑市上可以賣(mài)到10萬(wàn)美元。

  被烏勒森發(fā)現(xiàn)的這種病毒格外奇怪,因?yàn)樗匀藗儚奈匆?jiàn)過(guò)的方式傳播。計(jì)算機(jī)插入感染了病毒的閃存,病毒就會(huì)偷偷潛入,加載兩個(gè)文件到計(jì)算機(jī):一個(gè)是rootkit,(這使病毒能在計(jì)算機(jī)上做任何事情——如一個(gè)黑客解釋的那樣,“‘root’是根的意思,意味著你是上帝”),另一個(gè)是進(jìn)行破壞的惡意程序代碼的注入器。在烏勒森看來(lái),這個(gè)惡意代碼被層層加密到不可思議的地步。而最令人感到不安的是,病毒在進(jìn)入計(jì)算機(jī)后,能對(duì)自身進(jìn)行隱藏。為了達(dá)到這個(gè)目的,病毒使用了數(shù)字簽名。數(shù)字簽名是一種加密的字符串,合法的計(jì)算機(jī)軟件程序使用它們來(lái)證明自身是非病毒軟件。它就像是軟件的護(hù)照,是合法軟件在不同機(jī)器上使用的的身份證明。病毒有時(shí)會(huì)使用偽造的數(shù)字簽名進(jìn)入計(jì)算機(jī),就像青少年使用假冒身份證進(jìn)酒吧一樣。最近幾年,安全專家一直關(guān)注惡意軟件的編程員實(shí)現(xiàn)從偽造數(shù)字簽名到盜竊真正數(shù)字簽名的飛躍。這是人們第一次看到發(fā)生這樣非同尋常的事情。能從行業(yè)中最受信任的瑞昱公司盜得簽名,這個(gè)新型病毒不容小覷。

  可為何這個(gè)惡意軟件的編寫(xiě)者要費(fèi)這么大勁兒開(kāi)發(fā)出這樣一個(gè)程序?也就是說(shuō),這個(gè)惡意軟件究竟要對(duì)什么進(jìn)行攻擊?烏勒森想不出來(lái)。他所能了解的是病毒的基本注入系統(tǒng)——即病毒是如何進(jìn)行傳播的,僅這一點(diǎn)就值得引起人們的注意。

  烏勒森和柯普瑞耶夫詳細(xì)寫(xiě)下了自己的發(fā)現(xiàn),并在7月5號(hào)通過(guò)一個(gè)在德國(guó)的同行,向位于華盛頓雷德蒙德的微軟安全反應(yīng)中心發(fā)出了警報(bào)。微軟第二天就迅速承認(rèn)了漏洞所在。烏勒森也寫(xiě)信給中國(guó)臺(tái)灣的瑞昱公司,告訴他們數(shù)字簽名被盜用的事。然后,在7月12號(hào)的時(shí)候,烏勒森把關(guān)于這個(gè)惡意軟件的報(bào)告掛在了安全信息公告欄中。48小時(shí)內(nèi),一位來(lái)自德國(guó)蒙斯特的獨(dú)立安全分析專家弗蘭克·鮑德溫就破解了這個(gè)病毒所進(jìn)行的大部分破壞行動(dòng),并發(fā)現(xiàn)了病毒的攻擊目標(biāo):可編程邏輯控制器。鮑德溫把自己的發(fā)現(xiàn)貼在同一個(gè)公告欄中,由此拉響了西方國(guó)家的全面警報(bào)。

  第二天,7月15日,一個(gè)工業(yè)條線的記者布賴恩·克雷布斯在自己的博客中公布了病毒的消息。又過(guò)了一天,微軟在聯(lián)合外部專家對(duì)惡意軟件進(jìn)行分析之后,發(fā)布了針對(duì)病毒的第一個(gè)補(bǔ)丁。那時(shí),人們只在歐洲和美國(guó)的小部分地方監(jiān)測(cè)到了病毒。而現(xiàn)在,多達(dá)15000份感染樣本已被人們監(jiān)測(cè)到,并且這個(gè)數(shù)字還在快速增長(zhǎng)。這些感染樣本大多位于亞洲,首先是在印度和印尼被發(fā)現(xiàn),接著是伊朗的電腦感染數(shù)量急劇上升。

  在向公眾發(fā)布病毒報(bào)告的過(guò)程中,研究人員將病毒兩部分代碼中的英文字母移動(dòng)了一下,給它起了一個(gè)名字——Stuxnet(震網(wǎng)病毒)。這個(gè)名字聽(tīng)起來(lái)就像出自科幻大師威廉·吉布森或弗蘭克·赫伯特的小說(shuō),其中涌動(dòng)著某種恐怖的意味。美國(guó)的廣告精英們也很難再找到一個(gè)名稱,能如此生動(dòng)地描繪這種聳人聽(tīng)聞、威脅巨大的病毒。

  然而很明顯,有人在盡量使震網(wǎng)病毒躲開(kāi)公眾的關(guān)注。7月14號(hào),關(guān)于病毒存在的消息剛開(kāi)始傳播的時(shí)候,震網(wǎng)病毒的操控者就給病毒增加了新的自我防御機(jī)制。盡管病毒從瑞昱盜取的數(shù)字簽名已被宣布吊銷,它的新版本又有了一個(gè)從智微公司盜取來(lái)的新的數(shù)字簽名。因此,即便第二天媒體對(duì)此事進(jìn)行了集中報(bào)道,這種病毒仍然能夠躲避監(jiān)測(cè)。一周后,病毒的新版本也被計(jì)算機(jī)安全分析員監(jiān)測(cè)到了,第二個(gè)被盜用的數(shù)字簽名也被宣布吊銷。震網(wǎng)病毒沒(méi)有再試圖使用第三個(gè)數(shù)字簽名。盡管知道人們已能夠越來(lái)越容易地監(jiān)測(cè)到它的存在,這種病毒仍然在不停地復(fù)制傳播。

  7月15號(hào),震網(wǎng)病毒的存在已廣為人知,全球發(fā)布關(guān)于工業(yè)生產(chǎn)控制系統(tǒng)安全簡(jiǎn)訊的兩家主要網(wǎng)站淪為“分布式拒絕服務(wù)攻擊”的攻擊對(duì)象——這是一種最原始最直接的網(wǎng)絡(luò)破壞行為。人們所知最早的同類型網(wǎng)絡(luò)破壞行為是2007年對(duì)愛(ài)沙尼亞發(fā)起的進(jìn)攻,當(dāng)時(shí)整個(gè)愛(ài)沙尼亞的互聯(lián)網(wǎng)因遭受攻擊而大面積癱瘓。此類進(jìn)攻的主使者很難被確認(rèn),但在當(dāng)時(shí),俄羅斯被普遍懷疑應(yīng)對(duì)事件負(fù)責(zé)。沒(méi)人知道是誰(shuí)挑起了此次對(duì)工業(yè)控制系統(tǒng)安全網(wǎng)站的進(jìn)攻。盡管其中一家網(wǎng)站經(jīng)受住了攻擊,但另外一家卻被一個(gè)僵尸網(wǎng)絡(luò)不斷發(fā)出的服務(wù)要求擠到癱瘓,以致郵件服務(wù)被中斷,使電廠和工廠得不到想要的關(guān)于這種病毒的信息。

  震網(wǎng)病毒的確已為公眾所知,但明顯有人正不遺余力地進(jìn)行反擊。他們選擇的時(shí)機(jī)之妙,不是因?yàn)轶@人地幸運(yùn),就是因?yàn)橄⑻貏e靈通。

  末日預(yù)兆

  尤金·卡巴斯基對(duì)堪察加半島的火山一直非常向往。7月份的第一周,這位45歲的世界第四大計(jì)算機(jī)安全公司——卡巴斯基實(shí)驗(yàn)室的聯(lián)合創(chuàng)始人兼CEO,正坐在辦公室里,倒計(jì)時(shí)等待自己前往西伯利亞休假的開(kāi)始。正在此時(shí),一位工程師收到了微軟關(guān)于震網(wǎng)病毒的報(bào)告。這位工程師急匆匆地沖進(jìn)來(lái),上氣不接下氣地說(shuō):“尤金,你不會(huì)相信,發(fā)生了一件非常、非常、非??植赖氖虑椤!?/FONT>

  在微軟宣布震網(wǎng)病毒的存在以后,卡巴斯基實(shí)驗(yàn)室就開(kāi)始研究這種病毒??ò退够臀④泴?duì)研究成果進(jìn)行了共享,兩家公司展開(kāi)一次非同尋常的合作來(lái)分析病毒代碼。賽門(mén)鐵克、諾頓和F-Secure也發(fā)布了大量對(duì)震網(wǎng)病毒的分析研究結(jié)果。賽門(mén)鐵克更是在晚些時(shí)候正式加入到微軟和卡巴斯基的合作中。

  卡巴斯基1987年畢業(yè)于前蘇聯(lián)密碼、電信與計(jì)算機(jī)科學(xué)學(xué)院,這個(gè)學(xué)院當(dāng)時(shí)由克格勃和國(guó)防部共同設(shè)立。他有著兩道灰色的濃眉,在人群中非常惹眼。他平時(shí)駕駛著一輛法拉利,贊助了一支F1車(chē)隊(duì),并因酷愛(ài)成龍的電影而聘請(qǐng)成龍作為其公司的代言人。如果說(shuō)震網(wǎng)病毒令卡巴斯基感到興奮,那未免有些夸張。但他和許多同事多年來(lái)一直在等待這樣的事情發(fā)生。計(jì)算機(jī)安防行業(yè)和其他許多設(shè)備維修行業(yè)一樣,因?yàn)槿藗兠媲俺霈F(xiàn)了前所未有的困境而興旺發(fā)達(dá)。在末日預(yù)言面前,這個(gè)行業(yè)嗅到的卻是美元的氣息。正如卡巴斯基一個(gè)主要競(jìng)爭(zhēng)對(duì)手所說(shuō)的:“在這個(gè)行業(yè),恐懼是我的同盟?!?/FONT>

  卡巴斯基選中羅埃爾·舒文伯格負(fù)責(zé)對(duì)震網(wǎng)病毒進(jìn)行研究。舒文伯格是一個(gè)眼睛明亮、扎著馬尾辮的荷蘭籍反病毒專家。他今年只有26歲,卻已經(jīng)和卡巴斯基相識(shí)近10年了。(還在高中的時(shí)候,舒文伯格就自己研究探查網(wǎng)絡(luò)病毒,并且出于好玩,每天通過(guò)電郵給自己在網(wǎng)上結(jié)識(shí)的這位CEO發(fā)送報(bào)告)??ò退够唾愰T(mén)鐵克的分析員很快就發(fā)現(xiàn),震網(wǎng)病毒利用的不僅是一個(gè)零日漏洞,而是史無(wú)前例地同時(shí)利用了4個(gè)這樣的漏洞。應(yīng)用如此先進(jìn)的技術(shù)在惡意軟件開(kāi)發(fā)史上還是第一次,這不能不令人感到震驚。

  隨著越來(lái)越多的零日漏洞被發(fā)現(xiàn),卡巴斯基說(shuō),他懷疑有政府組織編寫(xiě)了震網(wǎng)病毒,因?yàn)橐梢粋€(gè)局外人在沒(méi)有進(jìn)入微軟源代碼權(quán)限的情況下來(lái)發(fā)現(xiàn)這些漏洞,是一件非常困難和費(fèi)時(shí)的事情??ò退够档土寺曇簦p輕笑著說(shuō):“我們正在接近危險(xiǎn)核心。下面的工作,如果順著上面的思路繼續(xù)下去,我們就會(huì)查到從華盛頓打到西雅圖尋求源代碼的電話?!?/FONT>

  對(duì)舒文伯格和許多人來(lái)說(shuō),震網(wǎng)病毒似乎是一個(gè)比已知所有的惡意軟件更加復(fù)雜和昂貴的開(kāi)發(fā)系統(tǒng)所開(kāi)發(fā)出來(lái)的產(chǎn)品。賽門(mén)鐵克的一位策略分析師估計(jì),可能有30多個(gè)不同的人參與了程序編寫(xiě)。編程員編程的風(fēng)格就像作家的寫(xiě)作風(fēng)格一樣可以辨認(rèn)。一位專家估計(jì)這個(gè)蠕蟲(chóng)病毒的開(kāi)發(fā)至少進(jìn)行了6個(gè)月。一旦震網(wǎng)病毒被釋放出來(lái),操控病毒的技術(shù)人員會(huì)在丹麥和馬來(lái)西亞的控制服務(wù)器上對(duì)其進(jìn)行維護(hù),震網(wǎng)病毒也會(huì)不斷地向這些服務(wù)器匯報(bào)其所在位置并進(jìn)行更新。

  最令人感到奇怪的是,這種蠕蟲(chóng)病毒有兩個(gè)主要變種。病毒最早的版本似乎是在2009年夏天出現(xiàn)的。和2010年3月開(kāi)始出現(xiàn)的新版本相比,這個(gè)初始版本在某些方面非常復(fù)雜,但在其它一些方面又相當(dāng)原始。4月份出現(xiàn)的第三個(gè)版本包含了一些微小的改進(jìn)。在舒文伯格看來(lái),這也許意味著震網(wǎng)病毒的開(kāi)發(fā)者認(rèn)為這種病毒傳播得不夠快,或者沒(méi)有擊中預(yù)期目標(biāo),所以他們開(kāi)發(fā)了更具侵略性的進(jìn)攻機(jī)制。舒文伯格認(rèn)為這些開(kāi)發(fā)人員在權(quán)衡了病毒被監(jiān)測(cè)到的風(fēng)險(xiǎn)和任務(wù)失敗的可能之后,選擇了冒險(xiǎn)。

  但震網(wǎng)病毒帶來(lái)的種種猜測(cè)似乎不會(huì)就此終結(jié)。在7月15日的一份簡(jiǎn)報(bào)中,亞歷山大·古斯塔夫——卡巴斯基實(shí)驗(yàn)室負(fù)責(zé)在博客中發(fā)布這種蠕蟲(chóng)病毒相關(guān)信息的研究員,神秘地引用了維基百科中一則關(guān)于植物的詞條:香桃木(Myrtus)是桃金娘科中的一個(gè)屬種,包括一兩種開(kāi)花植物。

  “為什么會(huì)突然扯到植物學(xué)上?”古斯塔夫這樣寫(xiě)道。他給出的回答是:“因?yàn)閞ootkit的驅(qū)動(dòng)程序代碼包含以下字符串:b:.”古斯塔夫接著又提出了“香桃木計(jì)劃”的說(shuō)法,并且頗為自負(fù)地加上一句:“還要繼續(xù)嗎?”盡管沒(méi)有繼續(xù)就震網(wǎng)病毒中的植物學(xué)典故展開(kāi)猜想,古斯塔夫的這一提法卻引出了大量的后續(xù)解讀。

  7月底,在尤金·卡巴斯基從火山休假回來(lái)的前夕,舒文伯格試著說(shuō)服一個(gè)《紐約時(shí)報(bào)》的記者對(duì)震網(wǎng)病毒進(jìn)行報(bào)道。但因?yàn)闆](méi)有這種病毒的來(lái)源和攻擊目標(biāo)的具體信息,這個(gè)題目當(dāng)時(shí)沒(méi)被采納。然后,到了9月16日,德國(guó)漢堡的一位工業(yè)控制系統(tǒng)安全專家在自己的博客中發(fā)表了關(guān)于震網(wǎng)病毒的轟動(dòng)性言論,聲稱有關(guān)震網(wǎng)病毒的部署是“香桃木行動(dòng)?!辈⑶宜_定香桃木所指的究竟是什么。這位專家的言論以前從沒(méi)有上過(guò)報(bào)紙,但是這次,他卻將全球?qū)φ鹁W(wǎng)病毒這一話題的討論引向了一個(gè)全新的方向。

  隱形病毒,自我導(dǎo)向

  “我究竟是個(gè)瘋子,還是個(gè)天才?”這個(gè)問(wèn)題不僅是拉爾夫·朗納一個(gè)人才有。他的睡眠一直有問(wèn)題,而且有時(shí)候認(rèn)為美國(guó)中央情報(bào)局正在監(jiān)視他。朗納是一個(gè)52歲的非常健談的男人,長(zhǎng)得就像一只靈巧的惠比特犬,短發(fā)整齊地分向兩邊。他位于漢堡的公司在不為外界所熟悉的工業(yè)控制系統(tǒng)安全領(lǐng)域享有大名,德國(guó)許多最大的汽車(chē)企業(yè)和化工公司都是他的客戶。整個(gè)8月,朗納都在對(duì)震網(wǎng)病毒的攻擊路徑進(jìn)行逆向思考,并第一個(gè)分析出震網(wǎng)病毒含有兩組組件,他把這些組件叫做“彈頭”。層層分析之后,朗納逐漸形成結(jié)論,認(rèn)為震網(wǎng)病毒的攻擊目標(biāo)是伊朗的核項(xiàng)目。多年以來(lái),伊朗一直被西方國(guó)家懷疑在試制原子彈,并且在2003年的時(shí)候,拒絕向國(guó)際原子能機(jī)構(gòu)的檢查員呈交有關(guān)鈾濃縮離心機(jī)的詳細(xì)信息。從那以后,西方國(guó)家使用各種手段,包括外交施壓、貿(mào)易禁運(yùn),甚至采取秘密行動(dòng),試圖阻止伊朗的核計(jì)劃。

  起初電腦業(yè)界的人將震網(wǎng)病毒看成是黑客對(duì)微軟操作系統(tǒng)發(fā)起的進(jìn)攻——黑客利用一個(gè)零日漏洞設(shè)計(jì)了病毒。這就好像是主人知道有人闖進(jìn)自己家里,然后要對(duì)這些人究竟是怎樣進(jìn)來(lái)的進(jìn)行還原分析一樣。

  之后,弗蘭克·鮑德溫發(fā)現(xiàn)了這些入侵者想要的東西——可編程邏輯控制器。更確切地說(shuō),震網(wǎng)病毒尋找的目標(biāo)是德國(guó)西門(mén)子生產(chǎn)的控制器。最終,朗納搞清楚了震網(wǎng)病毒進(jìn)行破壞的基本方式,也就是說(shuō),入侵者是怎樣進(jìn)行破壞的。當(dāng)震網(wǎng)病毒侵入一臺(tái)計(jì)算機(jī)后,它會(huì)試圖侵入和這臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)的每一臺(tái)計(jì)算機(jī),然后探查他們有沒(méi)有使用西門(mén)子軟件。如果答案是否定的,震網(wǎng)病毒就變成網(wǎng)絡(luò)中一個(gè)僵死的程序。如果答案是肯定的,這種蠕蟲(chóng)病毒就會(huì)檢測(cè)這臺(tái)計(jì)算機(jī)是否連接了可編程邏輯控制器,或者一直守候著,直到計(jì)算機(jī)和控制器連上。然后,蠕蟲(chóng)就通過(guò)計(jì)算機(jī)侵入控制器和其它與控制器相連接的物理設(shè)備,開(kāi)始搜尋與控制器相連的一種特殊機(jī)器。如果震網(wǎng)病毒找到了目標(biāo)機(jī)器,它就會(huì)查看機(jī)器的組件是否在設(shè)定的條件下運(yùn)行。如果是的,震網(wǎng)病毒就會(huì)向控制器注入自身的惡意程序代碼來(lái)改變機(jī)器原來(lái)設(shè)定的工作條件。有一點(diǎn)引起人們注意的是,即使震網(wǎng)病毒對(duì)目標(biāo)系統(tǒng)進(jìn)行了破壞,這種病毒也能騙過(guò)機(jī)器的電子安全檢測(cè)系統(tǒng),使得安全檢測(cè)系統(tǒng)認(rèn)為機(jī)器運(yùn)轉(zhuǎn)正常。

  工業(yè)控制系統(tǒng)以前曾被破壞過(guò)。但是,這種并非由黑客在某處通過(guò)鍵盤(pán)操作、遠(yuǎn)程控制病毒程序來(lái)改變系統(tǒng)運(yùn)作的事情還是第一次發(fā)生。震網(wǎng)病毒就像是一個(gè)能進(jìn)行自我導(dǎo)向的無(wú)人駕駛飛機(jī),一旦被釋放出來(lái),就開(kāi)始尋找具體的目標(biāo)進(jìn)行破壞,并且在破壞發(fā)生前,使人們對(duì)它的存在和發(fā)揮的作用一無(wú)所知。這樣的攻擊方式無(wú)疑是革命性的。

  朗納對(duì)病毒所造成的破壞進(jìn)行的技術(shù)分析使業(yè)內(nèi)同行贊賞不已。但他同時(shí)也不可避免地陷入了對(duì)這個(gè)惡意軟件來(lái)自何方的思考中,這使他對(duì)于這種病毒的源頭和攻擊目標(biāo)形成了自己詳盡的推論。

  8月底的時(shí)候,朗納通過(guò)谷歌查詢了“香桃木”和“希伯來(lái)”這些詞條,其中的解釋提到了一本叫做《以斯帖記》的書(shū),那是講述猶太人挫敗波斯人陰謀的圣經(jīng)故事。朗納又通過(guò)谷歌查詢了“伊朗”和“核計(jì)劃”,看看是否有什么問(wèn)題發(fā)生,結(jié)果發(fā)現(xiàn)伊朗布什爾核電站的建設(shè)最近不知為何一再拖延(盡管布什爾是一座核電站,但它的核反應(yīng)堆能在低濃縮鈾燃料中生產(chǎn)钚,這種物質(zhì)可以被重新利用制造武器)。然后,朗納就震網(wǎng)病毒一事給他的朋友喬·魏斯發(fā)了一封電子郵件。魏斯負(fù)責(zé)組織在美國(guó)舉行的有關(guān)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的高端會(huì)議,也是行業(yè)標(biāo)準(zhǔn)書(shū)籍《保護(hù)工業(yè)控制系統(tǒng)免受電子威脅》的作者。朗納稍后將這封郵件發(fā)布在了自己的博客中:“問(wèn)問(wèn)你在政府和情報(bào)機(jī)構(gòu)的朋友,他們是否知道為什么上個(gè)月布什爾核電沒(méi)有運(yùn)轉(zhuǎn)。另外,有沒(méi)有來(lái)自以色列的人參加了會(huì)議?)”最終,朗納決定將事情挑明。他寫(xiě)道,震網(wǎng)病毒是第一件真正的網(wǎng)絡(luò)武器,是以色列用來(lái)對(duì)付伊朗布什爾核電站的。然后朗納靜觀其變。

  結(jié)果一系列討論由此引發(fā)。《基督教科學(xué)箴言報(bào)》9月21號(hào)對(duì)朗納的理論進(jìn)行了報(bào)道。第二天,一家德國(guó)報(bào)紙發(fā)表了另一位德國(guó)計(jì)算機(jī)專家弗蘭克·里格的文章,宣稱這種網(wǎng)絡(luò)武器的目標(biāo)不是布什爾核電站,而是伊朗位于納坦茲的鈾濃縮設(shè)施。網(wǎng)絡(luò)上充斥著關(guān)于伊朗的種種猜想。

  2天后,里瓦·理奇蒙德在《紐約時(shí)報(bào)》的科技版博客中發(fā)布了朗納的理論。同樣來(lái)自《紐約時(shí)報(bào)》的戴維·桑格繼續(xù)深入報(bào)道,認(rèn)為震網(wǎng)病毒是美國(guó)情報(bào)機(jī)構(gòu)秘密破壞伊朗核計(jì)劃行動(dòng)的一部分。這個(gè)秘密行動(dòng)始于布什任內(nèi),并在奧巴馬上任后被加速進(jìn)行。據(jù)報(bào)道,一位伊朗政府級(jí)官員承認(rèn)已在政府機(jī)構(gòu)的電腦系統(tǒng)中發(fā)現(xiàn)了這種蠕蟲(chóng)病毒,但另一位官員聲稱破壞“并不嚴(yán)重?!薄都~約時(shí)報(bào)》又報(bào)道稱,伊朗政府宣布逮捕了可能和震網(wǎng)病毒有關(guān)的“核間諜”。有關(guān)這些間諜被處決的消息在網(wǎng)絡(luò)中甚囂塵上。

  “如果我沒(méi)有所擁有的背景,我認(rèn)為自己不會(huì)有勇氣說(shuō)出關(guān)于震網(wǎng)病毒的一切?!崩始{說(shuō)。他曾在柏林自由大學(xué)學(xué)習(xí)心理學(xué)和人工智能,在偶然情況下對(duì)控制系統(tǒng)產(chǎn)生了興趣,并發(fā)現(xiàn)自己非常喜歡這項(xiàng)通常令人感到極度痛苦的工作。每個(gè)控制系統(tǒng)都像是用獨(dú)一無(wú)二的材料為客戶專門(mén)定做的套裝——一套控制系統(tǒng)只能根據(jù)一種工業(yè)設(shè)備的運(yùn)行條件進(jìn)行設(shè)計(jì),而不能應(yīng)用在另一套設(shè)備上。人們傳說(shuō)這個(gè)行業(yè)里的人常常穿著兩只不一樣的襪子出門(mén),但朗納確是一個(gè)不折不扣的花花公子?!拔蚁矚gD&;;G的鞋子?!彼f(shuō),“你注意到了嗎,昨天我穿了鴕鳥(niǎo)皮的鞋子?”朗納很高興自己的理論受到關(guān)注。他說(shuō),他在等待著“一個(gè)年輕的美國(guó)姑娘”,最好是個(gè)來(lái)自加利福尼亞的金發(fā)美人,關(guān)注到他的博客并找他約會(huì)。

  去年秋天,朗納在漢堡呆了兩天,其中有些時(shí)間就在他的辦公室度過(guò)。在那里,他和他的員工在用震網(wǎng)病毒感染的計(jì)算機(jī)和西門(mén)子控制器上演示這種蠕蟲(chóng)病毒的攻擊方式。朗納的辦公室很舒適,卻也非??諘?。工業(yè)控制安防行業(yè)的利潤(rùn)并不豐厚,很大原因在于工業(yè)企業(yè)很少費(fèi)力去保護(hù)自己的系統(tǒng)安全。僅有少數(shù)國(guó)家的少數(shù)企業(yè)根據(jù)規(guī)定采取了安防措施。美國(guó)政府只對(duì)商業(yè)核電產(chǎn)業(yè)及少量化工行業(yè)做了系統(tǒng)安全規(guī)定。這種放任自流的做法使得震網(wǎng)病毒有機(jī)可乘。

  由于目前還沒(méi)有能占據(jù)報(bào)紙頭條的關(guān)鍵民用基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊的災(zāi)難性事件出現(xiàn),因此許多企業(yè)認(rèn)為朗納和他的同伙是在喊“狼來(lái)了”。朗納卻認(rèn)為,這些指責(zé)令人苦惱且難以理解。他講話的時(shí)候肢體語(yǔ)言非常豐富,當(dāng)要強(qiáng)調(diào)一個(gè)觀點(diǎn)的時(shí)候,不時(shí)來(lái)個(gè)雄鷹展翅,又或者像波浪般地?fù)u動(dòng)著自己的十個(gè)手指頭,像是在彈鋼琴一樣。他的許多觀點(diǎn)都可以歸結(jié)成他難以理解的一點(diǎn),即關(guān)鍵性基礎(chǔ)設(shè)施的負(fù)責(zé)人竟如此愚蠢,以至于看不出他所看到的威脅。不過(guò),他也并非毫無(wú)希冀。他說(shuō),從他在網(wǎng)上發(fā)布對(duì)于此次蠕蟲(chóng)病毒事件看法的那一刻起,他的一個(gè)最美妙的愿望就是,“有一天,世界會(huì)說(shuō),謝謝你,拉爾夫,你是對(duì)的?!?/FONT>

  美國(guó)卷入

  11月12日,分析震網(wǎng)病毒的專家獲得了突破性進(jìn)展。在收到一位荷蘭籍計(jì)算機(jī)專家的提示后,一位賽門(mén)鐵克公司的研究員宣布,賽門(mén)鐵克已確認(rèn)了震網(wǎng)病毒裝載的兩個(gè)攻擊彈頭之一的具體攻擊目標(biāo)。這位研究員目前已成為震網(wǎng)病毒最權(quán)威的分析家。分析顯示,病毒其中一個(gè)彈頭的攻擊目標(biāo)是變頻驅(qū)動(dòng)系統(tǒng),這種系統(tǒng)用來(lái)控制離心機(jī)的轉(zhuǎn)速。尤其是當(dāng)震網(wǎng)病毒偵測(cè)到由伊朗Fararo Paya公司和芬蘭Vacon公司生產(chǎn)的變頻驅(qū)動(dòng)系統(tǒng)時(shí),蠕蟲(chóng)病毒就會(huì)注入惡意代碼,改變驅(qū)動(dòng)器設(shè)定的頻率。如果這些驅(qū)動(dòng)器與離心機(jī)相連,這種改變就有可能損害甚至損毀機(jī)器。這個(gè)攻擊彈頭同時(shí)也運(yùn)行另外一套代碼,用來(lái)隱藏自己對(duì)驅(qū)動(dòng)程序所作的改變。

    弗蘭克·里格是第一個(gè)提出震網(wǎng)病毒攻擊目標(biāo)是伊朗鈾濃縮離心機(jī)的人。賽門(mén)鐵克研究員發(fā)布的這個(gè)消息無(wú)疑證明了他的觀點(diǎn)。幾周以后,柏林一場(chǎng)新雪過(guò)后的早晨,里格邁著重重的步伐走進(jìn)位于瑪麗恩大街上的混沌計(jì)算機(jī)俱樂(lè)部的黑客空間。這是一間很大的娛樂(lè)室,里面擺滿了假的監(jiān)控?cái)z像頭、破舊的皮沙發(fā),還有許多正對(duì)計(jì)算機(jī)處理器進(jìn)行降溫的輕柔轉(zhuǎn)動(dòng)的風(fēng)扇。里格的深色連身裝上結(jié)了一層冰碴,那是他不顧天氣,騎著三輪腳踏車(chē)在市內(nèi)穿梭造成的。身材高大、不茍言笑的里格是全球第二大科技人權(quán)組織“混沌計(jì)算機(jī)俱樂(lè)部”的發(fā)言人(第一大組織為“電子前沿基金會(huì)”)。這個(gè)組織自稱是“一個(gè)匯聚了各種生命形式的銀河系社區(qū),無(wú)關(guān)年齡、性別、種族或社會(huì)觀點(diǎn),為了尋求信息自由而聚在一起”。

  與朗納喜愛(ài)公眾關(guān)注不同,里格似乎對(duì)聚光燈很排斥。他盡量不通過(guò)手提電話或電子郵件討論敏感話題,他說(shuō),這是因?yàn)椤拔也幌氤蔀槿藗兊呐d趣焦點(diǎn)?!笨墒?,他已成為了引人關(guān)注的目標(biāo)。一位美國(guó)政府官員認(rèn)為,里格對(duì)震網(wǎng)病毒的研究“最接近于剛剛公布的事實(shí)真相?!?/FONT>

  整個(gè)夏天,里格去了歐洲6個(gè)國(guó)家,和這些國(guó)家的震網(wǎng)病毒分析團(tuán)隊(duì)進(jìn)行了交流。他還和其中三個(gè)國(guó)家的高層情報(bào)人員進(jìn)行了會(huì)談。他說(shuō),這三個(gè)國(guó)家目前都得出了暫時(shí)性結(jié)論,認(rèn)為震網(wǎng)病毒是美國(guó)和以色列共同行動(dòng)的產(chǎn)物。

  基于那些談話,里格認(rèn)為,震網(wǎng)病毒是由美國(guó)情報(bào)機(jī)構(gòu),而非軍方組織來(lái)進(jìn)行部署的。因?yàn)榍閳?bào)機(jī)構(gòu)的行動(dòng)更容易進(jìn)行否認(rèn)從而擺脫干系,而且他們的行動(dòng)很少被認(rèn)為是公開(kāi)的戰(zhàn)爭(zhēng)行為——盡管這些行動(dòng)造成的破壞不亞于戰(zhàn)爭(zhēng)。里格認(rèn)為震網(wǎng)病毒是由以色列情報(bào)機(jī)關(guān)摩薩德進(jìn)行傳播的。他指出,對(duì)一位伊朗核科學(xué)家的暗殺行動(dòng)和11月29號(hào)在德黑蘭對(duì)另外一位科學(xué)家未遂的暗殺行動(dòng)中所使用的手段和摩薩德慣用的手法非常相似。

  里格猜測(cè),由于美國(guó)一直都將破壞阻撓敵方科技進(jìn)步作為一項(xiàng)長(zhǎng)期戰(zhàn)略,震網(wǎng)病毒可能就是在這種戰(zhàn)略下采用的一種新手段。在里根執(zhí)政時(shí)期,法國(guó)曾給了美國(guó)一份有關(guān)前蘇聯(lián)的叫做“告別檔案”的情報(bào)信息,里面的機(jī)密文件列出了前蘇聯(lián)希望得到的西方國(guó)家的計(jì)算機(jī)軟硬件設(shè)備。利用這份情報(bào),美國(guó)和加拿大合謀將帶有缺陷的控制器送到了蘇聯(lián)人手中,結(jié)果在預(yù)定的時(shí)間,引發(fā)了橫貫西伯利亞的天然氣管道的大爆炸。那次爆炸威力巨大,從太空中都能看到。道格·弗朗茨和凱瑟琳·柯林斯合著的《余波》中,曾描寫(xiě)了美國(guó)中央情報(bào)局、以色列摩薩德和英國(guó)軍情六處聯(lián)手破壞伊朗核項(xiàng)目關(guān)鍵設(shè)備的秘密行動(dòng)。弗朗茨推測(cè),那些失敗的行動(dòng)很可能促使情報(bào)機(jī)構(gòu)開(kāi)發(fā)了震網(wǎng)病毒,通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)遠(yuǎn)程破壞。

  里格暫時(shí)停止了調(diào)查,轉(zhuǎn)而思考由于震網(wǎng)病毒的出現(xiàn)而被模糊掉的界限:“有趣的是,這是一次介于軍事、情報(bào)和公共事務(wù)管理之間的灰色地帶的行動(dòng),那么,是誰(shuí)從政治層面操縱著這種武器?誰(shuí)負(fù)責(zé)保證它只被用來(lái)對(duì)付應(yīng)該對(duì)付的敵人?”里格說(shuō),隨著震網(wǎng)病毒這種武器的出現(xiàn),以往國(guó)家之間是否發(fā)生沖突的清晰界限將會(huì)逐漸模糊。

  盡管震網(wǎng)病毒帶給人們種種難解之事,它卻為網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中最難回答的一個(gè)問(wèn)題提供了明確的答案。學(xué)界人士和軟件開(kāi)發(fā)者一直都在研究,怎樣使網(wǎng)絡(luò)進(jìn)攻成為一種真正的武器,但同時(shí)避免它的副作用。

  例如,如果有人利用網(wǎng)絡(luò)武器攻擊一家發(fā)電站,那么,怎樣保證進(jìn)攻的時(shí)候不會(huì)波及到醫(yī)院?“震網(wǎng)病毒為人們提供了達(dá)到這種效果的良好范例?!崩锔裾f(shuō),“也就是說(shuō),如何保證進(jìn)攻破壞的只是目標(biāo)系統(tǒng)。”

  對(duì)里格來(lái)說(shuō),震網(wǎng)病毒在這方面的成功顯示,“開(kāi)發(fā)這個(gè)程序的種種努力不僅限于技術(shù)層面,同時(shí)也從戰(zhàn)略層面進(jìn)行了考慮。因?yàn)橹挥袕膽?zhàn)略層面才能考慮到這個(gè)問(wèn)題:合適的網(wǎng)絡(luò)武器究竟應(yīng)該以何種方式構(gòu)造?”

  震網(wǎng)病毒的程序編碼也從另一方面泄露了其程序開(kāi)發(fā)者的固有謹(jǐn)慎性:這種病毒設(shè)有“安全保險(xiǎn)”裝置,用來(lái)限制受感染機(jī)器的數(shù)量。病毒通過(guò)U盤(pán)進(jìn)行傳播,在程序中限制了被感染的機(jī)器再次傳播病毒,進(jìn)一步感染其他機(jī)器的數(shù)量。(限制數(shù)量是3臺(tái)機(jī)器,足以引起小型連鎖反應(yīng),但不至于使得后果無(wú)法控制)。更令人吃驚的是,到2012年6月24日,這種蠕蟲(chóng)病毒會(huì)進(jìn)行自我毀滅:從所有的染毒機(jī)器上自我清除,就此消失得無(wú)影無(wú)蹤。

  理查德·克拉克曾任克林頓和布什政府時(shí)期的反恐負(fù)責(zé)人,他認(rèn)為程序中的這些“安全保險(xiǎn)”裝置是查詢這種惡意軟件來(lái)源的重要線索——這些線索指向西方政府?!叭绻鲱愃频氖虑椋粋€(gè)負(fù)責(zé)任的政府,那么就必須經(jīng)過(guò)各個(gè)機(jī)構(gòu),通過(guò)審核程序作出決策?!彼f(shuō),“決策過(guò)程中,會(huì)有律師參與說(shuō)‘必須防止相關(guān)后果給我們帶來(lái)的損害’,于是編程者就會(huì)重新給程序加入通常黑客程序中不會(huì)包含的東西。震網(wǎng)病毒里面就有好多這樣的東西。這說(shuō)明有律師全程參與其中。”

  系列巧合

  里格關(guān)于震網(wǎng)病毒是為了攻擊伊朗鈾濃縮設(shè)施而開(kāi)發(fā)出來(lái)的一種蠕蟲(chóng)病毒這一假設(shè)現(xiàn)在已經(jīng)被人們廣泛接受。就連起初認(rèn)為蠕蟲(chóng)攻擊目標(biāo)是布什爾核電站的拉爾夫·朗納也轉(zhuǎn)而支持里格的論點(diǎn)。

  但是,人們?nèi)噪y以猜出,究竟是誰(shuí)在幕后指揮發(fā)動(dòng)了這次進(jìn)攻,特別是以色列在其中又扮演了何種角色。

  去年秋天就已經(jīng)有人指出病毒的注入代碼中有顯示以色列參與的明顯線索——“香桃木”。另外一條線索出自12月底,當(dāng)時(shí)柏林一位安全專家菲利克斯·林德納稱,所有驅(qū)使震網(wǎng)病毒進(jìn)行破壞的手動(dòng)編寫(xiě)函數(shù)中都有2007年9月24日這一時(shí)戳——伊朗總統(tǒng)內(nèi)賈德那天正好在紐約哥倫比亞大學(xué)發(fā)表演說(shuō),質(zhì)疑納粹對(duì)猶太人的大屠殺是否真的發(fā)生過(guò)。不過(guò)許多網(wǎng)絡(luò)戰(zhàn)爭(zhēng)和情報(bào)方面的專家,如柏林自由大學(xué)的桑德羅·格肯就認(rèn)為,這種線索太過(guò)明顯,很有可能是“虛假標(biāo)志”,植入的目的就是使調(diào)查誤入歧途,令病毒的來(lái)源更加撲朔迷離。

  震網(wǎng)病毒在注入方式和破壞方式的設(shè)計(jì)上有著顯著差別。一位華盛頓的網(wǎng)絡(luò)安全研究員湯姆·帕克由此推斷,有兩個(gè)國(guó)家參與了蠕蟲(chóng)病毒的開(kāi)發(fā)。他暗示其中一個(gè)很可能是一個(gè)西方大國(guó),比如美國(guó),開(kāi)發(fā)設(shè)計(jì)了完美的攻擊方式,然后另一個(gè)國(guó)家,比如以色列,負(fù)責(zé)實(shí)施病毒的注入傳播。

  一旦注入方式和破壞方式的編碼打包進(jìn)震網(wǎng)病毒,整個(gè)病毒包就可能會(huì)送到能進(jìn)入核設(shè)施或者能接觸有關(guān)設(shè)備的人手中。不知是有心還是無(wú)意,病毒最初可能是通過(guò)一個(gè)染毒U盤(pán)對(duì)關(guān)鍵網(wǎng)絡(luò)進(jìn)行了感染,然后通過(guò)曾與伊朗相關(guān)網(wǎng)絡(luò)連接過(guò)的外國(guó)承包商和工程師的電腦進(jìn)一步傳播開(kāi)來(lái)。

  但是對(duì)美國(guó)和以色列聯(lián)合作案的猜測(cè)有一點(diǎn)解釋不通。因?yàn)楦鶕?jù)一位前情報(bào)人員的說(shuō)法,這兩個(gè)國(guó)家的情報(bào)和軍事機(jī)構(gòu)的互信度并沒(méi)那么高。不過(guò)一些前中央情報(bào)局的官員,包括目前擔(dān)任美國(guó)新世紀(jì)(002280)(002280)計(jì)劃中的大中東計(jì)劃主任的羅伊爾·馬克·格萊希特,則傾向于認(rèn)為以色列與之有關(guān)。還有一位前情報(bào)局官員認(rèn)為,震網(wǎng)病毒不享有“治外法權(quán)”,更會(huì)促使機(jī)構(gòu)之間展開(kāi)合作?!澳悴](méi)將任何人置于危險(xiǎn)中。這不是讓人攜帶具有爆炸性,或者感染了細(xì)菌,又或者發(fā)出輻射的什么東西去實(shí)施破壞。這只是一個(gè)完全無(wú)害的數(shù)字產(chǎn)品?!?/FONT>

  實(shí)際上,很可能不止一個(gè)國(guó)家參與了震網(wǎng)病毒的部署。約旦就受到許多人的懷疑。11月份在德黑蘭遇害的核物理學(xué)家馬吉德·沙阿里亞里之前一直在對(duì)中東實(shí)驗(yàn)科學(xué)和應(yīng)用中心的“同步輻射光源”項(xiàng)目進(jìn)行研究,成立中東實(shí)驗(yàn)科學(xué)和應(yīng)用中心的目的是在約旦建立一個(gè)國(guó)際科研中心。

  根據(jù)格萊希特的說(shuō)法,美國(guó)情報(bào)機(jī)構(gòu)在獲取伊朗科學(xué)家名單的工作上一直困難重重,但是中東實(shí)驗(yàn)科學(xué)和應(yīng)用項(xiàng)目卻以合理的方式提供了一個(gè)機(jī)會(huì)?!拔也粫?huì)感到吃驚?!彼f(shuō),“如果這項(xiàng)計(jì)劃為病毒傳播打開(kāi)了方便之門(mén)的話?!备袢R希特注意到,法國(guó)、以色列和約旦的情報(bào)機(jī)構(gòu)都在關(guān)注著伊朗在中東實(shí)驗(yàn)科學(xué)和應(yīng)用項(xiàng)目上的進(jìn)展。這其中任何一個(gè)國(guó)家都可能協(xié)助對(duì)震網(wǎng)病毒實(shí)施部署。

  今年1月,長(zhǎng)期任職的摩薩德負(fù)責(zé)人梅爾·達(dá)甘退休了,此時(shí)更多關(guān)于以色列卷入震網(wǎng)病毒的證據(jù)開(kāi)始出現(xiàn)。達(dá)甘表示,“由于部署了相關(guān)的措施”,伊朗的核武器計(jì)劃遇到了技術(shù)性難題,并且倒退了好幾年——這一說(shuō)法被一些人認(rèn)為是含蓄地指向震網(wǎng)病毒。(美國(guó)國(guó)務(wù)卿希拉里也證實(shí)伊朗的核計(jì)劃受挫,但將原因歸為經(jīng)濟(jì)制裁)。

  一周后,1月16號(hào),《紐約時(shí)報(bào)》報(bào)道了以色列在位于內(nèi)格夫沙漠中的迪莫納核基地的鈾濃縮離心機(jī)上進(jìn)行了關(guān)于震網(wǎng)病毒的關(guān)鍵實(shí)驗(yàn)——這些離心機(jī)使用的工業(yè)控制系統(tǒng)可能和伊朗納坦茲使用的控制系統(tǒng)一模一樣。盡管“以色列實(shí)驗(yàn)在阻止伊朗核計(jì)劃中發(fā)揮關(guān)鍵作用”這樣的標(biāo)題難免令人浮想聯(lián)翩,但證據(jù)卻不能使人信服。

  迪莫納核基地的確有多臺(tái)離心機(jī),但人們并不確知這些機(jī)器中是否有P-1離心機(jī)?!都~約時(shí)報(bào)》引用一位匿名核情報(bào)專家的說(shuō)法,稱以色列正是在迪莫納核基地的P-1離心機(jī)上試驗(yàn)了震網(wǎng)病毒。報(bào)道同時(shí)引用了阿夫納·科恩的話,稱“以色列情報(bào)機(jī)關(guān)邀請(qǐng)了已經(jīng)退休的迪莫納的高級(jí)員工前來(lái)協(xié)助”一項(xiàng)針對(duì)伊朗的行動(dòng)??贫魇且晃灰陨形淦黜?xiàng)目專家,同時(shí)也是《公開(kāi)的秘密——以色列和炸彈的交易》一書(shū)的作者。但在追問(wèn)之下,科恩承認(rèn)他的消息并非一手資料。

  實(shí)際上,這并不一定意味著以色列參與了震網(wǎng)病毒的部署——《紐約時(shí)報(bào)》報(bào)道中提到的其它信息,盡管會(huì)被人們忽略成一般的背景介紹,卻顯示出美國(guó)的嫌疑更大。美國(guó)也有P-1離心機(jī),而且美國(guó)情報(bào)機(jī)構(gòu)早在2004年就開(kāi)始呼吁對(duì)這種離心機(jī)的缺陷和漏洞進(jìn)行研究?!都~約時(shí)報(bào)》同時(shí)根據(jù)拉爾夫·朗納的說(shuō)法提出一個(gè)證據(jù)——西門(mén)子和愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室曾在2008年開(kāi)展合作,進(jìn)行關(guān)于西門(mén)子S7控制器漏洞的研究,而震網(wǎng)病毒正是利用了這些漏洞。

  在紐倫堡西門(mén)子總部,當(dāng)一位直接參與了西門(mén)子和愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室聯(lián)合研究項(xiàng)目的技術(shù)專家被問(wèn)到“他或者西門(mén)子公司的人員是否參與了蠕蟲(chóng)病毒的開(kāi)發(fā)、實(shí)驗(yàn)或部署”時(shí),他低下頭,看著自己的腿說(shuō):“你是說(shuō)直接參與?”他抬起頭,看向同在屋里的公司的公關(guān)人員,然后回答說(shuō):“不,就我所知,沒(méi)有。”

  拉爾夫·朗納是《紐約時(shí)報(bào)》在報(bào)道震網(wǎng)病毒相關(guān)技術(shù)信息時(shí)唯一署名的消息源。一位就震網(wǎng)病毒接受過(guò)采訪的人士曾說(shuō),《紐約時(shí)報(bào)》任何有關(guān)伊朗納坦茲的報(bào)道都是基于拉爾夫的研究。這有點(diǎn)麻煩,因?yàn)槔瓲柗驅(qū)﹄x心機(jī)一無(wú)所知。朗納對(duì)于伊朗的看法也會(huì)使他在向媒體介紹震網(wǎng)病毒的時(shí)候帶有感情色彩。他在一封郵件中寫(xiě)到,“感染了震網(wǎng)病毒并不會(huì)使控制器變成廢物,只要對(duì)控制器進(jìn)行重新編程就可以了。我知道這和我在接受《耶路撒冷郵報(bào)》采訪時(shí)的說(shuō)法有些不同,那是因?yàn)槲蚁胱尩潞谔m的情況更加糟糕一點(diǎn)?!?/FONT>

  蓋瑞·希克是前國(guó)家安全委員會(huì)成員,也是伊斯蘭革命和伊朗人質(zhì)危機(jī)時(shí)期的白宮伊朗問(wèn)題首席助理。他對(duì)《紐約時(shí)報(bào)》選擇發(fā)布報(bào)道的時(shí)機(jī)感到吃驚。在文章發(fā)表4天后的1月20日,重啟關(guān)于伊朗核計(jì)劃的外交談判就提上了議事日程,地點(diǎn)定在伊斯坦布爾。美國(guó)總統(tǒng)奧巴馬此前受到多方壓力,要阻撓伊朗的核項(xiàng)目繼續(xù)實(shí)施,《紐約時(shí)報(bào)》此時(shí)的報(bào)道可能恰好達(dá)到了一系列理想的政治效果,就像希克所認(rèn)為的那樣:“報(bào)道減輕了美國(guó)和以色列的壓力,給了梅爾·達(dá)甘一顆定心丸,讓以色列對(duì)和美國(guó)的關(guān)系更有信心,也使美國(guó)在談判中有了更多的回旋余地?!薄绹?guó)可以更加合理地否認(rèn)卷入震網(wǎng)病毒的開(kāi)發(fā),“還有什么比這更好?”

  有關(guān)震網(wǎng)病毒各種神神秘秘、遮遮掩掩的行為還在上演。根據(jù)以色列《國(guó)土報(bào)》報(bào)道,在為以色列國(guó)防軍參謀長(zhǎng)阿什肯納齊舉行的退休晚會(huì)上,客人們看到了一段向其致敬的視頻,回顧了參謀長(zhǎng)職業(yè)生涯中的重大成就,其中就提到了震網(wǎng)病毒。

  可是人們對(duì)美國(guó)參與蠕蟲(chóng)病毒開(kāi)發(fā)的懷疑并不能被徹底消除。有些證據(jù)非常明顯:震網(wǎng)病毒開(kāi)發(fā)傳播進(jìn)程的關(guān)鍵點(diǎn)都與伊朗核計(jì)劃發(fā)展的重要時(shí)點(diǎn)重合。每到這樣的時(shí)點(diǎn),通常美國(guó)和伊朗的關(guān)系都會(huì)高度緊張,而震網(wǎng)病毒則會(huì)出來(lái)攪局。

  人們普遍認(rèn)為最早的震網(wǎng)病毒版本出現(xiàn)在2009年6月,那時(shí)正是伊朗總統(tǒng)內(nèi)賈德的政府陷入極度不穩(wěn)的時(shí)候,伊朗的大街小巷到處都是反對(duì)他當(dāng)選的抗議者。一個(gè)月后,維基解密發(fā)布公告,稱有匿名消息透露,納坦茲的核設(shè)備在7月初的時(shí)候發(fā)生了故障。7月16號(hào),伊朗的核計(jì)劃負(fù)責(zé)人辭職。國(guó)際原子能機(jī)構(gòu)的官員稍后確認(rèn),就在那時(shí),納坦茲的許多離心機(jī)發(fā)生故障,停止工作。

  在聯(lián)合國(guó)巡查人員檢查了位于伊朗圣城庫(kù)姆附近在建的一所新的鈾濃縮工廠以后,美國(guó)和伊朗的緊張關(guān)系逐漸升級(jí)。2010年一月份,伊朗拒絕了一項(xiàng)國(guó)際原子能機(jī)構(gòu)要求伊朗在國(guó)外進(jìn)行大部分鈾濃縮的提議。一周后,第一個(gè)帶有盜竊的數(shù)字簽名的震網(wǎng)病毒樣本出現(xiàn)了。

  2月份,國(guó)際原子能機(jī)構(gòu)出具報(bào)告,第一次稱伊朗正積極試制核武器。接下來(lái)的1個(gè)月,震網(wǎng)病毒增加了新的傳播機(jī)制:通過(guò)U盤(pán)不易為人察覺(jué)地進(jìn)行持續(xù)傳播。

  4月份,伊朗宣布開(kāi)始建造另外一座鈾濃縮工廠。同月,出現(xiàn)了震網(wǎng)病毒的第三個(gè)版本。聯(lián)合國(guó)、歐盟和美國(guó)在6月和7月分別對(duì)伊朗實(shí)施了新的制裁。就在此時(shí),感染震網(wǎng)病毒的機(jī)器數(shù)量開(kāi)始暴增。直到9月份,對(duì)由伊朗核計(jì)劃引起的武力威脅的擔(dān)憂達(dá)到頂峰——據(jù)稱以色列政府領(lǐng)導(dǎo)人確信伊朗將在2011年3月生產(chǎn)出原子彈,一直隱于公眾視線之外的震網(wǎng)病毒對(duì)伊朗進(jìn)行的攻擊才開(kāi)始為人所知。

  這些巧合讓人們不得不認(rèn)為震網(wǎng)病毒的發(fā)展,以及對(duì)其存在和攻擊目標(biāo)的曝光是故意安排的,而且其中配合施加了對(duì)伊朗外交和經(jīng)濟(jì)方面的壓力,從而阻止其核計(jì)劃的發(fā)展。

  這些設(shè)計(jì)好的戰(zhàn)略回?fù)袅钊藗兏械?,震網(wǎng)病毒的操作者對(duì)他們所進(jìn)行的破壞考慮得非常周到,而這更像是美國(guó),而非以色列所為。

  當(dāng)被直接問(wèn)到震網(wǎng)病毒是否是美國(guó)對(duì)伊朗核項(xiàng)目進(jìn)行秘密破壞行動(dòng)的一部分時(shí),中央情報(bào)局的發(fā)言人拒絕作出評(píng)論。一位國(guó)家安全局的代表通過(guò)電子郵件寫(xiě)到:“我沒(méi)有任何信息可以提供?!币晃痪W(wǎng)絡(luò)司令部的官員則寫(xiě)道:“美國(guó)網(wǎng)絡(luò)司令部沒(méi)有需要補(bǔ)充的信息。

  網(wǎng)戰(zhàn)迷霧

  關(guān)于震網(wǎng)病毒的起源和破壞的種種疑問(wèn)還沒(méi)有徹底解決,尤其是這種病毒對(duì)納坦茲的核設(shè)備究竟造成了何種損害。不管出于何種目的,內(nèi)賈德都已經(jīng)公開(kāi)宣布伊朗的離心機(jī)遭到了網(wǎng)絡(luò)攻擊。

  震網(wǎng)病毒賴以作亂的網(wǎng)絡(luò)是個(gè)一團(tuán)漆黑的世界,真相難以看清,因此專家們?nèi)再|(zhì)疑相關(guān)報(bào)道中的說(shuō)法。從一開(kāi)始,令許多人感到奇怪的就是,在全世界所有的計(jì)算機(jī)安防公司中,一家默默無(wú)聞的白俄羅斯公司第一個(gè)發(fā)現(xiàn)了威脅的存在——更為奇怪的是,泄露震網(wǎng)病毒蹤跡的程序重啟問(wèn)題也是由這家公司首先公布的。這讓一位前中央情報(bào)局官員認(rèn)為,也許震網(wǎng)病毒根本就不是被監(jiān)測(cè)到的,而是被故意泄露給公眾的。

  這種病毒對(duì)納坦茲所起到的有限的破壞作用也許表明,這是一次并非完全成功的網(wǎng)絡(luò)行動(dòng)。在被伊朗偵測(cè)到之后,這種病毒也許會(huì)被伊朗重新利用,成為其對(duì)西方國(guó)家進(jìn)行心理戰(zhàn)的武器。

  不論震網(wǎng)病毒起到了何種作用,它的確是一種人們以前從未見(jiàn)過(guò)的新型病毒。至少,它提供了一種進(jìn)攻工業(yè)控制系統(tǒng)的新方法。歸根結(jié)底,目前人們已知的關(guān)于震網(wǎng)病毒最重要的問(wèn)題就是:現(xiàn)在大家都已經(jīng)知道了這種病毒的存在。這意味著一個(gè)最簡(jiǎn)單的警報(bào):任何一個(gè)國(guó)家的關(guān)鍵性基礎(chǔ)設(shè)施也會(huì)成為此類進(jìn)攻的目標(biāo)。此外,如果震網(wǎng)病毒的確攻擊了伊朗的核項(xiàng)目,那么這可以被認(rèn)為是第一起匿名戰(zhàn)爭(zhēng)行為,由此會(huì)帶來(lái)種種紛擾難解的問(wèn)題,因?yàn)榫W(wǎng)絡(luò)武器使得人們幾乎不可能知道由誰(shuí)發(fā)動(dòng)了戰(zhàn)爭(zhēng)——究竟是按下了按鈕,拉動(dòng)了扳手?戰(zhàn)爭(zhēng)因此會(huì)變得越來(lái)越像恐怖行動(dòng)。網(wǎng)絡(luò)沖突使軍事行動(dòng)更像是永不停歇的角力行為——恃強(qiáng)欺弱的現(xiàn)象越來(lái)越明顯。

  這類戰(zhàn)爭(zhēng)行為通常更加隱秘,由那些根本不需要和敵人進(jìn)行面對(duì)面接觸的匿名精英智囊們發(fā)動(dòng)。因這種攻擊而受到傷害的人們?cè)馐艿氖呛涂找u帶來(lái)的相同災(zāi)難性后果,但卻更容易陷入混亂。人們?cè)馐芡纯啵瑓s不知道究竟該找誰(shuí)負(fù)責(zé)。

  引起這場(chǎng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的震網(wǎng)病毒就像是投在廣島的原子彈。對(duì)于它的意義、關(guān)于它的目標(biāo)和來(lái)源的種種猜測(cè),都不能使我們忽略這樣一個(gè)重大事實(shí):我們已經(jīng)越過(guò)了界限,再也不能回頭。

        本文選譯于《名利場(chǎng)》雜志,原文作者為Michael Joseph Gross)

(轉(zhuǎn)載)

標(biāo)簽:工業(yè)網(wǎng)絡(luò)安全 我要反饋 
2024世界人工智能大會(huì)專題
即刻點(diǎn)擊并下載ABB資料,好禮贏不停~
優(yōu)傲機(jī)器人下載中心
西克
2024全景工博會(huì)
專題報(bào)道