我們的工業(yè)安全究到底多脆弱?

　　引言：智能制造時(shí)代，工業(yè)領(lǐng)域在實(shí)現(xiàn)工業(yè)互聯(lián)的同時(shí)，也為黑客帶來(lái)了方便。黑客攻擊工業(yè)網(wǎng)絡(luò)，是每個(gè)企業(yè)所擔(dān)心的問(wèn)題，許多國(guó)家提到黑客，都會(huì)感到膽戰(zhàn)心驚。在受到黑客攻擊的時(shí)候，我們的第一反應(yīng)就是：他們是如何做到呢?我們的工業(yè)安全就這么脆弱嗎?

　　2015年冬天，烏克蘭西部突然陷入黑暗，某州一半的人口失去電力供應(yīng)。自從爆發(fā)局部沖突以后，停電已經(jīng)是烏克蘭人民最常見(jiàn)的“娛樂(lè)形式”，但這次卻和以往有所不同：幽靈般的黑客潛入了電力供應(yīng)系統(tǒng)，在千里之外切斷了電網(wǎng)。

　　黑客進(jìn)攻工業(yè)網(wǎng)絡(luò)，這個(gè)可怕的夢(mèng)魘終于撲向了現(xiàn)實(shí)。許多國(guó)家都三觀顛覆，膽戰(zhàn)心驚。他們要搞清的第一件事就是：這樣的攻擊究竟是怎么成功的?

　　一個(gè)excel引發(fā)的血案

　　美國(guó)網(wǎng)絡(luò)情報(bào)公司 iSightPartners最先拿到了攻擊程序樣本，并且從各種渠道流傳出來(lái)。王得金拿到樣本的時(shí)候，是事件發(fā)生的十天以后。王得金是一名工控安全專(zhuān)家，安全公司知道創(chuàng)宇旗下404實(shí)驗(yàn)室成員，他為記者詳解了這個(gè)攻擊工具的奧秘。

　　造成了一百萬(wàn)人斷電的元兇，是一個(gè)看上很普通的excel文件。然而你一旦打開(kāi)它，就會(huì)親手把魔鬼從瓶中放出來(lái)。它會(huì)悄無(wú)聲息地釋放一個(gè)下載器，前臺(tái)風(fēng)平浪靜，后臺(tái)卻在暗流奔涌全速下載一套兇殘的攻擊程序。

　　【excel攻擊文件截圖 提示“由新版本 Office 創(chuàng)建，需要加載宏才可以查看”】

　　這個(gè)攻擊程序就是臭名昭著的“暗黑能源”專(zhuān)為破壞工業(yè)控制系統(tǒng)量身定制的武器。有證據(jù)表明俄羅斯人曾經(jīng)使用這個(gè)工具攻擊過(guò)北約、波蘭和烏克蘭。

　　王得金發(fā)現(xiàn)：為了逃脫查殺，有人在攻擊前一個(gè)多月對(duì)它進(jìn)行了最新的變種編譯。這一版的“暗黑能源”中整合了數(shù)十個(gè)強(qiáng)大的木馬和病毒，其中包括“殺盤(pán)”(Killdisk)一個(gè)可以刪除電腦中所有數(shù)據(jù)和引導(dǎo)信息的病毒。

　　這些木馬病毒侵入了核心輸電系統(tǒng)，合力切斷了電網(wǎng)。并且由于磁盤(pán)全部被破壞，系統(tǒng)根本無(wú)法重啟，以至于電網(wǎng)用了3-6小時(shí)才得以恢復(fù)運(yùn)轉(zhuǎn)。

　　有證據(jù)顯示，黑客還同時(shí)攻擊了烏克蘭多個(gè)電網(wǎng)節(jié)點(diǎn)，但是并沒(méi)有達(dá)到預(yù)期目標(biāo)。也就是說(shuō)，他們?cè)镜挠?jì)劃，比實(shí)際呈現(xiàn)出來(lái)的效果還要兇殘。更可怕的是：直到現(xiàn)在都沒(méi)有人可以判斷，究竟是什么組織進(jìn)行了這次攻擊。也就是說(shuō)，黑客造成了如此巨大的破壞之后，居然還可以全身而退。

　　那么問(wèn)題來(lái)了：如此可怕的攻擊，是否會(huì)發(fā)生在中國(guó)呢?

　　如果工業(yè)系統(tǒng)被黑，會(huì)發(fā)生什么?

　　有基本操守的國(guó)家都會(huì)對(duì)電力、能源等重要網(wǎng)絡(luò)實(shí)行物理隔離。這些網(wǎng)絡(luò)根本不會(huì)和互聯(lián)網(wǎng)連通，僅僅通過(guò)遠(yuǎn)程滲透是無(wú)法進(jìn)入的。然而事實(shí)證明，這并不妨礙美國(guó)黑客用“震網(wǎng)”病毒干掉了伊朗的核電站，也沒(méi)有阻擋來(lái)路不明的組織撂倒烏克蘭電網(wǎng)。

　　【時(shí)任伊朗總統(tǒng)內(nèi)賈德視察核電站，紅圈內(nèi)的紅點(diǎn)表示有兩臺(tái)離心機(jī)已經(jīng)無(wú)故損壞，后證實(shí)為震網(wǎng)病毒所為】

　　他們是怎么做到的呢?

　　從伊朗的情況來(lái)看，美國(guó)把震網(wǎng)病毒放置在了某個(gè)核專(zhuān)家的U盤(pán)之內(nèi)，而這位核專(zhuān)家也許為了方便，把U盤(pán)連到了核設(shè)施內(nèi)部網(wǎng)絡(luò)的主機(jī)上。業(yè)內(nèi)“黑話”把這種行為稱(chēng)作“擺渡”。至于這個(gè)病毒是怎么進(jìn)入專(zhuān)家的U盤(pán)之中，眾說(shuō)紛紜，其中最有趣的版本是：美國(guó)間諜在核電站周?chē)隽吮姸嗑赖腢盤(pán)，而這位專(zhuān)家敲撿到一個(gè)。(這是一個(gè)教育我們不要貪小便宜的故事。)

　　可見(jiàn)，工業(yè)系統(tǒng)很難和外界完全隔離，因?yàn)榭倳?huì)有人有意無(wú)意破壞規(guī)則。而一旦發(fā)生違規(guī)操作，就會(huì)使得所有的隔離失去效果，破壞程序會(huì)抓住轉(zhuǎn)瞬即逝的機(jī)會(huì)把自己“擺渡”進(jìn)去。

　　【CNN展示：黑客通過(guò)入侵工控網(wǎng)絡(luò)，讓設(shè)備過(guò)載起火】

　　像這個(gè)視頻中展示的一樣，如果黑客進(jìn)入了工業(yè)生產(chǎn)網(wǎng)絡(luò)，就可以直接讓設(shè)備過(guò)載報(bào)廢。但這只是最沒(méi)有技術(shù)含量的一種玩法。

　　理論上來(lái)說(shuō)，惡意程序一旦進(jìn)入工業(yè)或軍事系統(tǒng)，就可以任意修改其中的指令，

　　如果進(jìn)入工業(yè)生產(chǎn)網(wǎng)絡(luò)，可以提高載荷造成機(jī)器毀壞，甚至可以關(guān)閉防護(hù)系統(tǒng)造成人員傷亡;

　　如果進(jìn)入能源系統(tǒng)，可以切斷電力的供應(yīng)，甚至改變煉油廠的工序，造成爆炸;

　　如果進(jìn)入水利系統(tǒng)，可以控制水壩的開(kāi)合;

　　如果進(jìn)入軍事系統(tǒng)，可以控制導(dǎo)彈的發(fā)射。

　　這么可怕的場(chǎng)景，是否真的會(huì)發(fā)生呢?

　　我們的工業(yè)系統(tǒng)安全嗎?

　　記者走訪了數(shù)位工控專(zhuān)家，他們普遍認(rèn)為中國(guó)電力行業(yè)的安全防護(hù)比較到位，不僅在網(wǎng)絡(luò)隔離防護(hù)方面做得較好，而且全中國(guó)的電網(wǎng)分布層級(jí)眾多。即使黑客有能力打癱一個(gè)節(jié)點(diǎn)，也不會(huì)造成大面積斷電事故。

　　綠盟是一家專(zhuān)長(zhǎng)于工業(yè)領(lǐng)域的安全公司，它的客戶包括很多電力企業(yè)。其威脅分析系統(tǒng)產(chǎn)品經(jīng)理劉弘利告訴記者，在第一時(shí)間他們也拿到了烏克蘭電網(wǎng)攻擊的excel文件，在自己的防御系統(tǒng)上運(yùn)行，結(jié)果系統(tǒng)提示：這個(gè)文件存在高危風(fēng)險(xiǎn)。他解釋說(shuō)：

　　因?yàn)檫@只是個(gè)excel文件，它卻反常地試圖生成另一個(gè)文件。另外，分析系統(tǒng)還在其中測(cè)出shellcode(利用漏洞的代碼)，因此判斷它存在危險(xiǎn)。一旦發(fā)現(xiàn)了高危文件，防御系統(tǒng)就可以對(duì)惡意程序的行為進(jìn)行阻斷，防止它進(jìn)行下一步的攻擊。

　　【綠盟的檢測(cè)系統(tǒng)認(rèn)為這個(gè)excel文件為高威脅文件】

　　原來(lái)，烏克蘭電網(wǎng)被攻擊，要怪他們沒(méi)有采購(gòu)天朝的工控安全系統(tǒng)咯。

　　不過(guò)，讓人遺憾的是，中國(guó)這些先進(jìn)的技術(shù)并沒(méi)有武裝大多數(shù)本土企業(yè)。普遍來(lái)看，中國(guó)工業(yè)的安全程度讓人“目不忍視”。

　　一般來(lái)說(shuō)，企業(yè)的內(nèi)部網(wǎng)絡(luò)分為兩部分：工業(yè)生產(chǎn)網(wǎng)絡(luò)和生產(chǎn)監(jiān)控網(wǎng)絡(luò)。從安全角度考慮，這兩個(gè)網(wǎng)絡(luò)都不應(yīng)該和互聯(lián)網(wǎng)相連通。但通過(guò)對(duì)中國(guó)所有連接到互聯(lián)網(wǎng)的設(shè)備進(jìn)行掃描，王得金和團(tuán)隊(duì)發(fā)現(xiàn)，有諸多和工業(yè)相關(guān)的設(shè)備竟然毫無(wú)隱藏，直接暴露在互聯(lián)網(wǎng)上。即使一些工業(yè)網(wǎng)絡(luò)表面上實(shí)現(xiàn)了隔離，也存在諸多漏洞：

　　一些生產(chǎn)監(jiān)控所用的攝像頭，和其他工業(yè)監(jiān)控設(shè)備處在同一個(gè)隔離網(wǎng)絡(luò)中。但問(wèn)題在于這個(gè)監(jiān)控?cái)z像頭連通了Internet，所以實(shí)際上把整個(gè)監(jiān)控網(wǎng)絡(luò)都“牽連”了出來(lái)。與此同時(shí)，生產(chǎn)網(wǎng)絡(luò)和監(jiān)控網(wǎng)絡(luò)大多需要進(jìn)行數(shù)據(jù)交換，這就使得黑客可以通過(guò)攝像頭進(jìn)入監(jiān)控網(wǎng)絡(luò)，最終進(jìn)入生產(chǎn)網(wǎng)絡(luò)實(shí)現(xiàn)破壞。

　　王得金描述了這樣一條隱秘又有效的進(jìn)攻路徑。

　　【全球及我國(guó)(含臺(tái)灣)暴露在Internet上的工控設(shè)備統(tǒng)計(jì)表】

　　【黑客通過(guò)監(jiān)控?cái)z像頭入侵工控網(wǎng)絡(luò)】

　　對(duì)于很多企業(yè)來(lái)說(shuō)，黑進(jìn)他們的工業(yè)生產(chǎn)網(wǎng)絡(luò)比想象中還要容易。

　　那么，讓企業(yè)重視工控安全真的有這么難嗎?一位在工控安全領(lǐng)域從業(yè)多年的業(yè)務(wù)經(jīng)理這樣吐槽：

　　實(shí)際上，大多工業(yè)掌握在國(guó)企手中。很多企業(yè)的領(lǐng)導(dǎo)人并不認(rèn)為自己會(huì)成為敵對(duì)勢(shì)力的進(jìn)攻對(duì)象。他們要做的就是“不求有功，但求無(wú)過(guò)”。給自己的工業(yè)生產(chǎn)添加安全系統(tǒng)并不是他們的選擇。

　　其實(shí)，企業(yè)這樣選擇也有充分的理由：工業(yè)生產(chǎn)的首要任務(wù)就是穩(wěn)定，任何擾動(dòng)或者升級(jí)都可能帶來(lái)意想不到的后果。如果是民用的電腦，升級(jí)之后出現(xiàn)bug還可以想辦法修復(fù)，甚至重裝系統(tǒng)。而生產(chǎn)線系統(tǒng)要求非常精密，連輕微的卡死都可能造成無(wú)法挽回的事故。

　　所以，什么“小步快跑，快速迭代”根本不適用于工業(yè)控制系統(tǒng)。對(duì)于工控來(lái)說(shuō)，最好能一個(gè)系統(tǒng)用到地老天荒。

　　你可以看到很多企業(yè)的生產(chǎn)系統(tǒng)還在用Windows 2003系統(tǒng)，運(yùn)氣好的話甚至還可以見(jiàn)到跑Windows 98的系統(tǒng)。對(duì)于這樣的系統(tǒng)，用弱不禁風(fēng)來(lái)形容絲毫不為過(guò)。甚至拿一臺(tái)外部電腦和它建立連接，它都會(huì)“一命嗚呼”。

　　面對(duì)如此脆弱的工控設(shè)備，目前能夠?qū)崿F(xiàn)的保護(hù)大多是在生產(chǎn)系統(tǒng)外圍進(jìn)行安全加固，這種模式的問(wèn)題在于：一旦黑客成功突破外圍防護(hù)，就可以一路直搗黃龍，幾乎必然造成損失。

　　王得金給記者展示了一段視頻。用黑客手段侵入工業(yè)邏輯控制器中，可以隨意對(duì)工業(yè)生產(chǎn)流程進(jìn)行更改：

　　【黑客入侵工控設(shè)備的演示】

　　看到這里，你一定會(huì)得出這樣的結(jié)論：中國(guó)大多數(shù)工業(yè)網(wǎng)絡(luò)安全措施非常落后，但是有關(guān)國(guó)計(jì)民生的能源、電網(wǎng)因?yàn)楦綦x措施做得較好，還是比較安全的。

　　然而，事實(shí)真的是這樣嗎?

　　劇情反轉(zhuǎn)：中國(guó)的工業(yè)安全也許只是“虛擬現(xiàn)實(shí)”

　　中國(guó)最早的黑客之一、工控安全界的元老級(jí)人物魏強(qiáng)(Funnywei)提出了一個(gè)讓所有人菊花一緊的設(shè)想。

　　先補(bǔ)充兩個(gè)驚悚的背景資料：

　　1、中國(guó)沒(méi)有能力制造精密的數(shù)控機(jī)床和工業(yè)控制器，工業(yè)中用到的邏輯控制器95%是來(lái)自國(guó)外品牌。

　　2、中國(guó)沒(méi)有能力制造尖端的控制芯片，英特爾、高通、博通、德州儀器等有能力設(shè)計(jì)生產(chǎn)芯片的企業(yè)，無(wú)一例外全部屬于美國(guó)。

　　魏強(qiáng)說(shuō)：

　　一塊小小的芯片，有十幾億個(gè)晶體管，制程是以納米計(jì)算的。甚至在那么小的電路板上會(huì)有七層印刷電路，想破解芯片的結(jié)構(gòu)是幾乎不可能的。如果美國(guó)企業(yè)在芯片中多設(shè)了一個(gè)引腳，安插一個(gè)后門(mén)，我們幾乎不可能發(fā)現(xiàn)。甚至一個(gè)后門(mén)可以分成數(shù)個(gè)，分散在代碼之中，我們完全沒(méi)有能力察覺(jué)。

　　另外，為了實(shí)現(xiàn)更多的功能，現(xiàn)在芯片越來(lái)越多地具有了自主連接藍(lán)牙、Wi-Fi等無(wú)線網(wǎng)絡(luò)的能力。在理論上可以實(shí)現(xiàn)遠(yuǎn)程改寫(xiě)代碼。

　　如果果真如魏強(qiáng)猜測(cè)的那樣，那么以下的推論就能夠成立：

　　1、法國(guó)、日本等數(shù)控機(jī)床和控制器生產(chǎn)國(guó)，通過(guò)自家的后門(mén)可以得知機(jī)床生產(chǎn)零件的G代碼(進(jìn)而可以得知零件的參數(shù)和用途)，并且可以隨意對(duì)生產(chǎn)設(shè)備進(jìn)行改動(dòng)。

　　2、美國(guó)可以對(duì)所有使用美國(guó)芯片的設(shè)備(包括工業(yè)控制器)進(jìn)行控制。

　　3、一旦發(fā)生戰(zhàn)爭(zhēng)或嚴(yán)重的對(duì)立，以上的遏制措施可以短時(shí)間內(nèi)建立。

　　4、由于芯片帶有無(wú)線通訊功能，即使設(shè)備不聯(lián)網(wǎng)，破壞活動(dòng)也可以由設(shè)備附近的特工通過(guò)無(wú)線電完成。

　　這個(gè)設(shè)想并不是沒(méi)有佐證，君不見(jiàn)，2003年美國(guó)進(jìn)攻伊拉克的時(shí)候，讓伊拉克引以為傲的飛毛腿導(dǎo)彈命中率為0。

　　這個(gè)推測(cè)在軟件層面同樣成立。

　　工信部可以進(jìn)入IBM看任何一行代碼。

　　這是2015年IBM副總裁米爾斯為了向中國(guó)銷(xiāo)售其產(chǎn)品所做出的承諾。但即使每一行代碼我們都進(jìn)行審計(jì)，也不可能排除在硬件層面的不可靠性。很多情況下我們購(gòu)買(mǎi)進(jìn)口工業(yè)軟硬件，并不是因?yàn)樗麄兊脑捳Z(yǔ)真誠(chéng)，而是我們別無(wú)選擇。

　　當(dāng)所有工業(yè)和國(guó)防都建立在不透明的黑盒子組成的體系之上，沒(méi)有人可以證明這個(gè)供應(yīng)鏈的可靠性?？v然在和平年代一切看起來(lái)按部就班，紅紅火火。但是一旦進(jìn)入戰(zhàn)爭(zhēng)狀態(tài)，世界可能在一瞬間就變成了你不認(rèn)識(shí)的樣子之前所構(gòu)建的一切工控安全體系，都有可能在降維打擊之下變得不堪一擊。

　　【美國(guó)F-35戰(zhàn)機(jī)】

　　王得金告訴記者：“美國(guó)對(duì)于軍工產(chǎn)品生產(chǎn)要求極其嚴(yán)格。例如F-35，連一顆螺絲釘都不允許在美國(guó)以外生產(chǎn)。”反觀中國(guó)，很多導(dǎo)彈所使用的芯片卻都是美國(guó)進(jìn)口的。連圓珠筆珠都做不出來(lái)的中國(guó)，不知什么時(shí)候才能有底氣說(shuō)出和美國(guó)同樣的話。這就是龍芯、飛騰、兆芯的科學(xué)家們拼死也要研制出“中國(guó)芯”的原因。

　　然而，芯片的國(guó)產(chǎn)替代誰(shuí)心中都沒(méi)有時(shí)間表。面對(duì)現(xiàn)狀，魏強(qiáng)提出了一個(gè)無(wú)奈但是有效的解決方案：

　　同一個(gè)生產(chǎn)流程，采用多套預(yù)備系統(tǒng)，分別采用不同國(guó)家的控制器，不同的操作系統(tǒng)、不同的軟件邏輯。在這種情況下，機(jī)器的每一個(gè)動(dòng)作都需要三套控制系統(tǒng)進(jìn)行表決，如果有一套系統(tǒng)被攻擊，給出異常的數(shù)據(jù)，那么它就會(huì)被表決踢出局。即使出現(xiàn)極端的情況：三個(gè)系統(tǒng)都遭到攻擊，產(chǎn)生的結(jié)果全不一致，此時(shí)會(huì)自動(dòng)調(diào)用備用系統(tǒng)。備用系統(tǒng)可以是一套隱藏系統(tǒng)，平時(shí)處于靜默狀態(tài)。攻擊者根本感覺(jué)不到這套備用系統(tǒng)的存在，從而無(wú)法預(yù)先進(jìn)行攻擊。這就是所謂的“異構(gòu)冗余”系統(tǒng)。

　　這種“異構(gòu)冗余”系統(tǒng)的實(shí)質(zhì)就是：在一堆不可靠的部件之上，構(gòu)建出一個(gè)相對(duì)可靠的體系。這個(gè)體系有一個(gè)明顯的缺點(diǎn)，就是需要增加大量的投資。不過(guò)魏強(qiáng)說(shuō)：“核心工業(yè)的價(jià)值非常巨大，用這些投資來(lái)?yè)Q取安全系數(shù)的增加，是非常劃算的。”

　　【搭載龍芯的工業(yè)用主板】

　　尾聲黑客讓烏克蘭一百萬(wàn)人陷入黑暗只用了一秒鐘;我們?yōu)榱瞬蛔屵@“一秒鐘”成為現(xiàn)實(shí)，卻不知道要經(jīng)過(guò)多少年。但相信終有一日，我們可以放棄“權(quán)宜之計(jì)”，用自主的芯片和世界平等對(duì)話，用真正的工業(yè)安全“逐黑客于漠北”。

　　2016，距離“智能制造2025”還有九年時(shí)間。對(duì)于我們的目標(biāo)來(lái)說(shuō)，九年的時(shí)間并不充裕。

（轉(zhuǎn)載）