对抗网络战的网络安全实验室

(图片来源: Alamy) Image copyright Alamy

虽然“想哭”(WannaCry)勒索病毒软件攻击只过去了短短几个月时间,然而面对针对重大基础设施发起的新一轮网络攻击可能导致的潜在灾难性影响,整个世界仿佛还是毫不在意。

全球首次国家层面对重大基础设施发动的网络攻击是2010年媒体披露的,美国和以色列情报部门联手对伊朗的网络袭击。当时双方企图利用Stuxnet病毒摧毁伊朗核计划。

尽管该病毒没能完成这项使命,但却以摧毁1,000台铀离心机的成绩成为首个利用虚拟攻击造成物理损害的案例,并揭开了新一代武装冲突的帷幕:网络战。

发生在2015年12月23日的一个案例就是这种网络战新时代未来呈现方式。那天,一家乌克兰发电厂的工作人员吃惊地发现电脑屏幕上的光标开始自动移动,当他试图控制光标移动,但发现自己已经被踢出电脑系统之外:一名黑客正在遥远的地方控制着他的计算机。

前美军IT专家乔恩·尼古斯(Jon Nichols)及其同事、大西洋协会(Atlantic Council)布伦特·斯考克罗夫特国际安全中心(Brent Scowcroft Center on International Security)网络安全项目(Cyber Statecraft Initiative)副主管比尤·伍兹(Beau Woods)在华盛顿特区共同接受了BBC未来频道的采访。他们二人都认为,2015年乌克兰网络袭击尽管很严重,但跟如果世界今天不开始认真对待网络安全,未来可能发生的网络袭击造成的损失相比微不足道。

Image copyright Alamy
Image caption 2015年在乌克兰发生的网络袭击影响到了10万多人的生活(图片来源: Alamy)

"与大多数袭击相比,乌克兰那种类型的网络袭击数量在不断减少,实现的难度也在不断提高,"在信息安全领域奋战多年的老兵伍兹表示。据信,乌克兰网络袭击对10万余人的生活造成影响,时间超过6个小时。"这种类型的网络袭击只可能是由高度专业化的敌人完成。这个敌人不一定是一个国家,但在它所拥有相应能力之前,我们可能能够发现他们并了解他们,从而对他们的行为进行预测。一旦能够预测,就能够遏制他们的行为。"

由于网络袭击的巨大风险:人们在模拟仿真领域投入巨量资源,从而帮助企业在未来抵御此类攻击。IBM等巨型企业正在大量兴建网络安全测试实验室,供跨国企业在不冒任何风险的情况下,亲身体验网络袭击造成的后果。

美国最大的建筑和土木工程公司之一比奇特尔公司(Bechtel)邀请BBC未来频道走访了其位于华盛顿特区郊区的实验室。多年来,比奇特尔公司一直专注于在世界各地修建重要基础设施项目。

这座刚投入使用不久的实验室位于弗吉尼亚州乡村地区一座不起眼的商场建筑内,用来展现黑客攻击对工业控制系统(ICS)造成的破坏。实验室作为该公司承建的所有美国政府业务工业控制系统的网络安全中心。

用来控制遍布北美地区的重大基础设施的工业控制系统很多都是30年前设计的,当时在设计和决策过程中并没有考虑到网络安全问题,所以很容易收到攻击。乔恩·尼古斯表示。

"假设在西弗吉尼亚州有一座燃煤电厂,黑客可以利用商业化黑客工具在短短15分钟内对它进行彻底扫描,"尼古斯说。"你会发现有好几个工业控制系统都已经接入互联网30多年之久,用Google搜索一下就会找到系统文档。不使用任何先进黑客工具,甚至不用看任何代码,破解它也只是个时间问题。"

伍兹和尼古斯称,电力基础设施的很多工业控制系统都已经老旧,工业控制系统的用户名和密码在文档中都可以查到——只需祭出Google大法。

Image copyright Alamy
Image caption 电厂等民用基础设施在职业黑客面前几乎毫无还手之力(图片来源: Alamy)

比奇特尔公司网络实验室项目经理嘉德·哈特曼(Chad Hartman)说,这就是为什么启动这一项目的原因之一。"你要是查看一下为国防部和能源部服务的电厂,"他说,"就会发现很多电厂都是有数十件历史的老古董。有些电厂使用的操作系统是微软早已不在提供技术支持和打补丁的Windows XP。把系统从Windows XP升级到Windows 10则需要资金,"他说,和老旧操作系统有关的所有软件都需要升级。"所以升级成本已经超过了网络安全的代价。这就意味着企业只能花费这两者之间的预算费用来阻止黑客攻击。"

当下,从手表到面包炉的万事万物都已实现联网,黑客入侵的接入点正在以指数级速度增加。然而对于针对重大基础设施的蓄意攻击,一个理论威慑仍然存在:这种行径实际上是战争行为。

非国家组织等黑客可能认为,很难找到真正的攻击者。但是对于那些沉迷于发动黑客攻击的国家,存在遭受同等反击的可能,同样的武器也会用来对付他们自己。"以伊朗对沙特阿美石油公司(Saudi Aramco)的反击为例,"比尤·伍兹说。"他们解密了Stuxnet的部分原始代码并进行了改造,我估计一共感染了3万台计算机。"

黑客攻击医院

尼古斯和伍兹最为担心的是黑客攻击对医疗等重大系统造成的毁灭性打击。一个名为"我是骑兵"(I Am The Cavalry)的草根组织就专注于研究计算机安全和公共安全和公民生命健康之间的关联。

他们认为,出于以下几个理由,医疗行业必须得到特别关注:医院内的很多设备已经联网、一旦出现故障后果十分惨重:如果医院的计算机系统崩溃,病人会因此而死亡。医院在攻击面前十分脆弱,并且暴露程度很高。

Image copyright Alamy
Image caption 安全专家比尤·伍兹表示,医院会出于成本考虑选择支付赎金,尽管这违背了一般的道德准则(图片来源: Alamy)

这种担心在横扫全球150个国家的想哭病毒泛滥期间得到了印证。在英国,病毒感染了三分之一的NHS医院,并删除了至少6,900次NHS就医预约。

就在几周前,尼古斯告诉BBC未来频道他正在医院修复之前网络攻击造成的破坏,(由于保密协议,他没有透露更多细节。)其中包括2016年年初对一个地区医疗网络的黑客袭击。

"我知道攻击的频率要比任何人对外承认的高。当我在医院地下室内修复一次攻击造成的损害时,才在主流媒体中听到关于这次攻击的新闻,"他说。

尼古斯表示,攻击医院的黑客都不是政府背景,而是网络罪犯。他们并非特意以医院为目标,而是不断寻找网络漏洞,并使用手头的工具扫描上网设备。一旦发现,就会植入病毒代码,释放勒索病毒。伍兹表示,由于这些黑客只为求财,因此更难加以防范。

"反黑客产业目前面临的困难之一在于,有很多组织不愿承认或报告自己遭到攻击,"伍兹表示。"一座医院因黑客攻击而瘫痪1天就会损失千百万美元,因此更好的选择恐怕是支付10万美元的赎金,尽管这违背了一般性的道德准则。"

没人愿意将自己的系统存在漏洞这一事实公之于众,有这样想法的不仅仅包括医院,麻省理工学院重大基础设施网络安全跨学科联合团队(IC3)主任斯图尔特·麦德尼克(Stuart Madnick)博士表示。

Image copyright Alamy
Image caption 建筑企业比奇特尔公司和很多其他企业都建立了自己的网络安全实验室(图片来源: Alamy)

与金融机构相比,有关重大基础设施遭受网络攻击后信息披露的法律规定要宽松许多,麦德尼克表示。其原因在于,入侵银行会泄露信用卡和个人信息,从而迫使银行向公众披露相关情况,然而重大基础设施则无此压力。"如果一个黑客对一家德国钢铁厂发动攻击导致钢炉爆炸,没有任何法律规定,钢铁厂一定要向公众公布,"麦德尼克说。

麦德尼克的团队专注于改变企业和管理人员对网络安全的认识。"我们会强调策略和管理在网络安全中的意义,而非简单升级硬件和软件。这是由于,70-80%的网络攻击都是在内部人员协助或支持下完成的,尽管通常情况下是出于无意,"他说。

他的同事,IC3副主任迈克尔·西格尔(Michael Siegel)博士表示,他曾经听说过,有一家金融机构在内部做了一次钓鱼攻击演练:他们向员工发送了一封邮件说"这是一次钓鱼攻击。你如果点击链接,就会损害你的计算机。"尽管有明确警告,但仍然有至少一名员工点击了链接。他们后来询问这名员工为什么这样做,他说他就是想看看点击后会发生什么。

"问题在于,我们没有建立一个基础性认识,点击一下鼠标就会让一家公司或者一家电厂陷入瘫痪,"西格尔说。他认为有两种企业:知道自己曾经被攻击过的公司和对此毫不知情的公司。

随着钓鱼攻击变得更为公开,其细节也更为清晰,比奇特尔公司等网络安全企业的市场正在迅速扩大。

如果一家企业使用了网络攻击反击服务,会出现什么情况?

哈特曼的团队以蓝队和红队服务于不同客户。红队服务于那些第三方黑客已经入侵了系统,但不清楚攻击的地点、时间和方式的情形,这和实际中的网络攻击十分类似。

Image copyright Alamy
Image caption 任何运行Windows XP的硬件都应当升级,而升级的过程成本高昂且时间漫长(图片来源: Alamy)

蓝队则负责为客户进行网络攻击模拟演练。比奇特尔公司的专家会和客户坐在一起,引导客户在遇到袭击时如何应对,并解释所有方面的问题,从而使客户在实际生活中体验到所有细节。

他们提出的某些建议不仅适用于网络安全,还适用于真实的工作场景。

红队给客户提出的很多建议都是有关物理设施的,例如,网络实验室采用正确的门锁、门把手、密码锁、门禁锁,"哈特曼表示。"对于高敏感性房间,应当安设从地板到天花板的栅栏,从而保证没人能随便进入敏感区域。"

讽刺的是,未来几十年间,网络安全问题将进一步恶化的原因不仅在于老旧系统的脆弱性以及升级的高成本,还在于科技创新本身。例如,哈特曼认为,远程接入技术为黑客提供了新的犯罪路径。哈特曼说,很多企业都采用远程接入技术以节约成本,然而他们却为黑客提供了前所未有的漏洞,并由此侵入工业控制系统和工厂。

随着"物联网"不断普及,易受网络攻击的系统数量将不断攀升,纽约大学教授、信息联网及电信中心主任、《网络基础设施保护》一书作者特拉克·萨达维(Tarek Saadawi)说。

萨达维称,随着数十亿计的联网设备、自动驾驶汽车、自助机器人和智能城市成为现实,未来的网络威胁将更为强大。"所有这些设备都不难攻陷。"

Image copyright Alamy
Image caption 专家称,热水壶等联网设备的普及给了黑客攻击网络的更多选择(图片来源: Alamy)

全球安全分析专家们的首要顾虑恐怕是恐怖主义袭击。例如,很难相信,伊斯兰圣战分子不会出于牟利和制造恐慌的目的而攻击重大基础设施。

然而有些情况下,此类攻击却是由一头愤怒的"独狼"发动,例如16年前澳大利亚一家水处理厂遭受的攻击。IC3主任麦德尼克指出,此类攻击不仅体现了威胁的普遍性和不可预测性,还体现了在基础设施遭受攻击后如何发现攻击本身的难度。

"他们足足花了两个半月时间才发现自己遭到了黑客攻击,"麦德尼克说。"很多情况下,很难确认问题的来源是机械故障还是网络攻击。"

想哭病毒是重大基础设施遭受黑客攻击,且受到媒体广泛报道的最新案例。但是它绝不会是最后一个。

请访问 BBC Future 阅读 英文原文

更多有关此项报道的内容