|
輕輕一按鍵盤,千里之外的城市里所有十字路口的綠燈都會同時亮起,憤怒的司機們圍著相撞的汽車爭執不休;銀行里,存款會莫名其妙地被轉移到其他賬戶;工廠里,所有的生產設備都亮起紅燈,停止運轉;互聯網一團亂麻,陷入全面癱瘓……
這些看起來像是科幻大片的場景,極有可能就在現實中出現。而中國,業已成為網絡攻擊的目標。
不久前,在拉斯維加斯舉行的黑客大會上,獨立安全評測機構NSSLabs的研究人員DillonBeresford專門向與會者演示了如何進攻中國重要基礎行業正在使用的工控系統。
工控系統是對專用設備進行遙控或自控的系統,被我國廣泛使用,比如金融行業中的ATM及監控設備等,電力行業中的通信平臺,通訊行業中的交換機和路由器,以及能源、水利、交通和軍工等重要基礎行業的相關設備。這意味著網絡攻擊已經從傳統計算機網絡拓寬到智能終端和工業控制電腦方向。
為了應對網絡攻擊的挑戰,我省今年專門成立了廣東省信息安全測評中心,承擔全省基礎信息網絡和重要信息系統的信息安全漏洞發現、分析和信息通報、風險評估以及相關信息安全測評工作。
APT攻擊黑客向RSA公司部分基層員工發了釣魚郵件。郵件利用“零日漏洞”,一旦附件表格被打開,木馬程序就進入系統。然后黑客披上“RSA員工”的馬甲,在內網游蕩尋找權限更高的賬號。最終,RSA的SecurID密鑰核心技術被盜。
中間人攻擊
今年7月中旬,黑客入侵了荷蘭DigiNotar公司網站,盜取并偽造了531個著名域名的安全證書。入侵者利用偽造證書可以侵入不同人的電子郵件和Skype賬戶,并在他們的電腦中安裝監控軟件。
日前,南方日報記者就網絡安全問題采訪了多位國內權威的網絡問題專家,他們說,在政治利益和商業利益的驅動下,近年來,黑客不斷研發新的攻擊方式,其中高級持續性威脅APT(AdvancedPersistentThreat)攻擊成為了當前黑客運用的主要攻擊手段。
APT將網絡攻擊提升到了一個更高的層次。從2009年以來,國際網絡空間的APT攻擊日益猖獗,無論是政府、大型基礎設施還是信息安全廠商都深受其害。著名的“震網”病毒,就攻陷了伊朗的核設施設備;美國政府遭遇“維基泄密”,導致大量文件外泄;韓國農協銀行被攻擊;荷蘭政府網站的CA證書被黑客偽造……
“可以看出,政府、企業無不成其攻擊的對象,強大如美國者也難以幸免。”國內一名不愿透露姓名的網絡安全專家在接受南方日報采訪時說。
今年3月11日,美國老牌信息安全公司RSA遭到黑客攻擊,主要安全產品SecurID被竊取。“這好比竊賊雖沒進你的家,卻偷走了你家防盜門的設計圖。”
一時間全美上下風聲鶴唳,RSA的多家企業用戶——軍火商洛克希德-馬丁、通訊服務商L-3通信、軍用飛機廠商諾斯羅普·格魯曼等行業巨頭紛紛連夜升級安全系統。由于此事涉及多家美國軍火企業,奧巴馬甚至連夜趕到五角大樓聽取事件相關報道。
國內的網絡安全問題專家向記者介紹了RSA被攻擊的手法:黑客先向RSA公司的部分基層員工發出了名為“2011年招聘計劃”的釣魚郵件,該郵件利用了一個“零日漏洞”,一旦附件中的電子表格被打開,允許對電腦進行遠程操控的木馬程序就會進入系統。有了這樣的木馬,黑客就利用被感染的電腦,披上一件“RSA員工”的馬甲,在內網中游蕩并尋找權限更高的賬號。最終,RSA的SecurID部分密鑰核心技術被盜。
由于SecurID硬件部署量為4000萬臺,移動設備數量為2.5億部,美國五角大樓也在使用RSA的電子密鑰技術,美國約有80%的銀行使用了這種類型的安全標牌,而RSA占據了50%的市場。
此外,網絡黑客還可以通過“中間人攻擊”的方式,直接攻入不同人的電子郵箱,只要他們愿意。
今年7月中旬,黑客入侵了DigiNotar公司的網站,該公司是荷蘭一家互聯網信托服務供應商,也是荷蘭政府網站唯一的CA(CertificateAuthority)證書供應商。黑客入侵、盜取并偽造了531個著名域名的安全證書,涉及了Google、微軟、雅虎、Twitter、Facebook、美國FBI、英國軍情六處和以色列摩薩德等。入侵者利用這些偽造的證書,不僅可以侵入任何人的電子郵件和Skype賬戶,還可以在他們的電腦中安裝監控軟件。荷蘭政府認為使用DigiNotar的證書風險太高,因此決定廢除其所有的證書。
兩樣擔心
智能手機領域今年8月,一家國外信息安全公司發現一種針對智能手機的惡性木馬,可將用戶通話錄音并存儲,最后發送到黑客指定的地址。當谷歌發現這種木馬后,直接從幾百個用戶的手機上遠程刪除木馬。看上去服務很貼心,但用戶根本不知情。
工業控制領域目前工控電腦軟件一般都是定制,不與外部互聯。但黑客們可以通過局域網和USB接口傳播,并定點干擾。
最近幾年,信息安全領域發生了巨大的變化,移動智能終端和工業控制系統成為了新的信息安全戰場。
擁有無數應用程序的iPhone和安卓等智能手機在國內擁有很高的人氣,精英人士基本人手一臺甚至兩臺。但是,“這些華麗的手機背后,卻存在著巨大的安全漏洞。”網絡安全問題專家說,這種手機是個自由度很高的開源平臺,任何人都可以通過應用商店發布軟件。雖然有審核制度,但是難免百密一疏,放過一些惡意軟件。這些惡意軟件一旦進入手機,輕則大肆占用網絡流量來騙取費用,重則竊取用戶個人數據。今年8月,一家國外信息安全公司發現一種針對該智能手機的惡性木馬,可以對用戶的全部通話進行錄音并存儲下來,最后發送到黑客指定的地址。
“當谷歌發現這種木馬后,處理方式是直接從幾百個用戶的手機上遠程把這些木馬刪除了。有些人也許覺得這種服務很貼心,但從另一個角度來看,在用戶不知情的情況下谷歌就能刪除軟件,那么如果它想做些別的事情呢?”該專家說。
惡意軟件之外,系統提供商本身也可能成為信息安全的威脅。“iOS和安卓都會對用戶的操作進行秘密記錄,從而提升用戶體驗。但是用戶對系統提供商如何應用這些數據并不能進行有效的監控。如果系統提供商出賣了這些數據,那么用戶就變成了透明人。你在哪里?做過什么?跟誰聊過天?全都一清二楚。”專家說,正是由于這些原因,蘋果和谷歌等公司在部分國家陷入了爭議和訴訟之中。
工業控制領域同樣危機四伏。工廠使用的控制電腦的軟件一般都是特別定制版,而且不與外部互聯網聯通。但是黑客們“道高一尺,魔高一丈”——他們可以通過局域網和USB接口傳播,并定點干擾工業控制軟件的病毒。
美國早已經意識到了重要基礎設施的問題,早在10年前,美國就已經發布安全戰略,關注關鍵基礎設施的安全問題。去年5月21日,五角大樓更宣布成立美軍網絡司令部,國家安全局局長、四星上將凱西·亞歷山大兼任司令,下轄2萬余人。這標志著美軍正式把網絡作戰納入體系。今年美國又連頒兩份網際空間戰略,把網際空間視為陸、海、空、天之外的“第五度空間”。
與躊躇滿志的美國相比,我國的信息安全領域基礎要薄弱得多。“一句話——全面危急。網絡空間是人造空間,但是歸根結底是美國的人造空間。我們使用的硬件和軟件大部分都來自美國。”
不過我國很早就意識到這一問題,近幾年一直提倡“自主可控”,發展國有技術。另一方面,我國在信息安全建設上也開始加快步伐,尤其廣東作為信息化建設發展最快的省份,針對信息安全,今年專門成立了廣東省信息安全測評中心,為我省企事業單位的信息化建設提供可靠的安全服務。
兩種攻擊
零日漏洞
詞典:
“零日漏洞”(0-dayvulnerability),本意指剛剛被發現的軟件漏洞。由于軟件開發商和安全公司都還未得知“零日漏洞”的存在,從而進行對應的升級,黑客們就利用它們發起網絡攻擊,成功率非常高。
這個詞還泛指那些被發現但是尚未公開的漏洞。因為,這樣的漏洞在被黑客利用時,和字面意義的“零日漏洞”并無區別。
發現零日漏洞的數量可以間接反映一個國家在信息安全領域的實力。
據稱病毒系美以制造,開啟網絡戰時代。
“震網”借助優盤
攻入伊朗核電站
■案例
近年來的黑客攻擊事件頻發,“但最具有劃時代意義的事件莫過于2010年的伊朗‘震網’病毒事件,標志著電腦病毒作為一種武器正式登上戰場。”國內一位網絡安全問題專家說,這也代表了中國業界的看法。
2010年9月,伊朗稱布什爾核電站部分員工電腦感染了一種名為“震網(Stuxnet)”的超級電腦病毒。這種病毒可以悄無聲息地潛伏和傳播,并對特定的西門子工業電腦進行破壞。萬幸的是,這次電站主控電腦并未感染。
該專家說:“據國外媒體報道,該病毒是美國和以色列兩國政府聯手在美國的一個實驗室研制成功的,2008年開始研制,2010年正式投放到了伊朗。”
首先,“震網”具有極強的針對性。它會自動依據被感染電腦的語言、IP地址、生產廠商等條件進行判斷,如果不是位于伊朗境內的西門子工業電腦,它就會悄悄潛伏起來,以免引起殺毒軟件的反應。
次,這種病毒的滲透力非常可怕。為了防止被病毒感染,工業控制電腦往往自成體系,不通過網絡與外界聯接,這種做法稱為“物理隔離”。有時候,物理隔離會讓很多部門產生麻痹思想。“震網”正是利用了這種心態——一開始,它靜靜地潛伏在普通的個人電腦上,通過USB接口無聲無息地感染著一個個優盤,直到某天某個粗心大意的家伙把被感染的優盤插到核電站里的某臺電腦上,“震網”就會通過打印機等設備快速感染整個局域網。
最可怕的一點是“震網”強大的破壞力。由于攻擊目標是與外界物理隔離的工業電腦,因此“震網”并不以盜竊信息為首要目標,而是“自殺式攻擊”——利用一些漏洞偽裝自己,奪取控制權,隨后向該電腦控制的工業設備傳遞錯誤命令,令整個系統自我毀滅。西門子工業系統廣泛應用于水利、核能、交通等關鍵領域,一旦被類似“震網”的病毒劫持,后果不堪設想。
業內人士稱,“震網”的出現,標志著網絡攻擊對象已經從傳統的計算機網絡拓展到工業控制系統。
建立安全系統,培訓員工安全意識,個人密碼要不時更換
企業需要提升
自身安全能力
■兩招應對
針對目前全球的信息安全問題,南方日報記者專門采訪了廣東省信息安全測評中心主任助理駱林勇。
“相對于歐美的企業和政府已經建立起了完整的安全網絡系統,我國大多數企業信息安全還處于逐步建設的階段,重點聚焦的是通過信息安全產品和技術建立保障體系。”駱林勇說。
他說,信息安全技術保障并不等同于信息安全能力的提升。如果過于強調技術而忽視管理和對人員意識的培育,會導致信息安全技術保障體系形同虛設。黑客往往利用社會工程學的“六度空間”(意思是在全世界任何兩個人之間建立聯系,最多只需要經過6個人)進行攻擊。或許一個人不是機密信息持有者,但黑客可以用他作跳板去找到那些更關鍵的人。所以說,企業所有人員的安全教育都很重要。
“而對于個人來說,最重要的是潔身自好,少上非法網站。”駱林勇說。此外,他還建議:密碼要不時地換一下;系統要勤升級,打好補丁;不要上一些不良網站;收到陌生郵件和鏈接都不要隨便打開。
南方日報 |
|