工控系統危機潛伏����,安全問題如何面對?
? 近年來���,工業化和信息化的迅速發展,傳統工業融合了信息技術和通信網絡技術����,已經在逐步改變世界產業發展格局��。據統計,目前世界上已有超過80%的涉及國計民生的關鍵基礎設施需要依靠工業控制系統來實現自動化作業�����,使用工業控制系統進行自動化生產����,極大的提高了工作效率����,節省了大量人工勞動力,創造了數倍的生產價值。
然而伴隨著技術的發展�����,其弊端也逐漸顯露���。近日���,安全研究人員發現���,被廣泛用于能源����、制造、商業設施等領域的數款Westermo工業路由器存在著高危漏洞,其旗下的MRD-305-DIN等工業路由器固件中存在編號為CVE-2017-5816的硬編碼漏洞���,可暴露SSH和HTTPS證書及其相關私鑰。此漏洞不僅導致攻擊者可進行中間人攻擊,解密流量��,還可獲得提升設備訪問權限的管理員證書�����。此外�,這些工業路由器的管理界面中存在幾個網頁沒有使用任何跨站點請求偽造保護��,允許攻擊者代表身份驗證的用戶執行各種操作��。目前Westermo已針對上述漏洞進行了修補,若是再晚一些發現,將會造成巨大損失����。此次事件只是多數工控安全事故中的一例,隨著工業自動化產業的發展�����,工業控制系統信息安全所面臨的挑戰日趨嚴峻���。
? 六大典型工控系統安全事件回顧
資料顯示�����,全球工控網絡安全安全事件在近幾年呈現逐步增長的趨勢����,僅在2015年被美國ICS-CERT收錄的針對工控系統的攻擊事件就高達295起。為幫助了解工業控制系統所面臨的安全威脅,通過查閱資料����,筆者在此總結出幾次典型的工控系統安全事件��,便于各位參考��。
1、澳大利亞污水處理廠中央系統遭遇人為入侵
2000年3月,澳大利亞馬盧奇污水處理廠突發故障:中央計算機與個泵站的通信連接丟失,污水泵工作異常,報警信號也沒有報警反應����。在前后三個多月的時間里���,總計約100萬公升未經處理的污水直接經雨水渠排入了自然水系���,包括當地的公園�����,河流��。此番行為直接導致了當地海洋生物死亡�,污水臭氣熏天,讓當地居民難以忍受�,給所在區域帶來嚴重生態災難��。
后經查證�,發現事故起因并非設備故障����,而是人為造成的。原來此次故障是該廠前工程師VitekBoden因不滿工作續約被拒而蓄意報復所為�����。這位前工程師在其手提電腦上私自安裝了可與傳動系統進行通信的程序,并通過一個無線發射器控制了150個污水泵站��。
此次事件因為后果嚴重����,成為首個引起人們廣泛重視的工控系統安全事件,為工控系統的安全防護敲響了警鐘��。
2�、美國Davis-Besse核電站被蠕蟲病毒攻擊
2003年1月,美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQLSlamme蠕蟲病毒攻擊��,在數小時內網絡數據傳輸量劇增��,導致該核電站計算機處理速度變緩、安全參數顯示系統和過程控制計算機無法運作����。
原來�����,一供應商為給服務器提供應用軟件����,在該核電站網絡防火墻后端建立了一個無防護的T1鏈接��,SQLSlamme蠕蟲病毒借此鏈接繞過了防火墻��,進入了核電站網絡。然后利用SQLServer2000中1434端口的緩沖區溢出漏洞進行攻擊,并駐留在系統內存中��,不斷復制自身,造成網絡擁堵���,讓SQLServer無法正常工作甚至宕機。
Davis-Besse事件的發生讓人們認識到��,工控系統安全漏洞問題并非全在于技術原因���,操作人員安全防范意識薄弱�,也是此次事件發生的導火索。
3��、臭名昭著的震網病毒Stuxnet
“蠕蟲”是一種典型的計算機病毒�����,它能自我復制��,并可通過網絡傳播。任何一臺和染毒計算機聯網的個人計算機都會被感染�����。在2010年6月�����,震網病毒Stuxnet首次被發現,它是第一個專門定向攻擊真實世界基礎設施的“蠕蟲”病毒。Stuxne利用當時微軟尚未發現的幾個漏洞���,成功偷襲了伊朗Natanz核電站,造成大量離心機損毀。有美國官員稱:該病毒只針對伊朗核設施,在設計上它無法進行傳播。但是真的是這樣嗎�����?
事實證明����,震網病毒已在現實世界中已經傳播開來。2012年,位于美國加州的Chevron石油公司對外承認����,他們的計算機系統曾受到專用于攻擊伊朗核設施的震網病毒的襲擊�����。不僅如此,美國BakerHughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計算機系統也感染了震網病毒���。他們發布警告,一旦病毒侵害了真空閥��,就會造成離岸鉆探設備失火�、人員傷亡和生產停頓等重大事故。
