工业网络安全之网战魅影丹江口切碎机操作系统绢云母搪塑玩具Frc

工业络安全之战魅影

引言：去年夏天，全球顶尖的计算机软件安全专家检测到了令他们深感震惊的新型计算机病毒。这种新型病毒结构非常复杂，不同于目前已知的任何计算机病毒。专家们正在对其进行分析研究，希望能够解码这种病毒的构造，了解它所造成的破坏及其来源。目前看来，这种病毒的攻击目标似乎是伊朗的核项目。尽管它源自何方仍然成谜，但这种病毒的出现却代表了21世纪一种全新的战争形式：踪迹难寻、匿名进攻、破坏巨大。

去年7月中旬的某一天，很多人的智能半夜里突然铃声大作。铃声震动使得在床上跳动不已，指示灯闪个不停。睡梦中的人迷迷糊糊地拿过来，在应答的一瞬，便有如接到命令的士兵一般 他们用力摇摇自己的脑袋，尽量让自己清醒过来，凝神倾听着里描述的一场渐渐迫近的危机。随后几天，接到这样的人越来越多 他们都是一些软件分析和工业生产控制系统方面的专家，被召集到北约临时搭建的作战室里展开工作。最高级别的政府官员们关注着他们的工作进展。他们面对的这场危机还没有名称，但初看起来，却有可能使整个工业社会陷入停顿。

一种能够进行自我复制的计算机蠕虫病毒，已经侵入了全球几千台电脑，目的是搜寻一个灰色的小塑料盒 可编程逻辑控制器。这种控制器是一种微型计算机，只有一盒蜡笔大小，却操控着工厂、电站、建筑工程等许多项目中的机器运转。它们控制着对人类现代生活至关重要却又枯燥无味的工作 调节水阀的开关，设定铀离心机的转速，控制每块奥利奥饼干上的奶油流量，决定交通灯何时由红转绿等等。

尽管这样的控制器无处不在，大多数人却对他们极为陌生，甚至就连许多高级官员也是直到七月中旬那一天才第一次听说它们的存在。一些主要西方国家起初担心，这种蠕虫病毒会发动对所有控制器的全面进攻。如果工厂关闭，发电厂停止发电，那么正常的社会秩序还能维持多久？谁会开发一个带有这种破坏性意图的程序？开发这样的程序又是为了什么？

趁着这一切还没发生，顶尖的电脑工程师们聚在一起，试图找出这种蠕虫病毒的意图所在。在收到恶意软件冗长繁复、设计精巧的病毒代码样本后，全球的计算机安全专家开始共同对这种病毒进行分析。从功能上看，这种新型病毒是许多研究员所见过的最大型的恶意软件，结构上的数量级也更复杂。（以前恶意软件的长度冠军飞客蠕虫病毒，大小仅是这次出现的新型病毒的1/20）。以后的几个月里，专家们致力于破解病毒的构造，并最终解码了大部分程序，这种病毒随即被微软的研究员命名为Stunxnet（中文称震病毒或双子病毒）。解码结果甫一公布，所有人都大惊失色，如坠深渊。

零日漏洞

在7月17日铃声响起那天的一个月前，白俄罗斯明斯克一家小型信息技术安全公司的反病毒部门主任谢尔盖 乌勒森，正坐在办公室里阅读一封电子邮件，获悉一位伊朗客户的计算机不停地重启。乌勒森拿到了引起重启问题的病毒样本，并把它传给了同事奥列格 柯普瑞耶夫。柯普瑞耶夫将它放进一个除错调试程序 这种程序用来检验其他软件的代码，包括病毒软件。结果他们发现，这种病毒利用了一个以前没被人们检测到的漏洞来感染微软操作系统。这种从未被人们发现、而系统程序创建者也不知晓其存在的漏洞，在计算机行业中被叫做 零日漏洞 。在计算机安防领域，发现这样一个漏洞是一件大事，利用零日漏洞编写病毒程序的人绝对是专家。这种软件上的缺陷能被用于一系列恶毒的目的，在黑市上可以卖到10万美元。

被乌勒森发现的这种病毒格外奇怪，因为它以人们从未见过的方式传播。计算机插入感染了病毒的闪存，病毒就会偷偷潜入，加载两个文件到计算机：一个是rootkit，（这使病毒能在计算机上做任何事情 如一个黑客解释的那样， root 是根的意思，意味着你是上帝 ），另一个是进行破坏的恶意程序代码的注入器。在乌勒森看来，这个恶意代码被层层加密到不可思议的地步。而最令人感到不安的是，病毒在进入计算机后，能对自身进行隐藏。为了达到这个目的，病毒使用了数字签名。数字签名是一种加密的字符串，合法的计算机软件程序使用它们来证明自身是非病毒软件。它就像是软件的护照，是合法软件在不同机器上使用的的身份证明。病毒有时会使用伪造的数字签名进入计算机，就像青少年使用假冒身份证进酒吧一样。最近几年，安全专家一直关注恶意软件的编程员实现从伪造数字签名到盗窃真正数字签1般每隔6个月要更换1次名的飞跃。这是人们第一次看到发生这样非同寻常的事情。能从行业中最受信任的瑞昱公司盗得签名，这个新型病毒不容小觑。

可为何这个恶意软件的编写者要费这么大劲儿开发出这样一个程序？也就是说，这个恶意软件究竟要对什么进行攻击？乌勒森想不出来。他所能了解的是病毒的基本注入系统 即病毒是如何进行传播的，仅这一点就值得引起人们的注意。

乌勒森和柯普瑞耶夫详细写下了自己的发现，并在7月5号通过一个在德国的同行，向位于华盛顿雷德蒙德的微软安全反应中心发出了警报。微软第二天就迅速承认了漏洞所在。乌勒森也写信给中国台湾的瑞昱公司，告诉他们数字签名被盗用的事。然后，在7月12号的时候，乌勒森把关于这个恶意软件的报告挂在了安全信息公告栏中。48小时内，一位来自德国蒙斯特的独立安全分析专家弗兰克 鲍德温就破解了这个病毒所进行的大部分破坏行动，并发现了病毒的攻击目标：可编程逻辑控制器。鲍德温把自己的发现贴在同一个公告栏中，由此拉响了西方国家的全面警报。

第二天，7月15日，一个工业条线的布赖恩 克雷布斯在自己的博客中公布了病毒的消息。又过了一天，微软在联合外部专家对恶意软件进行分析之后，发布了针对病毒的第一个补丁。那时，人们只在欧洲和美国的小部分地方监测到了病毒。而现在，多达15000份感染样本已被人们监测到，并且这个数字还在快速增长。这些感染样本大多位于亚洲，首先是在印度和印尼被发现，接着是伊朗的电脑感染数量急剧上升。

在向公众发布病毒报告的过程中，研究人员将病毒两部分代码中的英文字母移动了一下，给它起了一个名字 Stuxnet（震病毒）。这个名字听起来就像出自科幻大师威廉 吉布森或弗兰克 赫伯特的小说，其中涌动着某种恐怖的意味。美国的广告精英们也很难再找到一个名称，能如此生动地描绘这种耸人听闻、威胁巨大的病毒。

然而很明显，有人在尽量使震病毒躲开公众的关注。7月14号，关于病毒存在的消息刚开始传播的时候，震病毒的操控者就给病毒增加了新的自我防御机制。尽管病毒从瑞昱盗取的数字签名已被宣布吊销，它的新版本又有了一个从智微公司盗取来的新的数字签名。因此，即便第二天媒体对此事进行了集中报道，这种病毒仍然能够躲避监测。一周后，病毒的新版本也被计算机安全分析员监测到了，第二个被盗用的数字签名也被宣布吊销。震病毒没有再试图使用第三个数字签名。尽管知道人们已能够越来越容易地监测到它的存在，这种病毒仍然在不停地复制传播。

7月15号，震病毒的存在已广为人知，全球发布关于工业生产控制系统安全简讯的两家主要站沦为 分布式拒绝服务攻击 的攻击对象 这是一种最原始最直接的络破坏行为。人们所知最早的同类型络破坏行为是2007年对爱沙尼亚发起的进攻，当时整个爱沙尼亚的互联因遭受攻击而大面积瘫痪。此类进攻的主使者很难被确认，但在当时，俄罗斯被普遍怀疑应对事件负责。没人知道是谁挑起了此次对工业控制系统安全站的进攻。尽管其中一家站经受住了攻击，但另外一家却被一个僵尸络不断发出的服务要求挤到瘫痪，以致邮件服务被中断，使电厂和工厂得不到想要的关于这种病毒的信息。

震病毒的确已为公众所知，但明显有人正不遗余力地进行反击。他们选择的时机之妙，不是因为惊人地幸运，就是因为消息特别灵通。

末日预兆

尤金 卡巴斯基对堪察加半岛的火山一直非常向往。7月份的第一周，这位45岁的世界第四大计算机安全公司 卡巴斯基实验室的联合创始人兼CEO，正坐在办公室里，倒计时等待自己前往西伯利亚休假的开始。正在此时，一位工程师收到了微软关于震病毒的报告。这位工程师急匆匆地冲进来，上气不接下气地说： 尤金，你不会相信，发生了一件非常、非常、非常恐怖的事情。

在微软宣布震病毒的存在以后，卡巴斯基实验室就开始研究这种病毒。卡巴斯基和微软对研究成果进行了共享，两家公司展开一次非同寻常的合作来分析病毒代码。赛门铁克、诺顿和F-Secure也发布了大量对震病毒的分析研究结果。赛门铁克更是在晚些时候正式加入到微软和卡巴斯基的合作中。

卡巴斯基1987年毕业于前苏联密码、电信与计算机科学学院，这个学院当时由克格勃和国防部共同设立。他有着两道灰色的浓眉，在人群中非常惹眼。他平时驾驶着一辆法拉利，赞助了一支F1车队，并因酷爱成龙的电影而聘请成龙作为其公司的代言人。如果说震病毒令卡巴斯基感到兴奋，那未免有些夸张。但他和许多同事多年来一直在等待这样的事情发生。计算机安防行业和其他许多设备维修行业一样，因为人们面前出现了前所未有的困境而兴旺发达。在末日预言面前，这个行业嗅到的却是美元的气息。正如卡巴斯基一个主要竞争对手所说的： 在这个行业，恐惧是我的同盟。

卡巴斯基选中罗埃尔 舒文伯格负责对震病毒进行研究。舒文伯格是一个眼睛明亮、扎着马尾辫的荷兰籍反病毒专家。他今年只有26岁，却已经和卡巴斯基相识近10年了。（还在高中的时候，舒文伯格就自己研究探查络病毒，并且出于好玩，每天通过电邮给自己在上结识的这位CEO发送报告）。卡巴斯基和赛门铁克的分析员很快就发现，震病毒利用的不仅是一个零日漏洞，而是史无前例地同时利用了4个这样的漏洞。应用如此先进的技术在恶意软件开发史上还是第一次，这不能不令人感到震惊。

随着越来越多的零日漏洞被发现，卡巴斯基说，他怀疑有政府组织编写了震病毒，因为要由一个局外人在没有进入微软源代码权限的情况下来发现这些漏洞，是一件非常困难和费时的事情。卡巴斯基降低了声音，轻轻笑着说： 我们正在接近危险核心。下面的工作，如果顺着上面的思路继续下去，我们就会查到从华盛顿打到西雅图寻求源代码的。

对舒文伯格和许多人来说，震病毒似乎是一个比已知所有的恶意软件更加复杂和昂贵的开发系统所开发出来的产品。赛门铁克的一位策略分析师估计，可能有30多个不同的人参与了程序编写。编程员编程的风格就像作家的写作风格一样可以辨认。一位专家估计这个蠕虫病毒的开发至少进行了6个月。一旦震病毒被释放出来，操控病毒的技术人员会在丹麦和马来西亚的控制服务器上对其进行维护，震病毒也会不断地向这些服务器汇报其所在位置并进行更新。

最令人感到奇怪的是，这种蠕虫病毒有两个主要变种。病毒最早的版本似乎是在2009年夏天出现的。和2010年3月开始出现的新版本相比，这个初始版本在某些方面非常复杂，但在其它一些方面又相当原始。4月份出现的第三个版本包含了一些微小的改进。在舒文伯格看来，这也许意味着震病毒的开发者认为这种病毒传播得不够快，或者没有击中预期目标，所以他们开发了更具侵略性的进攻机制。舒文伯格认为这些开发人员在权衡了病毒被监测到的风险和任务失败的可能之后，选择了冒险。

但震病毒带来的种种猜测似乎不会就此终结。在7月15日的一份简报中，亚历山大 古斯塔夫 卡巴斯基实验室负责在博客中发布这种蠕虫病毒相关信息的研究员，神秘地引用了维基百科中一则关于植物的词条：香桃木（Myrtus）是桃金娘科中的一个属种，包括一两种开花植物。

为什么会突然扯到植物学上？ 古斯塔夫这样写道。他给出的回答是： 因为rootkit的驱动程序代码包含以下字符串：b:myrtussrcobjfre_w2k_b. 古斯塔夫接着又提出了 香桃木计划 的说法，并且颇为自负地加上一句： 还要继续吗？ 尽管没有继续就震病毒中的植物学典故展开猜想，古斯塔夫的这一提法却引出了大量的后续解读。

7月底，在尤金 卡巴斯基从火山休假回来的前夕，舒文伯格试着说服一个《纽约时报》的对震病毒进行报道。但因为没有这种病毒的来源和攻击目标的具体信息，这个题目当时没被采纳。然后，到了9月16日，德国汉堡的一位工业控制系统安全专家在自己的博客中发表了关于震病毒的轰动性言论，声称有关震病毒的部署是 香桃木行动。 并且他确定香桃木所指的究竟是什么。这位专家的言论以前从没有上过报纸，但是这次，他却将全球对震病毒这一话题的讨论引向了一个全新的方向。

隐形病毒，自我导向

我究竟是个疯子，还是个天才？ 这个问题不仅是拉尔夫 朗纳一个人才有。他的睡眠一直有问题，而且有时候认为美国中央情报局正在监视他。朗纳是一个52岁的非常健谈的男人，长得就像一只灵巧的惠比特犬，短发整齐地分向两边。他位于汉堡的公司在不为外界所熟悉的工业控制系统安全领域享有大名，德国许多最大的汽车企业和化工公司都是他的客户。整个8月，朗纳都在对震病毒的攻击路径进行逆向思考，并第一个分析出震病毒含有两组组件，他把这些组件叫做 弹头 。层层分析之后，朗纳逐渐形成结论，认为震病毒的攻击目标是伊朗的核项目。多通过对全国28个大中型城市、850余个社区的访问调查年以来，伊朗一直被西方国家怀疑在试制原子弹，并且在2003年的时候，拒绝向国际原子能机构的检查员呈交有关铀浓缩离心机的详细信息。从那以后，西方国家使用各种手段，包括外交施压、贸易禁运，甚至采取秘密行动，试图阻止伊朗的核计划。

起初电脑业界的人将震病毒看成是黑客对微软操作系统发起的进攻 黑客利用一个零日漏洞设计了病毒。这就好像是主人知道有人闯进自己家里，然后要对这些人究竟是怎样进来的进行还原分析一样。

之后，弗兰克 鲍德温发现了这些入侵者想要的东西 可编程逻辑控制器。更确切地说，震病毒寻找的目标是德国西门子生产的控制器。最终，朗纳搞清楚了震病毒进行破坏的基本方式，也就是说，入侵者是怎样进行破坏的。当震病毒侵入一台计算机后，它会试图侵入和这台计算机联的每一台计算机，然后探查他们有没有使用西门子软件。如果答案是否定的，震病毒就变成络中一个僵死的程序。如果答案是肯定的，这种蠕虫病毒就会检测这台计算机是否连接了可编程逻辑控制器，或者一直守候着，直到计算机和控制器连上。然后，蠕虫就通过计算机侵入控制器和其它与控制器相连接的物理设备，开始搜寻与控制器相连的一种特殊机器。如果震病毒找到了目标机器，它就会查看机器的组件是否在设定的条件下运行。如果是的，震病毒就会向控制器注入自身的恶意程序代码来改变机器原来设定的工作条件。有一点引起人们注意的是，即使震病毒对目标系统进行了破坏，这种病毒也能骗过机器的电子安全检测系统，使得安全检测系统认为机器运转正常。

工业控制系统以前曾被破坏过。但是，这种并非由黑客在某处通过键盘操作、远程控制病毒程序来改变系统运作的事情还是第一次音频线材发生。震病毒就像是一个能进行自我导向的无人驾驶飞机，一旦被释放出来，就开始寻找具体的目标进行破坏，并且在破坏发生前，使人们对它的存在和发挥的作用一无所知。这样的攻击方式无疑是革命性的。

朗纳对病毒所造成的破坏进行的技术分析使业内同行赞赏不已。但他同时也不可避免地陷入了对这个恶意软件来自何方的思考中，这使他对于这种病毒的源头和攻击目标形成了自己详尽的推论。

8月底的时候，朗纳通过谷歌查询了 香桃木 和 希伯来 这些词条，其中的解释提到了一本叫做《以斯帖记》的书，那是讲述犹太人挫败波斯人阴谋的圣经故事。朗纳又通过谷歌查询了 伊朗 和 核计划 ，看看是否有什么问题发生，结果发现伊朗布什尔核电站的建设最近不知为何一再拖延（尽管布什尔是一座核电站，但它的核反应堆能在低浓缩铀燃料中生产钚，这种物质可以被重新利用制造武器）。然后，朗纳就震病毒一事给他的朋友乔 魏斯发了一封电子邮件。魏斯负责组织在美国举行的有关工业控制系统络安全的高端会议，也是行业标准书籍速度仪《保护工业控制系统免受电子威胁》的作者。朗纳稍后将这封邮件发布在了自己的博客中： 问问你在政府和情报机构的朋友，他们是否知道为什么上个月布什尔核电没有运转。另外，有没有来自以色列的人参加了会议？） 最终，朗纳决定将事情挑明。他写道，震病毒是第一件真正的络武器，是以色列用来对付伊朗布什尔核电站的。然后朗纳静观其变。

结果一系列讨论由此引发。《基督教科学箴言报》9月21号对挤出机企业定单将得到大幅度的回升朗纳的理论进行了报道。第二天，一家德国报纸发表了另一位德国计算机专家弗兰克 里格的文章，宣称这种络武器的目标不是布什尔核电站，而是伊朗位于纳坦兹的铀浓缩设施。络上充斥着关于伊朗的种种猜想。

2天后，里瓦 理奇蒙德在《纽约时报》的科技版博客中发布了朗纳的理论。同样来自《纽约时报》的戴维 桑格继续深入报道，认为震病毒是美国情报机构秘密破坏伊朗核计划行动的一部分。这个秘密行动始于布什任内，并在奥巴马上任后被加速进行。据报道，一位伊朗政府级官员承认已在政府机构的电脑系统中发现了这种蠕虫病毒，但另一位官员声称破坏 并不严重。 《纽约时报》又报道称，伊朗政府宣布逮捕了可能和震病毒有关的 核间谍 。拔盖机有关这些间谍被处决的消息在络中甚嚣尘上。

如果我没有所拥有的背景，我认为自己不会有勇气说出关于震病毒的一切。 朗纳说。他曾在柏林自由大学学习心理学和人工智能，在偶然情况下对控制系统产生了兴趣，并发现自己非常喜欢这项通常令人感到极度痛苦的工作。每个控制系统都像是用独一无二的材料为客户专门定做的套装 一套控制系统只能根据一种工业设备的运行条件进行设计，而不能应用在另一套设备上。人们传说这个行业里的人常常穿着两只不一样的袜子出门，但朗纳确是一个不折不扣的花花公子。 我喜欢D ；；G的鞋子。 他说， 你注意到了吗，昨天我穿了鸵鸟皮的鞋子？ 朗纳很高兴自己的理论受到关注。他说，他在等待着 一个年轻的美国姑娘 ，最好是个来自加利福尼亚的金发美人，关注到他的博客并找他约会。

去年秋天，朗纳在汉堡呆了两天，其中有些时间就在他的办公室度过。在那里，他和他的员工在用震病毒感染的计算机和西门子控制器上演示这种蠕虫病毒的攻击方式。朗纳的办公室很舒适，却也非常空旷。工业控制安防行业的利润并不丰厚，很大原因在于工业企业很少费力去保护自己的系统安全。仅有少数国家的少数企业根据规定采取了安防措施。美国政府只对商业核电产业及少量化工行业做了系统安全规定。这种放任自流的做法使得震病毒有机可乘。

由于目前还没有能占据报纸头条的关键民用基础设施遭受络攻击的灾难性事件出现，因此许多企业认为朗纳和他的同伙是在喊 狼来了 。朗纳却认为，这些指责令人苦恼且难以理解。他讲话的时候肢体语言非常丰富，当要强调一个观点的时候，不时来个雄鹰展翅，又或者像波浪般地摇动着自己的十个手指头，像是在弹钢琴一样。他的许多观点都可以归结成他难以理解的一点，即关键性基础设施的负责人竟如此愚蠢，以至于看不出他所看到的威胁。不过，他也并非毫无希冀。他说，从他在上发布对于此次蠕虫病毒事件看法的那一刻起，他的一个最美妙的愿望就是， 有一天，世界会说，谢谢你，拉尔夫，你是对的。

美国卷入

11月12日，分析震病毒的专家获得了突破性进展。在收到一位荷兰籍计算机专家的提示后，一位赛门铁克公司的研究员宣布，赛门铁克已确认了震病毒装载的两个攻击弹头之一的具体攻击目标。这位研究员目前已成为震病毒最权威的分析家。分析显示，病毒其中一个弹头的攻击目标是变频驱动系统，法式插座这种系统用来控制离心机的转速。尤其是当震病毒侦测到由伊朗Fararo Paya公司和芬兰Vacon公司生产的变频驱动系统时，蠕虫病毒就会注入恶意代码，改变驱动器设定的频率。如果这些驱动器与离心机相连，这种改变就有可能损害甚至损毁机器。这个攻击弹头同时也运行另外一套代码，用来隐藏自己对驱动程序所作的改变。