作者:莫乃光 | 评论(0) | 标签:伊朗, 西门子, 网络战爭, 恶意软件, Stuxnet

由电脑网络发动战爭,不时成为荷里活电影的题材。最近出现並获本地和內地传媒广泛报导的Stuxnet蠕虫软件,可算是最接近网络战爭的「攻击性武器」,之前甚至有报章报导,Stuxnet可以利用內地黄金週假期不少企业和机构很多人放假的机会乘虚而入,可能瘫痪部分內地的基建。幸好,这情况似乎並没出现。不过,Stuxnet其实是什么?

Stuxnet是一个影响微软视窗系统的蠕虫软件W32.Stuxnet,专门用於攻击西门子公司的管控制及数据收取(Supervisory Control and Data Acquisition, SCADA)软件系统[下称「西门子系统」]。当Stuxnet软件被传送到接驳至西门子系统的视窗电脑时,就会修改系统的「程式逻辑控制器」(Programmable Logic Controlller)程式,令这些系统控制的机器「失控」,例如做出一些系统正常运作时禁行的「作用」。由於西门子系统多用於控制工业用机器,甚至大型基建的运作,Stuxnet可以令机器、仪器、工厂停顿下来,或者造出「危险动作」,甚至引发爆炸。

什么是Stuxnet?

过去大部分的病毒、恶意软件都是用作对付接驳在互联网上的工、商业系统、伺服器或个人电脑,Stuxnet是第一个被发现用来攻击工业基建目標的恶意软件。虽然Stuxnet的最终目標並非你我家中或办公室里的电脑,但它却利用这些连接往互联网的电脑作传播的载体,特別是利用置有USB或其他外置硬盘的仪器,例如「手指」硬盘、外置储存卡、甚至有USB装置的手机、相架等等。很多在工业上用作控制西门子系统的电脑並非直接连接到互联网,但只要有人把「染毒」的USB硬盘接到这些电脑上,Stuxnet就成功抵垒了。

网络保安专家形容Stuxnet为「新一代军事武器竞爭中可怕的样板(prototype)」,而且只有「国家政府支持」才可能造出这样复杂而「不寻常地巨大」(1.5MB)的蠕虫软件。Stuxnet入侵视窗系统后,能长时间避过「侦察」,原来依赖两张偷取得来的「数码证书」,而这两张被盗的证书,都巧合地来自同一个台湾工业园区內的的两家保安认证公司;这些都是极为「內行」的招数。据分析,Stuxnet在二零零九年一月被编纂(compile)成可执行程式码,在二零一零年六月在伊朗首被发现。

据报,Stuxnet数月前「成功入侵」使用西门子系统的伊朗核子发电厂,令一些核电设施受到破坏或延迟启用,所以,伊朗可能已成为了第一个被网络战爭侵袭受害的国家。有专家更估计,六成位於伊朗的电脑都已「中招」,若然伊朗是目標,谁是「凶手」,很自然地就联想到以色列、美国等国家。虽然最初「发现」Stuxnet的专家曾经估计,Stuxnet的目標是伊朗的核电厂,但当时他也承认,这只不过是他的估计而已,並非基於科学证据,不过,之后的传媒报导甚至维基百科等,都「当以为真」。

中国是否攻击目標?

至上週新华社报导,Stuxnet入侵了內地六百万部电脑和接近一百个各行各业的工业设施,令中国进入「高度戒备」状態,更直指入侵源头来自美国境內的伺服器,说Stuxnet可以偷取和传送被入侵系统的资料,令系统打开「后门」给入侵者夺取控制权。不过,从笔者从搜集得的资料所知,Stuxnet能否让入侵者直接透过连线操控被入侵系统,似乎並未经网络保安界或西门子证实,其影响仍属「破坏」多於「夺取控制」。有內地评论指,Stuxnet可以利用黄金週假期的「空档」散播,趁设施於假期人手和防御减少时,趁机瘫痪中国部分基建如发电、运输、重要工业甚至军事设施。不过,笔者估计,这情况不会发生。

为什么?首先,新华社在这时候发放这警告,但未见內地在其他方面有提升警戒行动,令人觉得当局在的確发现了病毒,並了解能控制情况后才决定发放消息,有可能甚至借机把矛头在没有足够证据下,以政治为目的地先发指向某些国家。反而,笔者认为,內地之所以在近期才开始受到大规模感染,反映其网络保安不善的危机,许多大型机构在电脑及网络安全制度和技术不合格,未来很可能真的成为大规模传播和攻击的目標。

启示一:未来大杀伤力武器蓝本

无可否认,当现实看似抄袭电影情节时,加上涉及美国、以色列或许偷袭伊朗、中国的政治背景,实在引人入胜,令传媒无法不尽量发挥其想像力报导,忽视了可证实的事实和未经证实的猜测之间的区別。不过,我们还是要看证据和事实,在未有足够证据下把问题简单化、政治化,实在无补於事,甚至有碍发现事实真相和让公眾了解问题的真正影响。Stuxnet事件中未知之数肯定比知道的多,但亦为未来世界带来不少启示。

首先,从Stuxnet的传播方法看来,利用互联网上所有电脑当作跳板,利用或然率机会入侵通常设在防火墙后、受保护的电脑,算是个「可行」方法,但结果为什么不是最多电脑和西门子系统、互联网渗透率最高的国家最先受影响?(美国至八月初估计只有不足三千部电脑染毒。)根据部分保安专家分析,在Stuxnet散播的首五天,印度才是最受影响的国家(8,565部电脑受感染),其次为印尼(5,148),第三才是伊朗(3,062)。所以,不能排取有人利用「实体」方法,把如USB储存体带入目標设施,直接感染目標或其週边电脑,更有可能只因为伊朗电脑保安水平低,才令他们的核电厂受感染。所以,伊朗可能根本並非唯一或最主要目標。

虽然,一如电脑保安公司卡巴斯基分析,现时的证据不足证实谁是Stuxnet的设计者,但其明显地有背后整体的计划和极高的技术能力,非一般设计恶意软件的黑客可及!Stuxnet已经证明,恶意软件是可以用作攻破防火墙,在网络战爭中,成为「大杀伤力武器」,Stuxnet今次未必会为世界构成太大为害,设计者甚至定了二零一二年六月廿四日为其「最后有效」日期,但它已经成为成功实证將来类似病毒的概念可行性的[「蓝本」。

启示二:政府可统筹和准备的危机处理

不过,Stuxnet虽然不简单,但也並非无法预计,其实,各国政府和企业,早有方法避免感染这类蠕虫,只是它们都未有及早採取行动。例如,SCADA的保安漏洞,尤其是利用微软视窗的控制系统,和其难於让用户时常更改密码的不善设计,早已眾所周知,但先前却没有人理会。

政府和主责机构,对这类关键电脑系统被入侵的预防措施似乎並不足够。例如,政府有没有统计这类型关键及基建系统电脑的名单和细节,並制订一旦这些电脑被入侵时的运作指引?以香港为例,负责处理重要基建设施安全的部门,是保安局,但它有有没有足够技术能力处理?说可以与例如政府资讯科技总监办公室配合,但又是否已制定足够和有效的指引?虽然,香港的政府及基建机构的电脑保安水平较佳,也未有发现感染个案,但我们的確不能掉以轻心。的確,在现行制度上,政府未必知道,也未必想「管」私营机构和公司內的基建系统,但这制度有检討需要,例如,应否对那些重要机构设立保安评估的法定要求,和事故通报机制?

刊於信报论坛 2010.09.28

http://www.hkej.com/template/forum/php/forum_details.php?blog_posts_id=56955

莫乃光的最新更新:
  • 新媒体角度看毕盖之行 / 2010-10-02 12:11 / 评论数(0)
  • 与 Google 在布达佩斯的约会 / 2010-09-28 01:56 / 评论数(1)
  • Data Privacy in Hong Kong — OctopusGate and Beyond / 2010-09-28 01:25 / 评论数(0)
  • 寻找香港政府社交媒体策略之道 / 2010-09-21 03:53 / 评论数(0)
  • 传讯危机处理 要有新思维 / 2010-09-17 21:42 / 评论数(0)