我们的工业安全究竟有多脆弱？

本篇文章4601字，读完约12分钟

2015年冬天，乌克兰西部突然陷入黑暗，某个州的一半人口失去了电力供应。自当地冲突爆发以来，停电已成为乌克兰人最常见的娱乐形式，但这次不同于以往:幽灵般的黑客潜入供电系统，切断了数千英里外的电网。

黑客攻击了工业网络，这个可怕的噩梦终于变成了现实。许多国家害怕颠覆。他们想知道的第一件事是:这样的攻击是如何成功的？

由美国网络情报公司excel isightpartners引发的血案，是第一个获得攻击程序样本，并通过各种渠道传播的案例。王德金拿到样品时，是事故发生后的第十天。王德金是工业控制安全专家。安保公司知道于闯404实验室的成员。他向雷锋详细解释了这个攻击工具的奥秘。

导致一百万人断电的罪魁祸首是一个看起来很普通的excel文件。然而，一旦你打开它，你会用你自己的手把魔鬼从瓶子里释放出来。它会悄悄地发布一个下载器，前景是平静的，但背景是暗流涌动——全速下载一个凶猛的攻击程序。

excel攻击文件截图提示“由新版office创建，需要添加宏才能查看”(截图由microstep online提供)]

这个攻击项目就是臭名昭著的“暗能量”——一种专门用来摧毁工业控制系统的武器。有证据表明，俄罗斯人使用这一工具袭击了北约、波兰和乌克兰。

王德金发现，为了逃避杀戮，有人在袭击前一个多月编制了它的最新变种。这个版本的“黑暗能量”集成了几十个强大的特洛伊木马和病毒，包括“杀死磁盘”，一种可以删除计算机中所有数据和引导信息的病毒。

这些特洛伊病毒入侵了核心传输系统，并一起切断了电网。因为所有的磁盘都被破坏了，系统根本无法重启，所以电网需要3-6个小时才能恢复运行。

有证据表明，黑客还同时攻击了乌克兰的几个电网节点，但未能达到预期目标。也就是说，他们最初的计划比实际效果更加凶残。更可怕的是，到目前为止，没有人能判断是哪个组织实施了这次袭击。也就是说，即使造成了如此大的破坏，黑客也能逃脱惩罚。

接下来的问题是:这样可怕的袭击会在中国发生吗？

如果工业系统被黑了会发生什么？拥有基本道德规范的国家将在物理上隔离电力和能源等重要网络。这些网络根本没有连接到互联网，并且它们只能通过远程渗透才能访问。然而，事实证明，这并没有阻止美国黑客用“深圳网络”病毒杀死伊朗核电站，也没有阻止未知组织推倒乌克兰电网。

[当时，伊朗总统马哈茂德·艾哈迈迪-内贾德视察了核电站，红色圆圈中的红点表示两台离心机无缘无故受损，后来证实是地震网络病毒造成的]

他们是怎么做到的？

从伊朗的情况来看，美国把地震网络病毒放在一个核专家的u盘里，这个核专家可能为了方便把u盘连接到核设施内部网络的主机上。行业俚语称这种行为为“摆渡”。至于这种病毒是如何进入专家的u盘的，有很多不同的看法，其中最有趣的版本是美国间谍在核电站周围散布了许多精美的u盘，而这位专家刚刚发现了一个。这个故事告诉我们不要贪婪和吝啬。(

可以看出，工业系统很难与外界完全隔绝，因为总会有人有意或无意地违反规则。一旦违规操作发生，它将使所有的隔离无效，破坏性程序将抓住短暂的机会“摆渡”自己。

[cnn秀:黑客入侵工业控制网络，让设备超载并引起火灾]

如这段视频所示，如果黑客进入工业生产网络，他们可以直接超载设备并将其废弃。但这只是最不专业的玩法。

理论上，一旦恶意程序进入工业或军事系统，它可以任意修改其指令。

如果进入工业生产网络，会增加负荷，造成机器损坏，甚至关闭保护系统，造成人员伤亡；

如果你进入能源系统，你可以切断电源，甚至改变炼油过程，造成爆炸；

如果你进入水利系统，你可以控制大坝的开闭；

如果你进入军事系统，你可以控制导弹的发射。

这样可怕的场景真的会发生吗？

我们的工业系统安全吗？雷锋拜访了几位工控专家，他们普遍认为中国电力行业的安全防护已经到位，不仅做好了网络隔离和防护，而且在中国的电网分布也有多层次。即使黑客有能力瘫痪一个节点，也不会造成大规模停电事故。

吕蒙是一家专门从事工业领域的安全公司，其客户包括许多电力公司。威胁分析系统的产品经理刘红丽告诉记者，他们也在第一时间获得了乌克兰电网攻击的excel文件，并在自己的防御系统上运行。因此，系统指示该文件具有高风险。他解释说:

因为这只是一个excel文件，所以它会异常地尝试生成另一个文件。此外，分析系统还检测外壳代码(漏洞代码)，因此它被认为是危险的。一旦发现高风险文件，防御系统可以阻止恶意程序的行为，并防止它在下一步进行攻击。

NSFOCUS的检测系统将该excel文件视为高威胁文件]

事实证明，乌克兰的电网遭到了攻击，他们没有购买中国的工业控制安全系统是他们的错。

然而，令人遗憾的是，中国的这些先进技术并没有武装大多数当地企业。总的来说，中国工业的安全程度“超乎我们的想象”。

[世界和中国(包括台湾)暴露于互联网的工业控制设备统计表]

一般来说，企业的内部网络分为两部分:工业生产网络和生产监控网络。从安全角度来看，两个网络都不应该与互联网连接。然而，通过扫描中国所有与互联网相连的设备，王德金和他的团队发现，有许多与工业相关的设备被完全隐藏起来，直接暴露在互联网上。即使一些工业网络表面上是孤立的，但也存在许多漏洞:

生产监控中使用的一些摄像机与其他工业监控设备处于同一隔离网络中。但问题是这个监控摄像头连接到了互联网，所以它实际上“牵连”了整个监控网络。同时，大部分生产网络和监控网络需要交换数据，这使得黑客能够通过摄像头进入监控网络，最终进入生产网络实现破坏。

王德金描述了这样一条秘密而有效的攻击路线。

[黑客通过监控摄像头入侵工业控制网络]

对许多企业来说，侵入他们的工业生产网络比想象的要容易。

那么，企业真的很难重视工业控制安全吗？一位在工业控制安全领域工作多年的业务经理这样说道:

事实上，大多数行业都掌握在国有企业手中。许多企业领导人认为他们不会成为敌对势力的目标。他们要做的是“不求成功，但求无过”。在工业生产中增加安全系统不是他们的选择。

事实上，企业选择这种方式有很好的理由:工业生产的首要任务是稳定，任何干扰或升级都可能带来意想不到的后果。如果它是一台民用计算机，如果升级后出现错误，你可以找到一种方法来修复甚至重新安装系统。然而，生产线系统要求非常精确，甚至轻微的堵塞都可能导致不可挽回的事故。

因此，“小步骤、快速迭代”根本不适用于工业控制系统。对于工业控制来说，最好是用一个系统来结束时间。

你可以看到许多企业仍然在他们的生产系统中使用windows 2003。如果你幸运的话，你甚至可以看到一个运行windows 98的系统。对于这样一个系统，毫不夸张地说它是脆弱的。即使你把它和外部电脑连接起来，它也会死掉。

面对如此脆弱的工业控制设备，目前能够实现的大多数保护都是在生产系统外围的安全加固。这种模式的问题在于，一旦黑客成功突破外围保护，他们就可以一路杀到黄龙，几乎不可避免地造成损失。

王德金给雷锋看了一段视频。侵入工业逻辑控制器可以随意改变工业生产过程:

[入侵工业控制设备的演示]

看到这一点，你肯定会得出这样的结论:中国的工业网络安全措施大多非常落后，但与国计民生相关的能源和电网相对安全，因为隔离措施做得很好。

然而，真的是这样吗？

情节逆转:中国的工业安全可能只是“虚拟现实”。中国最早的黑客之一、工业安全领域的资深人士冯宁伟(funnywei)提出了一个让每个人都紧张的想法。

首先，添加两个激动人心的背景信息:

1.中国没有能力制造精密数控机床和工业控制器，工业上使用的逻辑控制器95%来自国外品牌，如施耐德(法国)、西门子(德国)和FANUC(日本)。

2.中国没有能力制造尖端的控制芯片，英特尔、高通、博通、德州仪器等有能力设计和生产芯片的企业无一例外都属于美国。

[法努克(日本)机械臂生产车间]

赛义德先生。

一个拥有超过10亿个晶体管的小芯片是用纳米制造的。即使在这么小的电路板上有七个印刷电路，也几乎不可能想到modchip的结构。如果美国公司设置一个额外的密码并在芯片中插入后门，我们几乎不可能找到它。即使后门可以分成几个，分散在代码中，我们也没有检测的能力。

此外，为了实现更多功能，芯片现在能够自主连接到蓝牙和wi-fi等无线网络。理论上，远程重写代码是可能的。

如果是如魏强猜测的那样，那么下面的推论就可以成立:

1、法国、日本等生产数控机床的国家和控制器可以通过自己的后门知道机床生产零件的g代码(然后知道零件的参数和用途)，并可以随意更换生产设备。

2.美国可以使用美国芯片控制所有设备(包括工业控制器)。

3.在战争或严重对抗的情况下，上述遏制措施可以在短时间内建立。

4.由于芯片具有无线通信功能，即使设备没有连接到互联网，破坏也可以由设备附近的代理通过无线电完成。

这一假设并非没有支持证据。你看不见它。当美国在2003年攻击伊拉克时，让伊拉克感到自豪的飞毛腿导弹的命中率是0。

这个猜想在软件层面也是正确的。

工业和信息技术部可以访问ibm读取任何一行代码。

这是ibm副总裁米尔斯在2015年做出的向中国销售其产品的承诺。但是即使我们审计每一行代码，也不可能排除硬件层面的不可靠性。在许多情况下，我们购买进口的工业硬件和软件，不是因为他们的话是真诚的，而是因为我们别无选择。

当所有的工业和国防都建立在不透明的黑箱系统上时，没有人能证明这个供应链的可靠性。即使在和平时期，一切似乎都井然有序，欣欣向荣。但是一旦你进入战争状态，这个世界可能会在瞬间变成你不知道的东西——所有以前建造的工业控制安全系统可能会在尺寸缩小的打击下变得脆弱。

[美国f-35战斗机]

王德金告诉记者:“美国对军品的生产有着极其严格的要求。例如f-35，即使是螺杆也不允许在美国以外生产。”与中国相反，许多导弹中使用的芯片都是从美国进口的。连圆珠笔都不会做的中国，不知道什么时候会有信心说出和美国一样的话。这就是为什么龙芯、腾飞和巨核的科学家们不顾一切地开发“中国核心”。

然而，没有人有国内更换芯片的时间表。面对现状，魏强提出了一个无奈但有效的解决办法:

在同一生产过程中，采用多套准备系统，分别采用不同国家、不同操作系统、不同软件逻辑的控制器。在这种情况下，机器的每一个动作都需要三个控制系统来投票。如果一个系统受到攻击并给出异常数据，它将被淘汰。即使在极端情况下，当所有三个系统都受到攻击并且结果都不一致时，备用系统也会被自动调用。备用系统可以是隐藏系统，通常处于静默状态。攻击者根本感觉不到这个备用系统的存在，所以他们无法提前攻击。这就是所谓的“异构冗余”系统。

这种“异构冗余”系统的本质是在一堆不可靠的组件上构建一个相对可靠的系统。这个系统有一个明显的缺点，那就是需要增加大量的投资。不过，魏强表示:“核心产业的价值非常巨大。用这些投资来换取安全系数的增加是非常划算的。”

[带龙芯的工业主板]

黑客只用了一秒钟就让乌克兰的一百万人陷入黑暗；我们不知道需要多少年才能阻止这“一秒钟”成为现实。但我相信有一天，我们可以放弃“权宜之计”，用独立的芯片与世界平起平坐，用真正的工业安全来“黑客入侵漠北”。

2016年，“智能制造2025”还有9年的时间。对于我们的目标来说，九年是不够的。