如果国内安全厂商在平时不能对工控做构建等准备,一旦出现安全事故再进场,必然十分茫然。
今年8月有一件事让笔者感到遗憾——在高铁事故调查组中没有见到信息安全专家的身影。虽然狭义上看这并非一起信息安全事故,但我们应该看到,由物理安全和电气安全组成的现有工业系统安全观已经陈旧,面对复杂的国际形势和国内情况,中国高铁的安全以至整个工业体系的安全都需要经得起国土安全角度的考察和推敲。
这种检视不但要基于常态运营,更要基于突发事件、自然灾害、恐怖袭击等。潜在的威胁不仅来自物理层面上,还可能来自信号层面和信息层面,此时就需要信息安全专家的出场了。
在动车事故发生前,高铁系统已经发生了3起电气事故。网上曾出现传言称这几起事故是某些国家释放出蠕虫所致。我对此做了搜索对比,发现这一传言是由此前在《新京报》的一篇报道中的部分文字与一些所谓“蠕虫”的消息拼接而成。从内容上看,漏洞百出,质量极低。但就是这样一条假新闻,却被国内网站大量转载,其中不乏专业的电气技术协会组织。
全球工业系统的安全形势已经是危机四伏。该领域代表性企业西门子公司的产品必然是攻防双方的一个重点战场。在8月6日的Black Hat USA大会上,安全专家Dillon Beresford介绍了在西门子公司工业控制系统中发现更多漏洞的情况,这些漏洞包括复活节彩蛋、可用于发起远程拒绝服务攻击的漏洞,甚至是管理账号和密码硬编码漏洞。
应当指出,在2010年的震网(Stuxnet)蠕虫事件中,将用户名和口令硬编码到应用程序中的问题已经出现在了西门子公司的WinCC产品中,并成为震网蠕虫攻击的重要环节。这种不符合基本开发规范的编码实现,也意味着攻击者一旦发现并利用,就可以通吃通杀,而防守方却无法彻底解决问题。
震网蠕虫事件时,我们曾指出数据、配置、代码三分开也是工控系统开发的基本原则。但可以看到,西门子公司并未对相关问题做出调整。这似乎表明西门子公司仍然用产品私密性来保障其体系的安全。他们是否还以为,将更多权限开放给用户并不是应对安全问题的有效方法,而只会给自己带来更多麻烦?如果西门子公司没有其他层面的蓄意,我们只能认为其安全观是落后的。
在8月召开的中国计算机网络安全年会上,组织者出于对工控问题的重视,无论是在高峰论坛还是在专题技术报告均安排了西门子公司发言。但西门子公司却将此视为危机公关的机会。
概括其主旨观点,就是“微软的漏洞太多,震网蠕虫作者手段太高超,我们已经做出了响应,所以我们没有任何责任”。至于西门子公司工控系统的漏洞问题,以及对全局问题的总结和反思,则丝毫未谈。这种推卸责任的态度让很多在场的安全界同行愤愤不平。
从全球范围看,目前对工控安全的研究已经从最初对终端系统和应用软件的漏洞挖掘开始向软硬件结合和工控体系安全的方向扩展。今年3月,Ruben Santamarta在RootedCon作了题为SCADA Trojans: Attacking the Grid的技术报告,他对电力体系的理解之深刻,让笔者一位多年从事硬件研发的同事赞叹不已。工业控制系统的基础设施依然是复杂而昂贵的,如果国内安全厂商在平时不能对这些场景做构建等准备,一旦出现安全事故再进场,必然十分茫然。
在这一领域,我们需要感谢US-CERT的工业控制系统安全小组,他们分析整理了大量相关漏洞信息,其简报也是该领域最为系统的聚合信息之一。美国国家标准和技术研究所发布的《工业控制系统安全指南》和《工业控制系统反病毒软件指南》等也是值得研究参考的文献。美国能源局、特情局、国家实验室等也纷纷开通专题网站、发布研究报告,对此问题的重视程度可见一斑。
在国内,CNVD(国家信息安全漏洞共享平台)对工控系统漏洞的及时通报、电力科学研究院的相关标准研究、国内安全企业对震网蠕虫的跟进分析等,也让我国的工控安全事业有了一个自己的起点。
作者肖新光,网名江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。微博:weibo.com/seak