斯諾登丨「稜鏡計劃」看工業控制系統網路安全

2013年6月,愛德華·斯諾登曝光美國稜鏡計劃。

2015年2月,斯諾登獲2015年諾貝爾和平獎提名。

2015年9月6日,斯諾登獲挪威「比昂松言論自由獎」 ,空椅子代其領獎。

可見各國各結構對信息安全的重視程度。

1稜鏡計劃

稜鏡計劃(PRISM)是一項由美國國家安全局(NSA)自2007年小布希時期起開始實施的絕密電子監聽計劃,該計劃的正式名號為「US-984XN」。英國《衛報》和美國《華盛頓郵報》2013年6月6日報道,美國國家安全局(NSA)和聯邦調查局(FBI)於2007年啟動了一個代號為「稜鏡」的秘密監控項目,直接進入美國網際網路公司的中心伺服器里挖掘數據、收集情報,包括微軟、雅虎、谷歌、蘋果等在內的9家國際網路巨頭皆參與其中。

2監控類型

受到美國國安局信息監視項目-"稜鏡"監控的主要有10類信息:電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間和社交網路資料的細節都被政府監控。通過稜鏡項目,國安局甚至可以實時監控一個人正在進行的網路搜索內容。

在稜鏡計劃之下,全世界每個人都處於被監視之下,毫無信息安全可言。

3工業控制系統安全思考

那麼我們的自動化控制系統網路安全又如何呢?一旦類似於"稜鏡"的監視甚至控制系統隱藏在我們的工業網路中。一旦爆發,後果不堪設想。

用圖說話,以下已經曝光的安全漏洞各廠家反饋都已經解決,但矛與盾的循環交替在持續,仍然值得我們思考。工控技術交流,共同學習進步,公眾號:易維通訂閱號 / industry-care。

西記

施家

AB

4工業控制網路安全事件7個實例

近年來,針對工業控制系統的各種網路攻擊事件日益增多,暴露出工業控制系統在安全防護方面的嚴重不足。總結世界七大典型的世界工控網路安全事件,以了解工業控制系統所面臨的安全威脅,促進國內工控網路安全事業不斷發展。

1)澳大利亞馬盧奇污水處理廠非法入侵事件

2000年3月,澳大利亞昆士蘭新建的馬盧奇污水處理廠出現故障,無線連接信號丟失,污水泵工作異常,報警器也沒有報警。本以為是新系統的磨合問題,後來發現是該廠前工程師Vitek Boden因不滿工作續約被拒而蓄意報復所為。

這位前工程師通過一台手提電腦和一個無線發射器控制了150個污水泵站;前後三個多月,總計有100萬公升的污水未經處理直接經雨水渠排入自然水系,導致當地環境受到嚴重破壞。

2) 美國Davis-Besse核電站受到Slammer 蠕蟲攻擊事件

2003年1月,美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQL Slammer蠕蟲病毒攻擊,網路數據傳輸量劇增,導致該核電站計算機處理速度變緩、安全參數顯示系統和過程式控制制計算機連續數小時無法工作。

經調查發現,一供應商為給伺服器提供應用軟體,在該核電站網路防火牆後端建立了一個無防護的T1鏈接,病毒就是通過這個鏈接進入核電站網路的。這種病毒主要利用SQL Server2000中1434埠的緩衝區溢出漏洞進行攻擊,並駐留在內存中,不斷散播自身,使得網路擁堵,造成SQL Server無法正常工作或宕機。實際上,微軟在半年前就發布了針對SQLServer 2000這個漏洞的補丁程序,但該核電站並沒有及時進行更新,結果被Slammer病毒乘虛而入。

3)美國Browns Ferry核電站受到網路攻擊事件

2006年8月,美國阿拉巴馬州的Browns Ferry核電站3號機組受到網路攻擊,反應堆再循環泵和冷凝除礦控制器工作失靈,導致3號機組被迫關閉。

原來,調節再循環泵馬達速度的變頻器(VFD)和用於冷凝除礦的可編程邏輯控制器(PLC)中都內嵌了微處理器。通過微處理器,VFD和PLC可以在以太區域網中接受廣播式數據通訊。但是,由於當天核電站區域網中出現了信息洪流,VFD和PLC無法及時處理,致使兩設備癱瘓。

4)美國Hatch核電廠自動停機事件

2008年3月,美國喬治亞州的Hatch核電廠2號機組發生自動停機事件。

當時,一位工程師正在對該廠業務網路中的一台計算機(用於採集控制網路中的診斷數據)進行軟體更新,以同步業務網路與控制網路中的數據信息。當工程師重啟該計算機時,同步程序重置了控制網路中的相關數據,使得控制系統以為反應堆儲水庫水位突然下降,自動關閉了整個機組。

5)震網病毒攻擊美國Chevron、Stuxnet等四家石油公司

2012年,位於美國加州的Chevron石油公司對外承認,他們的計算機系統曾受到專用於攻擊伊朗核設施的震網病毒的襲擊。不僅如此,美國Baker Hughes、ConocoPhillips和Marathon等石油公司也相繼聲明其計算機系統也感染了震網病毒。他們警告說一旦病毒侵害了真空閥,就會造成離岸鑽探設備失火、人員傷亡和生產停頓等重大事故。

雖然美國官員指這種病毒不具有傳播用途,只對伊朗核設施有效,但事實證明,震網病毒已確確實實擴散開來。

6)Duqu病毒(Stuxnet變種)出現

2011年安全專家檢測到Stuxnet病毒的一個新型變種—Duqu木馬病毒,這種病毒比Stuxnet病毒更加聰明、強大。與Stuxnet不同的是,Duqu木馬不是為了破壞工業控制系統,而是潛伏並收集攻擊目標的各種信息,以供未來網路襲擊之用。前不久,已有企業宣稱他們的設施中已經發現有Duqu代碼。目前,Duqu殭屍網路已經完成了它的信息偵測任務,正在悄然等待中……。沒人知曉下一次攻擊何時爆發。

7)比Suxnet強大20倍的Flame火焰病毒肆虐中東地區

Flame火焰病毒具有超強的數據攫取能力,不僅襲擊了伊朗的相關設施,還影響了整個中東地區。據報道,該病毒是以色列為了打聾、打啞、打盲伊朗空中防禦系統、摧毀其控制中心而實施的高科技的網路武器。以色列計劃還包括打擊德黑蘭所有通訊網路設施,包括電力、雷達、控制中心等。

Flame火焰病毒最早誕生於2010年,迄今為止還在不斷發展變化中。該病毒結構非常複雜,綜合了多種網路攻擊和網路間諜特徵。一旦感染了系統,該病毒就會實施一系列操作,如監聽網路通訊、截取屏幕信息、記錄音頻通話、截獲鍵盤信息等等;所有相關數據都可以遠程獲取。

各類資訊資料很多,進行合理的篩選提煉可以有效的提高效率節約時間。關注公眾號,industry-care。

每天花幾分鐘遊覽一些技術文章,如果對自己有幫助的收藏文章以後有時間在仔細閱讀,有問題可以公眾號直接進入論壇提問諮詢。也可以看看別人提的技術問題。帶著問題效果更好。


推薦閱讀:

Ansible使用及YAML語法介紹
SLAM系統全自動化 | SLAM: 現在,未來和魯棒年代(三)第一部分
跟隨MFC一起深度交流、考察音飛儲存集團,看一流的自動化車間
加工中心機械手刀庫的工作過程是怎樣的?
一點濕貨 -- EtherCAT設備定址方式(3)

TAG:自動化 | 控制系統 | 工控 |