Stuxnet是一個影響微軟視窗系統的蠕蟲軟件W32.Stuxnet,專門用於攻擊西門子公司的管控制及數據收取(Supervisory Control and Data Acquisition, SCADA)軟件系統[下稱「西門子系統」]。當Stuxnet軟件被傳送到接駁至西門子系統的視窗電腦時,就會修改系統的「程式邏輯控制器」(Programmable Logic Controlller)程式,令這些系統控制的機器「失控」,例如做出一些系統正常運作時禁行的「作用」。由於西門子系統多用於控制工業用機器,甚至大型基建的運作,Stuxnet可以令機器、儀器、工廠停頓下來,或者造出「危險動作」,甚至引發爆炸。
什麼是Stuxnet?
過去大部分的病毒、惡意軟件都是用作對付接駁在互聯網上的工、商業系統、伺服器或個人電腦,Stuxnet是第一個被發現用來攻擊工業基建目標的惡意軟件。雖然Stuxnet的最終目標並非你我家中或辦公室裡的電腦,但它卻利用這些連接往互聯網的電腦作傳播的載體,特別是利用置有USB或其他外置硬盤的儀器,例如「手指」硬盤、外置儲存卡、甚至有USB裝置的手機、相架等等。很多在工業上用作控制西門子系統的電腦並非直接連接到互聯網,但只要有人把「染毒」的USB硬盤接到這些電腦上,Stuxnet就成功抵壘了。
網絡保安專家形容Stuxnet為「新一代軍事武器競爭中可怕的樣板(prototype)」,而且只有「國家政府支持」才可能造出這樣複雜而「不尋常地巨大」(1.5MB)的蠕蟲軟件。Stuxnet入侵視窗系統後,能長時間避過「偵察」,原來依賴兩張偷取得來的「數碼證書」,而這兩張被盜的證書,都巧合地來自同一個台灣工業園區內的的兩家保安認證公司;這些都是極為「內行」的招數。據分析,Stuxnet在二零零九年一月被編纂(compile)成可執行程式碼,在二零一零年六月在伊朗首被發現。
據報,Stuxnet數月前「成功入侵」使用西門子系統的伊朗核子發電廠,令一些核電設施受到破壞或延遲啟用,所以,伊朗可能已成為了第一個被網絡戰爭侵襲受害的國家。有專家更估計,六成位於伊朗的電腦都已「中招」,若然伊朗是目標,誰是「兇手」,很自然地就聯想到以色列、美國等國家。雖然最初「發現」Stuxnet的專家曾經估計,Stuxnet的目標是伊朗的核電廠,但當時他也承認,這只不過是他的估計而已,並非基於科學證據,不過,之後的傳媒報導甚至維基百科等,都「當以為真」。
中國是否攻擊目標?
至上週新華社報導,Stuxnet入侵了內地六百萬部電腦和接近一百個各行各業的工業設施,令中國進入「高度戒備」狀態,更直指入侵源頭來自美國境內的伺服器,說Stuxnet可以偷取和傳送被入侵系統的資料,令系統打開「後門」給入侵者奪取控制權。不過,從筆者從搜集得的資料所知,Stuxnet能否讓入侵者直接透過連線操控被入侵系統,似乎並未經網絡保安界或西門子證實,其影響仍屬「破壞」多於「奪取控制」。有內地評論指,Stuxnet可以利用黃金週假期的「空檔」散播,趁設施於假期人手和防禦減少時,趁機癱瘓中國部分基建如發電、運輸、重要工業甚至軍事設施。不過,筆者估計,這情況不會發生。
為什麼?首先,新華社在這時候發放這警告,但未見內地在其他方面有提升警戒行動,令人覺得當局在的確發現了病毒,並了解能控制情況後才決定發放消息,有可能甚至借機把矛頭在沒有足夠證據下,以政治為目的地先發指向某些國家。反而,筆者認為,內地之所以在近期才開始受到大規模感染,反映其網絡保安不善的危機,許多大型機構在電腦及網絡安全制度和技術不合格,未來很可能真的成為大規模傳播和攻擊的目標。
啟示一:未來大殺傷力武器藍本
無可否認,當現實看似抄襲電影情節時,加上涉及美國、以色列或許偷襲伊朗、中國的政治背景,實在引人入勝,令傳媒無法不盡量發揮其想像力報導,忽視了可證實的事實和未經證實的猜測之間的區別。不過,我們還是要看證據和事實,在未有足夠證據下把問題簡單化、政治化,實在無補於事,甚至有礙發現事實真相和讓公眾了解問題的真正影響。Stuxnet事件中未知之數肯定比知道的多,但亦為未來世界帶來不少啟示。
首先,從Stuxnet的傳播方法看來,利用互聯網上所有電腦當作跳板,利用或然率機會入侵通常設在防火牆後、受保護的電腦,算是個「可行」方法,但結果為什麼不是最多電腦和西門子系統、互聯網滲透率最高的國家最先受影響?(美國至八月初估計只有不足三千部電腦染毒。)根據部分保安專家分析,在Stuxnet散播的首五天,印度才是最受影響的國家(8,565部電腦受感染),其次為印尼(5,148),第三才是伊朗(3,062)。所以,不能排取有人利用「實體」方法,把如USB儲存體帶入目標設施,直接感染目標或其週邊電腦,更有可能只因為伊朗電腦保安水平低,才令他們的核電廠受感染。所以,伊朗可能根本並非唯一或最主要目標。
雖然,一如電腦保安公司卡巴斯基分析,現時的證據不足證實誰是Stuxnet的設計者,但其明顯地有背後整體的計劃和極高的技術能力,非一般設計惡意軟件的黑客可及!Stuxnet已經證明,惡意軟件是可以用作攻破防火牆,在網絡戰爭中,成為「大殺傷力武器」,Stuxnet今次未必會為世界構成太大為害,設計者甚至定了二零一二年六月廿四日為其「最後有效」日期,但它已經成為成功實證將來類似病毒的概念可行性的[「藍本」。
啟示二:政府可統籌和準備的危機處理
不過,Stuxnet雖然不簡單,但也並非無法預計,其實,各國政府和企業,早有方法避免感染這類蠕蟲,只是它們都未有及早採取行動。例如,SCADA的保安漏洞,尤其是利用微軟視窗的控制系統,和其難於讓用戶時常更改密碼的不善設計,早已眾所周知,但先前卻沒有人理會。
政府和主責機構,對這類關鍵電腦系統被入侵的預防措施似乎並不足夠。例如,政府有沒有統計這類型關鍵及基建系統電腦的名單和細節,並制訂一旦這些電腦被入侵時的運作指引?以香港為例,負責處理重要基建設施安全的部門,是保安局,但它有有沒有足夠技術能力處理?說可以與例如政府資訊科技總監辦公室配合,但又是否已制定足夠和有效的指引?雖然,香港的政府及基建機構的電腦保安水平較佳,也未有發現感染個案,但我們的確不能掉以輕心。的確,在現行制度上,政府未必知道,也未必想「管」私營機構和公司內的基建系統,但這制度有檢討需要,例如,應否對那些重要機構設立保安評估的法定要求,和事故通報機制?
莫乃光
[轉載自 : 信報]
沒有留言:
發佈留言