瑞星專(zhuān)家揭秘網(wǎng)絡(luò )戰 “超級工廠(chǎng)”病毒背后

　之前媒體報道出來(lái)網(wǎng)絡(luò )戰事件，僅是全球網(wǎng)絡(luò )暗戰中的冰山一角，更大量的黑客攻擊、病毒入侵被淹沒(méi)在海量信息里，不為人知。

　　“網(wǎng)絡(luò )戰”的概念起源于何處已不可考，但這個(gè)從“電子戰”進(jìn)化擴展而來(lái)的概念卻在最近幾年間大行其道。2010年，“超級工廠(chǎng)(Stuxnet)”病毒的出現，更是給網(wǎng)絡(luò )戰的現實(shí)實(shí)施添加了精彩的注腳。借助于該病毒，美國和以色列對伊朗的核設施發(fā)動(dòng)了致命打擊，使得伊朗不得不推遲自己的核計劃。

　　“超級工廠(chǎng)”病毒的背后

　　2010年9月28日，瑞星發(fā)布警告，肆虐全球的Stuxnet病毒進(jìn)入中國，并將其命名為“超級工廠(chǎng)”。瑞星公司在隨后對國內企業(yè)的安全檢查中，發(fā)現有近千家企業(yè)的局域網(wǎng)遭到了該病毒的侵襲，其中不乏鋼鐵、電力、能源等敏感行業(yè)的內部網(wǎng)絡(luò )。

　　瑞星技術(shù)專(zhuān)家對其的解析表明，該病毒使用了7個(gè)漏洞進(jìn)行攻擊，其中4個(gè)是從未被公開(kāi)過(guò)的0day漏洞。同時(shí)，病毒會(huì )判別CPU版本和自動(dòng)控制軟件版本，只針對特定網(wǎng)絡(luò )發(fā)動(dòng)攻擊。此外，病毒還使用了兩個(gè)正規商業(yè)公司的數字簽名，以逃避殺毒軟件的攻擊，并且病毒會(huì )連接遠程網(wǎng)站，接受黑客的攻擊命令。

                               
登錄/注冊后可看大圖

　　圖1：超級工廠(chǎng)病毒感染途徑示意圖

　　隨著(zhù)事態(tài)的發(fā)展，伊朗公開(kāi)承認遭到了“超級工廠(chǎng)”病毒的侵襲，但未公開(kāi)受影響的程度。根據外電報道，在此次病毒攻擊中，有至少20%用于提煉核燃料的離心機遭到破壞。由于這些離心機在電腦操控下工作，病毒通過(guò)改變電腦參數，使得受感染離心機提煉的核燃料質(zhì)量不合格，從而推遲了伊朗核計劃的進(jìn)程。

　　2011年1月15日，《紐約時(shí)報》報道稱(chēng)，“超級工廠(chǎng)病毒”是美國和以色列情報官員在以色列絕密的迪莫納核設施內聯(lián)合研發(fā)的。病毒在迪莫納進(jìn)行了兩年的研發(fā)，隨后被植入伊朗的核項目。這一行動(dòng)被外界認為是世界上“最成功”的網(wǎng)絡(luò )攻擊。

　　各國及地區的專(zhuān)業(yè)網(wǎng)絡(luò )戰部隊

　　正是看到了網(wǎng)絡(luò )戰“效果大、花費少”的優(yōu)點(diǎn)，世界各國均建立了專(zhuān)業(yè)化的網(wǎng)絡(luò )戰部隊。以美國為例，早在1995年10月，美軍就在南卡來(lái)羅納州的空軍基地著(zhù)手組建了世界上第一支網(wǎng)絡(luò )戰部隊——第9航空隊609信息戰中隊。

　　2011年10月1日，美國網(wǎng)軍全面運行，當年預算約為32億美元。美國軍方把“網(wǎng)軍”列為陸、海、空、天之后的第五大戰略軍種，且美國網(wǎng)軍的直接領(lǐng)導者也將是一位四星上將，這些都充分說(shuō)明了作為超級大國，美國已經(jīng)把網(wǎng)絡(luò )戰當成了未來(lái)戰爭的主要爭奪領(lǐng)域。

　　早在2009年，日本防衛省就決定新建專(zhuān)門(mén)應對電腦攻擊的“電腦空間防衛隊”。隨后為了增強日本自衛隊C4系統司令部的防御性網(wǎng)絡(luò )戰能力，日本防衛省決定于2011年在自衛隊C4系統司令部下屬單位組建網(wǎng)絡(luò )空間防御分隊，招募專(zhuān)業(yè)技術(shù)人員，并把屬下成員送去專(zhuān)業(yè)機構培訓，加強應對網(wǎng)絡(luò )攻擊的能力。

　　網(wǎng)絡(luò )戰的形式及新應用

　　隨著(zhù)移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展和成熟，“網(wǎng)絡(luò )戰”也開(kāi)始顯現出了巨大的威力。如果在10年前說(shuō)起“網(wǎng)絡(luò )戰”，人們想起來(lái)的是“中美黑客大戰”，中國“紅客”把美國網(wǎng)站黑掉，在網(wǎng)站首頁(yè)貼上五星紅旗就是勝利。

　　十年后的今天，黑客們能做到的事情已經(jīng)不僅僅是攻擊網(wǎng)站、涂寫(xiě)標語(yǔ)了，無(wú)論是情報收集、網(wǎng)絡(luò )心理戰、攻擊核心網(wǎng)絡(luò )、擾亂金融秩序，還是讓飛機相撞、高鐵脫軌，都已經(jīng)進(jìn)入了網(wǎng)絡(luò )黑客可以影響的范疇。

　　第一，網(wǎng)絡(luò )心理戰

　　《孫子兵法》上說(shuō)，“不戰而屈人之兵，善之善者也�！眹�家與國家之間的競爭，心理層面的競爭至關(guān)重要。近年來(lái)崛起的社交網(wǎng)絡(luò )(SNS)，以其對信息傳播的巨大影響，在網(wǎng)絡(luò )心理戰中顯示了巨大的作用。

　　2011年8月4日，英國倫敦托特納姆區的一名男子被警察擊斃，在隨后的十多天里，當地年輕人借助Twitter為聯(lián)系工具，在街頭展開(kāi)了搶劫商店、焚燒輪胎、打砸汽車(chē)等一系列的暴力活動(dòng)。英國媒體報道稱(chēng)，由于Twitter網(wǎng)站、黑莓手機等現代工具在年輕人中得到廣泛應用，人們擁有了前所未有的召集能力，從而可以在警察到來(lái)之前把商店的東西搶劫一空。

　　即使在我國，一些網(wǎng)絡(luò )謠言也顯示了強大的傳播力。2011年3月，日本地震之后，由于有謠言說(shuō)日本的核污染破壞了海水，使得海里出產(chǎn)的鹽都將帶有放射性不能食用，導致我國大部分地區出現搶鹽風(fēng)波，包括北京、上海、廣州等大城市超市的鹽都被搶購一空，有的鹽甚至賣(mài)到原價(jià)的十幾倍、幾十倍，借助現代網(wǎng)絡(luò )手段，謠言的破壞力之大、傳播速度之快都是前所未有的。

　　第二，情報收集

　　說(shuō)到情報收集，人們往往會(huì )想起來(lái)間諜、潛伏和槍?xiě)�，但�?shí)際上，現代情報工作更多的是利用強大的收集能力，對于各種公開(kāi)信息進(jìn)行收集整理，從中得出有價(jià)值的數據和結論。有美國情報官員表示，目前美國情報機構獲取的有效情報中，從互聯(lián)網(wǎng)公開(kāi)信息中獲得的占據了80%以上的比例。

　　例如美國情報機構對解放軍的某型潛艇十分感興趣，但對其是否已經(jīng)投產(chǎn)一直搞不清楚。直到2004年，有關(guān)該潛艇的照片出現在中國某軍事網(wǎng)站的論壇上，讓美國情報機構“得來(lái)全不費功夫”。據一位國內軍事網(wǎng)站的負責人介紹，每日訪(fǎng)問(wèn)該網(wǎng)站的IP地址有30%來(lái)自海外，其中大部分就是來(lái)自美國。

　　第三，對民用設施的攻擊

　　隨著(zhù)工業(yè)自動(dòng)化控制技術(shù)的增強，許多關(guān)系到國計民生的設施，比如高速鐵路、民航系統、電網(wǎng)、能源系統等都開(kāi)始被計算機控制，并可以進(jìn)行遠程維護。而這在提高工作效率的同時(shí)，也給黑客攻擊提供了舞臺。

　　911恐怖襲擊之后，美軍在清剿“基地”組織時(shí)，在廢棄的訓練營(yíng)地發(fā)現了大量圖紙、資料以及電腦光盤(pán)。其中部分資料顯示，恐怖分子早就開(kāi)始收集遠程控制的資料和技術(shù)信息。據統計，全美有54065座水電站、水壩、水庫、水處理中心存在安全隱患，可被黑客進(jìn)行遠程攻擊。FBI專(zhuān)家表示，一旦水庫被恐怖分子通過(guò)遠程電腦控制，可能會(huì )通過(guò)“改變發(fā)電機的轉速讓電機報廢”、“修改計算機命令，讓水壩不當維護造成潰壩”等情況。

　　事實(shí)上，超級工廠(chǎng)病毒針對西門(mén)子自動(dòng)控制系統的攻擊，就是這種攻擊思路的應用。無(wú)論高鐵還是電網(wǎng)，一旦被破壞，其造成的影響甚至超過(guò)小規模的戰斗，想像一下，如果黑客攻擊的目標是核電站的自動(dòng)控制系統，讓核電站過(guò)熱引發(fā)核泄漏事故，就可以造成切爾諾貝利核電站、日本核電站泄漏那樣的嚴重影響。

　　第四，對軍用網(wǎng)絡(luò )的直接攻擊

　　理論上，所有的軍用網(wǎng)絡(luò )均需要進(jìn)行物理隔離，黑客無(wú)法通過(guò)互聯(lián)網(wǎng)進(jìn)行遠程攻擊，但是某些新的技術(shù)或者流程上的漏洞，可能給貌似堅固的防線(xiàn)帶來(lái)破壞。據美中經(jīng)濟與安全評估委員會(huì )報告稱(chēng)，2008年10月，美國航天局的Terra AM-1地球觀(guān)測衛星被黑客攻擊，長(cháng)約10分鐘，據稱(chēng)黑客取得了控制衛星的所有口令。

　　美國航天局的內部報告表示，遭攻擊的衛星使用了位于挪威的一家商用衛星站，該站“定期會(huì )通過(guò)互聯(lián)網(wǎng)進(jìn)行數據交換和文件傳輸”，黑客是通過(guò)互聯(lián)網(wǎng)途徑侵入衛星地面站的。

　　從實(shí)戰出發(fā)應對網(wǎng)絡(luò )攻擊

　　綜上所述，盡管“網(wǎng)絡(luò )戰”已被媒體炒的沸沸揚揚，但其基本運作模式仍然是人們熟知的病毒感染、黑客侵襲，只不過(guò)網(wǎng)軍旗下的黑客有了明確的目的，計劃更加精密，可以動(dòng)用更多的資源。

　　針對涉密網(wǎng)絡(luò )，其實(shí)只要采取一些簡(jiǎn)單的防范措施，就可以大大提升抗攻擊能力：

　　第一，針對網(wǎng)絡(luò )情報戰的防范，應制訂內部數據的規范流程，按照權重和等級進(jìn)行分類(lèi)，只要關(guān)注了“人”這個(gè)最活躍的因素，就能在很大程度上降低機密數據外泄的風(fēng)險。同時(shí)，涉密單位應對員工進(jìn)行盡職培訓，讓每個(gè)人都有基本的安全意識。

　　第二，除了殺毒軟件、防黑客攻擊軟件之外，針對內網(wǎng)用戶(hù)的行為管理，也是防范網(wǎng)絡(luò )攻擊、提高抗攻擊能力的切實(shí)途徑。例如在涉密網(wǎng)絡(luò )范圍內，安裝手機干擾器，可以防止內網(wǎng)用戶(hù)通過(guò)手機3G上網(wǎng)，避免成為黑客攻擊的弱點(diǎn)和目標。

　　第三，涉密網(wǎng)絡(luò )應進(jìn)行嚴格物理隔離，在物理隔離的內網(wǎng)中，凡是可能產(chǎn)生數據交換的行為，都應從流程上絕對禁止。例如：不允許從外部攜帶U盤(pán)和移動(dòng)硬盤(pán)進(jìn)入內網(wǎng)中使用;不允許將手機或移動(dòng)終端帶入內網(wǎng)中等。此前美國衛星地面站遭攻擊，就是因為其地面站因為需要遠程維護，因此產(chǎn)生了“定期與互聯(lián)網(wǎng)交換數據”的行為，從而被黑客攻入。

　　第四，嚴格管制特殊人員的SNS行為，例如軍人、警察、特殊部門(mén)的公務(wù)人員等，使用SNS網(wǎng)站應嚴格遵守規范，不允許隨意拍攝工作環(huán)境照片，不允許在個(gè)人日志提及任何工作內容，不允許使用私人郵箱傳遞公文等。

　　第五，應嚴格使用完全具備自主知識產(chǎn)權的軟硬件產(chǎn)品，任何軟件行為必須可控、可追溯，不允許在內網(wǎng)中使用私人購買(mǎi)的硬件產(chǎn)品，不允許在內網(wǎng)中使用從互聯(lián)網(wǎng)上任意下載的軟件等，因為在這些軟硬件中，很可能帶有后門(mén)或惡意程序。目前的路由器、打印機等產(chǎn)品均具備一定的數據處理性能，如果含有惡意軟件，則會(huì )成為黑客攻擊的突破口。

　　總體來(lái)看，從防范和安全的角度來(lái)講，預防“國外網(wǎng)軍”的侵襲，首要的就是對涉密網(wǎng)絡(luò )建立嚴格的操作流程和安全制度，培養自己的安全人才儲備，一切從實(shí)戰出發(fā)，才能更好的應對網(wǎng)絡(luò )攻擊和黑客侵襲。

現在的網(wǎng)絡(luò )確實(shí)是不安全，平時(shí)一定要做好安全防護才行。

樓主說(shuō)的很對啊，這個(gè)網(wǎng)絡(luò )安全問(wèn)題不容忽視啊。

嗯哪，所以就提醒大家要注意唄。