首页 > 保密技术 > 技术常识

网络战在平时悄然打响——浅谈“震网”蠕虫病毒及其影响

发布时间:2010-11-12 09:52
                                 □袁 艺 张晓燕 卫 红
摘自保密在线

    近期,一种名为“震网”的蠕虫病毒席卷全球,截止到9月底,已经感染了全球超过45000个网络,其中主要攻击对象集中在伊朗,占总数的59%,其次分别为印度尼西亚(18%)和印度(8%),而美国则不足2%。对这一事件,国内外多家主流媒体都作为重要消息进行了特别报道,不但引起了信息安全领域专家的高度重视,甚至引起了世界各国军政首脑的关注。在新病毒以每天数十万计的速度不断产生的今天,“震网”病毒为何会在众多新病毒中“脱颖而出”,产生如此大的震动和影响呢?这主要是因为这种病毒完全不同于以往在网络虚拟世界中捣乱的传统病毒,而是一种对现实世界目标具有破坏能力的网络战武器。它的出现和肆虐,开创了运用病毒攻击工业基础设施的先例,世界各国信息安全将面临更为严峻的威胁和挑战。
注意:
    不一般的“超级武器”
  
    “震网”病毒是世界上第一种攻击工业控制系统的病毒,它会入侵核电厂、炼油厂、供水厂等大型工业基础设施的计算机系统,因此又被称为“超级工厂病毒”,它具有不同于以往传统病毒的特点,主要表现在以下几个方面。
    一是针对性强,目的明确。从其攻击范围来看,伊朗是其主要攻击对象,其他国家受到的攻击和损失都很小。专家分析认为,病毒攻击的主要目标极有可能是伊朗的布什尔核电站,通过感染和控制核电站的工业控制系统,影响其正常运转,破坏核设备,甚至引发核事故,导致核电站彻底瘫痪。布什尔核电站目前正在装载核燃料,按照计划,它本来应该在今年8月就开始运转,由于受到该病毒的攻击,不得不推迟正式竣工发电的时间。
    二是攻击对象固定,传播手段特殊。该病毒不以普通个人计算机为破坏对象,而只是将其作为传播中介,它真正的目标是工业控制计算机。在传播过程中,病毒会自动搜索网络中的工业控制芯片并与其建立连接,继而将计算机程序指令转换为工业控制指令。研究表明,该病毒专门针对德国西门子公司开发的工业控制软件。一旦工业设备被感染,该病毒便会进入休眠状态,直到该设备满足特定状态,破坏程序就会被激活。例如,当温度达到特定值时,该病毒可能就会阻止冷却系统发挥作用,对于核电站来说,这将会产生灾难性的后果。
    三是隐蔽性强,编写复杂。专家分析认为,该病毒是有史以来最高端的蠕虫病毒,具有很强的隐蔽性。主要表现在:受感染的计算机不会表现出任何症状;传播过程不会出现任何死机或软件崩溃现象;能伪造和使用某些合法有效的数字签名,从而顺利绕过安全产品的检测。专家还估计,开发这种病毒至少需要300万美元,如果由一个具备10名熟练程序员的团队负责,也需要6个月的开发时间。从这种病毒编程的复杂程度以及高超的隐蔽性可以看出,这绝不可能是普通的黑客或黑客组织所为,许多专家都怀疑,其开发方可能受到了伊朗敌对国家政府的资助。
    
警惕:
    网络战在平时悄然打响
  
  1991年海湾战争期间,美国通过替换打印机芯片植入病毒的办法,致使伊拉克防空指挥自动化系统失灵。在去年8月的俄格冲突中,俄罗斯发动了一系列网络攻击行动,格鲁吉亚的交通、通讯、媒体和银行的网站纷纷遇袭,政府网站系统更是全面瘫痪。然而,这些网络攻击行动都发生在战时,并且是配合传统军事行动一起进行的,尽管此后各国对网络战的重视程度达到了前所未有的新高度,但很多人仍然觉得网络战离我们还很遥远,毕竟和平时期还没有发生过针对工业或军事设施的网络攻击。而“震网”病毒的出现,打破了人们的幻想,“狼真的来了”。
  从某种意义上讲,这次网络攻击完全可以视为一种战争行为。由于以色列一直视伊朗的核计划为心腹大患,以军方的强硬派很早以前就制定了运用F16战斗机携带精确制导炸弹远程奔袭伊朗核设施的计划,但由于各种原因一直未能实施。随着网络攻击技术的日渐成熟,以色列前内阁成员又公开声称,牵制伊朗核计划的唯一可行方法,就是利用计算机恶意软件发动网络攻击。因此,尽管事后以色列矢口否认这次网络攻击系自身所为,多数专家仍怀疑它是由以色列暗中策划实施的。这次网络攻击不费一兵一卒、一枪一弹,却起到了和军事打击一样的效果。由于网络攻击的隐蔽性,对攻击的源头难以查证,即使是怀疑也查无实据,发起方还避免了承担发动战争的责任和国际舆论的谴责。
  当前,越来越多的国家开始进入网络新边疆的较量。今年5月,美军正式成立了网络战司令部。美国、日本、法国、德国、印度等国家都已建成了成建制的网络战部队。美国还陆续组织了规模空前的“网络风暴”系列网络战演习。从发达国家网络战的指导思想和作战原则来看,网络攻击不仅在战时伴随着军事行动同时发生,在必要的情况下,和平时期也极有可能出其不意地发动。“震网”病毒的出现表明,网络战已经不仅仅是搜集窃取情报、瘫痪企业政府网站、发动网络宣传造势等“软攻击”,而已经发展成为直接攻击敌国电力、金融、通讯、作战指挥等关键系统的“硬摧毁”。网络战这一达摩克利斯之剑已经高悬在人们的头上,有识之士对“电子9·11”和“数字珍珠港”事件的担心决不是杞人忧天。
启示:
    
    采取措施积极应对
  
  由于“震网”病毒来势汹汹,国内已有近500万网民及多家大型企业的计算机网络遭到感染。据专家分析,该病毒专门针对西门子公司的监控与数据采集系统进行攻击,由于该系统在我国多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦病毒破坏程序被激活,极有可能造成这些企业运转异常,甚至造成停工、停产等严重事故,因此必须及时采取措施积极应对。针对该病毒的特点,主要应采取以下几个方面的措施。
  一是要严格规范和限制移动存储设备的使用。由于从安全角度出发,企业内部网络一般会与互联网物理隔离,因此该病毒刻意强化了通过移动存储设备的传播能力。如果企业没有针对U盘等移动存储设备进行严格管理,一旦有人在内部网络使用带毒U盘,则整个内部网络都会被感染。因此,企业一定要严格限制移动存储设备在内部网络中的使用,并建立使用登记和责任追究制度。
  二是要及时安装补丁程序。俗话说“苍蝇不叮无缝的蛋”,“震网”病毒虽然破坏力极强,但它仍然是一种需要通过系统或软件漏洞才能广泛传播的蠕虫病毒。据专家分析,它能同时利用包括7个最新漏洞在内的多个漏洞进行传播,其中7个最新漏洞有5个是微软windows操作系统漏洞,有2个是西门子工业控制软件漏洞。因此,企业应及时为计算机上所有的操作系统和应用软件安装最新的补丁程序,以阻止病毒的进一步传播。
  三是要做好配套安全措施。为防止病毒感染,不管是接入内部网络的计算机还是互联网的计算机,都要从多方面做好信息安全工作。例如,开启网络防火墙功能;安装防病毒软件,并将病毒库升级到最新版本;为用户设置最小用户权限;在打开附件或通过网络接收文件时,要进行杀毒处理;尽量避免下载未知的软件或程序;使用强口令,以保护系统免受攻击,等等。
  “震网”病毒攻击伊朗核设施事件只是一个开端,它开启了在和平时期发动网络战的“潘多拉魔盒”。可以预见,在不久的将来,类似的事件还会不断发生,事关国计民生的工业基础设施甚至军事设施都将面临着网络攻击的直接威胁,因此必须高度重视,未雨绸缪,积极应对。 
 
(hhl编辑)