中國青年報app網路異常

㈠ 震網病毒的展望和思考

在傳統工業與信息技術的融合不斷加深、傳統工業體系的安全核心從物理安全向信息安全轉移的趨勢和背景下，此次Stuxnet蠕蟲攻擊事件尤為值得我們進一步思考。
這是一次極為不同尋常的攻擊，其具體體現是： 傳統的惡意代碼追求影響范圍的廣泛性，而這次攻擊極富目的性； 傳統的攻擊大都利用通用軟體的漏洞，而這次攻擊則完全針對行業專用軟體； 這次攻擊使用了多個全新的零日漏洞進行全方位攻擊，這是傳統攻擊難以企及的； 這次攻擊通過恰當的漏洞順利滲透到內部專用網路中，這也正是傳統攻擊的弱項； 從時間、技術、手段、目的、攻擊行為等多方面來看，完全可以認為發起此次攻擊的不是一般的攻擊者或組織。
因此，這次攻擊中所採用的多個新漏洞和傳播手段，將在接下來很長一段時間內給新的攻擊提供最直接的動力。而更大的影響是，事件中顯露出來的攻擊思路和攻擊視野會帶來長久的示範效應。它給攻擊者、安全研究人員、企業管理者帶來的更多是一種安全觀念和安全意識上的沖擊。一些傳統的認識已經略顯陳舊，誰能在這一次觀念和意識賽跑中認識得更清、看得更遠，誰就能在未來一段時間內保持優勢。
至少有以下兩種新的攻擊趨勢值得特別關註： 針對行業專用軟體的漏洞挖掘和攻擊，特別是上升到國家戰略層面的關鍵行業和敏感行業。安天實驗室在2013年年初發布的《多家企業網路入侵事件傳言的同源木馬樣本分析報告》中就明確指出：「目前的漏洞分析挖掘的注意點已經不集中於主流廠商，而開始普遍擴散」。另一方面，這些攻擊雖然針對軟體，但並不一定是利用軟體本身的缺陷，安全是一個全方位的問題，攻擊可能來自於任何一個角度。 針對企業內部網路，特別是物理隔離的內部專用網路的攻擊。這類網路具有較高的安全要求，也更具攻擊價值。一般通過U盤等可移動存儲設備滲入這類網路的方法是感染式病毒、欺騙、自動播放（Autorun.inf）等。本次出現的快捷方式文件解析漏洞，為此類攻擊提供了一種更有效的方法。此外，這種內部網路也將因為本次事件而被攻擊者關注和研究，不能排除出現新的攻擊方式的可能。 基於上述認識，建議有關部門和企業以此次攻擊事件為鑒，進一步加強信息網路和計算機設備的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意識，與安全廠商一同構建堅實的防線，抵禦安全威脅。 一些專家認為，Stuxnet病毒是專門設計來攻擊伊朗重要工業設施的，包括上個月竣工的布希爾核電站。它在入侵一台個人電腦後，會尋找廣泛用於控制工業系統如工廠、發電站自動運行的一種西門子軟體。它通過對軟體重新編程實施攻擊，給機器編一個新程序，或輸入潛伏極大風險的指令。專家指出，病毒能控制關鍵過程並開啟一連串執行程序，最終導致整個系統自我毀滅。
2008年，「震網」病毒攻擊就開始奏效，伊朗核計劃被顯著拖延。根據電腦安全公司賽門鐵克公司的一份詳細報告，到2010年9月29日為止，「震網」病毒在世界范圍內感染了10萬台主機，其中有6萬台位於伊朗，之後伊朗採取了行動，從而無法評估後來的數據。 伊朗半官方的通訊社報道稱，這種代號為「震網」的「電腦蠕蟲」病毒很可能是伊朗的敵人專門為破壞布希爾核電站而「量身定做」的。（2010年9月30日《中國青年報》）
根據科學和國際安全研究所的統計，位於納坦茲的大約8000台離心機里有1000台已在2009年底和2010年初被換掉。國際原子能機構說，伊朗在2010年11月中旬暫停了納坦茲的鈾濃縮活動，因為離心機發生技術故障。
2013年3月，中國解放軍報再次披露，美國曾利用「震網」蠕蟲病毒攻擊伊朗的鈾濃縮設備。
卡巴斯基的高級安防研究員戴維·愛姆說，Stuxnet與其它病毒的不同之處，就在於它瞄準的是現實世界。他們公司已經和微軟聯手，查找程序中的編碼漏洞，防止新病毒找到它。
愛姆說，通常的大部分病毒像個大口徑短槍到處開火，而Stuxnet像個狙擊手，只瞄準特定的系統。一旦它們發現了編碼缺陷，就好比找到了房子上的天窗，然後用一把羊頭鎬撬開一個更大的洞。Stuxnet被設計出來，純粹就是為了搞破壞。
德國網路安全研究員拉爾夫·朗納（Ralph Langner）已經破解了Stuxnet的編碼，並將之公布於眾。他堅信Stuxnet被設計出來，就是為了尋找基礎設施並破壞其關鍵部分。他說，這是一種百分之百直接面向現實世界中工業程序的網路攻擊。它絕非所謂的間諜病毒，而是純粹的破壞病毒。
朗納說，Stuxnet病毒的高端性，意味著只有一個「國家」才能把它開發出來。根據我們所掌握的計算機法醫方面證據，它的意圖很明顯，就是執行破壞性攻擊，毀掉大量的內部信息。這並非某個坐在父母家裡的地下室里的駭客能幹得出來的，這種攻擊的來源指向的是一個國家。Stuxnet很可能已經攻擊了它的目標，只不過我們還沒有接到消息而已。
近日，某國內知名安全公司監測到一個席捲全球工業界的病毒已經入侵我國，這種名為Stuxnet的蠕蟲病毒已經造成伊朗核電站推遲發電，目前國內已有近 500萬網民、及多個行業的領軍企業遭此病毒攻擊。某國內知名安全軟體公司反病毒專家警告說，我們許多大型重要企業在安全制度上存在缺失，可能促進Stuxnet病毒在企業中的大規模傳播。
某國內知名安全軟體公司專家表示，這是世界上首個專門針對工業控制系統編寫的破壞性病毒，它同時利用包括MS10-046、MS10-061、MS08-067等 7個最新漏洞進行攻擊。這7個漏洞中，有5個是針對windows系統，2個是針對西門子SIMATIC WinCC系統。另外在關於微軟的5個漏洞中，目前有兩個本地提權漏洞仍未修復。 該病毒通過偽裝RealTek 與JMicron兩大公司的數字簽名，從而順利繞過安全產品的檢測。從編寫手法上看，該病毒還有很大的改進餘地，將來很可能出現同樣原理的復雜病毒。
據某國內知名安全軟體公司技術部門分析，Stuxnet病毒專門針對西門子公司的SIMATIC WinCC監控與數據採集 (SCADA) 系統進行攻擊，由於該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控，一旦攻擊成功，則可能造成使用這些企業運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。
該病毒主要通過U盤和區域網進行傳播，由於安裝SIMATIC WinCC系統的電腦一般會與互聯網物理隔絕，因此黑客特意強化了病毒的U盤傳播能力。如果企業沒有針對U盤等可移動設備進行嚴格管理，導致有人在區域網內使用了帶毒U盤，則整個網路都會被感染。
Stuxnet病毒被多國安全專家形容為全球首個「超級工廠病毒」。截至目前，Stuxnet病毒已經感染了全球超過 45000個網路，伊朗、印尼、美國、台灣等多地均不能倖免，其中，以伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。
據悉，早在今年7月，某國內知名安全軟體公司就監測到了Stuxnet的出現，一直進行跟蹤並積極研發出了解決方案，某國內知名安全軟體公司安全專家提醒廣大政府及企業級用戶：一定要嚴格限制U盤在密級網路中的應用，如果必須使用的，則應該建立使用登記和責任追究制度。另外，某國內知名安全軟體公司殺毒軟體網路版也針對此病毒，提供了完善的U盤病毒預防、網路內安全管理、惡性病毒掃描.
作為安全廠商，安天呼籲各兄弟廠商一起共建良好的行業環境，不斷促進安全技術的良性發展。同時，安天也期盼公眾和用戶能夠對信息安全給予更多的關注。安天堅信保障公眾和社會的安全是一家安全廠商義不容辭的使命，但在現階段僅靠廠商的力量尚不足以解決目前的所有問題。只有各方齊心協力，才能迎來一個更加美好的世界。