由于操作过于频繁,请点击下方按钮进行验证!

工业网络安全之网战魅影

        引言:去年夏天,全球顶尖的计算机软件安全专家检测到了令他们深感震惊的新型计算机病毒。这种新型病毒结构非常复杂,不同于目前已知的任何计算机病毒。专家们正在对其进行分析研究,希望能够解码这种病毒的构造,了解它所造成的破坏及其来源。目前看来,这种病毒的攻击目标似乎是伊朗的核项目。尽管它源自何方仍然成谜,但这种病毒的出现却代表了21世纪一种全新的战争形式:踪迹难寻、匿名进攻、破坏巨大。

  去年7月中旬的某一天,很多人的智能手机半夜里突然铃声大作。铃声震动使得手机在床上跳动不已,指示灯闪个不停。睡梦中的人迷迷糊糊地拿过来,在应答的一瞬,便有如接到命令的士兵一般——他们用力摇摇自己的脑袋,尽量让自己清醒过来,凝神倾听着手机里描述的一场渐渐迫近的危机。随后几天,接到这样电话的人越来越多——他们都是一些软件分析和工业生产控制系统方面的专家,被电话召集到北约临时搭建的作战室里展开工作。最高级别的政府官员们关注着他们的工作进展。他们面对的这场危机还没有名称,但初看起来,却有可能使整个工业社会陷入停顿。

  一种能够进行自我复制的计算机蠕虫病毒,已经侵入了全球几千台电脑,目的是搜寻一个灰色的小塑料盒——可编程逻辑控制器。这种控制器是一种微型计算机,只有一盒蜡笔大小,却操控着工厂、电站、建筑工程等许多项目中的机器运转。它们控制着对人类现代生活至关重要却又枯燥无味的工作——调节水阀的开关,设定铀离心机的转速,控制每块奥利奥饼干上的奶油流量,决定交通灯何时由红转绿等等。

  尽管这样的控制器无处不在,大多数人却对他们极为陌生,甚至就连许多高级官员也是直到七月中旬那一天才第一次听说它们的存在。一些主要西方国家起初担心,这种蠕虫病毒会发动对所有控制器的全面进攻。如果工厂关闭,发电厂停止发电,那么正常的社会秩序还能维持多久?谁会开发一个带有这种破坏性意图的程序?开发这样的程序又是为了什么?

  趁着这一切还没发生,顶尖的电脑工程师们聚在一起,试图找出这种蠕虫病毒的意图所在。在收到恶意软件冗长繁复、设计精巧的病毒代码样本后,全球的计算机安全专家开始共同对这种病毒进行分析。从功能上看,这种新型病毒是许多研究员所见过的最大型的恶意软件,结构上的数量级也更复杂。(以前恶意软件的长度冠军飞客蠕虫病毒,大小仅是这次出现的新型病毒的1/20)。以后的几个月里,专家们致力于破解病毒的构造,并最终解码了大部分程序,这种病毒随即被微软的研究员命名为Stunxnet(中文称震网病毒或双子病毒)。解码结果甫一公布,所有人都大惊失色,如坠深渊。

  “零日漏洞”

  在7月17日手机铃声响起那天的一个月前,白俄罗斯明斯克一家小型信息技术安全公司的反病毒部门主任谢尔盖·乌勒森,正坐在办公室里阅读一封电子邮件,获悉一位伊朗客户的计算机不停地重启。乌勒森拿到了引起重启问题的病毒样本,并把它传给了同事奥列格·柯普瑞耶夫。柯普瑞耶夫将它放进一个除错调试程序——这种程序用来检验其他软件的代码,包括病毒软件。结果他们发现,这种病毒利用了一个以前没被人们检测到的漏洞来感染微软操作系统。这种从未被人们发现、而系统程序创建者也不知晓其存在的漏洞,在计算机行业中被叫做“零日漏洞”。在计算机安防领域,发现这样一个漏洞是一件大事,利用零日漏洞编写病毒程序的人绝对是专家。这种软件上的缺陷能被用于一系列恶毒的目的,在黑市上可以卖到10万美元。

  被乌勒森发现的这种病毒格外奇怪,因为它以人们从未见过的方式传播。计算机插入感染了病毒的闪存,病毒就会偷偷潜入,加载两个文件到计算机:一个是rootkit,(这使病毒能在计算机上做任何事情——如一个黑客解释的那样,“‘root’是根的意思,意味着你是上帝”),另一个是进行破坏的恶意程序代码的注入器。在乌勒森看来,这个恶意代码被层层加密到不可思议的地步。而最令人感到不安的是,病毒在进入计算机后,能对自身进行隐藏。为了达到这个目的,病毒使用了数字签名。数字签名是一种加密的字符串,合法的计算机软件程序使用它们来证明自身是非病毒软件。它就像是软件的护照,是合法软件在不同机器上使用的的身份证明。病毒有时会使用伪造的数字签名进入计算机,就像青少年使用假冒身份证进酒吧一样。最近几年,安全专家一直关注恶意软件的编程员实现从伪造数字签名到盗窃真正数字签名的飞跃。这是人们第一次看到发生这样非同寻常的事情。能从行业中最受信任的瑞昱公司盗得签名,这个新型病毒不容小觑。

  可为何这个恶意软件的编写者要费这么大劲儿开发出这样一个程序?也就是说,这个恶意软件究竟要对什么进行攻击?乌勒森想不出来。他所能了解的是病毒的基本注入系统——即病毒是如何进行传播的,仅这一点就值得引起人们的注意。

  乌勒森和柯普瑞耶夫详细写下了自己的发现,并在7月5号通过一个在德国的同行,向位于华盛顿雷德蒙德的微软安全反应中心发出了警报。微软第二天就迅速承认了漏洞所在。乌勒森也写信给中国台湾的瑞昱公司,告诉他们数字签名被盗用的事。然后,在7月12号的时候,乌勒森把关于这个恶意软件的报告挂在了安全信息公告栏中。48小时内,一位来自德国蒙斯特的独立安全分析专家弗兰克·鲍德温就破解了这个病毒所进行的大部分破坏行动,并发现了病毒的攻击目标:可编程逻辑控制器。鲍德温把自己的发现贴在同一个公告栏中,由此拉响了西方国家的全面警报。

  第二天,7月15日,一个工业条线的记者布赖恩·克雷布斯在自己的博客中公布了病毒的消息。又过了一天,微软在联合外部专家对恶意软件进行分析之后,发布了针对病毒的第一个补丁。那时,人们只在欧洲和美国的小部分地方监测到了病毒。而现在,多达15000份感染样本已被人们监测到,并且这个数字还在快速增长。这些感染样本大多位于亚洲,首先是在印度和印尼被发现,接着是伊朗的电脑感染数量急剧上升。

  在向公众发布病毒报告的过程中,研究人员将病毒两部分代码中的英文字母移动了一下,给它起了一个名字——Stuxnet(震网病毒)。这个名字听起来就像出自科幻大师威廉·吉布森或弗兰克·赫伯特的小说,其中涌动着某种恐怖的意味。美国的广告精英们也很难再找到一个名称,能如此生动地描绘这种耸人听闻、威胁巨大的病毒。

  然而很明显,有人在尽量使震网病毒躲开公众的关注。7月14号,关于病毒存在的消息刚开始传播的时候,震网病毒的操控者就给病毒增加了新的自我防御机制。尽管病毒从瑞昱盗取的数字签名已被宣布吊销,它的新版本又有了一个从智微公司盗取来的新的数字签名。因此,即便第二天媒体对此事进行了集中报道,这种病毒仍然能够躲避监测。一周后,病毒的新版本也被计算机安全分析员监测到了,第二个被盗用的数字签名也被宣布吊销。震网病毒没有再试图使用第三个数字签名。尽管知道人们已能够越来越容易地监测到它的存在,这种病毒仍然在不停地复制传播。

  7月15号,震网病毒的存在已广为人知,全球发布关于工业生产控制系统安全简讯的两家主要网站沦为“分布式拒绝服务攻击”的攻击对象——这是一种最原始最直接的网络破坏行为。人们所知最早的同类型网络破坏行为是2007年对爱沙尼亚发起的进攻,当时整个爱沙尼亚的互联网因遭受攻击而大面积瘫痪。此类进攻的主使者很难被确认,但在当时,俄罗斯被普遍怀疑应对事件负责。没人知道是谁挑起了此次对工业控制系统安全网站的进攻。尽管其中一家网站经受住了攻击,但另外一家却被一个僵尸网络不断发出的服务要求挤到瘫痪,以致邮件服务被中断,使电厂和工厂得不到想要的关于这种病毒的信息。

  震网病毒的确已为公众所知,但明显有人正不遗余力地进行反击。他们选择的时机之妙,不是因为惊人地幸运,就是因为消息特别灵通。

  末日预兆

  尤金·卡巴斯基对堪察加半岛的火山一直非常向往。7月份的第一周,这位45岁的世界第四大计算机安全公司——卡巴斯基实验室的联合创始人兼CEO,正坐在办公室里,倒计时等待自己前往西伯利亚休假的开始。正在此时,一位工程师收到了微软关于震网病毒的报告。这位工程师急匆匆地冲进来,上气不接下气地说:“尤金,你不会相信,发生了一件非常、非常、非常恐怖的事情。”

  在微软宣布震网病毒的存在以后,卡巴斯基实验室就开始研究这种病毒。卡巴斯基和微软对研究成果进行了共享,两家公司展开一次非同寻常的合作来分析病毒代码。赛门铁克、诺顿和F-Secure也发布了大量对震网病毒的分析研究结果。赛门铁克更是在晚些时候正式加入到微软和卡巴斯基的合作中。

  卡巴斯基1987年毕业于前苏联密码、电信与计算机科学学院,这个学院当时由克格勃和国防部共同设立。他有着两道灰色的浓眉,在人群中非常惹眼。他平时驾驶着一辆法拉利,赞助了一支F1车队,并因酷爱成龙的电影而聘请成龙作为其公司的代言人。如果说震网病毒令卡巴斯基感到兴奋,那未免有些夸张。但他和许多同事多年来一直在等待这样的事情发生。计算机安防行业和其他许多设备维修行业一样,因为人们面前出现了前所未有的困境而兴旺发达。在末日预言面前,这个行业嗅到的却是美元的气息。正如卡巴斯基一个主要竞争对手所说的:“在这个行业,恐惧是我的同盟。”

  卡巴斯基选中罗埃尔·舒文伯格负责对震网病毒进行研究。舒文伯格是一个眼睛明亮、扎着马尾辫的荷兰籍反病毒专家。他今年只有26岁,却已经和卡巴斯基相识近10年了。(还在高中的时候,舒文伯格就自己研究探查网络病毒,并且出于好玩,每天通过电邮给自己在网上结识的这位CEO发送报告)。卡巴斯基和赛门铁克的分析员很快就发现,震网病毒利用的不仅是一个零日漏洞,而是史无前例地同时利用了4个这样的漏洞。应用如此先进的技术在恶意软件开发史上还是第一次,这不能不令人感到震惊。

  随着越来越多的零日漏洞被发现,卡巴斯基说,他怀疑有政府组织编写了震网病毒,因为要由一个局外人在没有进入微软源代码权限的情况下来发现这些漏洞,是一件非常困难和费时的事情。卡巴斯基降低了声音,轻轻笑着说:“我们正在接近危险核心。下面的工作,如果顺着上面的思路继续下去,我们就会查到从华盛顿打到西雅图寻求源代码的电话。”

  对舒文伯格和许多人来说,震网病毒似乎是一个比已知所有的恶意软件更加复杂和昂贵的开发系统所开发出来的产品。赛门铁克的一位策略分析师估计,可能有30多个不同的人参与了程序编写。编程员编程的风格就像作家的写作风格一样可以辨认。一位专家估计这个蠕虫病毒的开发至少进行了6个月。一旦震网病毒被释放出来,操控病毒的技术人员会在丹麦和马来西亚的控制服务器上对其进行维护,震网病毒也会不断地向这些服务器汇报其所在位置并进行更新。

  最令人感到奇怪的是,这种蠕虫病毒有两个主要变种。病毒最早的版本似乎是在2009年夏天出现的。和2010年3月开始出现的新版本相比,这个初始版本在某些方面非常复杂,但在其它一些方面又相当原始。4月份出现的第三个版本包含了一些微小的改进。在舒文伯格看来,这也许意味着震网病毒的开发者认为这种病毒传播得不够快,或者没有击中预期目标,所以他们开发了更具侵略性的进攻机制。舒文伯格认为这些开发人员在权衡了病毒被监测到的风险和任务失败的可能之后,选择了冒险。

  但震网病毒带来的种种猜测似乎不会就此终结。在7月15日的一份简报中,亚历山大·古斯塔夫——卡巴斯基实验室负责在博客中发布这种蠕虫病毒相关信息的研究员,神秘地引用了维基百科中一则关于植物的词条:香桃木(Myrtus)是桃金娘科中的一个属种,包括一两种开花植物。

  “为什么会突然扯到植物学上?”古斯塔夫这样写道。他给出的回答是:“因为rootkit的驱动程序代码包含以下字符串:b:myrtussrcobjfre_w2k_x86i386guava.pdb.”古斯塔夫接着又提出了“香桃木计划”的说法,并且颇为自负地加上一句:“还要继续吗?”尽管没有继续就震网病毒中的植物学典故展开猜想,古斯塔夫的这一提法却引出了大量的后续解读。

  7月底,在尤金·卡巴斯基从火山休假回来的前夕,舒文伯格试着说服一个《纽约时报》的记者对震网病毒进行报道。但因为没有这种病毒的来源和攻击目标的具体信息,这个题目当时没被采纳。然后,到了9月16日,德国汉堡的一位工业控制系统安全专家在自己的博客中发表了关于震网病毒的轰动性言论,声称有关震网病毒的部署是“香桃木行动。”并且他确定香桃木所指的究竟是什么。这位专家的言论以前从没有上过报纸,但是这次,他却将全球对震网病毒这一话题的讨论引向了一个全新的方向。

  隐形病毒,自我导向

  “我究竟是个疯子,还是个天才?”这个问题不仅是拉尔夫·朗纳一个人才有。他的睡眠一直有问题,而且有时候认为美国中央情报局正在监视他。朗纳是一个52岁的非常健谈的男人,长得就像一只灵巧的惠比特犬,短发整齐地分向两边。他位于汉堡的公司在不为外界所熟悉的工业控制系统安全领域享有大名,德国许多最大的汽车企业和化工公司都是他的客户。整个8月,朗纳都在对震网病毒的攻击路径进行逆向思考,并第一个分析出震网病毒含有两组组件,他把这些组件叫做“弹头”。层层分析之后,朗纳逐渐形成结论,认为震网病毒的攻击目标是伊朗的核项目。多年以来,伊朗一直被西方国家怀疑在试制原子弹,并且在2003年的时候,拒绝向国际原子能机构的检查员呈交有关铀浓缩离心机的详细信息。从那以后,西方国家使用各种手段,包括外交施压、贸易禁运,甚至采取秘密行动,试图阻止伊朗的核计划。

  起初电脑业界的人将震网病毒看成是黑客对微软操作系统发起的进攻——黑客利用一个零日漏洞设计了病毒。这就好像是主人知道有人闯进自己家里,然后要对这些人究竟是怎样进来的进行还原分析一样。

  之后,弗兰克·鲍德温发现了这些入侵者想要的东西——可编程逻辑控制器。更确切地说,震网病毒寻找的目标是德国西门子生产的控制器。最终,朗纳搞清楚了震网病毒进行破坏的基本方式,也就是说,入侵者是怎样进行破坏的。当震网病毒侵入一台计算机后,它会试图侵入和这台计算机联网的每一台计算机,然后探查他们有没有使用西门子软件。如果答案是否定的,震网病毒就变成网络中一个僵死的程序。如果答案是肯定的,这种蠕虫病毒就会检测这台计算机是否连接了可编程逻辑控制器,或者一直守候着,直到计算机和控制器连上。然后,蠕虫就通过计算机侵入控制器和其它与控制器相连接的物理设备,开始搜寻与控制器相连的一种特殊机器。如果震网病毒找到了目标机器,它就会查看机器的组件是否在设定的条件下运行。如果是的,震网病毒就会向控制器注入自身的恶意程序代码来改变机器原来设定的工作条件。有一点引起人们注意的是,即使震网病毒对目标系统进行了破坏,这种病毒也能骗过机器的电子安全检测系统,使得安全检测系统认为机器运转正常。

  工业控制系统以前曾被破坏过。但是,这种并非由黑客在某处通过键盘操作、远程控制病毒程序来改变系统运作的事情还是第一次发生。震网病毒就像是一个能进行自我导向的无人驾驶飞机,一旦被释放出来,就开始寻找具体的目标进行破坏,并且在破坏发生前,使人们对它的存在和发挥的作用一无所知。这样的攻击方式无疑是革命性的。

  朗纳对病毒所造成的破坏进行的技术分析使业内同行赞赏不已。但他同时也不可避免地陷入了对这个恶意软件来自何方的思考中,这使他对于这种病毒的源头和攻击目标形成了自己详尽的推论。

  8月底的时候,朗纳通过谷歌查询了“香桃木”和“希伯来”这些词条,其中的解释提到了一本叫做《以斯帖记》的书,那是讲述犹太人挫败波斯人阴谋的圣经故事。朗纳又通过谷歌查询了“伊朗”和“核计划”,看看是否有什么问题发生,结果发现伊朗布什尔核电站的建设最近不知为何一再拖延(尽管布什尔是一座核电站,但它的核反应堆能在低浓缩铀燃料中生产钚,这种物质可以被重新利用制造武器)。然后,朗纳就震网病毒一事给他的朋友乔·魏斯发了一封电子邮件。魏斯负责组织在美国举行的有关工业控制系统网络安全的高端会议,也是行业标准书籍《保护工业控制系统免受电子威胁》的作者。朗纳稍后将这封邮件发布在了自己的博客中:“问问你在政府和情报机构的朋友,他们是否知道为什么上个月布什尔核电没有运转。另外,有没有来自以色列的人参加了会议?)”最终,朗纳决定将事情挑明。他写道,震网病毒是第一件真正的网络武器,是以色列用来对付伊朗布什尔核电站的。然后朗纳静观其变。

  结果一系列讨论由此引发。《基督教科学箴言报》9月21号对朗纳的理论进行了报道。第二天,一家德国报纸发表了另一位德国计算机专家弗兰克·里格的文章,宣称这种网络武器的目标不是布什尔核电站,而是伊朗位于纳坦兹的铀浓缩设施。网络上充斥着关于伊朗的种种猜想。

  2天后,里瓦·理奇蒙德在《纽约时报》的科技版博客中发布了朗纳的理论。同样来自《纽约时报》的戴维·桑格继续深入报道,认为震网病毒是美国情报机构秘密破坏伊朗核计划行动的一部分。这个秘密行动始于布什任内,并在奥巴马上任后被加速进行。据报道,一位伊朗政府级官员承认已在政府机构的电脑系统中发现了这种蠕虫病毒,但另一位官员声称破坏“并不严重。”《纽约时报》又报道称,伊朗政府宣布逮捕了可能和震网病毒有关的“核间谍”。有关这些间谍被处决的消息在网络中甚嚣尘上。

  “如果我没有所拥有的背景,我认为自己不会有勇气说出关于震网病毒的一切。”朗纳说。他曾在柏林自由大学学习心理学和人工智能,在偶然情况下对控制系统产生了兴趣,并发现自己非常喜欢这项通常令人感到极度痛苦的工作。每个控制系统都像是用独一无二的材料为客户专门定做的套装——一套控制系统只能根据一种工业设备的运行条件进行设计,而不能应用在另一套设备上。人们传说这个行业里的人常常穿着两只不一样的袜子出门,但朗纳确是一个不折不扣的花花公子。“我喜欢D&;;G的鞋子。”他说,“你注意到了吗,昨天我穿了鸵鸟皮的鞋子?”朗纳很高兴自己的理论受到关注。他说,他在等待着“一个年轻的美国姑娘”,最好是个来自加利福尼亚的金发美人,关注到他的博客并找他约会。

  去年秋天,朗纳在汉堡呆了两天,其中有些时间就在他的办公室度过。在那里,他和他的员工在用震网病毒感染的计算机和西门子控制器上演示这种蠕虫病毒的攻击方式。朗纳的办公室很舒适,却也非常空旷。工业控制安防行业的利润并不丰厚,很大原因在于工业企业很少费力去保护自己的系统安全。仅有少数国家的少数企业根据规定采取了安防措施。美国政府只对商业核电产业及少量化工行业做了系统安全规定。这种放任自流的做法使得震网病毒有机可乘。

  由于目前还没有能占据报纸头条的关键民用基础设施遭受网络攻击的灾难性事件出现,因此许多企业认为朗纳和他的同伙是在喊“狼来了”。朗纳却认为,这些指责令人苦恼且难以理解。他讲话的时候肢体语言非常丰富,当要强调一个观点的时候,不时来个雄鹰展翅,又或者像波浪般地摇动着自己的十个手指头,像是在弹钢琴一样。他的许多观点都可以归结成他难以理解的一点,即关键性基础设施的负责人竟如此愚蠢,以至于看不出他所看到的威胁。不过,他也并非毫无希冀。他说,从他在网上发布对于此次蠕虫病毒事件看法的那一刻起,他的一个最美妙的愿望就是,“有一天,世界会说,谢谢你,拉尔夫,你是对的。”

  美国卷入

  11月12日,分析震网病毒的专家获得了突破性进展。在收到一位荷兰籍计算机专家的提示后,一位赛门铁克公司的研究员宣布,赛门铁克已确认了震网病毒装载的两个攻击弹头之一的具体攻击目标。这位研究员目前已成为震网病毒最权威的分析家。分析显示,病毒其中一个弹头的攻击目标是变频驱动系统,这种系统用来控制离心机的转速。尤其是当震网病毒侦测到由伊朗Fararo Paya公司和芬兰Vacon公司生产的变频驱动系统时,蠕虫病毒就会注入恶意代码,改变驱动器设定的频率。如果这些驱动器与离心机相连,这种改变就有可能损害甚至损毁机器。这个攻击弹头同时也运行另外一套代码,用来隐藏自己对驱动程序所作的改变。

    弗兰克·里格是第一个提出震网病毒攻击目标是伊朗铀浓缩离心机的人。赛门铁克研究员发布的这个消息无疑证明了他的观点。几周以后,柏林一场新雪过后的早晨,里格迈着重重的步伐走进位于玛丽恩大街上的混沌计算机俱乐部的黑客空间。这是一间很大的娱乐室,里面摆满了假的监控摄像头、破旧的皮沙发,还有许多正对计算机处理器进行降温的轻柔转动的风扇。里格的深色连身装上结了一层冰碴,那是他不顾天气,骑着三轮脚踏车在市内穿梭造成的。身材高大、不苟言笑的里格是全球第二大科技人权组织“混沌计算机俱乐部”的发言人(第一大组织为“电子前沿基金会”)。这个组织自称是“一个汇聚了各种生命形式的银河系社区,无关年龄、性别、种族或社会观点,为了寻求信息自由而聚在一起”。

  与朗纳喜爱公众关注不同,里格似乎对聚光灯很排斥。他尽量不通过手提电话或电子邮件讨论敏感话题,他说,这是因为“我不想成为人们的兴趣焦点。”可是,他已成为了引人关注的目标。一位美国政府官员认为,里格对震网病毒的研究“最接近于刚刚公布的事实真相。”

  整个夏天,里格去了欧洲6个国家,和这些国家的震网病毒分析团队进行了交流。他还和其中三个国家的高层情报人员进行了会谈。他说,这三个国家目前都得出了暂时性结论,认为震网病毒是美国和以色列共同行动的产物。

  基于那些谈话,里格认为,震网病毒是由美国情报机构,而非军方组织来进行部署的。因为情报机构的行动更容易进行否认从而摆脱干系,而且他们的行动很少被认为是公开的战争行为——尽管这些行动造成的破坏不亚于战争。里格认为震网病毒是由以色列情报机关摩萨德进行传播的。他指出,对一位伊朗核科学家的暗杀行动和11月29号在德黑兰对另外一位科学家未遂的暗杀行动中所使用的手段和摩萨德惯用的手法非常相似。

  里格猜测,由于美国一直都将破坏阻挠敌方科技进步作为一项长期战略,震网病毒可能就是在这种战略下采用的一种新手段。在里根执政时期,法国曾给了美国一份有关前苏联的叫做“告别档案”的情报信息,里面的机密文件列出了前苏联希望得到的西方国家的计算机软硬件设备。利用这份情报,美国和加拿大合谋将带有缺陷的控制器送到了苏联人手中,结果在预定的时间,引发了横贯西伯利亚的天然气管道的大爆炸。那次爆炸威力巨大,从太空中都能看到。道格·弗朗茨和凯瑟琳·柯林斯合著的《余波》中,曾描写了美国中央情报局、以色列摩萨德和英国军情六处联手破坏伊朗核项目关键设备的秘密行动。弗朗茨推测,那些失败的行动很可能促使情报机构开发了震网病毒,通过网络来实现远程破坏。

  里格暂时停止了调查,转而思考由于震网病毒的出现而被模糊掉的界限:“有趣的是,这是一次介于军事、情报和公共事务管理之间的灰色地带的行动,那么,是谁从政治层面操纵着这种武器?谁负责保证它只被用来对付应该对付的敌人?”里格说,随着震网病毒这种武器的出现,以往国家之间是否发生冲突的清晰界限将会逐渐模糊。

  尽管震网病毒带给人们种种难解之事,它却为网络战争中最难回答的一个问题提供了明确的答案。学界人士和软件开发者一直都在研究,怎样使网络进攻成为一种真正的武器,但同时避免它的副作用。

  例如,如果有人利用网络武器攻击一家发电站,那么,怎样保证进攻的时候不会波及到医院?“震网病毒为人们提供了达到这种效果的良好范例。”里格说,“也就是说,如何保证进攻破坏的只是目标系统。”

  对里格来说,震网病毒在这方面的成功显示,“开发这个程序的种种努力不仅限于技术层面,同时也从战略层面进行了考虑。因为只有从战略层面才能考虑到这个问题:合适的网络武器究竟应该以何种方式构造?”

  震网病毒的程序编码也从另一方面泄露了其程序开发者的固有谨慎性:这种病毒设有“安全保险”装置,用来限制受感染机器的数量。病毒通过U盘进行传播,在程序中限制了被感染的机器再次传播病毒,进一步感染其他机器的数量。(限制数量是3台机器,足以引起小型连锁反应,但不至于使得后果无法控制)。更令人吃惊的是,到2012年6月24日,这种蠕虫病毒会进行自我毁灭:从所有的染毒机器上自我清除,就此消失得无影无踪。

  理查德·克拉克曾任克林顿和布什政府时期的反恐负责人,他认为程序中的这些“安全保险”装置是查询这种恶意软件来源的重要线索——这些线索指向西方政府。“如果政府要做类似的事情,一个负责任的政府,那么就必须经过各个机构,通过审核程序作出决策。”他说,“决策过程中,会有律师参与说‘必须防止相关后果给我们带来的损害’,于是编程者就会重新给程序加入通常黑客程序中不会包含的东西。震网病毒里面就有好多这样的东西。这说明有律师全程参与其中。”

  系列巧合

  里格关于震网病毒是为了攻击伊朗铀浓缩设施而开发出来的一种蠕虫病毒这一假设现在已经被人们广泛接受。就连起初认为蠕虫攻击目标是布什尔核电站的拉尔夫·朗纳也转而支持里格的论点。

  但是,人们仍难以猜出,究竟是谁在幕后指挥发动了这次进攻,特别是以色列在其中又扮演了何种角色。

  去年秋天就已经有人指出病毒的注入代码中有显示以色列参与的明显线索——“香桃木”。另外一条线索出自12月底,当时柏林一位安全专家菲利克斯·林德纳称,所有驱使震网病毒进行破坏的手动编写函数中都有2007年9月24日这一时戳——伊朗总统内贾德那天正好在纽约哥伦比亚大学发表演说,质疑纳粹对犹太人的大屠杀是否真的发生过。不过许多网络战争和情报方面的专家,如柏林自由大学的桑德罗·格肯就认为,这种线索太过明显,很有可能是“虚假标志”,植入的目的就是使调查误入歧途,令病毒的来源更加扑朔迷离。

  震网病毒在注入方式和破坏方式的设计上有着显著差别。一位华盛顿的网络安全研究员汤姆·帕克由此推断,有两个国家参与了蠕虫病毒的开发。他暗示其中一个很可能是一个西方大国,比如美国,开发设计了完美的攻击方式,然后另一个国家,比如以色列,负责实施病毒的注入传播。

  一旦注入方式和破坏方式的编码打包进震网病毒,整个病毒包就可能会送到能进入核设施或者能接触有关设备的人手中。不知是有心还是无意,病毒最初可能是通过一个染毒U盘对关键网络进行了感染,然后通过曾与伊朗相关网络连接过的外国承包商和工程师的电脑进一步传播开来。

  但是对美国和以色列联合作案的猜测有一点解释不通。因为根据一位前情报人员的说法,这两个国家的情报和军事机构的互信度并没那么高。不过一些前中央情报局的官员,包括目前担任美国新世纪(002280)(002280)计划中的大中东计划主任的罗伊尔·马克·格莱希特,则倾向于认为以色列与之有关。还有一位前情报局官员认为,震网病毒不享有“治外法权”,更会促使机构之间展开合作。“你并没将任何人置于危险中。这不是让人携带具有爆炸性,或者感染了细菌,又或者发出辐射的什么东西去实施破坏。这只是一个完全无害的数字产品。”

  实际上,很可能不止一个国家参与了震网病毒的部署。约旦就受到许多人的怀疑。11月份在德黑兰遇害的核物理学家马吉德·沙阿里亚里之前一直在对中东实验科学和应用中心的“同步辐射光源”项目进行研究,成立中东实验科学和应用中心的目的是在约旦建立一个国际科研中心。

  根据格莱希特的说法,美国情报机构在获取伊朗科学家名单的工作上一直困难重重,但是中东实验科学和应用项目却以合理的方式提供了一个机会。“我不会感到吃惊。”他说,“如果这项计划为病毒传播打开了方便之门的话。”格莱希特注意到,法国、以色列和约旦的情报机构都在关注着伊朗在中东实验科学和应用项目上的进展。这其中任何一个国家都可能协助对震网病毒实施部署。

  今年1月,长期任职的摩萨德负责人梅尔·达甘退休了,此时更多关于以色列卷入震网病毒的证据开始出现。达甘表示,“由于部署了相关的措施”,伊朗的核武器计划遇到了技术性难题,并且倒退了好几年——这一说法被一些人认为是含蓄地指向震网病毒。(美国国务卿希拉里也证实伊朗的核计划受挫,但将原因归为经济制裁)。

  一周后,1月16号,《纽约时报》报道了以色列在位于内格夫沙漠中的迪莫纳核基地的铀浓缩离心机上进行了关于震网病毒的关键实验——这些离心机使用的工业控制系统可能和伊朗纳坦兹使用的控制系统一模一样。尽管“以色列实验在阻止伊朗核计划中发挥关键作用”这样的标题难免令人浮想联翩,但证据却不能使人信服。

  迪莫纳核基地的确有多台离心机,但人们并不确知这些机器中是否有P-1离心机。《纽约时报》引用一位匿名核情报专家的说法,称以色列正是在迪莫纳核基地的P-1离心机上试验了震网病毒。报道同时引用了阿夫纳·科恩的话,称“以色列情报机关邀请了已经退休的迪莫纳的高级员工前来协助”一项针对伊朗的行动。科恩是一位以色列武器项目专家,同时也是《公开的秘密——以色列和炸弹的交易》一书的作者。但在追问之下,科恩承认他的消息并非一手资料。

  实际上,这并不一定意味着以色列参与了震网病毒的部署——《纽约时报》报道中提到的其它信息,尽管会被人们忽略成一般的背景介绍,却显示出美国的嫌疑更大。美国也有P-1离心机,而且美国情报机构早在2004年就开始呼吁对这种离心机的缺陷和漏洞进行研究。《纽约时报》同时根据拉尔夫·朗纳的说法提出一个证据——西门子和爱达荷国家实验室曾在2008年开展合作,进行关于西门子S7控制器漏洞的研究,而震网病毒正是利用了这些漏洞。

  在纽伦堡西门子总部,当一位直接参与了西门子和爱达荷国家实验室联合研究项目的技术专家被问到“他或者西门子公司的人员是否参与了蠕虫病毒的开发、实验或部署”时,他低下头,看着自己的腿说:“你是说直接参与?”他抬起头,看向同在屋里的公司的公关人员,然后回答说:“不,就我所知,没有。”

  拉尔夫·朗纳是《纽约时报》在报道震网病毒相关技术信息时唯一署名的消息源。一位就震网病毒接受过采访的人士曾说,《纽约时报》任何有关伊朗纳坦兹的报道都是基于拉尔夫的研究。这有点麻烦,因为拉尔夫对离心机一无所知。朗纳对于伊朗的看法也会使他在向媒体介绍震网病毒的时候带有感情色彩。他在一封邮件中写到,“感染了震网病毒并不会使控制器变成废物,只要对控制器进行重新编程就可以了。我知道这和我在接受《耶路撒冷邮报》采访时的说法有些不同,那是因为我想让德黑兰的情况更加糟糕一点。”

  盖瑞·希克是前国家安全委员会成员,也是伊斯兰革命和伊朗人质危机时期的白宫伊朗问题首席助理。他对《纽约时报》选择发布报道的时机感到吃惊。在文章发表4天后的1月20日,重启关于伊朗核计划的外交谈判就提上了议事日程,地点定在伊斯坦布尔。美国总统奥巴马此前受到多方压力,要阻挠伊朗的核项目继续实施,《纽约时报》此时的报道可能恰好达到了一系列理想的政治效果,就像希克所认为的那样:“报道减轻了美国和以色列的压力,给了梅尔·达甘一颗定心丸,让以色列对和美国的关系更有信心,也使美国在谈判中有了更多的回旋余地。”——美国可以更加合理地否认卷入震网病毒的开发,“还有什么比这更好?”

  有关震网病毒各种神神秘秘、遮遮掩掩的行为还在上演。根据以色列《国土报》报道,在为以色列国防军参谋长阿什肯纳齐举行的退休晚会上,客人们看到了一段向其致敬的视频,回顾了参谋长职业生涯中的重大成就,其中就提到了震网病毒。

  可是人们对美国参与蠕虫病毒开发的怀疑并不能被彻底消除。有些证据非常明显:震网病毒开发传播进程的关键点都与伊朗核计划发展的重要时点重合。每到这样的时点,通常美国和伊朗的关系都会高度紧张,而震网病毒则会出来搅局。

  人们普遍认为最早的震网病毒版本出现在2009年6月,那时正是伊朗总统内贾德的政府陷入极度不稳的时候,伊朗的大街小巷到处都是反对他当选的抗议者。一个月后,维基解密发布公告,称有匿名消息透露,纳坦兹的核设备在7月初的时候发生了故障。7月16号,伊朗的核计划负责人辞职。国际原子能机构的官员稍后确认,就在那时,纳坦兹的许多离心机发生故障,停止工作。

  在联合国巡查人员检查了位于伊朗圣城库姆附近在建的一所新的铀浓缩工厂以后,美国和伊朗的紧张关系逐渐升级。2010年一月份,伊朗拒绝了一项国际原子能机构要求伊朗在国外进行大部分铀浓缩的提议。一周后,第一个带有盗窃的数字签名的震网病毒样本出现了。

  2月份,国际原子能机构出具报告,第一次称伊朗正积极试制核武器。接下来的1个月,震网病毒增加了新的传播机制:通过U盘不易为人察觉地进行持续传播。

  4月份,伊朗宣布开始建造另外一座铀浓缩工厂。同月,出现了震网病毒的第三个版本。联合国、欧盟和美国在6月和7月分别对伊朗实施了新的制裁。就在此时,感染震网病毒的机器数量开始暴增。直到9月份,对由伊朗核计划引起的武力威胁的担忧达到顶峰——据称以色列政府领导人确信伊朗将在2011年3月生产出原子弹,一直隐于公众视线之外的震网病毒对伊朗进行的攻击才开始为人所知。

  这些巧合让人们不得不认为震网病毒的发展,以及对其存在和攻击目标的曝光是故意安排的,而且其中配合施加了对伊朗外交和经济方面的压力,从而阻止其核计划的发展。

  这些设计好的战略回击令人们感到,震网病毒的操作者对他们所进行的破坏考虑得非常周到,而这更像是美国,而非以色列所为。

  当被直接问到震网病毒是否是美国对伊朗核项目进行秘密破坏行动的一部分时,中央情报局的发言人拒绝作出评论。一位国家安全局的代表通过电子邮件写到:“我没有任何信息可以提供。”一位网络司令部的官员则写道:“美国网络司令部没有需要补充的信息。

  网战迷雾

  关于震网病毒的起源和破坏的种种疑问还没有彻底解决,尤其是这种病毒对纳坦兹的核设备究竟造成了何种损害。不管出于何种目的,内贾德都已经公开宣布伊朗的离心机遭到了网络攻击。

  震网病毒赖以作乱的网络是个一团漆黑的世界,真相难以看清,因此专家们仍质疑相关报道中的说法。从一开始,令许多人感到奇怪的就是,在全世界所有的计算机安防公司中,一家默默无闻的白俄罗斯公司第一个发现了威胁的存在——更为奇怪的是,泄露震网病毒踪迹的程序重启问题也是由这家公司首先公布的。这让一位前中央情报局官员认为,也许震网病毒根本就不是被监测到的,而是被故意泄露给公众的。

  这种病毒对纳坦兹所起到的有限的破坏作用也许表明,这是一次并非完全成功的网络行动。在被伊朗侦测到之后,这种病毒也许会被伊朗重新利用,成为其对西方国家进行心理战的武器。

  不论震网病毒起到了何种作用,它的确是一种人们以前从未见过的新型病毒。至少,它提供了一种进攻工业控制系统的新方法。归根结底,目前人们已知的关于震网病毒最重要的问题就是:现在大家都已经知道了这种病毒的存在。这意味着一个最简单的警报:任何一个国家的关键性基础设施也会成为此类进攻的目标。此外,如果震网病毒的确攻击了伊朗的核项目,那么这可以被认为是第一起匿名战争行为,由此会带来种种纷扰难解的问题,因为网络武器使得人们几乎不可能知道由谁发动了战争——究竟是按下了按钮,拉动了扳手?战争因此会变得越来越像恐怖行动。网络冲突使军事行动更像是永不停歇的角力行为——恃强欺弱的现象越来越明显。

  这类战争行为通常更加隐秘,由那些根本不需要和敌人进行面对面接触的匿名精英智囊们发动。因这种攻击而受到伤害的人们遭受的是和空袭带来的相同灾难性后果,但却更容易陷入混乱。人们遭受痛苦,却不知道究竟该找谁负责。

  引起这场网络战争的震网病毒就像是投在广岛的原子弹。对于它的意义、关于它的目标和来源的种种猜测,都不能使我们忽略这样一个重大事实:我们已经越过了界限,再也不能回头。

        本文选译于《名利场》杂志,原文作者为Michael Joseph Gross)


声明:本网站所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。本站部分作品是由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。如果您发现网站上所用视频、图片、文字如涉及作品版权问题,请第一时间告知,我们将根据您提供的证明材料确认版权并按国家标准支付稿酬或立即删除内容,以保证您的权益!联系电话:010-58612588 或 Email:editor@mmsonline.com.cn。

网友评论 匿名:

分享到