新闻链接http://www.2cto.com/News/201503/380431.html
新闻时间:2015.3.10
新闻正文:
2014年11月,以索尼影像公司遭到黑客攻击为导火索,美国、朝鲜两国在网络上交相攻伐(详见钛媒体文章:《“黑客攻击”也能当借口,奥巴马签署行政命令追加对朝鲜制裁》),引发某些媒体惊呼道:“下一场战争,将是网络战争?”钛媒体科技作者“灯下黑客”告诉我们,不仅仅是下一场战争,实际上,上一场战争已经是网络战争,国家间的网络战早已拉开帷幕
网络战争时代开始于2006年,主角正是震网病毒。它在什么背景下被研发出来的?执行了怎样的命令?达到了怎样的效果?对今天的我们有怎样的启示?有意思的是,作为第一件经过实战检验的病毒武器,震网病毒正式开启了网络战争时代的大门。而因为网战的隐蔽性,大众往往都是看不见的,唯一产生的看得见的成果,却是艺术界受此影响和传导作用产生的一系列艺术作品,例如2015年1月16日,北美开始上映一部新片:《骇客交锋》(Blackhat)。钛媒体作者灯下黑客将这场大战的背后故事一一解答:
2014年11月,索尼影像公司遭到黑客攻击,电脑网络全部瘫痪,职工一度只能靠纸笔办公,仿佛回到三十年前。黑客泄露了大批公司机密,并且要求取消上映《刺杀金正恩》(TheInterview)一片,否则将发动更多袭击。
此举被美国政府定性为恐怖威胁,认为它意在破坏美国的言论自由。根据网络攻击的痕迹,美国还揭露出此番攻击的幕后主使,正是金正恩领导下的朝鲜政府。12月底,朝鲜也受到网络攻击,全国范围内的网络也都无法使用,怀疑是遭到了美国的报复。
美朝两国在网络上交相攻伐,引发某些媒体惊呼道:“下一场战争,将是网络战争?“
答 案是明显的:不仅仅是下一场战争,实际上,上一场战争已经是网络战争。
震网病毒是什么?
2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。那次入侵的战场只在网络之间,武器也只是软件程序,但它却完全符合最严格的战争定义:它发生于国家之间,它针对军事设施和人员,它企图达到某种政治目。因此,震网病毒被认为是人类第一场网络战争,我们早在2006年就已进入网络战争的时代。
这场战争发端于2006年。这一年,伊朗违背先前签订的协议,重启核计划,在纳坦兹核工厂安装大批离心机,进行浓缩铀的生产,为进一步制造核武器准备原料。
应该说,伊朗人选择的时机很不错。国际社会想要迫使一个国家放弃核计划,无非两种方法:经济制裁,或军事打击。制裁对于伊朗这种孤立国家而言,产生的边界效应非常有限,伊朗人早已习惯了制裁。军事打击则几乎不可能,当时美国深陷阿富汗和伊拉克两大泥潭,无力再发动第三场战争。
形势发展果然不出伊朗所料,美国发出了战争威胁,联合国也通过了决议,加强经济制裁。但都是雷声大,雨点小,最终仗也没打起来,制裁措施也没什么大不了,伊朗完全应付得了。最终,伊朗没付出多大代价,就成功重启了核计划。
但大大出乎伊朗意料的是,核工厂的运行极不稳定,离心机的故障率居高不下,核武器所急需的浓缩铀迟迟生产不出来。技术人员反复检查,却找不出任何故障原因。离心机出厂时明明是质量合格,一旦投入运行,却马上就会磨损破坏。
伊朗的核技术是从巴基斯坦买来的,而巴基斯坦的核技术是从法国偷来的,但不管是法国还是巴基斯坦,都没发生过那么高的离心机故障率。伊朗人实在弄不清出了什么问题。
上图为伊朗总统网站(www.president.ir)所发布的图片,2008年4月8日,内贾德总统视察纳坦兹核工厂。这张图不经意地泄露了核工厂的问题,左下方的屏幕所显示的那群绿点,每一个点都代表一台离心机,绿色代表运行正常,绿色丛中的两个灰色小点,则说明有两台离心机出了故障。
当伊朗核工厂在跌跌撞撞中挣扎的同时,信息安全界发现了另一件看似不相关的事件。2010年6月,白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统,调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet)”,并加入到公共病毒库,公布给业界人士研究。
起初,研究人员以为,这不过是千万种流行病毒中的一种。世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一。但进一步的深入研究却让他们瞠口结舌:震网的复杂度远远出乎人们的意料,它是当时所发现的最精妙、最复杂的病毒,没有之一。
首先,它利用了4个Windows零日漏洞。零日漏洞是指软件中刚刚被发现、还没有被公开或者没有被修补的漏洞。零日漏洞可以大大提高电脑入侵的成功率,具有巨大的经济价值,在黑市上,一个零日漏洞通常可以卖到几十万美元。即使是犯罪集团的职业黑客,也不会奢侈到在一个病毒中同时用上4个零日漏洞。仅此一点,就可以看出该病毒的开发者不是一般黑客,它具备强大的经济实力。并且,开发者对于攻击目标怀有志在必得的决心,因此才会同时用上多个零日漏洞,确保一击得手。
其次,它具备超强的USB传播能力。传统病毒主要是通过网络传播,而震网病毒大大增强了通过USB接口传播的能力,它会自动感染任何接入的U盘。在病毒开发者眼中,似乎病毒的传播环境不是真正的互联网,而是一个网络连接受到限制的地方,因此需要靠USB口来扩充传播途径。
最奇怪的是,病毒中居然还含有两个针对西门子工控软件漏洞的攻击,这在当时的病毒中是绝无仅有的。从互联网的角度来看,工业控制是一种恐龙式的技术,古老的通信方式、隔绝的网络连接、庞大的系统规模、缓慢的技术变革,这些都让工控系统看上去跟互联网截然不同。此前从没人想过,在互联网上泛滥的病毒,也可以应用到工业系统中去。
因为震网病毒,伊朗核计划至少推迟了两年多
震网病毒引起了信息安全界的极大兴趣,随着更多专家投入到对它的分析,它的面纱渐渐揭开——它跟以往流行的病毒完全不一样,这是世界上第一例针对工控系统的病毒!
说得再精准一点,它是专门针对伊朗纳坦兹核工厂量身定做的病毒武器!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
