物理攻擊:黑掉化工廠
攻擊者只需在鍵盤上敲上幾下,一座化工廠就會“轟”地一聲爆炸崩塌。很幸運,這只是在黑客電影中發生的事情。
研究人員在本屆的Defcon上發布了“漏洞化工處理框架”工具,你可以利用它黑掉一個化工廠(仿真模型)。安全從業者可從中學習如何發現來自網絡空間的物理攻擊。
首先,無論是攻擊者還是防護人員,都需要具備計算機及工控方面的知識。再者,入侵化工廠還需要了解物理學、化學和工程學,“漏洞化工處理框架”會幫助那些不了解IT之外的其它知識的黑客學習這些學科。成功入侵后,黑客可以幫助對手公司惡意競爭,或者直接進行勒索。
該工具由歐洲非盈利組織European Network for Cyber Security的資深安全顧問瑪麗娜·科羅托菲爾(Marina Krotofil)和西雅圖安全評估公司IOActive的首席安全顧問杰森·拉森(Jason Larsen)兩人協力開發。通過網絡攻擊影響物理世界里的生產過程比人們想象中要復雜很多,其中包括許多階段:開始時需要背景知識,逃逸時則需要偽造腳印迷惑網絡診斷專家,然而兩位黑客在DefCon 23大會上展示了一次完整的攻擊過程,目標是模擬的乙酸乙烯酯單體生產工廠。
要將網絡層面上的攻擊落實到物理層面上的步驟十分復雜,攻擊者需要首先獲取傳感器的度數,操控發送到控制器的參數,最后將指令發送到執行設備上。大多數攻擊者對完整的流程一無所知,也不知道如何去操控。例如,如果攻擊者遠程操縱了閥門之類的設備,這會如何影響反應堆的溫度呢?要理解操縱的效果,攻擊者必須了解攻擊目標的物理結構。這需要了解大量的基礎知識,見下圖。
“如果只是讓設備過載,只可能導致系統啟動緊急停機機制,并打開壓力安全閥。”
網絡-物理攻擊的步驟
一次成功的攻擊需要幾個必要步驟,其中一些可以并行,另一些需要重復。
訪問階段類似于最傳統的黑客入侵,而損害階段對攻擊者而言是最陌生的,因為該階段需要黑客具備設施工作原理的知識,以全方面了解各種可能性。
發現階段對破壞性和偵查性的攻擊都有幫助。黑客需要該階段學習目標設施的工程文檔,了解讓化學儲罐過熱、導致緊急停機的知識細節。偵查性的間諜黑客行為可能止步于此階段。
控制階段非常復雜,攻擊者需要了解目標的動態行為,以及其工作流程中的每個細節。“控制階段的主要工作是將所有可輸入量與物理世界中的操作映射起來。”黑客使用的必須是實時生產數據,這也是安全人員最有機會注意到黑客的階段。
黑客通過逃逸過程將攻擊嫁禍給其他人,比如將其偽裝成維修人員犯的一個大錯誤。研究人員寫道:在傳統的黑客攻擊中,黑客的目標之一是不被發現。然而對于大多數物理攻擊而言,這并不是一個可選項。如果一件設備損壞,或者工廠的盈利能力降低,會有調查人員介入。攻擊者會改變現實世界中的狀況,其后果不能只是通過刪除日志文件清除。總地來看,黑客操縱過程和日志,創造偽造的診斷足跡,使調查人員得出錯誤的結論,讓他們將攻擊歸咎于操作錯誤或設備故障,而不是網絡入侵。
網絡-物理攻擊的三種類別
試圖造成物理損害的攻擊可以通過兩種方式實現:設備過載,比如Stuxnet的第二個版本表現出的行為;違反安全限制,研究者們在愛達荷國家實驗室(Idaho National Labs)里通過這種方式摧毀了一臺發電機。
試圖破壞生產的攻擊會改變產品質量和生產率,進一步影響產品價格,增加運作成本和維護成本。
試圖破壞合規性的攻擊可能導致公司被罰款,或者在公眾間產生負面印象。由于這類攻擊會導致環境破壞和致命事故,它造成的間接損害是最大的。其它后果:造成環境污染,破壞商業合約。
漏洞化工處理框架
科羅托菲爾和拉森演示了一場針對乙酸乙烯酯單體化工廠的模擬攻擊,主要展示了攻擊者在達成目的之前可能會走的一些彎路。研究這些必經的障礙,可以讓安全人員了解系統設計過程中的缺陷,并對物理過程增加額外控制,應對網絡攻擊。
化工廠是演示的極佳案例。兩位研究者開發了漏洞化工處理框架(Damn Vulnerable Chemical Process,DVCP),這是首款面向網絡-物理領域的開源實驗框架,它可以讓人們學到如何將成功的網絡攻擊發展為成功的網絡-物理攻擊,對于單一攻擊案例和復雜攻擊的模擬效果都不錯。它結合了兩個模型:Tennessee Eastmann(TE)和乙酸乙烯酯單體(Vinyl Acetate Monomer,VAM)。這兩個模型都能在GitHub上找到。
以下是漏洞化工處理框架的兩張截圖:
如果鉆研這個課題會讓你感到頭疼,你可能想要從更基本的地方開始。幸運的是,拉森也在Black Hat大會上發布了《遠程物理傷害101:面向基本業務的攻擊》。拉森表示:攻擊軟件常被人們描述成“計算中的小謬誤”,攻擊物理生產過程則是“物理現象的小謬誤”。攻擊者很多時候需要深入的知識,但這本小冊子中的知識也足夠用在很多攻擊場景中了。
原文地址:http://www.aqniu.com/news/9580.html
