如何攻擊物理隔離網(wǎng)絡?—再議英國核潛艇面臨的威脅
彈道導彈核潛艇被譽為是英國海軍最先進的艦艇,其特點之一是對網(wǎng)絡系統(tǒng)有較強的依賴性。為減少和避免來自網(wǎng)絡上的攻擊威脅,潛艇在建造初期的設計和之后的運行維護期間,加入了多種網(wǎng)絡防護措施。但是,這樣是否就能夠預期效果呢?其實,還有很多方式會對潛艇安全造成威脅。
潛艇的安全手段
在彈道導彈核潛艇建成之初,有英國官員聲稱該艦艇不會被黑客入侵,因為它處于“物理隔離”的狀態(tài)。什么是物理隔離(air gap)?《Hacking UK TRIDENT: A Growing Threat》報告中做了兩種定義:一是,當一個安全計算機網(wǎng)絡在物理空間上獨立于其他不安全的網(wǎng)絡(尤指公共互聯(lián)網(wǎng)或不安全的局域網(wǎng))時,我們認為該安全計算網(wǎng)絡處于物理隔離狀態(tài);二是,為了避免傳輸率和數(shù)據(jù)包尺寸過大,在不安全網(wǎng)絡上使用專用加密設備傳輸隧道包,也被認為是物理隔離的。很明顯,按照第一種定義,巡邏中的彈道導彈核潛艇位于海中,從潛艇本身到網(wǎng)絡系統(tǒng)都是是處于物理隔離的,因為除接收外部簡單數(shù)據(jù)外,潛艇無法連接到互聯(lián)網(wǎng)或其他網(wǎng)絡。
此外,潛艇在運行期間還禁止外接存儲設備和進行無線連接,并增加了電磁泄漏防護等手段。
但這樣處于“物理隔離”狀態(tài)下的潛艇網(wǎng)絡安全是否萬無一失呢?
物理隔離攻擊
最近的安全事件(如Stuxnet,Duqu和BlackEnergy3)證明,物理隔離和網(wǎng)絡隔離不能實現(xiàn)對所有網(wǎng)絡攻擊的有效防御。每個電子系統(tǒng)不可避免地需要更新代碼,通過U盤或其他更復雜的方式接入系統(tǒng),并由此產生攻擊隱患。
圖1 Stunex攻擊示意圖
近年來,對物理隔離網(wǎng)絡的滲透測試一直是安全領域的研究重點。2013年,研究學者證明了聲信號破壞物理隔離狀態(tài)的可行性;2014年,研究學者提出了一種名為AirHopper的分叉攻擊模式,利用手機實現(xiàn)了FM頻率信號與處于物理隔離狀態(tài)的計算機之間的數(shù)據(jù)傳輸;2015年,研究學者又提出了一種利用蜂窩頻率實現(xiàn)對處于物理隔離狀態(tài)的計算機的數(shù)據(jù)竊取。
圖2 物理隔離攻擊示意圖
除了以上研究學者利用各種技術對物理隔離網(wǎng)絡進行滲透測試外,彈道導彈核潛艇還面臨著來自內部與外部的各種威脅。
潛在的攻擊載體——人
任何復雜系統(tǒng)中最薄弱的環(huán)節(jié)往往是負責管理它的人,他們也是網(wǎng)絡攻擊的目標。 據(jù)估計,全球80%的網(wǎng)絡攻擊來源于社會工程和釣魚。著名的黑客Kevin Mitnick將自己描述為一個專注于開發(fā)人類弱點的社會工程師,無論網(wǎng)絡系統(tǒng)設計的多么嚴格,除非所有參與者保持高度警惕,否則他們極易受到操縱或誤導。
2015年5月,船員William McNeally描述了他對核潛艇運行安全的擔憂。他發(fā)現(xiàn),在Faslane基地靠岸以及水下運行時,核潛艇的安全防護級別很低。船員和指揮官普遍能力不足,不能有效執(zhí)行安全規(guī)定。作為一名初級船員,他和其他人經常進入基地的潛艇,但沒有人檢查他們的行李。由此讓人質疑,是否存在向核潛艇的三叉戟系統(tǒng)傳送網(wǎng)絡武器的可能?
由于潛艇上有用于娛樂的計算機網(wǎng)絡接口,通過使用個人計算機就能將惡意軟件引入甚至寫入到潛艇上,使用U盤、SD卡等移動存儲介質就能將惡意代碼引入到控制系統(tǒng)網(wǎng)絡。
外部威脅攻擊
供應鏈與施工
潛艇的采購和運行涉及研發(fā)、制造、組裝、海上試航、武器研制、部署和維護等幾個階段。在制造、裝配和維護階段,安全漏洞會被有意或無意引入,以備將來使用。其次,惡意軟件可能會上傳到組件或組件網(wǎng)絡中,然后使其處于休眠狀態(tài),以便在預定義的時刻或特定情況下進行激活。
網(wǎng)絡間諜活動可在施工前或施工期間進行,以獲得高密級的設計信息或操作秘密,能夠追蹤潛艇。黑客組織”the Shadow Brockers”被認為是2017年5月“WannaCry蠕蟲”背后的操縱者。該組織于5月16日聲稱擁有數(shù)個國家的核能和導彈有關的數(shù)據(jù),他們將在未來幾個月內公開發(fā)布。
美國的防衛(wèi)實驗室和承包商參與制造和維護三叉戟導彈,其軟件和火力控制系統(tǒng)(英國所依賴的)過去一直是黑客用于尋求核相關敏感情報的攻擊對象。我們可以推斷,位于伯克郡的設計和維護英國核彈頭的The Atomic Weapons Establishment將會是黑客的主要攻擊對象。同樣的還有英國的主要潛艇外包商BAE Systems、Rolls Royce和Babcock以及他們供應鏈內的公司。
圖3 位于伯克郡的The Atomic Weapons Establishment
巡邏
針對處于通信接收模式下的巡邏潛艇的蓄意攻擊行為,有三種:巡邏前注入惡意軟件,內部威脅(滲透)和對潛艇進行外部無線電傳輸。
當潛艇位于水下時,其內置的低頻無線電不具備接收惡意軟件的帶寬,潛艇不易受到實時外部電子和通訊攻擊,但容易受到來自潛艇內部的攻擊。一種可能的攻擊方式是來自黑客無線電傳輸設施的欺騙或錯誤命令。這種攻擊雖然不常見,且需要特殊的設備和條件,但在潛艇運行的任何階段,包括巡邏時都可以對通信設備進行無線電攻擊(通常更容易欺騙衛(wèi)星通信)。
設備與系統(tǒng)維護
維護包括系統(tǒng)的更換、重塑、重新配置、更新和升級。在此過程中,系統(tǒng)與外部網(wǎng)絡和設備進行交互。惡意軟件可以有意或無意地上傳到使用存儲設備的潛艇子系統(tǒng)上,從而獲得設計或操作資源的權限。它也可能潛在地破壞或損壞導彈、導彈控制系統(tǒng)或任何其他艦上系統(tǒng)。而且這并不要求在潛艇、導彈或彈頭設施附近或任何承包商的設施中存在間諜角色。像施工階段一樣,維護的供應鏈安全性較差,容易受到外部或內部的攻擊。
圖4 潛艇承包商示意圖
結束語
通過以上分析,我們可以確定物理隔離狀態(tài)下的網(wǎng)絡并非高枕無憂,通過對網(wǎng)絡系統(tǒng)接觸的人以及在網(wǎng)絡系統(tǒng)設備生產、集成、升級、維護等過程中,也可能導致物理隔離網(wǎng)絡受到攻擊。
【本文為51CTO專欄作者“中國保密協(xié)會科學技術分會”原創(chuàng)稿件,轉載請聯(lián)系原作者】
