第一节　唾手可得的“矛”

2015年12月27日，在美国黑帽安全技术大会（Black Hat Conference）上，Klick公司的工程师给大家展示了一款在PLC上运行的恶意软件，对象是西门子公司的SIMATIC S7-1200v3控制器，研究人员使用结构化文本语言开发了一个蠕虫病毒，他们利用PLC的一个通信特征实现代理服务，从一个设备传播到另一个设备，就这样，世界上首个无须借助PC等传统计算机终端便可实现在PLC之间传播的PLC蠕虫病毒（PLC-Blaster）问世（见图2-1）。现场专家表示，一旦被这个病毒感染的西门子装置联网，蠕虫病毒就会开始扫描其他类似系统的TCP端口102。如果确定了被扫描的PLC还没有被感染，蠕虫病毒会停止大约10秒，然后向目标设备发送自身代码，并再次启动针对每个可能的目标重复这个过程，工业系统的攻击变得越来越容易。另外，工业信息安全风险防护越来越困难，传统PC防火墙隔离已经无法在工业系统里面产生作用。

图2-1　西门子系统被攻击流程

而就绝大多数“一带一路”沿线国家、地区来说，其工业化水平不高，信息安全防护意识、手段、能力均较差，应对工业领域信息安全威胁的能力更加薄弱。

“黑客”一词源于1961年麻省理工学院（MIT）的技术模型铁路俱乐部，当时俱乐部成员们为修改功能而黑了他们的高科技列车组。然后，他们从玩具列车推进到了计算机领域，利用MIT晦涩难懂而又昂贵的IBM 704计算机进行创新、探索，创建新的范例，试图扩展计算机能够完成的任务。现在，黑客已经从一个相对隐秘、封闭的小团体，发展成为社会大众普遍认知的一个社会角色，但黑客入侵的重点还是在社会应用、个人隐私方面，以及政府、银行等社会关键系统，针对产业设备、系统及国家关键信息基础设施的侵入仍占少数。但随着工业系统从封闭走向互联，针对工业系统的黑客也渐渐浮出水面，工业信息安全攻击变得不再那么神秘。

一方面，发现工业控制系统正变得越来越容易，攻击目标无处可藏。黑客至少可以通过3种方式发现工业控制系统和产品：一是通过百度、Google等网页搜索引擎检索工控产品Web发布的URL地址（见图2-2），例如，西门子S7-300的配置管理界面通过Web直接发布；二是通过Shodan等主机搜索引擎检索工业控制系统软硬件的HTTP/SNMP等传统网络服务端口关键指纹信息，例如，在西门子PLC开放的SNMP端口服务中，banner信息中直接有SIMATIC关键字；三是通过在线监测平台匹配工控通信私有协议端口网络指纹特征，如西门子的102端口、施耐德的502端口、欧姆龙和AB的44818端口、组态王的777端口等，发现正在运行的工控软硬件设备，配合前文提到的PLC蠕虫病毒，可以轻易地找到目标系统，进行攻击。

图2-2　通过Google搜索工控产品

另一方面，大量工控系统软硬件设备的安全漏洞及利用方式可通过公开或半公开的渠道获得。每年召开的黑帽大会都会有关于工控系统攻击的报告，而且一年比一年精彩，研究者甚至会发布攻击源代码或Demo。而在github等开源社区中（见图2-3），很多关于工控设备的弱口令信息及工控系统的扫描、探测、渗透方法被公布。在国内外很多白帽社区中，大量SCADA系统的漏洞细节和利用方式被公布。例如，2017年黑客大会和开源社区中，涉及100多个工控产品默认密码清单的“SCADAPass”被公布，第一个可在PLC之间传播的病毒“PLC-Blaster”的技术报告白皮书也通过互联网公开。对工控系统的入侵攻击不再神秘，进一步加剧了工控系统的网络安全风险。

图2-3　著名的黑客社区与论坛

同时，由于工业系统涉及的设备、产品门类繁杂，除针对工业系统本身直接攻击外，视频设备等工业辅助系统也已成为攻击跳板。2015年2月，中国视频设备厂商遭遇“黑天鹅事件”，部分在互联网上的视频设备因弱口令问题被黑客攻击，引起相关政府部门、媒体等高度重视与关注。2016年10月，攻击者利用网络摄像机等大量视频设备对美国Dyn公司的服务器发起DDoS攻击，使得半个美国网络瘫痪（见图2-4）。国外媒体称黑客利用了中国厂商的视频设备。2017年5月4日，美国工业控制系统网络应急响应小组（ICSCERT）披露，我国两家安防监控设备制造商——海康威视和大华的产品存在4个高危工控漏洞，这是我国视频设备漏洞首次登上“高危榜单”。这充分表明，随着视频设备在工业领域的日益广泛应用，视频设备安全值得高度关注，视频设备一旦存在安全漏洞，黑客就可能以此作为入侵工业系统的跳板，威胁工业生产安全。

图2-4　2016年10月因网络攻击导致无法登录的部分网站