专家表示,近期佛罗里达水厂远程投毒事件中暴露出的各种初级漏洞(包括缺乏互联网防火墙、使用共享口令和过时软件)在美国15.1万个公共供水系统中十分常见。

一、敲响警钟

2月16日,美国佛罗里达州奥德马尔市(Oldsmar)的一家水处理厂遭到了神秘攻击者的入侵,险些引发大规模中毒事件,成为全球媒体关注的焦点。在承认有"些许不足"后,该市市长埃里克-塞德尔(Eric Seidel)对市议会官宣胜利:“我们的监控协议切实有效,工作人员把它执行得无可挑剔。毫无疑问我们被攻陷了,但是保证以后不会再发生类似事件。总而言之,这是一场胜利。”

网络安全专家并不会用"胜利"这样的字眼来形容奥德马尔水厂事件,他们把这次失陷视作数字无能的研究案例、令人恐惧的险恶事件,以及供水系统管理员持续对多年来日益严重的警告视而不见的典型案例。

"坦白来讲,他们非常幸运,"退役海军上将马克-蒙哥马利(Mark Montgomery)表示,他是美国联邦政府网络空间日光浴委员会(Cyberspace Solarium Commission)的执行主任,该委员会于2018年由国会成立,旨在提升美国对重大网络攻击的防御能力。蒙哥马利将奥德马尔水厂事件比作飞机在引擎起火后迫降。"他们不应该像汤姆-布雷迪赢得超级碗一样庆祝。"马克-蒙哥马利说:“他们并没有赢得比赛,只是凭借运气躲过了一场灾难。"

黑客的动机和身份仍然无人知晓。但蒙哥马利和其他专家表示,倘若比奥德马尔水厂事件更老练的黑客,企图将饮用水中的碱液含量提升到危险水平,可能会导致严重后果。蒙哥马利说:"如果攻击者能够入侵碱液控制装置,难道就不能入侵警报系统然后修改检查点?"奥德马尔市的官员以正在进行调查为由拒绝了采访请求,也拒绝回答有关该市网络安全实践的问题。

二、事件回顾

2月5日上午8点左右,黑客攻击发生在奥德马尔市水处理厂,该厂使用过滤器和化学品净化地下水供饮用,其中包括少量氢氧化钠(俗称碱液,用于降低水的酸度)。

黑客通过一个名为TeamViewer的远程访问软件程序进入系统。实际上该市在6个月前就已经替换了TeamViewer,但并未断开该程序的网络连接,远程登录系统轻而易举。根据FBI在马萨诸塞州一份咨询报告的调查结果,水厂的电脑都使用单一的共享密码,不需要双因素验证,也没有防火墙保护控制权不受互联网影响。还有一个漏洞是所有电脑都仍然在运行Windows 7,这是一个具有十年历史、已经停产的操作系统;微软在2020年1月已经停止发布定期修复安全漏洞的软件更新。

在注意到黑客在早上登录后,工厂的操作员并"没有多想",也没有联系任何人,因为其他城市的员工经常远程访问系统(目前尚不清楚为什么攻击者使用已被替换的TeamViewer软件却没有立即引起关注)。

下午1点半左右,黑客再次出现,这次明显是接管了电脑,用鼠标在电脑上划了3到5分钟,并打开了工厂的控制系统软件。在将水的氢氧化钠含量从百万分之100提高到百万分之1100后,入侵者离开了

目睹这一切后,奥德马尔工厂的操作员迅速降低了氢氧化钠的浓度,并打电话给老板。根据事故报告,该市在近3个小时后,即下午4点17分联系了郡警察局。

奥德马尔公司的官员坚称,公众从未处于危险之中。他们指出,至少需要24小时,有毒的水才会从厨房的水龙头中流出,而且即使现场操作人员不进行干预,工厂也有监测水化学平衡的后备系统会提前发出警报。

三、掩耳盗铃

供水系统严重失陷的后果可能是灾难性的:数以千计的人因饮用水中毒而生病、供水中断引发恐慌、大范围的洪灾、管道爆裂、污水溢出。这并非危言耸听:2000年,澳大利亚一名前市政污水承包商远程操纵电脑控制系统,释放出264000加仑未经处理的污水,这些污水涌入公园,使溪水变成黑色,洒在凯悦酒店的地面上,并产生了一种被调查人员称为"难以忍受"的恶臭。该男子被判处两年监禁。

令专家们噩梦般恐惧的事件来自国家行为者。2013年,一名为伊朗革命卫队工作的黑客攻陷了纽约拉伊郊区鲍曼大坝的计算机控制权。据联邦情报官员推测,伊朗人其实是想夺取俄勒冈州巨大的亚瑟-R-鲍曼大坝的控制权,在那里,类似的行动会淹没成千上万的房屋。2019年,革命卫队黑客再次出击,部署恶意软件对以色列的一个市政供水系统发起攻击,最终未果。

在3月10日的国会证词中,联邦网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)的网络安全主管埃里克-戈德斯坦(Eric Goldstein)将奥尔德斯马事件描述为"从国家的角度来看,CISA面临的最严重风险"。他说,这应该是"对国家关键系统面临的网络入侵风险发出的一个信号"。

警钟已经持续敲响了很多年。早在2011年,美国国土安全部就发布警告,称黑客可以利用"现成的、通常是免费的"互联网搜索工具入侵美国供水系统。近年来,尽管这样的告诫比比皆是,联邦政府仍然将大部分网络防御责任推卸给了水务公司。多年来,防御工作依赖于行业自愿而不是法规。直到2018年,国会才在长达129页的水务法案中加入了一项解决网络安全的条款。

这些要求并不苛刻。每一个为超过3,300个用户提供服务的美国供水系统都有义务对其物理和电子系统的风险和恢复能力进行自我评估,并制定应急响应计划。不同规模的公用事业公司对应不同的截止期限;对于法律所涵盖的最小的公用事业公司,如奥德马尔,须在法律签署后两年半的2021年6月30日之前进行自我评估。根据奥德马尔市管理者提供的一份声明,该市在11月初就已经完成了网络安全审查,但在2月份的黑客事件之前尚未将其建议纳入城市应急计划中。此外还有数万个用户少于3300人的供水系统完全不受这项法律的约束。

那些被要求进行自我评估的公用事业公司没有义务向任何政府机构提交报告。这些公用事业公司只需要向环境保护局证明他们已经完成了评估。2018年的立法还提供了3000万美元的专款,以帮助供水公司应对包括网络攻击在内的“风险和恢复能力”问题,但国会从未拨款。

根据蒙哥马利的说法,有关水务方面的规定远远没有达到联邦要求(包括对违反这些规则的惩罚),同时旨在保护电力基础设施的资金也没有到位。他还指出,环保局水安全处的人员配备不足。一位不愿透露姓名的美国环保署官员表示,该机构只配备“一个小团队”专职负责水务网络安全架构。

这个问题的根源很明显。全国绝大多数的供水系统都是小型国有的,资源有限,基础设施老化。当他们转向使用数字系统和监控器来提高效率、节约人力物力时,并没有配备安全保护装置,也没有进行必要的员工培训,因此产生了上述漏洞。传统上人们更关注物理风险,例如自然灾害、管道破裂和现场入侵者,大多数供水系统很少或根本没有内部IT员工。新冠疫情下远程管理成为主流,这只会让安全问题更加严重。

众所周知,供水公司用于管理阀门、管道和其他基础设施的工业控制系统极易受到攻击。IBM和一家私人安全公司2018年的一项研究发现,广泛部署在"智慧城市"中的设备存在17个主要漏洞,包括使用包装盒中自带的默认密码(如"admin"),这使得"即使是初出茅庐的黑客也能轻松地获取这些设备的访问权限"。Positive Technologies公司2018年的一项研究报告称,它能够渗透到它所调查的近四分之三的工业组织中,最常见的漏洞包括:可远程访问的网络、显而易见的密码,以及软件过于陈旧以至于制造商已经停止修复漏洞。报告发现,已被发现多年的漏洞往往被束之高阁,因为组织惮于做出任何可能导致停机的变更。

水务公司遭到攻击的确切数量不为人所知。多数攻击并没有被发现或者没有被报告,而且没有联邦法律要求向监管机构或执法部门披露。由于担心可能会导致漏洞泄露给其他黑客,水务系统通常拒绝公开失陷情况,甚至不会向它所在的集团报告

四、不再沉默

近些年来,美国三个州(纽约州、新泽西州和康涅狄格州)决定在联邦政府规定上更进一步,对其境内的水务公司采取更严格的网络安全措施。在通过新的立法后,新泽西州要求所有具有互联网连接功能的公共供水系统在120天内制定网络安全风险缓解计划,并将其提交给州政府。康涅狄格州启动了一项"网络安全行动计划",并开始每年与该州最大的水务公用事业公司举行非公开会议,以审查其网络防御措施是否充分。纽约则修改了公共卫生法,要求供水系统对其遭受网络攻击的脆弱性进行评估,并在一年内提交给州政府。

曾担任康涅狄格州首席网络安全风险官的亚瑟-豪斯(Arthur House)表示:"我不希望在发生多人中毒事件或灾难性停摆后人们才说‘天啊,这太可怕了’。联邦政府必须在这个问题上发挥作用。你不能把一个可能会导致国家瘫痪的事务完全交给50个不同的州来处理。"

参考来源:nextgov.com

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。