凯文·菲尼斯特雷不是那种你能在核电站里看到的人。他头戴沙滩球大小的非洲式爆炸头,戴着飞行员墨镜,还有一副自称“趾高气扬”的样子,看起来更像70年代电视剧《摩登家庭》(the Mod Squad)里的克拉伦斯·威廉姆斯(Clarence Williams),而不是一个电气工程师。
但像菲尼斯特雷这样的人,不符合传统工程师的刻板模式,却在控制世界主要工业系统的机器方面发挥着越来越重要的作用。菲尼斯特雷是个白帽黑客。他刺探计算机系统,不是为了闯入它们,而是为了发现重要的漏洞。然后,他将自己的专业知识出售给希望提高安全性的公司。
在图片:你应该认识的12个“白帽”黑客
两年前,菲尼斯特雷,数字弹药安全性测试公司的创始人,发现自己交换电子邮件和一个职员在爱达荷国家实验室的控制系统安全计划,项目由美国国土安全部的第一道防御国家关键基础设施的网络攻击。
Finisterre在2008年引起了国际泳联的注意,当时他发布了利用漏洞的攻击代码用于运行工业控制环境的CitectSCADA软件。他听说过INL项目,该项目帮助供应商和工厂运营商准备应对对他们系统的攻击,他想他应该给他们写封信,看看他们到底有多好。
他没有被打动。
INL已经和黑客社区合作了吗?菲尼斯特雷想知道。他收到了令人不快的答复。国际实验室的一位工作人员在电子邮件中告诉他,“黑客”一词指的是“可疑或有犯罪性质”的人,“国家实验室不会雇佣”。
Finisterre回忆道:“他告诉我,INL不会与黑客互动,我应该非常小心地使用这个词。”“我当时想,‘老兄,我真希望你是在开玩笑,因为你应该是这方面研究的前沿。’”
可以称之为两个世界文化冲突的早期小冲突:独立安全研究人员习惯于与微软(Microsoft)和奥多比(Adobe)这样的科技公司打交道,这些公司已经学会了接受黑客的精神;还有那些开发和测试工业控制系统的更保守的公司,它们的行为往往像是希望这些白帽黑客离开。
今年早些时候,咨询公司NSSLabs的安全研究员Dillon Beresford在西门子的可编程逻辑控制器中发现了一些缺陷。他对美国国土安全部的工业控制系统网络应急响应小组没有抱怨,INL已经用完。但他说,西门子对他发现的问题轻描淡写,对客户造成了伤害。贝雷斯福德今年早些时候表示:“我对他们的反应不满意。”“他们没有向公众提供足够的信息。”
ICS-CERT成立于两年前,旨在处理贝雷斯福德和菲尼斯特雷现在很容易发现的这类漏洞。控制系统安全项目(Control Systems Security Program)主任、ICS-CERT负责人爱德华(Marty Edwards)说,过去几年里,通过ICS-CERT处理的事故数量增加了六倍,从几十起增加到数百起。
“坦率地说,我们看到这种增长的原因是,SCADA和工业控制系统(已经变得)很酷,”他说。“像Stuxnet这样的事件提高了工业控制系统和关键基础设施系统的关注度。”
对许多黑客来说,工业系统是他们技术探索的新前沿。对另一些人来说,这是黑客时代早期的一种倒退,那时个人电脑还没有成为主要攻击目标。菲尼斯特雷在俄亥俄州西德尼的一个小镇上长大,从小就开始使用电话系统。“90年代初,我妈妈以为我在家里摆弄电话,但后来发现有人远程篡改了电话开关。电话公司声称‘你儿子一定是做了什么导致这些错误收费的事情’,我最终去帮助我母亲对抗这种说法,”他说。
将近20年后,作为一名专业的安全研究员,他对自己正在寻找的普通软件漏洞感到厌倦,于是转向了工业系统。这就是他在CitecSCADA中寻找漏洞的原因。“这就像瞬间回到了我的高中时代,”他说,
有迹象表明,他并不孤单,洪水的闸门即将打开。ICS-CERT目前正在研究大约50个已知问题,但来自商业部门的两名研究人员表示,他们已经发现了数百个问题,有些可能不重要,但其他的可能很严重。
谷歌安全小组的组长比利·里奥斯(Billy Rios)和波音公司信息安全红队(Information security Red team)的成员特里·麦考克尔(Terry McCorkle)今年2月在一起喝酒时,决定仔细研究一下菲尼斯特雷和其他人入侵的工业软件类型。他们想看看能找到多少窃听器。
在业余时间,他们从西门子、罗克韦尔自动化(Rockwell Automation)、Iconics和其他供应商那里下载了尽可能多的工业软件包——总共近400个。所有这些都可以在互联网上免费获得。他们给自己设定了一个目标,在100天内找到100个bug。但他们的选择太好了,三周内就击中了目标。麦克科克尔说:“我们甚至没有把所有的软件都检查一遍,差得远了。”
最后,他们在服务器软件、驱动程序包和用于管理工厂机器的基于windows的HMI(人机界面)软件中发现了665个问题。Rios和McCorkle认为他们发现的大多数漏洞都是“不严重的”,但他们说其中大约75个漏洞可能被犯罪分子用来破坏工业系统。“我们不存在单一类型的漏洞;到处都是,”里奥斯说。
“基本上,任何人都可以做到这一点,只要他们投入时间并了解它是如何工作的,”里奥斯补充说。“你又不是到处都能找到虫子。就像如果你投入了时间,结果会非常可笑。”
负责ICS-CERT的爱德华兹承认,自2009年成立以来,该小组的工作量激增。“我们已经看到通过ICS-CERT协调和处理的漏洞数量增加了600%,”他说。他说,工业控制系统的吸引力意味着现在有更多的研究人员关注这一领域。
McCorkle说,这种情况让人想起10年前Windows遭遇的情况,当时黑客开始对微软的产品进行攻击。工业供应商“在安全方面基本上只落后了10年。就好像我们回到了90年代,”他说。
上世纪90年代末,当研究人员首次求助于微软时,这家软件制造商措手不及。微软和黑客之间的敌对关系持续了数年,微软的软件被黑客拆解后,微软才想出了如何与黑客合作的办法。
研究人员厌倦了他们发现的问题被忽视,他们开始发布技术细节,以迫使微软发布补丁。这种模式在工业系统中再次发生的想法令人担忧。这是一个安全漏洞可能导致化学品泄漏或大面积停电的领域,而且可能需要几个月的时间来安排和安装补丁。
就在本周,一位名叫路易吉·奥列马(Luigi Auriemma)的研究人员公布了工业产品中四个新的漏洞的细节,这让ICS-CERT团队感到慌乱。在过去的一年中,他已经做过几次了。Auriemma是米兰的一名独立研究员,他认为发布技术细节是解决问题的最快方法。他在一次即时采访中表示:“全面披露是引起人们对此事关注的最佳方式。”
一位在Finisterre发布Citec代码期间在控制系统安全项目(Control Systems Security Program)工作的前INL员工表示,在最初的日子里存在问题。爱达荷州研究工业系统威胁的关键情报公司(Critical Intelligence)联合创始人罗伯特·胡贝尔(Robert Huber)表示:“几年前,工业控制系统的最初几个漏洞浮出水面时,工业界就已经与‘黑客’文化发生了艰难的互动。”“当时,供应商对这些披露完全没有准备,”他在接受电子邮件采访时说。
但Huber认为情况正在改善。他说:“许多安全研究人员已经与供应商合作,或通过中间人来披露漏洞。”“现在,尽管如此,纯粹的数量和兴趣可能会驱使更多的研究人员进入这一领域,在不遵循披露程序的情况下为自己争光,从而导致更多不协调的漏洞。
“只有时间才能证明,”他说。
罗伯特·麦克米伦报道计算机安全和一般技术突发新闻IDG新闻服务.在Twitter上关注罗伯特@bobmcmillan.罗伯特的电子邮件地址是robert_mcmillan@idg.com