專家表示，近期佛羅里達水廠遠程投毒事件中暴露出的各種初級漏洞（包括缺乏互聯(lián)網(wǎng)防火墻、使用共享口令和過時軟件）在美國15.1萬個公共供水系統(tǒng)中十分常見。

一、敲響警鐘

2月16日，美國佛羅里達州奧德馬爾市(Oldsmar)的一家水處理廠遭到了神秘攻擊者的入侵，險些引發(fā)大規(guī)模中毒事件，成為全球媒體關(guān)注的焦點。在承認有"些許不足"后，該市市長埃里克-塞德爾(Eric Seidel)對市議會官宣勝利：“我們的監(jiān)控協(xié)議切實有效，工作人員把它執(zhí)行得無可挑剔。毫無疑問我們被攻陷了，但是保證以后不會再發(fā)生類似事件。總而言之，這是一場勝利?！?/p>

網(wǎng)絡(luò)安全專家并不會用"勝利"這樣的字眼來形容奧德馬爾水廠事件，他們把這次失陷視作數(shù)字無能的研究案例、令人恐懼的險惡事件，以及供水系統(tǒng)管理員持續(xù)對多年來日益嚴重的警告視而不見的典型案例。

"坦白來講，他們非常幸運，"退役海軍上將馬克-蒙哥馬利(Mark Montgomery)表示，他是美國聯(lián)邦政府網(wǎng)絡(luò)空間日光浴委員會（Cyberspace Solarium Commission）的執(zhí)行主任，該委員會于2018年由國會成立，旨在提升美國對重大網(wǎng)絡(luò)攻擊的防御能力。蒙哥馬利將奧德馬爾水廠事件比作飛機在引擎起火后迫降。"他們不應(yīng)該像湯姆-布雷迪贏得超級碗一樣慶祝。"馬克-蒙哥馬利說：“他們并沒有贏得比賽，只是憑借運氣躲過了一場災難。"

黑客的動機和身份仍然無人知曉。但蒙哥馬利和其他專家表示，倘若比奧德馬爾水廠事件更老練的黑客，企圖將飲用水中的堿液含量提升到危險水平，可能會導致嚴重后果。蒙哥馬利說："如果攻擊者能夠入侵堿液控制裝置，難道就不能入侵警報系統(tǒng)然后修改檢查點?"奧德馬爾市的官員以正在進行調(diào)查為由拒絕了采訪請求，也拒絕回答有關(guān)該市網(wǎng)絡(luò)安全實踐的問題。

二、事件回顧

2月5日上午8點左右，黑客攻擊發(fā)生在奧德馬爾市水處理廠，該廠使用過濾器和化學品凈化地下水供飲用，其中包括少量氫氧化鈉(俗稱堿液，用于降低水的酸度)。

黑客通過一個名為TeamViewer的遠程訪問軟件程序進入系統(tǒng)。實際上該市在6個月前就已經(jīng)替換了TeamViewer，但并未斷開該程序的網(wǎng)絡(luò)連接，遠程登錄系統(tǒng)輕而易舉。根據(jù)FBI在馬薩諸塞州一份咨詢報告的調(diào)查結(jié)果，水廠的電腦都使用單一的共享密碼，不需要雙因素驗證，也沒有防火墻保護控制權(quán)不受互聯(lián)網(wǎng)影響。還有一個漏洞是所有電腦都仍然在運行Windows 7，這是一個具有十年歷史、已經(jīng)停產(chǎn)的操作系統(tǒng);微軟在2020年1月已經(jīng)停止發(fā)布定期修復安全漏洞的軟件更新。

在注意到黑客在早上登錄后，工廠的操作員并"沒有多想"，也沒有聯(lián)系任何人，因為其他城市的員工經(jīng)常遠程訪問系統(tǒng)(目前尚不清楚為什么攻擊者使用已被替換的TeamViewer軟件卻沒有立即引起關(guān)注)。

下午1點半左右，黑客再次出現(xiàn)，這次明顯是接管了電腦，用鼠標在電腦上劃了3到5分鐘，并打開了工廠的控制系統(tǒng)軟件。在將水的氫氧化鈉含量從百萬分之100提高到百萬分之1100后，入侵者離開了。

目睹這一切后，奧德馬爾工廠的操作員迅速降低了氫氧化鈉的濃度，并打電話給老板。根據(jù)事故報告，該市在近3個小時后，即下午4點17分聯(lián)系了郡警察局。

奧德馬爾公司的官員堅稱，公眾從未處于危險之中。他們指出，至少需要24小時，有毒的水才會從廚房的水龍頭中流出，而且即使現(xiàn)場操作人員不進行干預，工廠也有監(jiān)測水化學平衡的后備系統(tǒng)會提前發(fā)出警報。

三、掩耳盜鈴

供水系統(tǒng)嚴重失陷的后果可能是災難性的：數(shù)以千計的人因飲用水中毒而生病、供水中斷引發(fā)恐慌、大范圍的洪災、管道爆裂、污水溢出。這并非危言聳聽：2000年，澳大利亞一名前市政污水承包商遠程操縱電腦控制系統(tǒng)，釋放出264000加侖未經(jīng)處理的污水，這些污水涌入公園，使溪水變成黑色，灑在凱悅酒店的地面上，并產(chǎn)生了一種被調(diào)查人員稱為"難以忍受"的惡臭。該男子被判處兩年監(jiān)禁。

令專家們噩夢般恐懼的事件來自國家行為者。2013年，一名為伊朗革命衛(wèi)隊工作的黑客攻陷了紐約拉伊郊區(qū)鮑曼大壩的計算機控制權(quán)。據(jù)聯(lián)邦情報官員推測，伊朗人其實是想奪取俄勒岡州巨大的亞瑟-R-鮑曼大壩的控制權(quán)，在那里，類似的行動會淹沒成千上萬的房屋。2019年，革命衛(wèi)隊黑客再次出擊，部署惡意軟件對以色列的一個市政供水系統(tǒng)發(fā)起攻擊，最終未果。

在3月10日的國會證詞中，聯(lián)邦網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）的網(wǎng)絡(luò)安全主管埃里克-戈德斯坦(Eric Goldstein)將奧爾德斯馬事件描述為"從國家的角度來看，CISA面臨的最嚴重風險"。他說，這應(yīng)該是"對國家關(guān)鍵系統(tǒng)面臨的網(wǎng)絡(luò)入侵風險發(fā)出的一個信號"。

警鐘已經(jīng)持續(xù)敲響了很多年。早在2011年，美國國土安全部就發(fā)布警告，稱黑客可以利用"現(xiàn)成的、通常是免費的"互聯(lián)網(wǎng)搜索工具入侵美國供水系統(tǒng)。近年來，盡管這樣的告誡比比皆是，聯(lián)邦政府仍然將大部分網(wǎng)絡(luò)防御責任推卸給了水務(wù)公司。多年來，防御工作依賴于行業(yè)自愿而不是法規(guī)。直到2018年，國會才在長達129頁的水務(wù)法案中加入了一項解決網(wǎng)絡(luò)安全的條款。

這些要求并不苛刻。每一個為超過3,300個用戶提供服務(wù)的美國供水系統(tǒng)都有義務(wù)對其物理和電子系統(tǒng)的風險和恢復能力進行自我評估，并制定應(yīng)急響應(yīng)計劃。不同規(guī)模的公用事業(yè)公司對應(yīng)不同的截止期限；對于法律所涵蓋的最小的公用事業(yè)公司，如奧德馬爾，須在法律簽署后兩年半的2021年6月30日之前進行自我評估。根據(jù)奧德馬爾市管理者提供的一份聲明，該市在11月初就已經(jīng)完成了網(wǎng)絡(luò)安全審查，但在2月份的黑客事件之前尚未將其建議納入城市應(yīng)急計劃中。此外還有數(shù)萬個用戶少于3300人的供水系統(tǒng)完全不受這項法律的約束。

那些被要求進行自我評估的公用事業(yè)公司沒有義務(wù)向任何政府機構(gòu)提交報告。這些公用事業(yè)公司只需要向環(huán)境保護局證明他們已經(jīng)完成了評估。2018年的立法還提供了3000萬美元的?？?，以幫助供水公司應(yīng)對包括網(wǎng)絡(luò)攻擊在內(nèi)的“風險和恢復能力”問題，但國會從未撥款。

根據(jù)蒙哥馬利的說法，有關(guān)水務(wù)方面的規(guī)定遠遠沒有達到聯(lián)邦要求（包括對違反這些規(guī)則的懲罰），同時旨在保護電力基礎(chǔ)設(shè)施的資金也沒有到位。他還指出，環(huán)保局水安全處的人員配備不足。一位不愿透露姓名的美國環(huán)保署官員表示，該機構(gòu)只配備“一個小團隊”專職負責水務(wù)網(wǎng)絡(luò)安全架構(gòu)。

這個問題的根源很明顯。全國絕大多數(shù)的供水系統(tǒng)都是小型國有的，資源有限，基礎(chǔ)設(shè)施老化。當他們轉(zhuǎn)向使用數(shù)字系統(tǒng)和監(jiān)控器來提高效率、節(jié)約人力物力時，并沒有配備安全保護裝置，也沒有進行必要的員工培訓，因此產(chǎn)生了上述漏洞。傳統(tǒng)上人們更關(guān)注物理風險，例如自然災害、管道破裂和現(xiàn)場入侵者，大多數(shù)供水系統(tǒng)很少或根本沒有內(nèi)部IT員工。新冠疫情下遠程管理成為主流，這只會讓安全問題更加嚴重。

眾所周知，供水公司用于管理閥門、管道和其他基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)極易受到攻擊。IBM和一家私人安全公司2018年的一項研究發(fā)現(xiàn)，廣泛部署在"智慧城市"中的設(shè)備存在17個主要漏洞，包括使用包裝盒中自帶的默認密碼(如"admin")，這使得"即使是初出茅廬的黑客也能輕松地獲取這些設(shè)備的訪問權(quán)限"。Positive Technologies公司2018年的一項研究報告稱，它能夠滲透到它所調(diào)查的近四分之三的工業(yè)組織中，最常見的漏洞包括：可遠程訪問的網(wǎng)絡(luò)、顯而易見的密碼，以及軟件過于陳舊以至于制造商已經(jīng)停止修復漏洞。報告發(fā)現(xiàn)，已被發(fā)現(xiàn)多年的漏洞往往被束之高閣，因為組織憚于做出任何可能導致停機的變更。

水務(wù)公司遭到攻擊的確切數(shù)量不為人所知。多數(shù)攻擊并沒有被發(fā)現(xiàn)或者沒有被報告，而且沒有聯(lián)邦法律要求向監(jiān)管機構(gòu)或執(zhí)法部門披露。由于擔心可能會導致漏洞泄露給其他黑客，水務(wù)系統(tǒng)通常拒絕公開失陷情況，甚至不會向它所在的集團報告。

四、不再沉默

近些年來，美國三個州（紐約州、新澤西州和康涅狄格州）決定在聯(lián)邦政府規(guī)定上更進一步，對其境內(nèi)的水務(wù)公司采取更嚴格的網(wǎng)絡(luò)安全措施。在通過新的立法后，新澤西州要求所有具有互聯(lián)網(wǎng)連接功能的公共供水系統(tǒng)在120天內(nèi)制定網(wǎng)絡(luò)安全風險緩解計劃，并將其提交給州政府。康涅狄格州啟動了一項"網(wǎng)絡(luò)安全行動計劃"，并開始每年與該州最大的水務(wù)公用事業(yè)公司舉行非公開會議，以審查其網(wǎng)絡(luò)防御措施是否充分。紐約則修改了公共衛(wèi)生法，要求供水系統(tǒng)對其遭受網(wǎng)絡(luò)攻擊的脆弱性進行評估，并在一年內(nèi)提交給州政府。

曾擔任康涅狄格州首席網(wǎng)絡(luò)安全風險官的亞瑟-豪斯(Arthur House)表示："我不希望在發(fā)生多人中毒事件或災難性停擺后人們才說‘天啊，這太可怕了’。聯(lián)邦政府必須在這個問題上發(fā)揮作用。你不能把一個可能會導致國家癱瘓的事務(wù)完全交給50個不同的州來處理。"

參考及來源：nextgov.com  互聯(lián)網(wǎng)安全內(nèi)參