彈道導(dǎo)彈核潛艇被譽為是英國海軍最先進(jìn)的艦艇，其特點之一是對網(wǎng)絡(luò)系統(tǒng)有較強的依賴性。為減少和避免來自網(wǎng)絡(luò)上的攻擊威脅，潛艇在建造初期的設(shè)計和之后的運行維護期間，加入了多種網(wǎng)絡(luò)防護措施。但是，這樣是否就能夠預(yù)期效果呢?其實，還有很多方式會對潛艇安全造成威脅。

潛艇的安全手段

在彈道導(dǎo)彈核潛艇建成之初，有英國官員聲稱該艦艇不會被黑客入侵，因為它處于“物理隔離”的狀態(tài)。什么是物理隔離(air gap)?《Hacking UK TRIDENT: A Growing Threat》報告中做了兩種定義：一是，當(dāng)一個安全計算機網(wǎng)絡(luò)在物理空間上獨立于其他不安全的網(wǎng)絡(luò)(尤指公共互聯(lián)網(wǎng)或不安全的局域網(wǎng))時，我們認(rèn)為該安全計算網(wǎng)絡(luò)處于物理隔離狀態(tài);二是，為了避免傳輸率和數(shù)據(jù)包尺寸過大，在不安全網(wǎng)絡(luò)上使用專用加密設(shè)備傳輸隧道包，也被認(rèn)為是物理隔離的。很明顯，按照第一種定義，巡邏中的彈道導(dǎo)彈核潛艇位于海中，從潛艇本身到網(wǎng)絡(luò)系統(tǒng)都是是處于物理隔離的，因為除接收外部簡單數(shù)據(jù)外，潛艇無法連接到互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)。

此外，潛艇在運行期間還禁止外接存儲設(shè)備和進(jìn)行無線連接，并增加了電磁泄漏防護等手段。

但這樣處于“物理隔離”狀態(tài)下的潛艇網(wǎng)絡(luò)安全是否萬無一失呢?

物理隔離攻擊

最近的安全事件(如Stuxnet，Duqu和BlackEnergy3)證明，物理隔離和網(wǎng)絡(luò)隔離不能實現(xiàn)對所有網(wǎng)絡(luò)攻擊的有效防御。每個電子系統(tǒng)不可避免地需要更新代碼，通過U盤或其他更復(fù)雜的方式接入系統(tǒng)，并由此產(chǎn)生攻擊隱患。

圖1 Stunex攻擊示意圖

近年來，對物理隔離網(wǎng)絡(luò)的滲透測試一直是安全領(lǐng)域的研究重點。2013年，研究學(xué)者證明了聲信號破壞物理隔離狀態(tài)的可行性;2014年，研究學(xué)者提出了一種名為AirHopper的分叉攻擊模式，利用手機實現(xiàn)了FM頻率信號與處于物理隔離狀態(tài)的計算機之間的數(shù)據(jù)傳輸;2015年，研究學(xué)者又提出了一種利用蜂窩頻率實現(xiàn)對處于物理隔離狀態(tài)的計算機的數(shù)據(jù)竊取。

圖2 物理隔離攻擊示意圖

除了以上研究學(xué)者利用各種技術(shù)對物理隔離網(wǎng)絡(luò)進(jìn)行滲透測試外，彈道導(dǎo)彈核潛艇還面臨著來自內(nèi)部與外部的各種威脅。

潛在的攻擊載體——人

任何復(fù)雜系統(tǒng)中最薄弱的環(huán)節(jié)往往是負(fù)責(zé)管理它的人，他們也是網(wǎng)絡(luò)攻擊的目標(biāo)。 據(jù)估計，全球80%的網(wǎng)絡(luò)攻擊來源于社會工程和釣魚。著名的黑客Kevin Mitnick將自己描述為一個專注于開發(fā)人類弱點的社會工程師，無論網(wǎng)絡(luò)系統(tǒng)設(shè)計的多么嚴(yán)格，除非所有參與者保持高度警惕，否則他們極易受到操縱或誤導(dǎo)。

2015年5月，船員William McNeally描述了他對核潛艇運行安全的擔(dān)憂。他發(fā)現(xiàn)，在Faslane基地靠岸以及水下運行時，核潛艇的安全防護級別很低。船員和指揮官普遍能力不足，不能有效執(zhí)行安全規(guī)定。作為一名初級船員，他和其他人經(jīng)常進(jìn)入基地的潛艇，但沒有人檢查他們的行李。由此讓人質(zhì)疑，是否存在向核潛艇的三叉戟系統(tǒng)傳送網(wǎng)絡(luò)武器的可能?

由于潛艇上有用于娛樂的計算機網(wǎng)絡(luò)接口，通過使用個人計算機就能將惡意軟件引入甚至寫入到潛艇上，使用U盤、SD卡等移動存儲介質(zhì)就能將惡意代碼引入到控制系統(tǒng)網(wǎng)絡(luò)。

外部威脅攻擊

供應(yīng)鏈與施工

潛艇的采購和運行涉及研發(fā)、制造、組裝、海上試航、武器研制、部署和維護等幾個階段。在制造、裝配和維護階段，安全漏洞會被有意或無意引入，以備將來使用。其次，惡意軟件可能會上傳到組件或組件網(wǎng)絡(luò)中，然后使其處于休眠狀態(tài)，以便在預(yù)定義的時刻或特定情況下進(jìn)行激活。

網(wǎng)絡(luò)間諜活動可在施工前或施工期間進(jìn)行，以獲得高密級的設(shè)計信息或操作秘密，能夠追蹤潛艇。黑客組織”the Shadow Brockers”被認(rèn)為是2017年5月“WannaCry蠕蟲”背后的操縱者。該組織于5月16日聲稱擁有數(shù)個國家的核能和導(dǎo)彈有關(guān)的數(shù)據(jù)，他們將在未來幾個月內(nèi)公開發(fā)布。

美國的防衛(wèi)實驗室和承包商參與制造和維護三叉戟導(dǎo)彈，其軟件和火力控制系統(tǒng)(英國所依賴的)過去一直是黑客用于尋求核相關(guān)敏感情報的攻擊對象。我們可以推斷，位于伯克郡的設(shè)計和維護英國核彈頭的The Atomic Weapons Establishment將會是黑客的主要攻擊對象。同樣的還有英國的主要潛艇外包商BAE Systems、Rolls Royce和Babcock以及他們供應(yīng)鏈內(nèi)的公司。

[[204464]]

圖3 位于伯克郡的The Atomic Weapons Establishment

巡邏

針對處于通信接收模式下的巡邏潛艇的蓄意攻擊行為，有三種：巡邏前注入惡意軟件，內(nèi)部威脅(滲透)和對潛艇進(jìn)行外部無線電傳輸。

當(dāng)潛艇位于水下時，其內(nèi)置的低頻無線電不具備接收惡意軟件的帶寬，潛艇不易受到實時外部電子和通訊攻擊，但容易受到來自潛艇內(nèi)部的攻擊。一種可能的攻擊方式是來自黑客無線電傳輸設(shè)施的欺騙或錯誤命令。這種攻擊雖然不常見，且需要特殊的設(shè)備和條件，但在潛艇運行的任何階段，包括巡邏時都可以對通信設(shè)備進(jìn)行無線電攻擊(通常更容易欺騙衛(wèi)星通信)。

設(shè)備與系統(tǒng)維護

維護包括系統(tǒng)的更換、重塑、重新配置、更新和升級。在此過程中，系統(tǒng)與外部網(wǎng)絡(luò)和設(shè)備進(jìn)行交互。惡意軟件可以有意或無意地上傳到使用存儲設(shè)備的潛艇子系統(tǒng)上，從而獲得設(shè)計或操作資源的權(quán)限。它也可能潛在地破壞或損壞導(dǎo)彈、導(dǎo)彈控制系統(tǒng)或任何其他艦上系統(tǒng)。而且這并不要求在潛艇、導(dǎo)彈或彈頭設(shè)施附近或任何承包商的設(shè)施中存在間諜角色。像施工階段一樣，維護的供應(yīng)鏈安全性較差，容易受到外部或內(nèi)部的攻擊。

[[204465]]

圖4 潛艇承包商示意圖

結(jié)束語

通過以上分析，我們可以確定物理隔離狀態(tài)下的網(wǎng)絡(luò)并非高枕無憂，通過對網(wǎng)絡(luò)系統(tǒng)接觸的人以及在網(wǎng)絡(luò)系統(tǒng)設(shè)備生產(chǎn)、集成、升級、維護等過程中，也可能導(dǎo)致物理隔離網(wǎng)絡(luò)受到攻擊。

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文