绿盟科技格物实验室在物理入侵方面,曾经进行过一些有趣的验证性尝试。这里写出我们的思路, 引起安全行业的思考。在面对物理入侵时,我们的防护手段是否需要进行一些创新的模式与架构调整,才能适应新形式下的安全战略的发展?
背景
格物实验室的研究内容是要和物理世界发生关系的。绿盟科技格物实验室成立后,不仅在物联网设备的漏洞研究上进行创新,也
在全网物联网资产的监控上有了很多创新成果,同时在物理安全上也花费了一些精力,做了一些有趣的尝试。新形式下的安全,不仅包括虚拟世界的安全,也包括物理世界的安全。目前,格物实验室在多个方面已经硕果累累。
格物实验室一直紧跟安全潮流,不断尝试复现各种场景下的物理世界攻击。格物实验室经过多年的技术和人员积累,软硬件和多种行业人员已经储备齐全,依托专业技术背景做了很多新型的物理攻击试验。部分安全试验已经公开展示,大家可能在别的地方见过。
格物实验室成员好奇心很强,以下方向格物实验室都进行过探索。有的项目曾经参加比赛并获奖,有的项目在Blackhat 和defcon上做
过分享。例如:PLC 蠕虫、不同厂家PLC 之间的蠕虫病毒传输探索、BadUSB、伪基站攻击场景搭建、无线社工WIFI 盒子、二维码攻击、RFID/IC 卡射频攻击、普通开锁、汽车开锁信号干扰、汽车娱乐系统漏洞挖掘、家用机器人、工业机器人、2G/3G/LTE 等各种类型的无线电攻击等方面的探索性研究试验。
“未知攻,焉知防”,需要说明的是,格物实验室的试验都是在遵守国家法律法规的情况下,在试验室里完成的探索性试验,绝不在真实环境中验证攻击方法。我们研究各种攻击场景的目的是为找到更完善、更全面、更可靠的防护方法,并整合到绿盟科技的产品与解决方案中,从而更好的为客户服务。更多的研究成果还在保密阶段, 格物实验室会在适当的时机向公众公布。更多的攻击场景请关注绿 盟科技官方博客(https://blog.nsfocus.net/)。
攻击目的
目前发现的物理攻击目的主要分为四种。
1. 窃取信息(窃密)
例如,入侵家庭或重要场所的网络摄像头,窃取隐私信息;入 侵智能音箱监听周围谈话等,可能造成重要场所的机密信息泄露。 更重要的是,攻击者可以利用摄像头和路由器的漏洞在获取设 备的系统权限后,以此为跳板,深入内网,渗透到内网更多更关键 的设备,获取更多的信息,达到长期潜伏和控制的目的。
2. 获取经济利益(谋财)
例如,2018 年8 月8 日0 时30 分嫌犯入侵山西省某电厂“三 大项目”的案件。嫌犯用无线路由器物理接入工控系统内部网络, 企图远程修改工控系统参数,达到控制煤质检测结果,实现经济利 益的目的。幸好被电厂值班人员及时发现,才没有让犯罪分子得逞。
3. 谋害性命(害命)
有预谋的网络攻击,可以造成谋财害命。 例如,有预谋的改变红绿灯状态,制造“交通事故”以及控制 自动驾驶汽车突然刹车和急转等。
4. 政治目的
来自国家或组织之间的攻击,具有政治目的,有时候是为了报复 或者泄愤。其中,对工业控制设备和城市基础设施的攻击,后果最 为严重。 震网事件向我们敲响了警钟,也告诉我们系统漏洞是一种核心 战略资源。工控系统虽然和外界隔离,但并不是绝对安全的。数字 武器可能被敌对国家有意使用,造成工控系统的物理破坏或断掉重 要基础设施的服务。 下面从近期绿盟科技通过向第三方公开展示的两个小成果来对 物理安全的攻击场景和可以造成的后果进行一个简要的说明。通过 参加第三方平台的比赛或演讲并在公正公开的场景下进行展示,也得 到第三方平台和全社会对我们的技术实力的认可。
案例一:极棒机器特工
背景介绍
2018 年,GeekPwn 联合极战FMB、腾讯玄武实验室共同发起 “机器特工挑战赛”, 需要选手根据不同的任务设计机器人,可以由机器人自主实现或者选手远程控制:
- 完美入侵:机器人可以选择通过窗户、通风管或者伪装之后 从门潜入房间;
- 疯狂避障:机器人潜入房间之后,需要经过设有安全警报激 光束的通道,关闭激光束或者通过视觉发现暂停然后快速通过激光 束都是可选方案;
- 特工任务:作为特工,最重要的使命就是“获取情报”。安全 通过激光束的机器人将开始在陌生房间展开作业,包括:
- 干扰墙壁上的监控摄像头
- 在座椅下装置窃听器
- 输入密码打开保险箱
- 拿到书本内的卡片信息
- 把USB 攻击设备插入电脑
- 放置键盘记录器
当然,在比赛规定时间内能够成功撤离的机器人将获得更高的附加分。最关键的是每个队的比赛时间只有20 分钟。
与传统机器人竞赛不同,极棒机器特工比赛充分释放选手的创意,不设置规定的实现方法,强调任务的完成度。
机器特工正好和格物实验室物理入侵的思路不谋而合。格物实验室成员普遍都具有扎实的理论功底和丰富的技术实践经验。于是,
格物实验室的“阿凡达”团队在2018 年10 月经过三个星期的“魔鬼特训”,制作了三个不同功能的机器人,用于完成对应的任务。
实现方式
要在20 分钟内完成如此多的任务,机器人的控制一定要快速、准确、稳定。格物实验室制作了专门的遥控器以提高操控的效率,
几种遥控器如下:
采用了通用的履带车+机械臂的机器人方案,机械结构越简单越稳定,也不容易出问题。还易于操控和执行各种难度的任务。
创新点一: 采用类似阿凡达的镜像控制方式,大大提高了远程操控机器人的效率。
创新点二: 在干扰墙壁上的监控摄像头的时候,格物实验室制作了放氦气球的小车,用气球挡住摄像头,达到干扰摄像头的目的。
此时,气球也像一只听话的“手”,在远程操控下,想挡住哪里就挡住哪里。
经过来自三个国家的8 支代表队在极棒赛场上的激烈的比赛,格物实验室完成了完美入侵、疯狂避障、干扰墙壁上的监控摄像头、
在座椅下装置窃听器四个任务,拿到了比赛的第二名。
第一名是来自美国内达华大学DASL 实验室的机器人团队OPUSA;第三名是来自上海的高中生团队“玖_ 死_ 壹_ 生”。
入侵后果
机器人的物理入侵可能造成信息泄露,物理设备被毁,物理设备被窃等后果,当然,还有更严重的,例如,远程控制机器人给您
安装一个定时炸弹,感觉怎么样?
案例二:JD-HITB 会议展示两种物理攻击场景
背景介绍
2018 年10 月4 日, 彭博社的一篇报道在科技圈引起了轩然大波——包括苹果、亚马逊在内的多家科技巨头,都被中国芯片植入后门了!
彭博社在其文章中声称,中国军方设计了一颗比米粒还小的微型芯片,并暗中植入到由硬件供应商超微生产的主板上充当“任何网
络的隐形门”,为连接的计算机系统提供“长期隐形访问”。
据报道,有近30 家公司受到违规行为的影响。随后报道涉及的3 家公司:苹果、亚马逊和超微,立即回应此事,均指出这篇报道“完全失实”。
针对不实报道,我们遵守自己的原则:不听、不信、不传谣。
从安全研究的角度,格物实验室发起关于此种场景攻击讨论。讨论后,格物实验室决定在HITB 会议上公开此前所做的两个物理入侵的探索性试验。格物实验室表示目前的黑客技术还不是那么强大,即使是全球顶尖的黑客也做不到定制芯片。黑客也表示压力山大。
我们使用了号称“全球最小的WIFI 路由器”的硬件VoCore2,并且重新修改和编译了系统的固件部分, 在固件中增加了演示所需的功能。
在JD-HITB 会议上,格物实验室主要做了两个演示:
偷拍摄像头演示
利用最小WIFI 的硬件系统,配合一款微型摄像头,搭建了一个基于Wifi 的偷拍摄像头。DIY出一个这样的偷拍设备,成本其实很低,软件部分有很大的可玩性。软件和硬件部分在未来有很大的扩展和提升空间。
传输方式:可通过更换大功率天线增加传输范围到百米之外,也可通过WIFI 中继器增加传输距离,还可通过4G 无线上网卡扩展
信号的传输范围到千里之外。
工控系统入侵演示
基于WIFI 的工控系统入侵演示。我们知道工控系统和外部网络是隔离的,人们以为这样就很安全了。格物试验室通过一个在实验
室试验的例子,向人们展示一种通过WIFI 攻击的场景。
格物实验室的试验都是以现实为原型的,在现实中有一定的概率能找到验证,巧合的是:2018 年12 月11 日微信公众号“电力安全生产”(ID :dianlianquan)公布了 《山西某火电厂燃料系统被植入非法程序事件简报》,比较详细的报道了一次真实的入侵过程,此前一直处于保密状态。本次真实入侵事件提到的是上图红框中的内容,可以看出,攻击模型和格物实验室在11 月1 日讲述的一模一样。详见《直击HITB, 绿盟科技格物实验室专家讲了这些干货》。这种物理攻击方式可能成为以后工控系统的主流攻击方式。
工控系统物理攻击模型的其它变形
上图中提到的工控系统物理攻击模型是一种常见的模型,在现实中可能有以下的变形:
● 信号的传输方式:可以是WiFi,也可以是4G 信号,实现对现场工控设备远距离实时控制和入侵;
● 接收信号的设备:可能是手机,也可能是电脑;
● 潜入的特工硬件:可以通过网线联入工控网络,也可能在供应环节植入到PLC/DCS/ 工控机或者电脑机箱中,让人从外观无法
分辨该设备是否做了手脚;
● 植入工控系统的方式很多:可能是销售环节植入、可能是售后和维护环节植入、还可能是内鬼勾结植入。
物理安全防护探索
前面讲了格物实验室目前公开的几个攻击场景,如何预防物理攻击我们也做了很多思考。
很多物理攻击方式都需要通过无线信号进行数据的双向传送。可以从无线电信号监控方面入手,目前绿盟科技的工业网络安全合规评估工具ISCAT 已经集成了对无线信号的搜索和监控。还可以对工控网络中接入的设备进行诊断和记录,如果有新的未知设备接入系统,可以在第一时间报警或阻断设备的接入。
最后以一个段子结尾:如果在监控中出现了气球,挡住了摄像头,最好过去看一下,因为可能正在被物理入侵。