世界又多了個(gè)“賽博空間”

　　與上個(gè)世紀(jì)相比，今天的世界有了很大變化：世界之上疊加了一個(gè)賽博空間。

什么是賽博空間？

　　賽博空間(Cyberspace)是哲學(xué)和計(jì)算機(jī)領(lǐng)域中的一個(gè)抽象概念，指在計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)里的虛擬現(xiàn)實(shí)。賽博空間一詞是控制論(cybernetics)和空間(space)兩個(gè)詞的組合，是由居住在加拿大的科幻小說(shuō)作家威廉•吉布森在1982年發(fā)表于《omni》雜志的短篇小說(shuō)《全息玫瑰碎片(Burning Chrome)》中首創(chuàng)造，并在后來(lái)的小說(shuō)《神經(jīng)漫游者》中被普及。

　　高度重視賽博空間的美國(guó)國(guó)防部，早在2009年就組織出版了《賽博力量和國(guó)家安全》一書(shū)，書(shū)中這樣定義賽博空間：

　　賽博空間是一個(gè)可操作的領(lǐng)域，由電磁頻譜、電子系統(tǒng)及網(wǎng)絡(luò)化基礎(chǔ)設(shè)施三部分組成，人類(lèi)通過(guò)電子技術(shù)和電磁頻譜進(jìn)入該領(lǐng)域，進(jìn)行信息的創(chuàng)建、存儲(chǔ)、修改、交換和利用。該定義強(qiáng)調(diào)賽博空間包含三個(gè)基本部分：

　　1.電磁頻譜——主要指遠(yuǎn)程控制與信息承載能力；

　　2.電子系統(tǒng)——主要指計(jì)算機(jī)所形成的計(jì)算能力；

　　3.網(wǎng)絡(luò)設(shè)施——主要指基于網(wǎng)絡(luò)的互聯(lián)互通能力。

　　國(guó)內(nèi)出版的《三體智能革命》一書(shū)則是這樣定義賽博空間：20世紀(jì)的賽博空間是一個(gè)抽象的科技概念，指在計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)里的數(shù)字化虛擬現(xiàn)實(shí)。

　　一直以來(lái)，很多人認(rèn)為用一個(gè)“數(shù)字空間”就可做計(jì)算、存儲(chǔ)和無(wú)線(xiàn)傳輸，這是不可能實(shí)現(xiàn)的。數(shù)字空間僅僅是一個(gè)二進(jìn)制數(shù)理系統(tǒng)，所有的“1、0”的具體實(shí)現(xiàn)，都必須有能量、有載體。目前最方便的能量場(chǎng)是電（做計(jì)算）、磁（做存儲(chǔ)）和電磁波（無(wú)線(xiàn)傳輸），一切不談能量場(chǎng)或電磁波的“數(shù)字空間”都是虛幻的假說(shuō)。

　　正是這個(gè)賽博空間，讓電磁場(chǎng)以比特?cái)?shù)據(jù)流的載體形式存在。無(wú)形無(wú)態(tài)的比特?cái)?shù)據(jù)流可由人來(lái)構(gòu)建和管控，彼此間以數(shù)字化信息的方式互聯(lián)，可以通達(dá)并控制與其連接的物理設(shè)備，其作用范圍伴隨著電磁波的運(yùn)動(dòng)可以無(wú)限延伸，例如人類(lèi)利用電磁波對(duì)人造系統(tǒng)（旅行者1號(hào)）的作用已經(jīng)達(dá)到170億公里。

　　在賽博空間中，諸多事物的特點(diǎn)是：

　　1.每一個(gè)物理設(shè)備都在賽博空間中有了名稱(chēng)、位置、功能等基本數(shù)據(jù)，甚至建立了與物理設(shè)備完全虛實(shí)映射的“數(shù)字孿生體”；

　　2.不僅物理設(shè)備與數(shù)字孿生體之間是彼此互聯(lián)互通的，而且數(shù)字孿生體之間也是互聯(lián)互通的；

　　3.工業(yè)物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)（統(tǒng)稱(chēng)“工聯(lián)網(wǎng)”）的迅猛發(fā)展，既讓越來(lái)越多的物理設(shè)備成為終端入口，也讓這些物理設(shè)備成為被侵害的犧牲品。

　　總而言之，賽博空間，無(wú)處不在。原本互不相連的事物經(jīng)由賽博空間中的數(shù)據(jù)通道（簡(jiǎn)稱(chēng)“賽博通道”）聯(lián)到了一起。因此，正常善意的賽博通道建立了，異常惡意的賽博通道也建立了。天使與魔鬼同在。

　　實(shí)際上，在賽博空間經(jīng)常發(fā)生的4種惡意行為，如同懸在工聯(lián)網(wǎng)頭上的4把達(dá)摩克利斯之劍，隨時(shí)都可能落下。這四把劍是黑客攻擊之“暗劍”、木馬植入之“毒劍”、軟件后門(mén)之“陰劍”、為錢(qián)賣(mài)鑰之“鬼劍”，都是經(jīng)由賽博通道發(fā)生。

　　不管你是否看得到，只要你行走在賽博空間，只要你使用任何一種可以聯(lián)網(wǎng)的終端產(chǎn)品建立起賽博通道，4把利劍就高懸在那里，是否砍到你的頭上，那就要看你的技術(shù)與防御能力，還有你的運(yùn)氣。

工業(yè)互聯(lián)網(wǎng)頭懸四把利劍

黑客攻擊之

“暗劍”

　　2015年12月23日15：30，烏克蘭西部伊萬(wàn)諾-弗蘭科夫斯克電力控制中心。運(yùn)維人員猛然發(fā)現(xiàn)，計(jì)算機(jī)屏幕上的光標(biāo)被一只看不見(jiàn)的“幽靈之手”控制了，光標(biāo)指向屏幕上的變電站斷路器按鈕，一個(gè)斷路器被斷開(kāi)。城外某區(qū)域內(nèi)數(shù)以千計(jì)的居民立即陷入黑暗和寒冷。隨后一個(gè)又一個(gè)斷路器被“幽靈之手”斷開(kāi)，最終導(dǎo)致約30座變電站下線(xiàn)，兩座配電中心停擺，23萬(wàn)當(dāng)?shù)鼐用駸o(wú)電可用。

　　雖然變電站在數(shù)小時(shí)后以手動(dòng)方式恢復(fù)了電力供應(yīng)，但黑客們對(duì)16座變電站的斷路器設(shè)備固件（指嵌入式軟件）進(jìn)行了改寫(xiě)，用惡意固件替代了合法固件，這些斷路器全部失靈，任憑黑客擺布。高大上的供電設(shè)備似乎被武功高手點(diǎn)了穴，癱倒在地。

　　你看不見(jiàn)它們，但它們卻可以接管并攻擊你的設(shè)備，這就是黑客刺向受害者的“暗劍”。刀光劍影閃過(guò)，一片狼藉，設(shè)備尸橫遍野。

　　事實(shí)上，烏克蘭電站擁有強(qiáng)大的安全防火墻，其控制系統(tǒng)的安全水平比美國(guó)境內(nèi)部分設(shè)施還要高�？杉词乖谌绱藦�(qiáng)悍防御措施下，經(jīng)過(guò)“完美預(yù)謀和精心組織”，黑客仍然攻破了電站防線(xiàn)。

　　在更早的2008年8月5日，里海石油大動(dòng)脈“巴庫(kù)-第比利斯-杰伊漢石油管道”30號(hào)閥門(mén)站因遭受攻擊在土耳其境內(nèi)發(fā)生爆炸。令人奇怪的是，攻擊閥門(mén)站的武器并非炸彈，而是黑客，而黑客進(jìn)入控制系統(tǒng)的切入點(diǎn)竟是監(jiān)控?cái)z像頭。

　　黑客利用監(jiān)控?cái)z像頭存在的通信軟件漏洞，用一個(gè)惡意程序建立了隨時(shí)可進(jìn)入內(nèi)部系統(tǒng)的賽博通道，接下來(lái)的攻擊行動(dòng)就很簡(jiǎn)單了。在不觸動(dòng)警報(bào)的情況下，黑客通過(guò)加大石油管道內(nèi)的壓力，當(dāng)壓力大到管道或閥門(mén)難以承受時(shí)，爆炸就發(fā)生了。

　　2015年，兩名黑客查理·米勒和克里斯·瓦拉賽克就曾演示過(guò)如何侵入U(xiǎn)connect車(chē)載系統(tǒng)。利用Uconnect軟件的缺陷，很容易從任何接入互聯(lián)網(wǎng)的地方展開(kāi)攻擊，遠(yuǎn)程獲取汽車(chē)的關(guān)鍵功能操作權(quán)限，利用汽車(chē)CAN總線(xiàn)將惡意控制信息發(fā)送至電子控制單元，由此而控制汽車(chē)的物理系統(tǒng)——如啟動(dòng)雨刷、調(diào)大冷風(fēng)、踩下剎車(chē)、讓引擎熄火、令所有電子設(shè)備宕機(jī)等。幸好這兩位是白帽子黑客（指不做壞事的黑客）——他們是在通知了原廠(chǎng)商9個(gè)月后才對(duì)外公布Uconnect漏洞的。也許在不遠(yuǎn)的將來(lái)，一輛無(wú)人駕駛汽車(chē)被恐怖分子劫持，加速撞向某個(gè)指定目標(biāo)，這是否有可能發(fā)生？

　　明槍易躲，暗“劍”難防。人為刀俎，汝為魚(yú)肉。這是“暗劍”的顯著特點(diǎn)。

　　這些安全隱患皆源于軟件缺陷、賽博通道以及意想不到的疏漏。設(shè)備太多，防護(hù)太少。防不勝防。

木馬植入之

“毒劍”

　　木馬病毒植入最具代表性的案例，當(dāng)屬大規(guī)模破壞了伊朗濃縮鈾工廠(chǎng)離心機(jī)的“震網(wǎng)”病毒。

　　伊朗濃縮鈾工廠(chǎng)的離心機(jī)是仿制的法國(guó)老產(chǎn)品，加工精度差，承壓性差，只能低速運(yùn)轉(zhuǎn)，而且是完全物理隔離的。但是，美以情報(bào)部門(mén)通過(guò)長(zhǎng)時(shí)間的研究與合作，設(shè)計(jì)出了最強(qiáng)的“震網(wǎng)”病毒，通過(guò)加速旋轉(zhuǎn)摧毀了大批離心機(jī)，“效果比全炸毀還好”，主要步驟可謂精心設(shè)計(jì)。

　　無(wú)形植入：通過(guò)感染所有潛在工作者（如西門(mén)子員工）的U盤(pán)，病毒不知不覺(jué)被帶入工廠(chǎng)。伊朗方面會(huì)用查殺病毒軟件做常規(guī)檢測(cè)，但這種病毒根本查不出來(lái)。病毒悄悄嵌入系統(tǒng)，使殺毒軟件看不到病毒文件名。如果殺毒軟件掃描U盤(pán)，木馬就修改掃描命令并返回一個(gè)正常的掃描結(jié)果！

　　感染傳播：利用電腦系統(tǒng)的.lnk漏洞、Windows鍵盤(pán)文件漏洞、打印緩沖漏洞來(lái)傳播病毒，8種感染方式確保電腦內(nèi)網(wǎng)上的病毒都會(huì)相互自動(dòng)更新和互補(bǔ)。

　　動(dòng)態(tài)隱藏：把所需的代碼存放在虛擬文件中，重寫(xiě)系統(tǒng)的API（應(yīng)用程序接口）以將自己藏入，每當(dāng)系統(tǒng)有程序訪(fǎng)問(wèn)這些API時(shí)就會(huì)將病毒代碼調(diào)入內(nèi)存。

　　內(nèi)存運(yùn)行：病毒會(huì)在內(nèi)存中運(yùn)行時(shí)自動(dòng)判斷CPU負(fù)載情況，只在輕載時(shí)運(yùn)行，以避免系統(tǒng)速度表現(xiàn)異常而被發(fā)現(xiàn)。關(guān)機(jī)后代碼消失，開(kāi)機(jī)病毒重啟。

　　精選目標(biāo)：由于鈾濃縮廠(chǎng)使用了西門(mén)子S7-315和S7-417兩個(gè)型號(hào)的PLC（可編程邏輯控制器），病毒就把它們作為目標(biāo)。如果網(wǎng)內(nèi)沒(méi)有這兩種PLC，病毒就潛伏。如找到目標(biāo)，病毒利用Step 7軟件中漏洞突破后臺(tái)權(quán)限，并感染數(shù)據(jù)庫(kù)，于是所有使用該軟件連接數(shù)據(jù)庫(kù)的人的電腦和U盤(pán)都被感染，他們都變成了病毒輸送者。

　　巧妙攻擊：在難以察覺(jué)中，病毒對(duì)其選中的某些離心機(jī)進(jìn)行加速，讓離心機(jī)承受不可承受的高轉(zhuǎn)速而損毀。初期伊朗人還以為這種損壞僅僅是設(shè)備本身的質(zhì)量問(wèn)題，直到發(fā)現(xiàn)大量設(shè)備損毀之后，才醒悟過(guò)來(lái)，但為時(shí)已晚。

　　2017年5月13日，坊間被一款名為WanaCrypt0r 2.0的比特幣勒索病毒爆發(fā)的消息刷屏，該病毒大規(guī)模集中爆發(fā)于英國(guó)醫(yī)療機(jī)構(gòu)以及中國(guó)高校。一時(shí)間，人人自危，談勒索病毒色變。剛剛應(yīng)對(duì)完過(guò)去這一波勒索病毒，很多人還沒(méi)有喘過(guò)氣來(lái)，當(dāng)年6月27日晚間，一波大規(guī)模PetyaWrap勒索蠕蟲(chóng)病毒攻擊再度席卷全球。近百個(gè)國(guó)家的政府部門(mén)、銀行、電力系統(tǒng)、通信系統(tǒng)、企業(yè)以及機(jī)場(chǎng)等都不同程度地受到影響。不少依靠網(wǎng)絡(luò)設(shè)備進(jìn)行“無(wú)紙辦公”的政府部門(mén)，重新用上了紙文件，加油站、醫(yī)療設(shè)備停止運(yùn)行，待搶救的病人只能等死。

　　劍上涂毒，見(jiàn)血封喉；偽裝潛伏，擇機(jī)爆發(fā)。這是“毒劍”的顯著特點(diǎn)。

　　由此可見(jiàn)，軟件的漏洞讓諸如“震網(wǎng)”這類(lèi)病毒變得無(wú)比狡猾，且讓病毒攻擊變得很有針對(duì)性。誰(shuí)能說(shuō)賽博通道是安全的？誰(shuí)又能說(shuō)在我國(guó)某地或某企業(yè)的內(nèi)網(wǎng)中，一定沒(méi)有類(lèi)似“震網(wǎng)”病毒存在呢？

軟件后門(mén)之

“陰劍”

　　目前國(guó)內(nèi)在用的工業(yè)軟件中，國(guó)外的軟件普遍具有明顯優(yōu)勢(shì)。在大型央企、國(guó)企、民企等關(guān)鍵企業(yè)中，國(guó)外軟件占據(jù)壟斷地位。這些軟件多數(shù)為美、歐、日等西方發(fā)達(dá)國(guó)家開(kāi)發(fā)，并且絕大多數(shù)對(duì)中國(guó)客戶(hù)不開(kāi)放源代碼，特別是近年來(lái)這些軟件又都融合了互聯(lián)網(wǎng)技術(shù)。

　　根據(jù)筆者多年來(lái)在企業(yè)調(diào)研和在市場(chǎng)上觀(guān)察到的種種現(xiàn)象，在泄露商業(yè)機(jī)密和軍工機(jī)密的案例中，除了國(guó)外黑客網(wǎng)絡(luò)攻擊和木馬病毒植入之外，國(guó)外軟件的數(shù)據(jù)“走后門(mén)”現(xiàn)象也十分普遍。這種現(xiàn)象大致源于兩種情況：

　　一是軟件原廠(chǎng)商為了改進(jìn)產(chǎn)品質(zhì)量，對(duì)用戶(hù)使用軟件產(chǎn)品的情況進(jìn)行跟蹤。廠(chǎng)商希望通過(guò)收集使用大數(shù)據(jù)，找出用戶(hù)的使用習(xí)慣和操作不便之處，以便在后期版本中改進(jìn)軟件功能。這種收集數(shù)據(jù)的出發(fā)點(diǎn)是善意的，通常也用“是否愿意加入XX產(chǎn)品的改進(jìn)計(jì)劃”的名義問(wèn)詢(xún)用戶(hù)的意愿。

　　二是完全出于某種不可告人的目的，特定設(shè)計(jì)的軟件“后門(mén)”。如果安裝使用軟件的電腦是聯(lián)網(wǎng)的，那么某些“廠(chǎng)商所需數(shù)據(jù)”就在以某種觸發(fā)機(jī)制（如按照累積量）隨機(jī)或定時(shí)發(fā)送。如果電腦是不聯(lián)網(wǎng)（如物理隔絕）的，那么就伺機(jī)尋找網(wǎng)絡(luò)發(fā)送。其實(shí)這種發(fā)送機(jī)制已經(jīng)就是“明偷暗搶”了。只不過(guò)，用戶(hù)可能知道，也可能不知道，即使知道了也沒(méi)辦法制止。因?yàn)檐浖�代碼都是不可見(jiàn)的二進(jìn)制執(zhí)行代碼，通常很難查出這種后門(mén)發(fā)送數(shù)據(jù)的代碼處于軟件中的位置。

　　陰損之劍，殺人無(wú)形；每日一劍，傷皮放血。這是“陰劍”的顯著特點(diǎn)。

　　企業(yè)里的各種殺毒軟件，對(duì)軟件后門(mén)是發(fā)現(xiàn)不了的，因?yàn)檐浖�后門(mén)并非病毒，而是前門(mén)緊閉，后門(mén)洞開(kāi)，開(kāi)門(mén)揖盜。長(zhǎng)此以往，情況就會(huì)變得嚴(yán)重。國(guó)外軟件廠(chǎng)商（和情報(bào)部門(mén)）甚至能對(duì)央企、國(guó)企的人事變動(dòng)、管理規(guī)章、內(nèi)部報(bào)價(jià)、產(chǎn)品數(shù)據(jù)、合同文本、談判條款等機(jī)密數(shù)據(jù)一清二楚，即使在服務(wù)器物理隔絕的狀態(tài)下，有些數(shù)據(jù)仍可能外泄。

為錢(qián)賣(mài)鑰之

“鬼劍“

　　6月25日，發(fā)生在兩年前的國(guó)內(nèi)一個(gè)工程領(lǐng)域的盜竊大案宣判，案值涉及近10億元，首犯僅判4年半，內(nèi)鬼獲刑兩年半。

　　事情起源于2016年3月，國(guó)內(nèi)某工程機(jī)械企業(yè)不斷接到各地分公司反饋稱(chēng)，多臺(tái)已銷(xiāo)售出的設(shè)備突然失聯(lián)，從該企業(yè)的控制大屏幕上莫名其妙地“消失”了。隨后，“消失”的設(shè)備越來(lái)越多，數(shù)量多達(dá)千臺(tái)，價(jià)值近10億元。

　　該企業(yè)檢查發(fā)現(xiàn)，連接設(shè)備的遠(yuǎn)程監(jiān)控系統(tǒng)（簡(jiǎn)稱(chēng)ECC系統(tǒng)）被人非法解鎖破壞，使該企業(yè)對(duì)在外的工程機(jī)械設(shè)備失去了網(wǎng)絡(luò)監(jiān)控能力。

　　國(guó)內(nèi)大部分工程機(jī)械企業(yè)都會(huì)在泵車(chē)中安裝類(lèi)似的遠(yuǎn)程操控系統(tǒng)，系統(tǒng)內(nèi)置的傳感器會(huì)把泵車(chē)的GPS位置信息、耗油、機(jī)器運(yùn)行時(shí)間等數(shù)據(jù)傳回總部。因?yàn)檫@類(lèi)大型設(shè)備較為昂貴，客戶(hù)很難一次全款買(mǎi)斷，往往采用“按揭銷(xiāo)售”的形式購(gòu)買(mǎi)：泵車(chē)開(kāi)機(jī)干活就付錢(qián)，停機(jī)就無(wú)需付費(fèi)，這原本是一個(gè)對(duì)雙方都有利的“結(jié)果經(jīng)濟(jì)”模式。工程機(jī)械企業(yè)對(duì)泵車(chē)的基本控制思路是，如果客戶(hù)每個(gè)月正常還款，則泵車(chē)運(yùn)行正常；如果還款延后，泵車(chē)的運(yùn)行效率會(huì)降為正常情況下的30%至50%；如果一再拖延，泵車(chē)就會(huì)被鎖死，無(wú)法運(yùn)轉(zhuǎn)。

　　警方發(fā)現(xiàn)，破壞ECC系統(tǒng)的是一群熟知系統(tǒng)后臺(tái)操作的團(tuán)伙成員。其中一名成員竟然是該企業(yè)在職員工。另一名成員雖然在2013年離職，但同為熟知ECC系統(tǒng)操作的技術(shù)人員。他們合伙利用ECC系統(tǒng)的軟件漏洞進(jìn)行遠(yuǎn)程解鎖，幾分鐘就可以解鎖一臺(tái)設(shè)備GPS，非法獲利一兩萬(wàn)元。該團(tuán)伙一而再再而三地作案，最終釀成震驚全國(guó)的大案。

　　家有內(nèi)鬼，鬼必作祟；“鬼劍”刺處，機(jī)失難追。這是“鬼劍”的顯著特點(diǎn)。

　　再好、再?lài)?yán)密的設(shè)備防御措施，也禁不住內(nèi)鬼為錢(qián)賣(mài)鑰，貪財(cái)解鎖。其實(shí)，無(wú)論多么嚴(yán)密的設(shè)備上網(wǎng)防護(hù)措施，多么完美的加密算法，當(dāng)人心有鬼時(shí)，防護(hù)都可以破解。最可靠的加密鑰匙，是人心、制度和法律。

　　如果按照此案的涉案值而不是按照其獲利額度來(lái)判決的話(huà)，首犯起碼應(yīng)該入獄10年以上。亂世用重典，如果此案重判，可能未來(lái)鮮有人敢做此事�？磥�(lái)，與工聯(lián)網(wǎng)相適應(yīng)的法律條款，仍然在不斷完善和修訂的路上。

后 記

賽博空間，誰(shuí)主沉浮

　　設(shè)備聯(lián)網(wǎng)了，數(shù)據(jù)流通了，控制精準(zhǔn)了，管理提升了……工聯(lián)網(wǎng)僅僅呈現(xiàn)這些正面美好的景象嗎？每遇重大判斷，筆者常做反向思考：萬(wàn)物互聯(lián)的反面是什么？或如“禍兮福所倚，福兮禍所伏”。

　　顯然，4把達(dá)摩克利斯之劍高懸于工聯(lián)網(wǎng)之上。如果仔細(xì)尋找，恐怕還不止于此。

　　在對(duì)工聯(lián)網(wǎng)的認(rèn)知中，太多人都在強(qiáng)調(diào)：“網(wǎng)絡(luò)是基礎(chǔ)，平臺(tái)是核心，安全是保障。”但知行難以合一，人有認(rèn)知局限和惰性，往往后知后覺(jué)。劍不砍在自己身上，并不能體察徹骨之痛，亦難做到未雨綢繆。

　　病毒、黑客、后門(mén)、內(nèi)鬼，無(wú)論哪一把劍都足以讓企業(yè)鮮血淋漓。4種災(zāi)害場(chǎng)景的區(qū)別僅僅是，企業(yè)感受到身上有多少道傷口，流了多少血，是否致命。

　　牛頓曾言：“給我一個(gè)支點(diǎn)，我可以撬動(dòng)地球�！苯袢艘嘌裕骸敖o我一個(gè)賽博通道，我可以隔空打牛�！钡搅斯ぢ�(lián)網(wǎng)時(shí)代，一切都可以互聯(lián)互通互操作，比特?cái)?shù)據(jù)已經(jīng)可以往返太陽(yáng)系邊緣，遍布全球的無(wú)數(shù)終端形成了無(wú)數(shù)賽博通道。

　　此間，究竟是誰(shuí)來(lái)操控誰(shuí)？筆者以為，一定是惡意侵入者操控毫無(wú)防范者，黑客高手操控技術(shù)菜鳥(niǎo)，賽博強(qiáng)國(guó)操控賽博弱國(guó)。無(wú)他。

　　若沒(méi)有技術(shù)金盾、嚴(yán)格內(nèi)控以及法律重典，工聯(lián)網(wǎng)就難有不破金身，也就難以健康發(fā)展。