代码攻击破坏设备，炸毁 27 吨发电机的背后~

嵌入式资讯精选 2020-10-27 00:00

【有奖直播】深入学习Microchip时钟和全新单片机方案 【有奖直播】提升毫米波信号测试精度

日前，美国司法部曝光了针对俄罗斯黑客组织 Sandworm的指控，6名黑客人员对平昌冬奥会、2017年法国大选进行黑客攻击，发起NotPetya勒索软件攻击。然而，针对电网的攻击，美国安全部门成员麦克·阿桑特在10年之前就进行过实验，当时他利用 30 行代码炸毁了 27 吨的发电机。

众所周知，作为一个国家和城市命脉，电力供应至关重要。为了保护发电机这类大型设备，也为了保护其连接到的用电设备，发电机上会配备复杂的保护设备。而此次爆出的这个事件正是利用了保护设备——继电器。正是成也继电器，败也继电器，本来是为了控制发电机组保持良好运行速度的，代码攻击之后，保护策略倒置，正常运行的时候会断开，不同步工作的时候连接电路，直接导致了设备爆炸。笔者想到了美剧《尼基塔》当中的黑客网伯克霍夫一样，黑入天网探头，通过车身高度判断真假运钞车，或利用某机构严格的安检措施，思路一变，胜利的天平也瞬间倾斜。

黑客，那么远，那么近

黑客对于我们而言还是充满神秘感的，毕竟大家日常也不太可能接触到。大多数就是电影电视上看到像《黑客帝国》《源代码》《社交网络》之类的，里面的剧情也大同小异，无非是黑入机构网络，获取高层信息、控制交通信号灯、控制监控等设备，也包括一些攻击，比如毁掉所有联网电脑之类的。像军事题材的影片一般是控制对方指挥部或者发射系统，发出错误指令，让重型武器自己打自己等。在《名侦探柯南》剧场版《零的执行人》有一集是通过网络攻击了联网的所有设备，属于物联网攻击，技术全城联网设备都相继被摧毁，甚至卫星也没能幸免。

虽然电影电视当中的情节桥段有可能略显夸张和老套，但是网络攻击在现实中真实存在的。如之前的比特币勒索病毒事件，不少人相继中招，电脑被锁死，收到勒索邮件，想要数据只能乖乖交钱。这种作案方式隐蔽性强、攻击范围大，很难锁定嫌疑人。在不久之前，江苏警方破获一起比特币勒索病毒案件。原因是警方发现受害者通过数据恢复公司恢复了数据，实际上这种病毒没有解密软件很难破解，通过继续侦查，发现数据恢复公司是通过邮件联系了嫌疑人付款，通过邮件警方顺藤摸瓜一举破案。

说到设备攻击，就不得不提到一个新西兰黑客，Jack，他在 2010 年 Blackhat 大会上公开演示了如何破解程序让 ATM 机吐钱； 2012 年，他又展示了如何攻击心脏起搏器； 2013 年，他又宣告要针对心脏起搏器和除颤器进行攻击。 Blackhat 网站还留着他当时的议题， IMPLANTABLE MEDICAL DEVICES: HACKING HUMANS 。医疗设备一旦遭受攻击，后果不堪设想。美国 FDA 曾在 2017 年宣称： Abbott 近一半心脏起搏器极易遭黑客攻击。比起一台27吨的发电机，关于人类自己生命的设备，也需要加强防范。

保护设备，从手机做起

像我们日常的设备，除了电脑，就是手机，甚至手机跟我们关系更密切一些。那么手机设备是否安全呢？那就先说苹果，基于封闭式的系统和应用生态，苹果的安全性可以说是有得天独厚的优势，甚至是FBI要求苹果来解锁他们都敢硬刚。只是后来一些账号可能被拖库了，不时有明星iCloud照片外泄，整体而言，苹果手机的安全性还是很高。另一边，开放生态的安卓机，因为可以通过 APK 安装应用，且某些应用一安装就要这要那权限，一个输入法也要通讯录信息，购物软件留存个人手机照片，甚至有人还能点到钓鱼链接导致陷入非法借贷。随着大家安全意识的提升，对软件权限要求也不是之前的不懂不管不顾了，可以通过软件管家进行限制，或者使用第三方软件虚构权限给应用。此外像之前有手机安装了弹出式摄像头，你一调用就出来，还有应用调用次数统计……

对于程序员来说，日常的个人信息保护是很看重的，比如摄像头，之前的灰鸽子病毒让大家谈摄像头色变，加上 Facebook 总裁扎克伯格带头将电脑的摄像头贴上，大家纷纷效仿，贴一个“小扎同款”，贴摄像头，在程序员当中逐渐流行起来，后来大家慢慢都贴上了，毕竟电脑摄像头比较鸡肋。小编有一天忽然发现手机打电话听不到对方的声音了，还以为又能买新手机了，查了很久才发现，原来尝试贴住手机摄像头的时候，贴住了听筒，不知道有没有人有同样的经历。

有段时间大家一直在传“我是不是被 App 窃听了”？很多用户纷纷表示自己在和朋友对话相关产品内容，购物软件就会自动推送。即使关闭了录音权限也没有用。很多时候是被剪贴板出卖了，也有软件真的获取了录音权限的，其实最关键的还有加速传感器，即使关闭了录音功能，通过传感器的信号监测也能实现窃听的效果。

著名信息安全专家 sunwear 就曾经提醒过，如果你在电脑上使用软件，没什么用的尽量也不要让它联网，毕竟他们会默认你“喜欢”“用隐私换取便利”。