摇晃的红酒杯：为恶性竞争和敲诈勒索而入侵化工厂（一）

文章详细描述了如何向流程工业类控制系统发起精确打击，以实现最大程度地破坏其业务流程安全的攻击收益。这篇文章的亮点在于：将cyber space的攻击策略模型和physical space的流程工业数学模型相结合，以业务流程安全为收益函数，为跨越两个space的安全问题提出一种研究方法。

（发表于2015年美国BlackHat大会的研究论文）

作者：Marina Krotofil • Alexander Isakov • Alexander Winnicki • Dieter Gollmann • Jason Larsen • Pavel Gurikov

翻译者：wangkai0351@gmail.com，一位资浅但独立的工业互联网安全研究员。

0. 术语

CPS：物理信息系统（cyber-physical system）。

1. 介绍

计算机和网络技术的进步为物理系统增添了新的功能，这是以前不可能做到的。这导致了物理信息系统CPS的出现：这是一种借助现代计算机和控制技术的进步，用来测量和控制物理世界的系统。复杂的机器都属于CPS的范畴 ，如飞机、机器人、楼宇自动化系统、智慧城市、智能电网、铁路、农业系统、医疗设备和一般工业基础设施。针对CPS的安全威胁已经在媒体、所有者、监管机构和研究界引起了相当大的关注。

CPS横跨信息世界cyber space和物理世界physical space。它可以在物理世界中造成实际影响，因此，网络空间的攻击可能产生真实的物理后果，这是目前对这一安全领域日渐火热的一个主要原因。正式由于对物理后果的特殊关注，将CPS安全与传统IT安全彻底分开。

一方面，这是一个在物理系统连接到网络空间之前就必须处理的问题。如果有适当的安全措施，设计良好的系统就会被部署.可以想象，这些措施一旦从网络空间转移到物理领域，就可以抑制网络物理攻击。另一方面，这些安全措施是在某些假设下设计的，可以想象的是，一旦现代IT系统与现有的物理工厂集成，这些假设就会失效。

将现代信息技术系统与现有物理系统相结合，使这些装置面临新的安全威胁。其中的一些威胁是众所周知的，尤其是IT相关的安全威胁，安全和防护已经进行了详细的研究。除此之外的威胁是新增的，只是因为这伴随着一个新的应用领域。这些威胁可能确实是特定于CPS的。我们的工作旨在区分新环境下的“旧”安全问题和CPS固有的新安全问题，从而将CPS安全按照其自身特有性质来展开研究。

注入恶意指令是万能的吗？

人们常说，“一旦通信安全受到威胁，攻击者就可以随心所欲地做任何事情”。这些都是冒昧的说法。攻击者很可能能够注入她想要的任何输入，但这不一定等于能够随意影响物理世界中的流程工业。必须正确理解物理过程及其执行机构机理。过程物理和内置的安全措施可能也会妨碍攻击者的攻击行动。

在我们的论文中，我们考虑了攻击的物理影响，并以乙酸乙酯装置的真实仿真模型为例，研究了攻击者在试图操纵物理过程中可能遇到的障碍。本文中，我们演示了一个完整的攻击，从头到尾，针对一个生产站点带来持续的经济损失，同时避免将生产损失归因于网络攻击事件。这样的攻击手段可能对希望竞争对手停业的工厂有用，还可作为敲诈攻击竞争对手的有力武器。

流程工业模拟器在过程控制研究中起着重要的作用。严格的非线性过程模型是精确理解过程动力学的有用工具，因此它可以用于控制工程的开发和验证。目前，很少有工业过程模型可供安全研究人员分析。为了总结CPS安全的一般性经验，无论是探寻攻击者的真实实力，还是防御者部署防御系统的效能，都需要更多的有记录的量化的案例进行研究。

1.1 流程工业信息安全

在流程工业中，过程是指改变或精炼原材料以创造最终产品的方法。加工工业包括石油化工、食品、水处理、电力等行业。控制是指在制造产品时用来控制过程变量的方法。这样做有三个主要原因：(1)降低可变性；(2)提高效率；(3)确保安全。前两点对工厂具有重要意义。降低可变性也就降低了运营成本，并确保了最终产品的一致质量。效率是指对最优生产条件的精确维护，以降低生产成本。精确控制对于防止失控过程和确保安全操作非常重要。

流程工业的初始点是一个确定的设定值（set point，SP），这个设定值代表了对某一个过程参数的期望值，比如说水箱中液位L。液位L被称作是测量变量（measured variable），它必须通过控制算法尽可能接近设定值。液位L可能是通过测量两个过程变量（process variable，PV）来间接确定的，比如输入流量和输出流量。如果液位L是通过直接测量得到的，那么它应该和由过程变量推导得到的结果相同。过程变量由包含基于复杂方程组的控制算法的控制器来处理。控制器计算SP和PV之间的偏差，并输出可操作的操纵变量(manipulated variable，MV)值来驱动执行器将流程向SP趋近。如图1.1a所示，这种相互作用形成基本反馈控制回路。在实践中，控制回路可能是复杂的。更常见的是多变量或多控制回路，其中每个MV依赖于两个或多个测量变量，如图1.1b所示。将流程保持在设定值上的控制策略并不简单，而且在整个过程控制计划中，多个设定值之间的矛盾关系可能是微妙而复杂的。这使得控制器的整定变得困难，并且很容易产生不稳定的回路。

工业过程控制系统通过控制回路对生产过程提供控制策略。他们通过部署在生产线周围的传感器监控生产过程，并通过执行器与生产过程进行操作交互。现代生产过程的复杂性通常是通过将控制负荷划分为包含独立控制回路的子系统来简化的，从而避免了各个子系统之间的控制回路的耦合。

为了从工控系统的角度提高过程控制系统的安全性，使用安全控制理论来研究网络攻击对系统动力学的影响，近年来被高度关注。

2. 网络攻击类型

现代工厂面临多重挑战，都希望以一致的质量和尽可能低的成本来交付产品，还要满足环境和安全的法规条例，并在一定程度上灵活处理诸如生产效率变化(以应对不断变化的市场需求)和原料质量变化等波动因素。所有这些都指向一个目标——工厂需要设计一个可靠和有效的控制系统。现代工厂正变得越来越复杂，不仅仅是一组操作单元的集合。

在信息安全方面，攻击者的目标是提前搜集信息或者破坏控制软件的正常操作。在CPS方面，攻击者的目标是破坏控制系统的正常运行。攻击者善于触发缓冲区溢出漏洞，构造shellcode，引导系统执行攻击者所需的特定操作。 同样，在网络物理攻击中，攻击者的有效负载将包含一组操纵该过程的指令，并且指令的选择取决于攻击者想要对该过程产生的具体影响，也就是实现预定的攻击收益。

那么，对一个过程到底能做些什么呢？网络攻击的影响可分为三类。不可否认，概述的类别是相互关联的，因为一种类型的损害极有可能导致另一种损害。例如，生产可能因设备损坏而中断。失控反应会导致严重的安全事故和设备损坏。然而，要最大限度地发挥攻击的影响，最大限度地降低攻击实现的成本，避免“过度工程”，就必须对攻击目标有一个清晰的理解。

CPS攻击类型

2.1 设备损坏

这类攻击的目的是损坏设备或基础设施(例如管道、阀门)。Larsen在文献[33]中详细讨论了讨论物理伤害的类别（比如2010年的“震网病毒”是对铀浓缩设施中离心机设备的伤害）。设备损坏可以通过两种方式实现。

• 使设备工作负载过大。每一个设备在预期寿命周期结束时都会有磨损或损坏，这是普遍情况。使设备长期过负载工作可以加速这一过程。一个例子是：由于不稳定的过程控制而可加速阀门的磨损，这种类型的攻击可见于Stuxnet蠕虫的第二个版本[32]。
• 使设备违反安全限制。第二个选择是违反安全限制，最好是以某种聪明的方式。通过这种方式，爱达荷州国家实验室的研究人员远程摧毁了一台发电机[57]。这种类型的攻击也在Stuxnet[32]的第一版中实现。那些针对连续过程的人可以获取[35]管道基础设施和相关设备的安全限度。

2.2 生产损害

攻击者如果不破坏设备，而是会追踪生产过程，破坏产品或提高生产成本。对生产的攻击可分为三类。

• 产品质量和生产效率。攻击可能针对产品本身的质量或生产效率。每一种产品都有其特定质量的规格和市场价格。攻击者可能会使产品无法使用或降低其价值。比如，产品的价格可能会随着产品纯度的增加而成倍上升。下表列出了扑热息痛的相对价格。可以看出，不能达到预期的产品质量将会损失几何倍数的利润。

• 运营成本。在对过程进行整定之后，操作者的主要任务是使该过程尽可能接近经济上最优的操作条件。每个工厂都有一个成本函数，由几个影响运营成本的部分组成。比如说是原料在净化过程中的损失，催化剂的过早失活，或者能源消耗的增加。

• 维护成本。攻击者可以通过增加维护工作量来影响生产过程。维修是指对工艺故障和设备故障进行故障排除。例如，一个流量阀的快速运行会导致一个破坏性的空化过程-在液体中形成蒸汽腔。气蚀最终会磨损阀门并导致泄漏(这需要更换阀门)；液体冒泡也会使过程控制变得复杂化。

2.3 合规违规

工厂生产往往受到严格管制，以确保安全和保护环境。不遵守这些规定会招致罚款和负面的宣传，这与攻击不同，因为攻击的影响可以保留在公司内部。

• 物理安全。最具破坏性的是对环境安全和人身安全的攻击（侵犯了人权），因为这样的攻击可能导致致命的事故和严重的环境破坏，这种攻击在大多数情况下还会产生附带损害。
• 环境污染。比如某次攻击将导致超过政府污染管制的限制。这可能与气体排放的浓度和数量、水或土壤污染等有关。例如，如果一个工业设施排出的污水不符合当地的管理标准，该工厂可能会被罚款，而且经常性的违法行为可能导致工厂关闭。对声誉的负面影响可能是进一步的后果。
• 合同违约。通常情况下，工厂的生产计划会参考已经签订的合同。以生产为例，病毒爆发事件往往会导致政治和公众压力，更会拖延交货时间，还可能会导致合同违约被制裁和一些负面的宣传。

关于作者

Marina Krotofil，ICS / SCADA / IIoT领域少有的经验丰富的女性安全研究人员之一，在攻击和防御两方面都具有丰硕的研究成果，目前她供职于德国admeritia GmbH公司，从事工控安全技术咨询工作。

她在过去十年中的研究成果还包括识别ICS中的攻击媒介，包括攻击者是如何对工控系统造成损害以及研究ICS攻击方法等。此外，Krotofil还参与了针对乌克兰电网实施攻击的“CrashOverride”恶意软件的调查活动。

在2017年的美国黑帽大会上，Krotofil展示了一个非常令人难忘的实验，她称之为“邪恶泡泡（Evil Bubbles）”，以展示黑客如何对工业设备进行网络物理（cyber-physical）攻击。在她的演示中，一名“黑客”在他的笔记本电脑中输入一个命令，致使水泵中产生大量气泡——这些气泡就是她的“攻击有效载荷”——最终这些气泡将通过振动并破坏其部件和操作的方式达到磨损工业泵的目的。

据悉，Krotofil此前还曾担任过ICS/SCADA供应商霍尼韦尔的首席网络安全研究员，并担任European Network公司荷兰网络安全小组的高级安全顾问。此外，她还发布过十多篇有关工控安全的学术论文和白皮书，并拥有技术管理MBA学位，电信硕士学位以及信息与通信系统科学硕士学位。