千刀的破電腦反了他了。
我真的想說破電腦到底是怎么回事?我最近在圖書館一直在搞我的那個,不就是用我的電腦嗎?從大一我買了它開始到現在總共都沒有用幾回,頂多就是做做PPT,看看電視劇。但是養兵千日用在一時,我現在要用到它的時候它天天給我出毛病,一會這不行,一會那不行。
真的你不知道有多荒謬,我就是搞不懂,真的你不知道有多荒謬。就是我到最后要修改的時候,老師就把我叫到辦公室說:你就在這改,有什么不懂的就問我,然后就在那哭哭改。改了一兩個小時突然間它就斷網了,你知道嗎?就在那發癲。
怎么我都沒遇到這么好的工作,一年就上一兩個小時的班,它都發癲,你說讓我們這種人可怎么活?它一天一年上一兩個小時就發癲,它就卡住了,你知道嗎?改完的資料它卡住了,我都愣了。我當時都愣了,然后我說這怎么辦?我這怎么搞?老師說你趕緊保存,然后我就把它保存了。
更離譜的事情發生了,它自動關機了。我真的沒見過這么牛逼的電腦,它自己自動關機了,幸好我保存了,不然我兩個小時白搭。最可恨的一點是我那個電腦巨貴,八九千將近九千塊。
我當時就想說電腦這種東西肯定是越貴越好,我就說買的貴一點,可以用的時間長一點,這樣就不用一直換電腦。沒有想到這么垃圾,我都沒怎么用過。人家說養兵千日用兵一時,我養它千日連一時都不用,兩個小時都不給我使,我真是服了這破電腦。
在我們玩游戲用的電腦都是13代或14代的U了,內存動不動就是16G或32G,但是有時候我們還嫌電腦慢。但是工業電腦呢?現在PIV的U 還在繼續用著呢,并且用得剛剛的。
生產設備上面的電腦,PIV 1.6G的CPU,內存256M,硬盤是500G(最早是80G的,硬盤壞過),操作系統是WIN2000,非常久遠的操作系統,開機速度飛快。
電腦雖然破爛,但是只運行一個軟件,開機就啟動,所以專業性很強。工業電腦不像家里的電腦,都是在生產線上,使用環境很差,油污、蒸汽、焊渣,粉塵都是在所難免的,即使是這樣的條件 ,工業電腦的可靠性和穩定性真是沒得說,一開機就是一個月或一年不帶關機的。
看過這個啟動畫面的估計年輕的也要三十多歲了,這是PIV電腦的硬件啟動自檢列表。修這些電腦有個卸點,需要換身工作服,你在拆卸配件的時候,粘在手上的不是灰塵,而是油泥,等你拆卸一遍,洗手就要十幾分鐘,打幾遍香皂手上的油都洗不干凈。
生產車間使用的電腦,肯定干凈不了,所以說風扇上面,機箱里面都是機油和灰塵混合起來的油泥,有的時候還是生產過程中留下的鐵渣。油泥影響的問題還不是很大,鐵渣因為掉入機箱后,進入內存或PCI插槽,導致數據總線短路,加電開機后黑屏不亮,已經是常態了。
因為電腦工作環境太惡劣,所以CPU散熱器和散熱風扇,還有機箱散熱風扇,電源都是易損件,需要兩年左右更換一次。主要是油泥太厚了,風扇都轉不動了,根本起不到散熱作用。
這就是工控電腦上使用的PC卡,一塊有CPU、內存、南橋、北橋、網絡等全部功能的電腦板,通過PCI接口插在主機上。這種PC卡只需要電源也是可以單獨開機的,在維修和調試時可以使用外接電源單獨測試。只是不同主板跳線不同,需要看清楚跳線功能。
這樣的電腦差不多也快20年了,一直還在繼續為生產服務。生產線不換,電腦就不會換,也就只能修。這些生產線都是大型設備上的生產線,一換都是巨資,不用到你退休回家是不可能換的。
你可不要認為這電腦破,不值錢,這些個破電腦,盡管已經20年了,每一塊板子都不便宜,PC板通用性強一些,價格還算便宜,一般買過來都在1000元左右,PC基板壞的機率很低,也要千元左右,最貴的是接口通讀板,這是專用設備,一塊板子一般都在四五千元,壞了只能買原型號的替換。最便宜的就是電源和內存、CPU了,因為是通用件,所以不值錢。
工控電腦的顯示屏也有特殊性,因為是主板直接輸出LVDS信號驅動的,所以屏出問題后,一般也只能修。就這種老式的15寸方屏,一塊買過來也要五六百塊錢,原因就是你要用,你不得不用。這類屏要時裝個電視機,估計現在也沒有幾個想買,手機多方便呀!
說見過大世面的人心態就是好~
8月6日,臺積電副總裁魏哲家面對記者的鏡頭,沒有慌得一匹。
他全程半微笑,讓人絲毫聯想不到他所在的公司損失了 78 億新臺幣(折合17億人民幣),剛從生產線停擺中恢復過來。
(臺積電副總裁魏哲家)
3天前,臺積電位于臺灣新竹科學園的的12寸晶圓廠生產線忽然暫停,原因不明。工人們都懵了,要知道,以往生產線只在地震這樣的特殊情況下出現過。
隨后,臺積電在臺灣地區的所有廠區像是點燃了的鞭炮,臺中廠區,臺南廠商,不到一小時,所有生產線全部停擺。有消息傳出,生產線停運系電腦病毒導致。
臺積電的生產線支撐著英特爾、高通、華為、蘋果等品牌的芯片代工生產,而現在又是出貨旺季,停運意味著損失巨大。
同時,臺積電今年剛拿下蘋果公司的唯一芯片代工權,若不能及時恢復生產,很可能造成一蘋果新機的延遲發布,繼而影響之后的合作……
事發當天,有業內人士預估,此次病毒事件給臺積電造成的直接經濟損失超過十億人民幣。
受該事件影響,當天臺積電的股票也出現一定幅度波動。
……
然鵝!
誰能想到,又過了一天,臺積電就宣布生產線80%已恢復,毛利率損失控制在1%,原因已經查明,系去年爆發的勒索病毒“WannaCry”的變種,問題不大,只是人工操作失誤導致,不存在黑客攻擊。
(腦補臺詞:大家就當無事發生啦~)
事情雖已過去,可吃瓜群眾心中的幾個疑惑還沒解決:
這次事件在業界屬于啥水平?小意思、中等意思還是大意思?
永恒之藍這都爆發一年了,連我的破電腦都不怕了,為啥臺積電這么個高科技企業能出事?
工業隔離網不是沒連接互聯網么?怎么還會中病毒?是企業內鬼,黑客蓄意攻擊,還是偶然中招?
假設(純屬假設)競爭對手某星派黑客鬧出這么一次事件,需要多高的黑客水平?
……
……
帶著這些疑問,我找到一個叫李航的朋友。
此人十分擅長工控安全研究,若問有多擅長,不妨先看看他的 title 有多長。
他現在的 title 是 360企業安全集團工業互聯網安全事業部副總經理。入職360之前,他的 title 是工業控制系統信息安全技術國家工程實驗室工控安全檢測中心主任。
。。。
Let's Rock !
謝幺:這次是黑客蓄意攻擊還是莫名中槍?
李航:臺積電對外聲稱是人為工作失誤,否認了外界對于黑客攻擊和內鬼的猜測。目前沒有其他信息能否定這一說法,我傾向于相信。
謝幺:工業網絡一般跟互聯網隔離的,為什么臺積電還會中招?
李航:工業生產網絡的確和互聯網隔離,但是工廠為了擴充生產力,經常會加入一些新的機器設備。
這次臺積電中招,據官方公布的消息就是因為一臺新機臺(加工產品的機器)未經過殺毒就直接連入生產網絡,結果該機臺恰好帶有 WannaCry 勒索病毒的變異版本,一旦進入生產網絡,該病毒會迅速在內網中橫向傳播,導致全線故障。
(機臺:我們中出了一個叛徒……)
李航:很多工控單位以為只要物理隔離就能確保萬無一失,所以隔離網內部的信息安全管控就很松懈,員工一般怎么方便怎么來操作。
但其實,突破物理隔離的方法有很多。
比如“震網病毒”事件中,伊朗核電站也是完全物理隔絕,但美國的黑客組織先黑進核電站一名員工家里的電腦,繼而讓病毒進入他的U盤,而這名員工恰好也違規操作,將自己的U盤插在核電站內部的機器上,最終病毒幾經周折終于進入核電站內網,破壞了核電站離心機。
再比如,有的員工違規將自己的手機插在公司設備的U口上充電,也可能導致原本隔離的網絡一下子連接到互聯網。
類似的情況還有很多很多,所以即便做了物理隔離也不能默認內部就是百分之百安全,依然要做相應的安全措施。
謝幺:出了這事以后,有人說臺積電的信息安全水平不行,你怎么看?
李航:其實據我所知,臺積電的信息安全水準還是不錯的。
首先,臺積電之前的副總裁左大川是資深安全專家,今年三月剛卸任,我相信臺積電在安全體系上建設很有經驗。
其次,臺積電這次的損失雖然不小,但他們恢復生產的很迅速,據說第二天就恢復了80%,并且排查出具體原因,這響應速度在業界相當不錯,說明他們在實時災備方面做得很好,出了問題可以很快將機器還原成到可生產的狀態。
橫向對比,去年wannacry勒索病毒席卷全球時,汽車廠商雷諾的生產線同樣遭遇停產,花了大半個月才恢復。
不過無論如何,這次臺積電中招停產損失巨大,肯定還是因為安全體系建設過程中存在重大疏漏。
主要體現在兩點:一是對生產資產的掌握程度不夠,新增了一臺機臺,沒有殺毒就直接投產;二是終端主機的防護不足。
謝幺:為什么“永恒之藍”漏洞和“WannaCry” 爆出那么久,連我的破電腦都不怕了,臺積電的生產線還扛不住?
李航:因為工控安全太特殊也太復雜了,跟個人PC電腦完全不是一回事。
比如最近有人吐槽臺積電的生產線沒有關閉445端口,導致病毒在內網迅速傳播。
對于個人電腦,如果沒連接打印機等設備時可以關閉該端口。但在工控環境下,445端口是常用的生產端口,所以通常需要開放。
如果單從終端安全角度來看,很多工控系統的安全性確實比不上你的“破電腦”。
首先,你的電腦長期暴露在一個充滿木馬病毒的環境里,電腦系統經常打補丁升級,安全軟件也會經常更新病毒特征庫,就類似人體的免疫系統一樣不斷產生“抗體”。
但工廠里的工業控制系統因為處在一個封閉的網絡環境和穩定的狀態,常年不更新,也不裝殺毒軟件。到現在很多工控系統都是用著Windows XP 甚至更老舊的系統。
謝幺:恭喜,你的破電腦安全性成功擊敗 99.9999%的大型工廠……
李航:……
謝幺:為什么工控系統不升級?不裝殺毒軟件?
李航:怕影響設備的可用性。
這次臺積電的發布會上就有人問,既然這次出問題的都是 Window 系統,為何不將幾萬臺用 Windows 系統的設備統統升級,以絕后患?
臺積電的副總裁魏哲家的回答是:臺積電自己并沒有能力升級 Windows,因為機器里包括很多復雜的客戶軟件,如果要升級系統,需要協同客戶一起升級,否則可能會造成設備不可用。
那么問題來了,臺積電這樣的高新技術公司都沒能力升級,那這種情況必然是業界常態了。
工控系統太復雜,一個大型的工控設備,從設計研發到生產可能需要一兩年,工程化又需要幾年,其中很可能還涉及到多個不同廠商的軟硬件,如果升級系統打的補丁跟其中某個部件不兼容,很可能影響設備的可用性,比如升了級之后忽然用不了了。
而且很多大型設備一運行就是很多年,暫停重啟一次就是不小的損失,這種情況下不具備經常更新的條件。不裝殺毒軟件,主要也是怕誤殺正常的生產進程。
謝幺:想想也是,鋼鐵廠里幾千度高溫的鐵水正在沸騰,工頭忽然說等等!停一下,誒 我來裝個補丁重啟一下,順帶殺個毒,然后鐵水一下子就冷卻凝固了,換誰誰也受不了。
李航:…… ……
(圖源:全景網)
李航:嗯,所以對工控設備來說,物理隔離很重要,但同時又不能過于依賴,一個縱深的安全體系很重要。
謝幺:這次臺積電的事,在工業界屬于常規動作還是特殊操作?
李航:在工控安全領域,設備“帶病運行”其實是常態。
打個比方,人類生活在一個充滿病毒、細菌的環境中,我們人體每時每刻都在被病毒、細菌影響,但是平日里相安無事,只有當你感到渾身乏力腰膝酸軟感冒流涕,感到身體被掏空的時候,你才意識到生病了。
工控設備也是這樣,很多設備其實感染著各種病毒木馬什么的,只不過它們并不一定會對機器的正常運轉產生任何影響,因為病毒很可能是針對 PC 的,不小心就感染到工控設備。這種情況下,人們通常選擇不處理。
總體來講,工控領域是缺少安全基因的。
今年上半年我就寫過一篇文章,里頭有7個關于工控安全的預測,其中一個就是:未來一段時間內,工控安全事件存在大量爆發的可能性。
這些年工控安全領域的研究不斷高漲和持續,工具技術都在升級(比如Shodan搜索引擎了解一下?),一些工控系統在未完全建立安全體系的情況下就跟外界互聯互通(故意或不經意間),這都讓網絡安全威脅進一步加大。
這次事件,可謂“意料之外”,也是“情理之中”。
謝幺:假設這次是某競爭對手派出的黑客 APT 組織蓄意造成的破壞,對方需要多高的黑客水平?
李航:臺積電否認了黑客入侵和內鬼。如果單純從技術角度來做假設,并不是很難。
謝幺:我聽說過一種“供應鏈投毒”的黑客攻擊手法,就是黑客摸清了供應鏈關系,提前在上游投毒,這次的情況存在這種可能性嗎?
李航:目前沒有證據表明臺積電這次病毒事件是蓄意投毒,但單純從技術角度來說,理論上也存在這種可能性。
比如黑客知道臺積電要新增一臺機臺,提前在這臺機器里植入木馬病毒,然后坐等他們把機器并入生產線。
謝幺:存在內鬼的可能性嗎?
李航:也沒有證據表明有內鬼。(有也不會對外說啊),但在工控安全領域在實際操作中,都是防內勝于放外,內部威脅更普遍。
謝幺:后續臺積電可能會怎么做?
李航:恢復生產后肯定會溯源,順著感染病毒機器的供應鏈往上追溯,找到新機臺染毒的原因,以及造成人為疏忽,沒殺毒就并入生產線的原因。
另外,據說他們開始引入自動化檢測的流程,杜絕人為失誤造成的問題。
----淺黑的分割線----
臺積電的年報里有一段話很有意思:
盡管我們已建立一個全面的互聯網和計算機安全網路,但無法保證控制或維護重要企業職能的計算系統完全不受任何第三方造成的嚴重網絡攻擊的影響,第三方有可能未經授權訪問我們的內部網路系統,蓄意破壞我們的業務運營,商譽或其他方面。
萬一發生嚴重的網絡攻擊,我們的系統有可能丟失重要的企業數據,我們的生產線可能在等待此類攻擊解決的過程中,無限期關閉。雖然我們還力求每年審查和評估自己的網絡安全政策和程序,以確保其充分性和有效性,但當時無法保證在網絡安全威脅不斷變化的形勢下,我們不會收到新出現的風險和攻擊的影響。
臺積電面臨的網絡安全問題,其實是整個工業界面臨的安全癥結。
那句“臺積電自己沒有能力升級Windows 系統”里充滿著無奈。明知道問題在哪,很多時候也限于各種條件難以解決。
不過話說回來,如今云計算、AI 、區塊鏈等各項新技術都在跟工控領域大施拳腳,未來工控安全也必定面臨前所未有的挑戰。
問題擺在那,終究是要解決的,自己不解決,黑客遲早也會推著你解決。
最后再介紹一下我自己吧,我是謝幺,科技科普作者一枚,日常是把各種高大上的技術知識、黑科技講得通俗有趣。如果有什么有意思的科技類問題,可以加我的個人微信:dexter0。
不想走丟的話,請關注【淺黑科技】!
----
發現科技的小秘密