勒索病毒爆發波及中石油:2萬座加油站斷網35小時恢復八成
鉅亨網新聞中心 2017-05-15 10:44
每經記者謝宏辰蘇杰德朱萬平靳水平 每經編輯陳俊傑
5 月 14 日 13 時許,成都東二環的中石油某加油站連外網已恢復,能夠辦理顧客刷卡付款、為加油卡充值等業務;此刻,中石油北京華威路上一加油站也已恢復連外網。若從 13 日凌晨 1 點開始計,這兩座加油站已斷網約 36 小時。
實際上,這兩個加油站的斷網和恢復,是中石油國內超 2 萬座加油站週末境遇的寫照。
5 月 13 日,《每日經濟新聞》獨家報導,包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在當天凌晨突然斷網,因斷網無法刷銀行卡及使用網絡支付,只能使用現金,加油站加油業務正常運行。
據中石油相關負責人透露,截至 5 月 14 日 12 時,“中國石油 80% 以上加油站已經恢復網絡連接”。斷網開始於 5 月 13 日 1 時,“公司緊急中斷所有加油站上連網絡端口”。而之所以斷網,其表示,因全球 WannaCry 勒索病毒爆發,公司所屬部分加油站正常運行受到波及。
●斷網 “有驚無險”
14 日中午,《每日經濟新聞》記者來到前述位於成都東二環的中石油加油站,恰遇有客戶要為加油卡充值。該站一位員工稱,“現在還辦理不了”,而另一位員工立即提醒,“現在已可辦理。” 其表示該加油站的網絡剛恢復,支付寶等網絡支付方式已可正常使用。
加油正常,但只能用現金、充值卡來付款,不能刷卡等連外網為主的方式進行支付,是過去一天國內中石油加油站的普遍情況。
“中國石油緊急應對勒索病毒影響。”14 日午間,中石油相關負責人告訴記者。這寥寥數字,終於揭開了中石油加油站大面積斷網的真實原因。
該相關負責人進而介紹,5 月 12 日 22:30 左右,因全球 WannaCry 勒索病毒爆發,該公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用,加油及銷售等基本業務運行正常,加油卡賬戶資金安全不受影響。
實際上,就是在 12 日,一次可謂迄今為止最大規模的勒索病毒網絡攻擊席捲全球。在中國,最早曝出受到該病毒影響的是一些高校。
13 日早上 8 時許,《每日經濟新聞》記者來到成都東二環中石油某加油站,該加油站的加油業務比較正常,但不能通過刷卡、網絡支付。
“(斷網)大概是在前天(5 月 13 日)1 點左右。”14 日,前述成都東二環中石油加油站的員工回憶。彼時,加油站接到公司應急科的通知,因為疑似有中石油加油站網絡受到病毒攻擊,為了防止病毒的進一步傳播,要求其切斷外網。
截至 14 日中午 12 時,中國石油 80% 以上加油站已經恢復網絡連接。
●網絡逐步恢復
13 日上午,《每日經濟新聞》多位記者分別聯繫北京、上海、成都、重慶、南京、杭州、武漢、廈門、南充、德陽等國內多個城市數十個中石油加油站均被告知,不能刷卡和網絡支付。
由於仍然可以採用現金、加油卡等不需要聯網的支付方式支付油費,中石油加油站的正常業務並沒有受到太大影響。
隨後,記者又致電中石油相關負責人,對方當時表示,該事件正在核實中,會盡快公佈結果。對於斷網原因,其並未回應。不過,斷網原因在中石油加油站員工內部已傳開。當日,一位加油站員工告訴記者,“主要是受到一種全球性的病毒攻擊所致。”
“5 月 13 日凌晨 1 點,為確保用戶數據安全和防止病毒擴散,中國石油緊急中斷了所有加油站上連網絡端口。” 就中石油而言,斷網是為了排查風險,特別是內部已有加油站 “遇襲”。
實際上,上述病毒的波及範圍頗廣。在國內,其對部分高校的教育網、校園網造成嚴重影響,致使許多實驗室數據被鎖,不少學生的論文等重要資料 “淪陷”。
經過 12 小時的奮戰,13 日 13 時,根據現場驗證過的技術解決方案,中石油開始逐站實施恢復工作。到了 14 日 12 時,中石油八成加油站的網絡已經恢復正常。同時,“受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。”
隨後其網絡恢復進展如何?昨日下午,中國石油相關負責人向記者表示,已陸續恢復,沒有其他信息發布。目前,中石油的加油站網絡數量仍在增長,且引入了更多新興支付渠道。
據中國石油公告,其 2016 年不斷提升單站銷售能力,銷售網絡進一步完善,運營加油站數量達到 20895 座,同比增長 0.9%。單站加油量 10.46 噸 / 日,同比減少 0.9%。此外,中國石油網上支付可通過加油卡、微信、支付寶等 99 種方式支付費用。
為何中石油的加油站網絡系統受到了此次勒索病毒的襲擊?四川無聲信息技術有限公司副總經理鄒曉波分析認為,可能發生的情況是:部分加油站的網絡平時不會注意到補丁升級,目前出現的問題可能是支付系統主機被病毒鎖定,而部分主機感染後,如果其他主機不採取防範措施,很容易導致全網感染。
原因剖析
關鍵行業的 “中毒” 煩惱:外網便利添風險終端電腦量大難管控
每經記者李少婷每經編輯陳俊傑
5 月 12 日晚間,WannaCry(又稱 Wanna Decryptor)勒索病毒在全球近百個國家和地區爆發,據中國國家信息安全漏洞庫(CNNVD)5 月 14 日發布的關於 WannaCry 勒索病毒攻擊事件的分析報告(以下簡稱 CNNVD 報告),全球中招案例已超過 75000 個。
此次惡意攻擊來勢洶洶。勒索病毒首先在校園系統爆發;5 月 13 日 1 時,中石油旗下部分加油站突然出現斷網,線上支付功能受到影響;5 月 14 日早間,無錫市人民政府新聞辦公室官方微博 “無錫發布” 稱多地出入境、派出所等公安網也疑似遭遇了病毒襲擊。
能源、公安系統等紛紛 “中招”,在網絡安全專家看來,這是“安全意識薄弱” 惹的禍。但 “中招” 機構也有苦衷,眾多終端難以管理,外網便利又不能割捨,在效率與安全之間,關鍵行業當如何平衡?
局勢暫緩遺留問題難解
截至 5 月 14 日,WannaCry 勒索軟件在中國已經肆虐了 3 天。中石油稱,因勒索病毒爆發,導致銀行卡、第三方支付等網絡支付功能無法使用,加油及銷售等基本業務運行正常,加油卡賬戶資金安全不受影響。
此外,“無錫發布” 於 5 月 14 日早間發布微博稱,無錫出入境處網絡系統遭到病毒入侵,13~14 日暫停辦理所有業務,並且北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。
“中毒” 面積之大十分罕見。CNNVD 報告稱,此次網絡攻擊涉及百餘個國家和地區的政府、電力、電信、醫療機構等重要信息系統及個人電腦,最嚴重區域集中在美國、歐洲、澳洲等。其中,我國爆發時間應為上週五(5 月 12 日)下午 3 時左右,恰逢國內各單位網絡安全防範最鬆懈之時。
正當人們有些 “張皇失措” 時,攻擊意外中斷。據多個行業專家向《每日經濟新聞》記者證實,因勒索軟件中預留的終止機制被技術人員發現,目前的病毒不會再有新的“中招者”。但此次惡意攻擊也遠未結束,四川無聲信息技術有限公司副總經理鄒曉波向記者表示,由於 13 日有很多終端處於關機狀態,不排除星期一(5 月 15 日)這一病毒還會再爆發一輪。
而網絡安全專家張瑞東更表示,這一波惡意攻擊所造成的遺留問題難以解決,“我記得這個勒索病毒有一個星期的(付贖金)期限,一個星期內不解鎖的文件短期內就解不了鎖了,原有的已經被鎖過的機器是沒有辦法解決這個問題的。”
這一病毒被認為難以暴力破解,在不交贖金的前提下,想要重新讓 “中毒” 的電腦恢復服務只能重裝系統。5 月 14 日,中石油表示,截至 5 月 14 日 12 時,公司 80%以上加油站已經恢復網絡連接,受病毒感染的加油站正在陸續恢復銀行卡、第三方支付功能。
“可能沒鎖到重要的東西。就像我們在超市買東西,結算的終端機器被鎖了,但內部的數據也都會匯總並傳到服務器上,這個機器上本來不會產生重要的數據,頂多是加油的時候臨時產生的支付的信息,所以才會很容易(修復)。” 張瑞東分析道。
但公安網絡的情勢似乎沒有那麼簡單了。記者以諮詢者身份於 5 月 14 日晚間撥打 “無錫發布” 的微博中公佈的諮詢電話,對方表示,目前正在努力恢復網絡,但因網絡還不穩定,建議不緊急者於一周後再來辦理業務。
便利與安全權衡難題
在線支付停擺僅 36 小時就恢復使用,也沒有影響到重要的加油系統,中石油在此次惡意攻擊中 “有驚無險”。
“加油站的內網與外網是完全獨立的,通過中間池交換數據,而中間池僅能讀取信息的權限,沒辦法運行,因此對內網沒有什麼影響。” 為加油站開發 ETC 支付系統服務的一位技術人員向《每日經濟新聞》記者解釋道,除非內部人發起攻擊,外部攻擊者進入中石油的內網是非常難的,這也保證了 “加油安全”。
值得注意的是,與中石油的大面積 “中招” 不同,中國石化就顯得安全得多,這是為什麼?“這要看內網的邊際有多大,比如中石油接了很多外部系統,內網的外部終端就有很多,本身脆弱點也很多,維護人員就需要很多,容易出事。系統是越簡單越安全,越複雜越危險。”張瑞東表示。
據公開報導顯示,中石油網上支付可通過加油卡、微信、支付寶等 99 種方式支付費用。
中國石化數據顯示,截至 2016 年 12 月 31 日,其品牌加油站總數 30603 座。對於在此次惡意攻擊中 “逃過一劫”,中國石化相關負責人向記者表示其加油卡自成體系,此外,該人士還強調,技術上的意外總是難免的,一定會竭力避免。
實際上,考慮到使用的便捷性,已有越來越多的關鍵性公共事業系統接入外網。而諸如石油網絡、公安網絡、金融系統擁有數量龐大的零散電腦終端,且使用頻率高維護管理 “粗放”,已成為棘手的安全問題。
除了數量龐大和便利化使用頻繁,很多關鍵行業的網絡安全管理粗放和維護意識也是一個難題。
網絡安全專家張瑞東表示,針對此次病毒漏洞的 “補丁” 早在一個月前就已經發布,“中招主要是因為他們用的系統本身很陳舊,不會定期升級導致”。
鄒曉波也表示,一些企業的安全管理人員安全意識不到位,存有僥倖心理,而據他這兩天接觸的案例,勒索病毒已擴散至金融系統,而這些系統的物理隔絕及邏輯隔絕已很完善,感染病毒是源於內網與外網接觸的 “交叉感染”,如員工使用自帶已染毒的筆記本電腦及優盤。
“已經不是疏忽大意的問題了,是規則沒有製定好,比如一個星期必須更新一次。” 張瑞東介紹道,微軟每週都會發布新補丁,從運維安全角度來講,補丁是要求必須打的,但是因為微軟的一些補丁本身會影響到系統的正常使用,或者會造成業務中斷,所以很多人就會偷懶。
“不挨打不長教訓” 是張瑞東對此次事件的評價。鄒曉波則表示,相應的安全應急預案也十分重要。上述兩位業內人士也提醒,這一波惡意攻擊雖被技術人員找到了 “停止開關”,但不排除新的變種病毒再度發起攻擊。
值得注意的是,5 月 14 日,擁有最尖端反毒軟件的 “卡巴斯基實驗室” 通過其官方微信平台發布消息稱,“新一波的 WannaCry2.0 攻擊已經襲來,並且這次沒有發現停止開關”。
這次,關鍵領域能抵禦住攻擊嗎?網絡安全防範該從何做起?
- 最新遺產稅怎麼算?傳承必知重點有哪些?
- 掌握全球財經資訊點我下載APP
文章標籤
上一篇
下一篇