欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

勒索病毒爆发波及中石油:2万座加油站断网

程序员文章站 2022-05-20 15:32:38
5月14日13时许,成都东二环的中石油某加油站连外网已恢复,能够办理顾客刷卡付款、为加油卡充值等业务;此刻,中石油北京华威路上一加油站也已恢复连外网。若从13日凌晨1点开始计,这两座加油站已断网约36...

5月14日13时许,成都东二环的中石油某加油站连外网已恢复,能够办理顾客刷卡付款、为加油卡充值等业务;此刻,中石油北京华威路上一加油站也已恢复连外网。若从13日凌晨1点开始计,这两座加油站已断网约36小时。

实际上,这两个加油站的断网和恢复,是中石油国内超2万座加油站周末境遇的写照。

5月13日,《每日经济新闻》独家报道,包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网,因断网无法刷银行卡及使用网络支付,只能使用现金,加油站加油业务正常运行。

据中石油相关负责人透露,截至5月14日12时,“中国石油80%以上加油站已经恢复网络连接”。断网开始于5月13日1时,“公司紧急中断所有加油站上连网络端口”。而之所以断网,其表示,因全球WannaCry勒索病毒爆发,公司所属部分加油站正常运行受到波及。

勒索病毒爆发波及中石油:2万座加油站断网

●断网“有惊无险”

14日中午,《每日经济新闻》记者来到前述位于成都东二环的中石油加油站,恰遇有客户要为加油卡充值。该站一位员工称,“现在还办理不了”,而另一位员工立即提醒,“现在已可办理。”其表示该加油站的网络刚恢复,支付宝等网络支付方式已可正常使用。

加油正常,但只能用现金、充值卡来付款,不能刷卡等连外网为主的方式进行支付,是过去一天国内中石油加油站的普遍情况。

“中国石油紧急应对勒索病毒影响。”14日午间,中石油相关负责人告诉记者。这寥寥数字,终于揭开了中石油加油站大面积断网的真实原因。

该相关负责人进而介绍,5月12日22:30左右,因全球WannaCry勒索病毒爆发,该公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。

实际上,就是在12日,一次可谓迄今为止最大规模的勒索病毒网络攻击席卷全球。在中国,最早曝出受到该病毒影响的是一些高校。

13日早上8时许,《每日经济新闻》记者来到成都东二环中石油某加油站,该加油站的加油业务比较正常,但不能通过刷卡、网络支付。

“(断网)大概是在前天(5月13日)1点左右。”14日,前述成都东二环中石油加油站的员工回忆。彼时,加油站接到公司应急科的通知,因为疑似有中石油加油站网络受到病毒攻击,为了防止病毒的进一步传播,要求其切断外网。

截至14日中午12时,中国石油80%以上加油站已经恢复网络连接。

●网络逐步恢复

13日上午,《每日经济新闻》多位记者分别联系北京、上海、成都、重庆、南京、杭州、武汉、厦门、南充、德阳等国内多个城市数十个中石油加油站均被告知,不能刷卡和网络支付。

由于仍然可以采用现金、加油卡等不需要联网的支付方式支付油费,中石油加油站的正常业务并没有受到太大影响。

随后,记者又致电中石油相关负责人,对方当时表示,该事件正在核实中,会尽快公布结果。对于断网原因,其并未回应。不过,断网原因在中石油加油站员工内部已传开。当日,一位加油站员工告诉记者,“主要是受到一种全球性的病毒攻击所致。”

“5月13日凌晨1点,为确保用户数据安全和防止病毒扩散,中国石油紧急中断了所有加油站上连网络端口。”就中石油而言,断网是为了排查风险,特别是内部已有加油站“遇袭”。

实际上,上述病毒的波及范围颇广。在国内,其对部分高校的教育网、校园网造成严重影响,致使许多实验室数据被锁,不少学生的论文等重要资料“沦陷”。

经过12小时的奋战,13日13时,根据现场验证过的技术解决方案,中石油开始逐站实施恢复工作。到了14日12时,中石油八成加油站的网络已经恢复正常。同时,“受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。”

随后其网络恢复进展如何?昨日下午,中国石油相关负责人向记者表示,已陆续恢复,没有其他信息发布。目前,中石油的加油站网络数量仍在增长,且引入了更多新兴支付渠道。

据中国石油公告,其2016年不断提升单站销售能力,销售网络进一步完善,运营加油站数量达到20895座,同比增长0.9%。单站加油量10.46吨/日,同比减少0.9%。此外,中国石油网上支付可通过加油卡、微信、支付宝等99种方式支付费用。

为何中石油的加油站网络系统受到了此次勒索病毒的袭击?四川无声信息技术有限公司副总经理邹晓波分析认为,可能发生的情况是:部分加油站的网络平时不会注意到补丁升级,目前出现的问题可能是支付系统主机被病毒锁定,而部分主机感染后,如果其他主机不采取防范措施,很容易导致全网感染。

原因剖析

关键行业的“中毒”烦恼:外网便利添风险 终端电脑量大难管控

每经记者 李少婷 每经编辑 陈俊杰

5月12日晚间,WannaCry(又称Wanna Decryptor)勒索病毒在全球近百个国家和地区爆发,据中国国家信息安全漏洞库(CNNVD)5月14日发布的关于WannaCry勒索病毒攻击事件的分析报告(以下简称CNNVD报告),全球中招案例已超过75000个。

此次恶意攻击来势汹汹。勒索病毒首先在校园系统爆发;5月13日1时,中石油旗下部分加油站突然出现断网,线上支付功能受到影响;5月14日早间,无锡市人民*新闻办公室官方微博“无锡发布”称多地出入境、派出所等*网也疑似遭遇了病毒袭击。

能源、*系统等纷纷“中招”,在网络安全专家看来,这是“安全意识薄弱”惹的祸。但“中招”机构也有苦衷,众多终端难以管理,外网便利又不能割舍,在效率与安全之间,关键行业当如何平衡?

局势暂缓遗留问题难解

截至5月14日,WannaCry勒索软件在中国已经肆虐了3天。中石油称,因勒索病毒爆发,导致银行卡、第三方支付等网络支付功能无法使用,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。

此外,“无锡发布”于5月14日早间发布微博称,无锡出入境处网络系统遭到病毒入侵,13~14日暂停办理所有业务,并且北京、上海、江苏、天津等多地的出入境、派出所等*网也疑似遭遇了病毒袭击。

“中毒”面积之大十分罕见。CNNVD报告称,此次网络攻击涉及百余个国家和地区的*、电力、电信、医疗机构等重要信息系统及个人电脑,最严重区域集中在美国、欧洲、澳洲等。其中,我国爆发时间应为上周五(5月12日)下午3时左右,恰逢国内各单位网络安全防范最松懈之时。

正当人们有些“张皇失措”时,攻击意外中断。据多个行业专家向《每日经济新闻》记者证实,因勒索软件中预留的终止机制被技术人员发现,目前的病毒不会再有新的“中招者”。但此次恶意攻击也远未结束,四川无声信息技术有限公司副总经理邹晓波向记者表示,由于13日有很多终端处于关机状态,不排除星期一(5月15日)这一病毒还会再爆发一轮。

而网络安全专家张瑞东更表示,这一波恶意攻击所造成的遗留问题难以解决,“我记得这个勒索病毒有一个星期的(付赎金)期限,一个星期内不解锁的文件短期内就解不了锁了,原有的已经被锁过的机器是没有办法解决这个问题的。”

这一病毒被认为难以暴力破解,在不交赎金的前提下,想要重新让“中毒”的电脑恢复服务只能重装系统。5月14日,中石油表示,截至5月14日12时,公司80%以上加油站已经恢复网络连接,受病毒感染的加油站正在陆续恢复银行卡、第三方支付功能。

“可能没锁到重要的东西。就像我们在超市买东西,结算的终端机器被锁了,但内部的数据也都会汇总并传到服务器上,这个机器上本来不会产生重要的数据,顶多是加油的时候临时产生的支付的信息,所以才会很容易(修复)。”张瑞东分析道。

但*网络的情势似乎没有那么简单了。记者以咨询者身份于5月14日晚间拨打“无锡发布”的微博中公布的咨询电话,对方表示,目前正在努力恢复网络,但因网络还不稳定,建议不紧急者于一周后再来办理业务。

便利与安全权衡难题

在线支付停摆仅36小时就恢复使用,也没有影响到重要的加油系统,中石油在此次恶意攻击中“有惊无险”。

“加油站的内网与外网是完全独立的,通过中间池交换数据,而中间池仅能读取信息的权限,没办法运行,因此对内网没有什么影响。”为加油站开发ETC支付系统服务的一位技术人员向《每日经济新闻》记者解释道,除非内部人发起攻击,外部攻击者进入中石油的内网是非常难的,这也保证了“加油安全”。

值得注意的是,与中石油的大面积“中招”不同,中国石化就显得安全得多,这是为什么?“这要看内网的边际有多大,比如中石油接了很多外部系统,内网的外部终端就有很多,本身脆弱点也很多,维护人员就需要很多,容易出事。系统是越简单越安全,越复杂越危险。”张瑞东表示。

据公开报道显示,中石油网上支付可通过加油卡、微信、支付宝等99种方式支付费用。

中国石化数据显示,截至2016年12月31日,其品牌加油站总数30603座。对于在此次恶意攻击中“逃过一劫”,中国石化相关负责人向记者表示其加油卡自成体系,此外,该人士还强调,技术上的意外总是难免的,一定会竭力避免。

实际上,考虑到使用的便捷性,已有越来越多的关键性公共事业系统接入外网。而诸如石油网络、*网络、金融系统拥有数量庞大的零散电脑终端,且使用频率高维护管理“粗放”,已成为棘手的安全问题。

除了数量庞大和便利化使用频繁,很多关键行业的网络安全管理粗放和维护意识也是一个难题。

网络安全专家张瑞东表示,针对此次病毒漏洞的“补丁”早在一个月前就已经发布,“中招主要是因为他们用的系统本身很陈旧,不会定期升级导致”。

邹晓波也表示,一些企业的安全管理人员安全意识不到位,存有侥幸心理,而据他这两天接触的案例,勒索病毒已扩散至金融系统,而这些系统的物理隔绝及逻辑隔绝已很完善,感染病毒是源于内网与外网接触的“交叉感染”,如员工使用自带已染毒的笔记本电脑及优盘。

“已经不是疏忽大意的问题了,是规则没有制定好,比如一个星期必须更新一次。”张瑞东介绍道,微软每周都会发布新补丁,从运维安全角度来讲,补丁是要求必须打的,但是因为微软的一些补丁本身会影响到系统的正常使用,或者会造成业务中断,所以很多人就会偷懒。

“不挨打不长教训”是张瑞东对此次事件的评价。邹晓波则表示,相应的安全应急预案也十分重要。上述两位业内人士也提醒,这一波恶意攻击虽被技术人员找到了“停止开关”,但不排除新的变种病毒再度发起攻击。

值得注意的是,5月14日,拥有最尖端反毒软件的“卡巴斯基实验室”通过其官方微信平台发布消息称,“新一波的WannaCry2.0攻击已经袭来,并且这次没有发现停止开关”。

这次,关键领域能抵御住攻击吗?网络安全防范该从何做起?