恭喜，你的破電腦安全性擊敗了全球99.999999%的大型工廠

話說見過大世面的人心態就是好~

8月6日，台積電副總裁魏哲家面對記者的鏡頭，沒有慌得一匹。

他全程半微笑，讓人絲毫聯想不到他所在的公司損失了 78 億新台幣（摺合17億人民幣），剛從生產線停擺中恢復過來。

（台積電副總裁魏哲家）

3天前，台積電位於台灣新竹科學園的的12寸晶圓廠生產線忽然暫停，原因不明。

工人們都懵了，要知道，以往生產線只在地震這樣的特殊情況下出現過。

隨後，台積電在台灣的所有廠區像是點燃了的鞭炮，台中廠區，台南廠商，不到一小時，所有生產線全部停擺。

有消息傳出，生產線停運系電腦病毒導致。

台積電的生產線支撐著英特爾、高通、華為、蘋果等品牌的晶片代工生產，而現在又是出貨旺季，停運意味著損失巨大。

同時，台積電今年剛拿下蘋果公司的唯一晶片代工權，若不能及時恢復生產，很可能造成一蘋果新機的延遲發布，繼而影響之後的合作……

事發當天，有業內人士預估，此次病毒事件給台積電造成的直接經濟損失超過十億人民幣。

受該事件影響，當天台積電的股票也出現一定幅度波動。

……

然鵝！

誰能想到，又過了一天，台積電就宣布生產線80%已恢復，毛利率損失控制在1%，原因已經查明，系去年爆發的勒索病毒「WannaCry」的變種，問題不大，只是人工操作失誤導致，不存在黑客攻擊。

（腦補台詞：大家就當無事發生啦~）

事情雖已過去，可吃瓜群眾心中的幾個疑惑還沒解決：

這次事件在業界屬於啥水平？小意思、中等意思還是大意思？

永恆之藍這都爆發一年了，連我的破電腦都不怕了，為啥台積電這麼個高科技企業能出事？

工業隔離網不是沒連接網際網路麼？怎麼還會中病毒？是企業內鬼，黑客蓄意攻擊，還是偶然中招？

假設（純屬假設）競爭對手某星派黑客鬧出這麼一次事件，需要多高的黑客水平？

……

……

帶著這些疑問，我找到一個叫李航的朋友。

此人十分擅長工控安全研究，若問有多擅長，不妨先看看他的 title 有多長。

他現在的 title 是 360企業安全集團工業網際網路安全事業部副總經理。

入職360之前，他的 title 是工業控制系統信息安全技術國家工程實驗室工控安全檢測中心主任。

。

。

。

Let's Rock !

謝么：這次是黑客蓄意攻擊還是莫名中槍？

李航：台積電對外聲稱是人為工作失誤，否認了外界對於黑客攻擊和內鬼的猜測。

目前沒有其他信息能否定這一說法，我傾向於相信。

謝么：工業網絡一般跟網際網路隔離的，為什麼台積電還會中招？

李航：工業生產網絡的確和網際網路隔離，但是工廠為了擴充生產力，經常會加入一些新的機器設備。

這次台積電中招，據官方公布的消息就是因為一台新機台（加工產品的機器）未經過殺毒就直接連入生產網絡，結果該機台恰好帶有 WannaCry 勒索病毒的變異版本，一旦進入生產網絡，該病毒會迅速在內網中橫向傳播，導致全線故障。

（機台：我們中出了一個叛徒……）

李航：很多工控單位以為只要物理隔離就能確保萬無一失，所以隔離網內部的信息安全管控就很鬆懈，員工一般怎麼方便怎麼來操作。

但其實，突破物理隔離的方法有很多。

比如「震網病毒」事件中，伊朗核電站也是完全物理隔絕，但美國的黑客組織先黑進核電站一名員工家裡的電腦，繼而讓病毒進入他的U盤，而這名員工恰好也違規操作，將自己的U盤插在核電站內部的機器上，最終病毒幾經周折終於進入核電站內網，破壞了核電站離心機。

再比如，有的員工違規將自己的手機插在公司設備的U口上充電，也可能導致原本隔離的網絡一下子連接到網際網路。

類似的情況還有很多很多，所以即便做了物理隔離也不能默認內部就是百分之百安全，依然要做相應的安全措施。

謝么：出了這事以後，有人說台積電的信息安全水平不行，你怎麼看？

李航：其實據我所知，台積電的信息安全水準還是不錯的。

首先，台積電之前的副總裁左大川是資深安全專家，今年三月剛卸任，我相信台積電在安全體系上建設很有經驗。

其次，台積電這次的損失雖然不小，但他們恢復生產的很迅速，據說第二天就恢復了80%，並且排查出具體原因，這響應速度在業界相當不錯，說明他們在實時災備方面做得很好，出了問題可以很快將機器還原成到可生產的狀態。

橫向對比，去年wannacry勒索病毒席捲全球時，汽車廠商雷諾的生產線同樣遭遇停產，花了大半個月才恢復。

不過無論如何，這次台積電中招停產損失巨大，肯定還是因為安全體系建設過程中存在重大疏漏。

主要體現在兩點：一是對生產資產的掌握程度不夠，新增了一台機台，沒有殺毒就直接投產；二是終端主機的防護不足。

謝么：為什麼「永恆之藍」漏洞和「WannaCry」 爆出那麼久，連我的破電腦都不怕了，台積電的生產線還扛不住？

李航：因為工控安全太特殊也太複雜了，跟個人PC電腦完全不是一回事。

比如最近有人吐槽台積電的生產線沒有關閉445埠，導致病毒在內網迅速傳播。

對於個人電腦，如果沒連接印表機等設備時可以關閉該埠。

但在工控環境下，445埠是常用的生產埠，所以通常需要開放。

如果單從終端安全角度來看，很多工控系統的安全性確實比不上你的「破電腦」。

首先，你的電腦長期暴露在一個充滿木馬病毒的環境裡，電腦系統經常打補丁升級，安全軟體也會經常更新病毒特徵庫，就類似人體的免疫系統一樣不斷產生「抗體」。

但工廠里的工業控制系統因為處在一個封閉的網絡環境和穩定的狀態，常年不更新，也不裝殺毒軟體。

到現在很多工控系統都是用著Windows XP 甚至更老舊的系統。

謝么：恭喜，你的破電腦安全性成功擊敗 99.9999%的大型工廠……

李航：……

謝么：為什麼工控系統不升級？不裝殺毒軟體？

李航：怕影響設備的可用性。

這次台積電的發布會上就有人問，既然這次出問題的都是 Window 系統，為何不將幾萬台用 Windows 系統的設備統統升級，以絕後患？

台積電的副總裁魏哲家的回答是：台積電自己並沒有能力升級 Windows，因為機器里包括很多複雜的客戶軟體，如果要升級系統，需要協同客戶一起升級，否則可能會造成設備不可用。

那麼問題來了，台積電這樣的高新技術公司都沒能力升級，那這種情況必然是業界常態了。

工控系統太複雜，一個大型的工控設備，從設計研發到生產可能需要一兩年，工程化又需要幾年，其中很可能還涉及到多個不同廠商的軟硬體，如果升級系統打的補丁跟其中某個部件不兼容，很可能影響設備的可用性，比如升了級之後忽然用不了了。

而且很多大型設備一運行就是很多年，暫停重啟一次就是不小的損失，這種情況下不具備經常更新的條件。

不裝殺毒軟體，主要也是怕誤殺正常的生產進程。

謝么：想想也是，鋼鐵廠里幾千度高溫的鐵水正在沸騰，工頭忽然說等等！停一下，誒 我來裝個補丁重啟一下，順帶殺個毒，然後鐵水一下子就冷卻凝固了，換誰誰也受不了。

李航：…… ……

（圖源：全景網）

李航：嗯，所以對工控設備來說，物理隔離很重要，但同時又不能過於依賴，一個縱深的安全體系很重要。

謝么：這次台積電的事，在工業界屬於常規動作還是特殊操作？

李航：在工控安全領域，設備「帶病運行」其實是常態。

打個比方，人類生活在一個充滿病毒、細菌的環境中，我們人體每時每刻都在被病毒、細菌影響，但是平日裡相安無事，只有當你感到渾身乏力腰膝酸軟感冒流涕，感到身體被掏空的時候，你才意識到生病了。

工控設備也是這樣，很多設備其實感染著各種病毒木馬什麼的，只不過它們並不一定會對機器的正常運轉產生任何影響，因為病毒很可能是針對 PC 的，不小心就感染到工控設備。

這種情況下，人們通常選擇不處理。

總體來講，工控領域是缺少安全基因的。

今年上半年我就寫過一篇文章，裡頭有7個關於工控安全的預測，其中一個就是：未來一段時間內，工控安全事件存在大量爆發的可能性。

這些年工控安全領域的研究不斷高漲和持續，工具技術都在升級（比如Shodan搜尋引擎了解一下？），一些工控系統在未完全建立安全體系的情況下就跟外界互聯互通（故意或不經意間），這都讓網絡安全威脅進一步加大。

這次事件，可謂「意料之外」，也是「情理之中」。

謝么：假設這次是某競爭對手派出的黑客 APT 組織蓄意造成的破壞，對方需要多高的黑客水平？

李航：台積電否認了黑客入侵和內鬼。

如果單純從技術角度來做假設，並不是很難。

謝么：我聽說過一種「供應鏈投毒」的黑客攻擊手法，就是黑客摸清了供應鏈關係，提前在上游投毒，這次的情況存在這種可能性嗎？

李航：目前沒有證據表明台積電這次病毒事件是蓄意投毒，但單純從技術角度來說，理論上也存在這種可能性。

比如黑客知道台積電要新增一台機台，提前在這台機器里植入木馬病毒，然後坐等他們把機器併入生產線。

謝么：存在內鬼的可能性嗎？

李航：也沒有證據表明有內鬼。

（有也不會對外說啊），但在工控安全領域在實際操作中，都是防內勝於放外，內部威脅更普遍。

謝么：後續台積電可能會怎麼做？

李航：恢復生產後肯定會溯源，順著感染病毒機器的供應鏈往上追溯，找到新機台染毒的原因，以及造成人為疏忽，沒殺毒就併入生產線的原因。

另外，據說他們開始引入自動化檢測的流程，杜絕人為失誤造成的問題。

----淺黑的分割線----

台積電的年報里有一段話很有意思：

儘管我們已建立一個全面的網際網路和計算機安全網路，但無法保證控制或維護重要企業職能的計算系統完全不受任何第三方造成的嚴重網絡攻擊的影響，第三方有可能未經授權訪問我們的內部網路系統，蓄意破壞我們的業務運營，商譽或其他方面。

萬一發生嚴重的網絡攻擊，我們的系統有可能丟失重要的企業數據，我們的生產線可能在等待此類攻擊解決的過程中，無限期關閉。

雖然我們還力求每年審查和評估自己的網絡安全政策和程序，以確保其充分性和有效性，但當時無法保證在網絡安全威脅不斷變化的形勢下，我們不會收到新出現的風險和攻擊的影響。

台積電面臨的網絡安全問題，其實是整個工業介面臨的安全癥結。

那句「台積電自己沒有能力升級Windows 系統」里充滿著無奈。

明知道問題在哪，很多時候也限於各種條件難以解決。

不過話說回來，如今雲計算、AI 、區塊鏈等各項新技術都在跟工控領域大施拳腳，未來工控安全也必定面臨前所未有的挑戰。

問題擺在那，終究是要解決的，自己不解決，黑客遲早也會推著你解決。

最後再介紹一下我自己吧，我是謝么，科技科普作者一枚，日常是把各種高大上的技術知識、黑科技講得通俗有趣。

如果有什麼有意思的科技類問題，可以加我的個人微信：dexter0。

不想走丟的話，請關注【淺黑科技】！

----

發現科技的小秘密