9.1软件的动力学效应

EO 14028最引人注目的举措之一就是采取行动来界定“关键软件”。正如我们之前讨论过的，这些定义可能很难搞清楚。有人可能会认为所有的软件都有潜力成为关键软件，关键在于如何使用它。我们过去使用的一个例子是用于在互联网上显示可爱小猫图片或视频的图像渲染库。很少有人会认为这是关键软件。但是如果同样的库被用来渲染电力环境中的遥测数据呢？那就完全是另一种情况了。同一款软件，不同的使用方式，其关键性完全不同。
一个让许多从业者感到好奇的OT方面是这些系统能够超越其传统的虚拟边界，对现实世界产生实质性的影响。软件控制着保持监狱紧闭的门闸，维护消毒您饮用水的化学混合物，操作电力网，甚至运行军事防御系统的动能部分。如果那个渲染小猫图片的库被用于导弹定位系统，并且士兵的生命依赖于它，那么它也可以被认为是极其关键的。在OT领域中，软件缺陷可能导致人员生命的损失，其潜在后果是灾难性的。
在过去几年中，有多份报告称勒索软件造成医院护理延误，2020 年在德国，有报道称一名患者的死亡是由勒索软件造成的。一名病人的死亡就是由勒索软件造成的。虽然这在很大程度上没有得到证实，但皮尤慈善信托基金会（Pew Charitable Trusts）等机构的研究清楚地表明，这些事件 有可能造成人员伤亡。随着我们这个由软件控制的社会和远程医疗系统为加强医疗服务创造了机会，在为我们提供了新的机遇的同时，也为攻击者提供了新的机会。
对电力网络的攻击也在增加。我们亲眼见证了俄罗斯等国家如何利用网络和动能攻击的组合策略来摧毁一个国家。例如，通过剥夺其提供安全饮用水或电力的能力，整个国家公民的健康可能会受到威胁。一个国家的战争机器，从港口、铁路、电力、水和其他附属设备，都会产生一种网络效应，使得网络破坏对于对手极具吸引力。除此之外，还有什么能从世界各地制造物理破坏？
Stuxnet 攻击可能是通过软件实现动能结果的最佳实例之一。虽然分析表明最初的攻击是由一个受感染的 USB 驱动器发起的，但恶意软件却导致了伊朗核浓缩能力的大规模延迟。一些专业人士指出，这可能导致了984台离心机的运行受阻，伊朗的核计划可能受到长达两年的发展挫折。
对 Stuxnet 攻击进行最透彻分析的可能是由Langner公司进行的。该公司是一家工业控制系统（ICS）资产管理公司，长期以来在 ICS 安全领域拥有深厚的专业知识。他们在2013年发布了题为“To Kill a Centrifuge”的论文(www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf），并在2017年进行了更新。该论文描述了这次袭击最终是如何实施的，以及这对伊朗的核浓缩计划以及其他行业意味着什么，特别是在我们希望防止未来针对关键基础设施的攻击的背景下。
Stuxnet被设计用来降低离心机的效率。虽然感染发生在多个地点，但人们普遍认为Natanz铀浓缩设施是最初的目标。在2010年夏季，人们发现离心机出现异常数量的故障，但并没有引起过多的怀疑。显然，这里的技术水平设计得相当微妙，因为它同样可以轻易地被设计成直接摧毁离心机。
据推测，初始感染是通过感染Windows机器实现的，很可能是控制工程师用来编程和管理西门子软件和设备的移动设备。该恶意软件直到若干年后利用了几个零日漏洞，才被反病毒软件供应商识别为恶意软件。它在初始感染时并没有传输网络，因此，分析网络流量和依靠反恶意软件解决方案来防止传播的传统措施在很大程度上是无效的。
然而，更值得注意的是，除了使用传统方法检测和预防感染所面临的挑战之外，恶意软件的设计逻辑是隐蔽地降低压力系统转子的性能，并最终使其变得脆弱。通过交替使用慢速和快速周期，它突破了系统设计的极限，测试了系统的物理限制。这种逻辑行为的变化表明，合理的代码变化如何能给系统带来重大影响