邱实 牟承晋:美国政府驱使网络武器化的一些典型做法 - 昆仑策
-
邱实 牟承晋:美国政府驱使网络武器化的一些典型做法
2021-03-10
【摘 要】“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”,是网络技术和应用斗争的产物,也是网络发展及地缘政治和价值观演变的必然。对此,我们的感知和认识必须与之相适应,方能有效地应对潜在的风险和挑战,高质量地提升对国家网络安全和安全数据的保障能力。
美国国防部发布《数据战略》(2020年9月30日)强调,“数据作为武器系统”。必须看到,承载数据的是网络基础设施;生成数据的是信息通信技术(ICT)及其应用和服务,由此所形成和构成的供应链是“数据作为武器系统”战略的基本支撑和重要保障。一方面,网络基础设施是由“点”(设备)和“线”(链路)的集合所组成;“点”是被作为“中间人”(MITM)发动攻击的依靠(据点),“线”是被作为“隐形人”(MOTS)进行攻击的依托(暗道)。因此,(物理)网络基础设施被“武器化”,是“数据作为武器系统”的必要条件,而且是“被动性”的条件。另一方面,网络入侵与攻击的形式和方式正在发生演变。通过对用户终端下载软件的修改和更新,植入恶意软件以及远程指挥和控制的指令(木马),不需要(传统的)漏洞挖掘,却更具有目标性和针对性,影响范围更大。“太阳风”管理软件安全事件就是一个典型案例。因此,网络服务和技术被“武器化”,是“数据作为武器系统”的充分条件,并且是“主动性”的条件。“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”,是网络技术和应用斗争的产物,也是网络发展及地缘政治和价值观演变的必然。对此,我们的感知和认识必须与之相适应,方能有效地应对潜在的风险和挑战,高质量地提升对国家网络安全和安全数据的保障能力。事实上,美国国家安全局(NSA)和英国政府通信情报总局(GCHQ),20多年前就已经使互联网(Internet)“武器化”了!2013年11月13日,美国《连线》(Wired)杂志发表索纳尔•乔克希(Sonal Chokshi)署名的专题文章(以下简称《连线》)。尽管当前全球网络信息空间的态势和状况已发生了显著变化,其中一些观点仍具有积极的借鉴和警示意义。《连线》指出,互联网(Internet,以下同)骨干网(数据流量所依赖的网络基础设施),已经从被动性的通信基础设施,发展成为被用于攻击的主动性武器(系统)。据被揭露的有关美国“量子”(Quantum)秘密行动计划,美国国家安全局(NSA)可以“猎杀”(Shoot)其锁定的任何目标,就是利用目标数据通信所必须通过的骨干网络(窃听和拦截)。由此证实,是美国国家安全局(NSA)和英国政府通信情报总局(GCHQ),率先使互联网骨干网络“武器化”。看来,即使没有斯诺登揭露美国政府的所作所为,其他国家也都可以做同样的事,然后大家都会说,“这不是我们干的。即便是,你看着办吧。”《连线》指出,如果NSA入侵巴西国家石油公司(Petrobras),俄罗斯就可以认为其攻击美国美孚石油公司(Exxon Mobil)是合理的;如果GCHQ入侵比利时通信公司(Belgacom)并进行秘密窃听,法国就可以对美国通信公司AT&T进行同样的操作;如果加拿大针对的目标是巴西的矿产和能源部,中国就可以把美国内政部作为目标。我们现在生活在同一个世界,如果“背运”的话,对我们的网络攻击者,可能就是来自我们的数据流经过的每一个国家,除了我们自己的国家。▲ 其实也不尽然,从2020年美国总统大选的情势看来,攻击者可能就在国内,就在自己的身边。《连线》指出,这就意味着我们中间的一部分人,尤其是在经济上或政治上具有重要意义的公司或个人,现在都成为被攻击的目标。所有明文的数据流量不仅是发送与接收的信息,也可能成为攻击载体。《连线》阐述这一过程称,NSA的秘密行动计划“量子”(QUANTUM)的代号,非常适合被称为是一种“数据包注入”的技术,该技术通过欺骗或伪造数据包窃听目标。NSA的窃听甚至不需要保持静默,只需要先向目标发送一条消息。其工作原理是,向监测目标所发出的(连接)请求,注入看似来自真实收件人的虚假答复,从而掌控和跟踪目标(受害者)的行动。《连线》称,在这种情况下,数据包注入用于“隐形人”(MOTS,或“链路劫持”)攻击,其比“中间人”(MITM)攻击更能容忍失败,因为允许监听者观察如做“加法”(增加新的跟踪和掌控的线索),不同于“中间人”攻击只能做“减法”。这就是“隐形人”为什么在监听系统中特别受欢迎的缘故。监听漏掉一些线索也没关系,错过几个总比根本没有线索好。▲ 根据定义,“隐形人”(MOTS:man-on-the-side)攻击,是网络安全中的一种主动攻击形式,类似于“中间人”(MITM:man-in-the-middle)攻击。但“隐形人”的攻击并不同于“中间人”的攻击那样完全控制网络节点,而只是定期访问通信链路,窃听数据流量并注入新消息,且不得修改或删除其他参与者发送的消息。《连线》指出,“隐形人”技术本身实际上很简单,且在Wi-Fi网络上使用的相同技术,也可以用于骨干网中窃听。作者就曾从零开始,仅用几个小时编写一个数据包注入器的软件程序,一直成为黑客大会(DefCon)恶作剧的主要内容。诸如数据包注入的“武器化”技术,《连线》列出NSA的八种已知的典型做法:在斯诺登泄密事件之前,最臭名昭著的就是在网络监管审查中,使用数据包注入。互联网服务提供商(ISP)通过注入TCP重置数据包(RST),拦截不受欢迎的数据流量。当联网终端接收到一个注入的RST数据包时,以为通信已经完成,就会关闭连接。尽管公开披露了监管审查的做法,迫使ISP停止这种行为,但网络监管审查仍然继续利用数据包的注入重置,扩展到域名系统(DNS),注入域名请求的虚假回复响应,阻止网络访问连接。网络广告和服务,在客户端插入的Cookie(保存在客户端的纯文本文件),也是NSA定位的重要标识符。但是,Web浏览器仅在与此类端点进行通信时,才显示这些Cookie。NSA的“量子”Cookie攻击作为一种解决方案,被利用对Tor(洋葱网)的用户进行去匿名化(de-anonymizing)。数据包注入软件程序,可以通过HTTP 302重定向目标站点(例如Hotmail,微软提供的公共电子邮箱),利用回复简单的网页抓取(如小图像),以获取用户端的Cookie。一旦连接到Hotmail时,所有非安全的cookie都被获取和监听,既可以在窃听中识别用户身份,也可以在窃听中使用这些cookie。于是,对于未使用HTTPS加密的任何Webmail服务,NSA的“量子”Cookie都可以窃听目标登录日志,并读取目标的邮件。由于“量子”Cookie在重定向目标时,所抓取的Cookie也可以被设置或修改以及作身份识别,从而使NSA得以在网络通信中主动发现和跟踪所感兴趣的用户。NSA拥有一系列旨在追踪和利用网络访问者的Fox Acid服务器,是美国国家安全局设计的能够针对目标计算机发动各种攻击的系统。概念上,这些服务器类似于Metasploit(安全漏洞监测工具)的Web Server浏览器自动渗透测试模式,可监测任何正在运行的浏览器,以寻找要利用的弱点。只要目标(受害者)访问网络的一个请求被截获,“量子”窃听就能识别出受害者,即在数据包中注入“302”,受害者的网络通信将被重定向到Fox Acid服务器。一旦受害者的浏览器开始与Fox Acid服务器进行通信,该服务器就会迅速接管受害者的计算机。NSA将此称为“量子嵌入”(Quantum Insert)。NSA和GCHQ使用此技术,不仅监听“洋葱网”(Tor)中阅读“基地”组织英语宣传杂志(Inspire)的用户,而且还作为窃听比利时电信公司(Belgacom)的切入点。另一个特别的手段是,识别目标在LinkedIn(社交平台)或Slashdot(技术社区)的账户。当“量子”系统监测到访问LinkedIn或Slashdot的个人时,它会先检查返回的HTML以识别用户身份,然后“猎杀”(跟踪和利用)目标。只要NSA编写一个解析器,就能够从访问的页面内容(包括任何通过HTTP访问的页面)中提取用户身份信息。网络浏览器通常会缓存关键脚本,例如十分普遍的Google分析脚本“ga.js”。数据包注入者可以看到对这些脚本的请求,并以恶意版本进行响应,该恶意版本目前在许多网页上运行。由于此类脚本很少更改,因此受害者将持续使用攻击者的恶意脚本,直到服务器更改脚本或浏览器清除其缓存为止。5)无需漏洞挖掘(Zero-Exploit Exploitation,零漏洞挖掘)英国伽玛国际(Gamma International)公司的Fin Fly“远程监控”黑客工具被销售给政府,通过对用户终端下载软件的修改和更新,嵌入包含Fin Fisher间谍软件的副本,而无须漏洞挖掘。虽然Fin Fly黑客工具可以作为“中间人”模式运作,但是数据包注入可以反复地重现效果。数据包注入器只需等待在受害者尝试下载文件时,就会在数据包中注入“302”,受害者的网络通信将被重定向到一个新的服务器,并提取和修改原始文件后,将其传递给受害者。当受害者运行可执行的被修改文件时,就被“猎杀”(跟踪和利用),而无需任何实际的漏洞挖掘。▲ Fin Fly是伽玛国际公司开发的系列黑客工具,包括Fin Fly-ISP、Fin Fly-Web等。据称,Fin Fly是一种面向国家范围的战略性解决方案,也是一种战术性(移动)工具,可以被集成到ISP的接入和核心网络中,在选定的目标系统上远程安装和远程监控的软件。许多安卓(Android)和iOS应用程序简单地通过HTTP获取数据。特别是安卓广告库“Vulna”,是一个容易被攻击的目标,只要等待对该广告库的请求,并注入回应,就可以有效地完全控制受害者的手机。尽管Google删除了应用程序使用这个广告库,但其他广告库和应用程序仍然可能存在类似的漏洞。7)域名系统衍生的“中间人”(DNS-Derived MITM)某些网络攻击(例如使用伪造的证书拦截HTTPS流量),需要有一个“中间人”,而不是一个简单的窃听者。由于每一次通信都是以DNS请求开始,且DNS解析服务器极少使用DNSSEC加密验证请求与响应,因此,数据包注入者可以简单地查看DNS请求,并注入恶意的DNS响应。例如,对邮件服务器解析记录(MX)的注入,重定向并拦截和修改电子邮件。这相当于网络攻击能力的提升,将“隐形人”转换成了“中间人”。▲ “中间人”攻击,是指攻击者与通信的两端分别创建独立的联系,并交换其所收到的数据,使通信的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。8)放大攻击面(Amplifying Reach)网络的大流量和多传输路径,使得监听和“量子嵌入”(Quantum Insert)受到约束。通过对被托管的大数据的监听,当期望的目标出现时,使用数据包注入将其重定向到既定的服务器;在决定是否进行攻击之前,只需观察潜在受害者来自哪个IP 地址。这就像是“水坑”攻击,而攻击者不需要破坏“水坑”(Watering Hole)。▲ “水坑攻击”,是在受害者必经之路设置一个“水坑”(陷阱)。最常见的做法是,黑客分析被攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入恶意代码,一旦被攻击目标访问该网站就会“中招”。《连线》指出,加密(或类似的系统性方法和手段),不仅可以保护数据流量免受窃听,还可以保护免受攻击。例如,DNSSEC验证可以保护DNS免受篡改,SSL可以保护电子邮件和Web数据。《连线》认为,虽然加密互联网上的所有数据流量,涉及许多工程和数理逻辑上的困难,但是,如果要保护自己免受骨干网络已被“武器化”(Weaponized)的伤害,我们必须克服这些困难。(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】)【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。
电子邮箱:gy121302@163.com
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.com
相关文章