|  站内搜索:
网站首页 > 国策建言 > 安全战略 > 阅读信息
邱实 牟承晋:再谈网信空间供应链协议栈的安全:再谈网信空间供应链协议栈的安全
点击:  作者:邱实 牟承晋    来源:昆仑策网【原创】  发布时间:2021-01-03 08:17:16

 

1.webp (4).jpg

【编者按】本文为《牟承晋:再也不能迷信和依赖美国画好的“圈”——TCP/IP协议栈是因特网安全危害的根源》(可点击阅读)的续篇和技术补充。
 
一、概  述

公共漏洞披露(CVE,Common Vulnerabilities & Exposures),2020年6月连续发布了19个TCP/IP协议栈的安全漏洞,其中2个漏洞的严重程度(CVSSv3)为最高级别的“10”,4个漏洞严重程度在“7.3-9.1”之间(参见附件1)。其后,微软、思科(Cisco)等公司相继宣布确认TCP/IP协议栈安全漏洞,称正在修复中。

1.webp (5).jpg


2020年12月8日,位于美国硅谷的Forescout研究实验室在多方协助下,发布了TCP/IP协议栈的33个新漏洞报告,被命名为“失忆:33”(Amnesia: 33)。报告特别指出,“失忆:33”中的大多数漏洞,是由于内存出错引起,使攻击者具备读取或写入存储单元的能力,导致不同程度的影响,例如拒绝服务,信息泄漏和远程控制等。但是,内存出错并非协议栈软件的原创属性。

2020年12月18日,美国网信安全及基础设施安全局(CISA)发布工业控制系统警报(ICSA-20-353-01),其中明确,TCP/IP协议栈安全漏洞的严重程度(CVSSv3)为9.8,直接影响超文本传输协议(HTTP,Hyper Text Transfer Protocol)、因特网协议第6版(IPv6,Internet Protocol Version 6)、动态主机配置协议v6(DHCPv6,Dynamic Host Configuration Protocol v6)
 

1.webp (6).jpg


TCP/IP协议栈是因特网通信互连互通的基础,任何联网的设备都需要安装TCP/IP协议。虽然TCP/IP协议的技术标准是规范的、全球公开的,但实现TCP/IP协议栈的软件是专业企业所开发,不是开源的。

例如,TCP/IP协议栈是美国Treck公司的产品,是“嵌入式”(Embedded)的模块化系统设计,而且是“零副本”(Zero Copy),其源代码不开放。也就是说,Treck公司的TCP/IP协议栈(包括IPv4和IPv6)是网信空间供应链中的一个不可忽视的环节,对于终端用户来说,是被动接受和使用的一个“黑盒子”。

有专家称,网络的安全威胁主要来自于设备漏洞和后门,而不是网络协议本身,网络协议是由技术标准规范的,是全球公开的。公开的就是安全的?否!迷信和盲从因特网协议和标准的认识或假设,是完全错误的,其要害在于:
1)缺失对协议的基础研究,源头和底层的本质没搞清楚;

2)混淆技术标准与协议栈是供应链中两个作用不同的环节;

3)忽视TCP/IP协议栈本身,具有商业化动态有形产品的特性。

一种普遍的认识是,TCP/IP为代表的因特网协议,与因特网的网络信息安全没有太大关系:漏洞自有人去发现,补丁自有人会发布,软件自有人会提供,版本自有人会更新,“事不关己,高高挂起”,习惯于当“甩手掌柜”,习惯于“顺水推舟”,习惯于满足人为寄托或依附于受他人控制的(协议栈与和供应链)“空间”和“地盘”,理所当然地想象“天塌不下来,塌下来也不关我的事”。

值得注意的是,在CISA的安全警报中(参见图1),明确指出Treck的TCP/IP协议栈版本6.0.1.67及之前版本影响IPv6系列。根据公共漏洞披露(CVE,附件1),Treck的TCP/IP协议栈版本 6.0.1.66和之前的版本,影响IPv4隧道(IPv4 Tunneling),严重程度(CVSSv3)为“10”。TCP/IP协议栈版本6.0.1.67包含着之前的6.0.1.66版本,即严重影响IPv4的同时严重影响IPv6,实际上是因特网固有的本源性、原始性先天不足的顽症。

 

或者,CISA的安全警报是在暗示,所披露的IPv4安全漏洞已经得到控制,目前严重的态势,只是必须重视解决IPv6的安全漏洞问题?其中的逻辑与顺序是什么?
 

二、IPv4与IPv6的供应链安全案例


美国网信安全及基础设施安全局(CISA)和美国国家安全局(NSA),是网络安全漏洞的官方认证和管理单位,具有强大的专业技术能力和先发优势。

但是,CISA发布TCP/IP安全漏洞警报却比民间滞后了6个月。一方面,民间的技术力量和能力不容小觑,“玩家”即是专家。另一方面,CISA和NSA真的会如此愚钝、麻木吗?

根据美国政府问责办公室(GAO)的报告(2020-6-1)
● 美国国防部拥有全球IPv4地址(43亿个)的约20%;

● 美国国防部已使用约3亿个IPv4地址;

● 美国国防部的IPv4地址可支持使用到2030年。

因此,美国国防部认为,自2003年开始IPv6过渡计划以来,IPv4地址短缺不是过渡到IPv6的主要动力。
 

1.webp (7).jpg


2014年12月,美国国防部监察长(IG)签发“国防部需要重启IPv6的过渡”(DODIG-2015-044)报告。

1)其中指出,根据美国国防部“IPv6过渡计划 v2.0”(2006-6)
● 国防部首席信息官全面负责确保国防部门及时、一致地过渡到IPv6,确保互操作性和安全性,并根据需要发布策略。

● 国防信息系统局负责在国防信息系统网络上规划和实施IPv6,包括非涉密IP路由器网络(NIPRNet)和涉密IP路由器网络(SIPRNet)。此外,国防信息系统局负责采购、分配和管理国防部的IPv6地址空间,对IPv6产品和功能进行互操作性测试和认证,并与国家安全局(NSA)合作确保在IPv6过渡中的信息安全以及发现存在的安全问题。

● 网军司令部负责IPv6过渡的计划、协调、整合、同步和实施,并对具体国防部信息网络的运行和防御给予指导。网军司令部还负责进行网信空间的全方位军事作战,实现全域的行动。在非涉密IP路由器网络(NIPRNet)上启用IPv6,必须得到网军司令部的批准。

2)其中认定,美国国防部需要重启向IPv6过渡的主要原因是:
● 国防部首席信息官(CIO)和网军司令部并未将 IPv6作为重点;

● 国防部首席信息官,网军司令部和国防信息系统局(DISA)的工作缺乏有效的协调,没有运用可用资源推动在国防部范围内的 IPv6 过渡;

● 国防部首席信息官没有推进国防部 IPv6 过渡的当前行动计划和阶段性目标。

3)其中总结,从2003年到2014年,美国国防部的 IPv6 过渡计划的实施仅仅是实验性的,既没有进行全面部署,也没有投入规模过渡。主要原因包括:
● 由于网军司令部/国家安全局并不具备充分能力识别过渡 IPv6 或保护 IPv6 网络的潜在安全风险,因此其重点是保护当前的 IPv4 网络。

 


由此可见,虽然美国国防部拥有充足的 IPv4 地址资源,且是在全球最先最早开始 IPv6 过渡计划,但是其先决条件之一是要具备“充分能力识别过渡 IPv6 或保护 IPv6 网络的潜在风险。”

反之,如果过渡 IPv6 是为了解决 IP 地址短缺,仅仅是为了能够“载舟”(应用),而忽略忽视在过渡过程中和实际应用中潜在和未知的安全风险,则必然面临“覆舟”(代价)的危险。

这就是因特网网信空间不可回避的供应链安全(Supply Chain Security)问题。
 
三、供应链安全问题

随着网信空间的发展,供应链的组成、形态和复杂性也发生了显著的变化。其安全问题不再仅仅是有形物体和产品的供给和集成。

仍在发酵的美国大选中揭露的“太阳风”(Solarwinds)网管软件漏洞,使供应链安全问题对全球造成强烈震撼和深刻影响。我国一些专家们仍然认为,确保供应链安全是“最难破解的”(hardest nut to crack)问题,因为既没有全球公认的软件安全标准集,也没有满足这些要求的任何形式的强制性措施。

TCP/IP协议栈的安全漏洞比“太阳风”网络软件漏洞的影响更加严重,只是目前尚未发现这些已知“失忆”的漏洞被攻击者如何利用。网络协议的生态环境和供应链关系简化如图3:
 

 

 

1.webp (8).jpg

其中,“数字资源”的源头是因特网域名与数字地址分配机构(ICANN)。当被授权的机构从ICANN获得域名和数字地址(如IPv6),所拥有的是对因特网数字资源的分配和管理,是供应链中的一个引导环节,并不直接具备和承担网络和信息安全的能力与责任。以网络域名和 IP 地址为例:

 

1)在“太阳风”安全事件中,攻击者注册了恶意域名 “avsvmcloud.com”作为指挥和控制(C2),把下载更新软件的用户重定向到该恶意域名,下载被注入恶意代码的软件(如SUNBURST后门),并通过该域名的“别名”(CNAME)切换动态的子域名。已被披露的恶意子域名有1722个,用以调度和掩饰隐蔽攻击行为。

2)“失忆:33”TCP/IP协议栈安全漏洞中,附件1给出的 “CVE-2020-11897”的高危影响,是通过多个格式错误的IPv6数据包,对 TCP/IP 协议栈“越界写入”(Out-of-Bounds Write),从而导致系统损坏、协议崩溃或远程控制。

显然,以掩耳盗铃的“马甲”方式提供域名服务、错误渲染可替代根域名服务器、片面强调 IPv6 地址的特点优于 IPv4,本质上都是“管中窥豹”,是在悖逆现实和科学的道路上渐行渐远。

严峻斗争中的对标(知彼知己),不能不注意到:
2007年 6月,美国国防部“全球信息网格”(GIG)提出并实施网络边界安全,是通过域名系统(DNS)服务以及域名和IP地址实现“隐身核心”(Black Core)和“隐形云”(Black Cloud)

2014年12月,美国国防部总结“软件开发商”和“硬件开发商”是过渡 IPv6 的主要瓶颈。

2020年3月,美国国家安全局局长兼网战司令部司令官保罗•中曾根在众议院述职时称,已实现了“零信任”(Zero Trust)网络框架模型,并在国防部和政府部门开始试点示范。

请注意,“零信任”是不存在任何信任,不是“毫不怀疑的信任”。即不能信任出入网络的任何内容,必须创建一种以数据为中心的全新边界,通过强身份验证技术保护数据。

综上,不论域名空间安全,还是 IPv6 地址空间安全,都是动态的信息和生态环境中一个实时及“零信任”供应链安全。显然,重新认识并构建网信空间的“供应链安全”,至关重要!
 
【相关阅读】

牟承晋:再也不能迷信和依赖美国画好的“圈”——TCP/IP协议栈是因特网安全危害的根源


(作者:邱实,网络信息安全专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】

【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】

 


 

【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

电子邮箱:gy121302@163.com

更多文章请看《昆仑策网》,网址:

http://www.kunlunce.cn

http://www.kunlunce.com

责任编辑:红星
特别申明:

1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;

2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;

3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。

昆仑专题

高端精神

热点排行
  • 一周
  • 一月
  • 半年
  • 建言点赞
  • 一周
  • 一月
  • 半年
  • 图片新闻

    友情链接
  • 186导航
  • 红旗文稿
  • 人大经济论坛
  • 光明网
  • 宣讲家网
  • 三沙新闻网
  • 西征网
  • 四月网
  • 法律知识大全
  • 法律法规文库
  • 最高人民法院
  • 最高人民检察院
  • 中央纪委监察部
  • 共产党新闻网
  • 新华网
  • 央视网
  • 中国政府网
  • 中国新闻网
  • 全国政协网
  • 全国社科办
  • 全国人大网
  • 中国军网
  • 中国社会科学网
  • 人民日报
  • 求是理论网
  • 人民网
  • 备案/许可证编号:京ICP备15015626号-1 昆仑策研究院 版权所有 举报邮箱:kunlunce@yeah.net
    携趣HTTP代理服务器