|  站内搜索:
网站首页 > 时事聚焦 > 深度评析 > 阅读信息
邱实 牟承晋:美国政府驱使网络武器化的一些典型做法
点击:  作者:邱实 牟承晋    来源:昆仑策网【原创】  发布时间:2021-03-10 07:07:06

 

 1.webp.jpg

【摘 要】“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”,是网络技术和应用斗争的产物,也是网络发展及地缘政治和价值观演变的必然。对此,我们的感知和认识必须与之相适应,方能有效地应对潜在的风险和挑战,高质量地提升对国家网络安全和安全数据的保障能力。



美国国防部发布《数据战略》(2020年9月30日)强调,“数据作为武器系统”。必须看到,承载数据的是网络基础设施;生成数据的是信息通信技术(ICT)及其应用和服务,由此所形成和构成的供应链是“数据作为武器系统”战略的基本支撑和重要保障。

一方面,网络基础设施是由“点”(设备)和“线”(链路)的集合所组成;“点”是被作为“中间人”(MITM)发动攻击的依靠(据点),“线”是被作为“隐形人”(MOTS)进行攻击的依托(暗道)。因此,(物理)网络基础设施被“武器化”,是“数据作为武器系统”的必要条件,而且是“被动性”的条件。

另一方面,网络入侵与攻击的形式和方式正在发生演变。通过对用户终端下载软件的修改和更新,植入恶意软件以及远程指挥和控制的指令(木马),不需要(传统的)漏洞挖掘,却更具有目标性和针对性,影响范围更大。“太阳风”管理软件安全事件就是一个典型案例。因此,网络服务和技术被“武器化”,是“数据作为武器系统”的充分条件,并且是“主动性”的条件。

“数据作为武器系统”以及网络基础设施与网络应用和服务被“武器化”,是网络技术和应用斗争的产物,也是网络发展及地缘政治和价值观演变的必然。对此,我们的感知和认识必须与之相适应,方能有效地应对潜在的风险和挑战,高质量地提升对国家网络安全和安全数据的保障能力。

事实上,美国国家安全局(NSA)和英国政府通信情报总局(GCHQ),20多年前就已经使互联网(Internet)“武器化”了!
 

2013年11月13日,美国《连线》(Wired)杂志发表索纳尔•乔克希(Sonal Chokshi)署名的专题文章(以下简称《连线》)。尽管当前全球网络信息空间的态势和状况已发生了显著变化,其中一些观点仍具有积极的借鉴和警示意义。

《连线》指出,互联网(Internet,以下同)骨干网(数据流量所依赖的网络基础设施),已经从被动性的通信基础设施,发展成为被用于攻击的主动性武器(系统)。

据被揭露的有关美国“量子”(Quantum)秘密行动计划,美国国家安全局(NSA)可以“猎杀”(Shoot)其锁定的任何目标,就是利用目标数据通信所必须通过的骨干网络(窃听和拦截)。由此证实,是美国国家安全局(NSA)和英国政府通信情报总局(GCHQ),率先使互联网骨干网络“武器化”。看来,即使没有斯诺登揭露美国政府的所作所为,其他国家也都可以做同样的事,然后大家都会说,“这不是我们干的。即便是,你看着办吧。”

《连线》指出,如果NSA入侵巴西国家石油公司(Petrobras),俄罗斯就可以认为其攻击美国美孚石油公司(Exxon Mobil)是合理的;如果GCHQ入侵比利时通信公司(Belgacom)并进行秘密窃听,法国就可以对美国通信公司AT&T进行同样的操作;如果加拿大针对的目标是巴西的矿产和能源部,中国就可以把美国内政部作为目标。我们现在生活在同一个世界,如果“背运”的话,对我们的网络攻击者,可能就是来自我们的数据流经过的每一个国家,除了我们自己的国家。

▲ 其实也不尽然,从2020年美国总统大选的情势看来,攻击者可能就在国内,就在自己的身边。

《连线》指出,这就意味着我们中间的一部分人,尤其是在经济上或政治上具有重要意义的公司或个人,现在都成为被攻击的目标。所有明文的数据流量不仅是发送与接收的信息,也可能成为攻击载体。

《连线》阐述这一过程称,NSA的秘密行动计划“量子”(QUANTUM)的代号,非常适合被称为是一种“数据包注入”的技术,该技术通过欺骗或伪造数据包窃听目标。NSA的窃听甚至不需要保持静默,只需要先向目标发送一条消息。其工作原理是,向监测目标所发出的(连接)请求,注入看似来自真实收件人的虚假答复,从而掌控和跟踪目标(受害者)的行动。

《连线》称,在这种情况下,数据包注入用于“隐形人”(MOTS,或“链路劫持”)攻击,其比“中间人”(MITM)攻击更能容忍失败,因为允许监听者观察如做“加法”(增加新的跟踪和掌控的线索),不同于“中间人”攻击只能做“减法”。这就是“隐形人”为什么在监听系统中特别受欢迎的缘故。监听漏掉一些线索也没关系,错过几个总比根本没有线索好。

▲ 根据定义,“隐形人”(MOTS:man-on-the-side)攻击,是网络安全中的一种主动攻击形式,类似于“中间人”(MITM:man-in-the-middle)攻击。但“隐形人”的攻击并不同于“中间人”的攻击那样完全控制网络节点,而只是定期访问通信链路,窃听数据流量并注入新消息,且不得修改或删除其他参与者发送的消息。

《连线》指出,“隐形人”技术本身实际上很简单,且在Wi-Fi网络上使用的相同技术,也可以用于骨干网中窃听。作者就曾从零开始,仅用几个小时编写一个数据包注入器的软件程序,一直成为黑客大会(DefCon)恶作剧的主要内容。
 

诸如数据包注入的“武器化”技术,《连线》列出NSA的八种已知的典型做法:

1)监管审查(Censorship)

在斯诺登泄密事件之前,最臭名昭著的就是在网络监管审查中,使用数据包注入。

互联网服务提供商(ISP)通过注入TCP重置数据包(RST),拦截不受欢迎的数据流量。当联网终端接收到一个注入的RST数据包时,以为通信已经完成,就会关闭连接。

尽管公开披露了监管审查的做法,迫使ISP停止这种行为,但网络监管审查仍然继续利用数据包的注入重置,扩展到域名系统(DNS),注入域名请求的虚假回复响应,阻止网络访问连接。

2)用户身份识别(Identification)

网络广告和服务,在客户端插入的Cookie(保存在客户端的纯文本文件),也是NSA定位的重要标识符。

但是,Web浏览器仅在与此类端点进行通信时,才显示这些Cookie。NSA的“量子”Cookie攻击作为一种解决方案,被利用对Tor(洋葱网)的用户进行去匿名化(de-anonymizing)。数据包注入软件程序,可以通过HTTP 302重定向目标站点(例如Hotmail,微软提供的公共电子邮箱),利用回复简单的网页抓取(如小图像),以获取用户端的Cookie。一旦连接到Hotmail时,所有非安全的cookie都被获取和监听,既可以在窃听中识别用户身份,也可以在窃听中使用这些cookie。

于是,对于未使用HTTPS加密的任何Webmail服务,NSA的“量子”Cookie都可以窃听目标登录日志,并读取目标的邮件。由于“量子”Cookie在重定向目标时,所抓取的Cookie也可以被设置或修改以及作身份识别,从而使NSA得以在网络通信中主动发现和跟踪所感兴趣的用户。

3)用户攻击(Attack)

NSA拥有一系列旨在追踪和利用网络访问者的Fox Acid服务器,是美国国家安全局设计的能够针对目标计算机发动各种攻击的系统。

概念上,这些服务器类似于Metasploit(安全漏洞监测工具)的Web Server浏览器自动渗透测试模式,可监测任何正在运行的浏览器,以寻找要利用的弱点。只要目标(受害者)访问网络的一个请求被截获,“量子”窃听就能识别出受害者,即在数据包中注入“302”,受害者的网络通信将被重定向到Fox Acid服务器。一旦受害者的浏览器开始与Fox Acid服务器进行通信,该服务器就会迅速接管受害者的计算机。NSA将此称为“量子嵌入”(Quantum Insert)

NSA和GCHQ使用此技术,不仅监听“洋葱网”(Tor)中阅读“基地”组织英语宣传杂志(Inspire)的用户,而且还作为窃听比利时电信公司(Belgacom)的切入点。

另一个特别的手段是,识别目标在LinkedIn(社交平台)或Slashdot(技术社区)的账户。当“量子”系统监测到访问LinkedIn或Slashdot的个人时,它会先检查返回的HTML以识别用户身份,然后“猎杀”(跟踪和利用)目标。只要NSA编写一个解析器,就能够从访问的页面内容(包括任何通过HTTP访问的页面)中提取用户身份信息。

4)HTTP 缓存中毒(Poisoning)

网络浏览器通常会缓存关键脚本,例如十分普遍的Google分析脚本“ga.js”。

数据包注入者可以看到对这些脚本的请求,并以恶意版本进行响应,该恶意版本目前在许多网页上运行。由于此类脚本很少更改,因此受害者将持续使用攻击者的恶意脚本,直到服务器更改脚本或浏览器清除其缓存为止。

5)无需漏洞挖掘(Zero-Exploit Exploitation,零漏洞挖掘)

英国伽玛国际(Gamma International)公司的Fin Fly“远程监控”黑客工具被销售给政府,通过对用户终端下载软件的修改和更新,嵌入包含Fin Fisher间谍软件的副本,而无须漏洞挖掘。

虽然Fin Fly黑客工具可以作为“中间人”模式运作,但是数据包注入可以反复地重现效果。数据包注入器只需等待在受害者尝试下载文件时,就会在数据包中注入“302”,受害者的网络通信将被重定向到一个新的服务器,并提取和修改原始文件后,将其传递给受害者。当受害者运行可执行的被修改文件时,就被“猎杀”(跟踪和利用),而无需任何实际的漏洞挖掘。

▲ Fin Fly是伽玛国际公司开发的系列黑客工具,包括Fin Fly-ISP、Fin Fly-Web等。据称,Fin Fly是一种面向国家范围的战略性解决方案,也是一种战术性(移动)工具,可以被集成到ISP的接入和核心网络中,在选定的目标系统上远程安装和远程监控的软件。

6)手机应用程序(APP)

许多安卓(Android)和iOS应用程序简单地通过HTTP获取数据。特别是安卓广告库“Vulna”,是一个容易被攻击的目标,只要等待对该广告库的请求,并注入回应,就可以有效地完全控制受害者的手机。尽管Google删除了应用程序使用这个广告库,但其他广告库和应用程序仍然可能存在类似的漏洞。

7)域名系统衍生的“中间人”(DNS-Derived MITM)

某些网络攻击(例如使用伪造的证书拦截HTTPS流量),需要有一个“中间人”,而不是一个简单的窃听者。由于每一次通信都是以DNS请求开始,且DNS解析服务器极少使用DNSSEC加密验证请求与响应,因此,数据包注入者可以简单地查看DNS请求,并注入恶意的DNS响应。例如,对邮件服务器解析记录(MX)的注入,重定向并拦截和修改电子邮件。这相当于网络攻击能力的提升,将“隐形人”转换成了“中间人”。

▲ “中间人”攻击,是指攻击者与通信的两端分别创建独立的联系,并交换其所收到的数据,使通信的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。

8)放大攻击面(Amplifying Reach)

网络的大流量和多传输路径,使得监听和“量子嵌入”(Quantum Insert)受到约束。通过对被托管的大数据的监听,当期望的目标出现时,使用数据包注入将其重定向到既定的服务器;在决定是否进行攻击之前,只需观察潜在受害者来自哪个IP 地址。这就像是“水坑”攻击,而攻击者不需要破坏“水坑”(Watering Hole)

▲ “水坑攻击”,是在受害者必经之路设置一个“水坑”(陷阱)。最常见的做法是,黑客分析被攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入恶意代码,一旦被攻击目标访问该网站就会“中招”。

《连线》指出,加密(或类似的系统性方法和手段),不仅可以保护数据流量免受窃听,还可以保护免受攻击。例如,DNSSEC验证可以保护DNS免受篡改,SSL可以保护电子邮件和Web数据。

《连线》认为,虽然加密互联网上的所有数据流量,涉及许多工程和数理逻辑上的困难,但是,如果要保护自己免受骨干网络已被“武器化”(Weaponized)的伤害,我们必须克服这些困难。
 
(作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网【原创】)

【本公众号所编发文章欢迎转载,为尊重和维护原创权利,请转载时务必注明原创作者、来源网站和公众号。阅读更多文章,请点击微信号最后左下角“阅读原文”】

 


 

【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

电子邮箱:gy121302@163.com

更多文章请看《昆仑策网》,网址:

http://www.kunlunce.cn

http://www.kunlunce.com

责任编辑:红星
特别申明:

1、本文只代表作者个人观点,不代表本站观点,仅供大家学习参考;

2、本站属于非营利性网站,如涉及版权和名誉问题,请及时与本站联系,我们将及时做相应处理;

3、欢迎各位网友光临阅览,文明上网,依法守规,IP可查。

昆仑专题

高端精神

热点排行
  • 一周
  • 一月
  • 半年
  • 建言点赞
  • 一周
  • 一月
  • 半年
  • 图片新闻

    友情链接
  • 186导航
  • 红旗文稿
  • 人大经济论坛
  • 光明网
  • 宣讲家网
  • 三沙新闻网
  • 西征网
  • 四月网
  • 法律知识大全
  • 法律法规文库
  • 最高人民法院
  • 最高人民检察院
  • 中央纪委监察部
  • 共产党新闻网
  • 新华网
  • 央视网
  • 中国政府网
  • 中国新闻网
  • 全国政协网
  • 全国社科办
  • 全国人大网
  • 中国军网
  • 中国社会科学网
  • 人民日报
  • 求是理论网
  • 人民网
  • 备案/许可证编号:京ICP备15015626号-1 昆仑策研究院 版权所有 举报邮箱:kunlunce@yeah.net
    携趣HTTP代理服务器