免费黄色a片完整视频在线观看,99ri在线精品视频,欧美亚洲一级

邱實牟承晉：再談網(wǎng)信空間供應鏈協(xié)議棧的安全：再談網(wǎng)信空間供應鏈協(xié)議棧的安全

點擊：作者：邱實牟承晉來源：昆侖策網(wǎng)【原創(chuàng)】發(fā)布時間:2021-01-03 08:17:16

1.webp (4).jpg

【編者按】本文為《牟承晉：再也不能迷信和依賴美國畫好的“圈”——TCP/IP協(xié)議棧是因特網(wǎng)安全危害的根源》（可點擊閱讀）的續(xù)篇和技術補充。

一、概述

公共漏洞披露（CVE，Common Vulnerabilities & Exposures），2020年6月連續(xù)發(fā)布了19個TCP/IP協(xié)議棧的安全漏洞，其中2個漏洞的嚴重程度（CVSSv3）為最高級別的“10”，4個漏洞嚴重程度在“7.3-9.1”之間（參見附件1）。其后，微軟、思科（Cisco）等公司相繼宣布確認TCP/IP協(xié)議棧安全漏洞，稱正在修復中。

1.webp (5).jpg

2020年12月8日，位于美國硅谷的Forescout研究實驗室在多方協(xié)助下，發(fā)布了TCP/IP協(xié)議棧的33個新漏洞報告，被命名為“失憶：33”（Amnesia: 33）。報告特別指出，“失憶：33”中的大多數(shù)漏洞，是由于內存出錯引起，使攻擊者具備讀取或寫入存儲單元的能力，導致不同程度的影響，例如拒絕服務，信息泄漏和遠程控制等。但是，內存出錯并非協(xié)議棧軟件的原創(chuàng)屬性。

2020年12月18日，美國網(wǎng)信安全及基礎設施安全局（CISA）發(fā)布工業(yè)控制系統(tǒng)警報（ICSA-20-353-01），其中明確，TCP/IP協(xié)議棧安全漏洞的嚴重程度（CVSSv3）為9.8，直接影響超文本傳輸協(xié)議（HTTP，Hyper Text Transfer Protocol）、因特網(wǎng)協(xié)議第6版（IPv6，Internet Protocol Version 6）、動態(tài)主機配置協(xié)議v6（DHCPv6，Dynamic Host Configuration Protocol v6）。

1.webp (6).jpg

TCP/IP協(xié)議棧是因特網(wǎng)通信互連互通的基礎，任何聯(lián)網(wǎng)的設備都需要安裝TCP/IP協(xié)議。雖然TCP/IP協(xié)議的技術標準是規(guī)范的、全球公開的，但實現(xiàn)TCP/IP協(xié)議棧的軟件是專業(yè)企業(yè)所開發(fā)，不是開源的。

例如，TCP/IP協(xié)議棧是美國Treck公司的產品，是“嵌入式”（Embedded）的模塊化系統(tǒng)設計，而且是“零副本”（Zero Copy），其源代碼不開放。也就是說，Treck公司的TCP/IP協(xié)議棧（包括IPv4和IPv6）是網(wǎng)信空間供應鏈中的一個不可忽視的環(huán)節(jié)，對于終端用戶來說，是被動接受和使用的一個“黑盒子”。

有專家稱，網(wǎng)絡的安全威脅主要來自于設備漏洞和后門，而不是網(wǎng)絡協(xié)議本身，網(wǎng)絡協(xié)議是由技術標準規(guī)范的，是全球公開的。公開的就是安全的？否！迷信和盲從因特網(wǎng)協(xié)議和標準的認識或假設，是完全錯誤的，其要害在于：

1）缺失對協(xié)議的基礎研究，源頭和底層的本質沒搞清楚；

2）混淆技術標準與協(xié)議棧是供應鏈中兩個作用不同的環(huán)節(jié)；

3）忽視TCP/IP協(xié)議棧本身，具有商業(yè)化動態(tài)有形產品的特性。

一種普遍的認識是，TCP/IP為代表的因特網(wǎng)協(xié)議，與因特網(wǎng)的網(wǎng)絡信息安全沒有太大關系：漏洞自有人去發(fā)現(xiàn)，補丁自有人會發(fā)布，軟件自有人會提供，版本自有人會更新，“事不關己，高高掛起”，習慣于當“甩手掌柜”，習慣于“順水推舟”，習慣于滿足人為寄托或依附于受他人控制的（協(xié)議棧與和供應鏈）“空間”和“地盤”，理所當然地想象“天塌不下來，塌下來也不關我的事”。

值得注意的是，在CISA的安全警報中（參見圖1），明確指出Treck的TCP/IP協(xié)議棧版本6.0.1.67及之前版本影響IPv6系列。根據(jù)公共漏洞披露（CVE，附件1），Treck的TCP/IP協(xié)議棧版本 6.0.1.66和之前的版本，影響IPv4隧道（IPv4 Tunneling），嚴重程度（CVSSv3）為“10”。TCP/IP協(xié)議棧版本6.0.1.67包含著之前的6.0.1.66版本，即嚴重影響IPv4的同時嚴重影響IPv6，實際上是因特網(wǎng)固有的本源性、原始性先天不足的頑癥。

或者，CISA的安全警報是在暗示，所披露的IPv4安全漏洞已經得到控制，目前嚴重的態(tài)勢，只是必須重視解決IPv6的安全漏洞問題？其中的邏輯與順序是什么？

二、IPv4與IPv6的供應鏈安全案例

美國網(wǎng)信安全及基礎設施安全局（CISA）和美國國家安全局（NSA），是網(wǎng)絡安全漏洞的官方認證和管理單位，具有強大的專業(yè)技術能力和先發(fā)優(yōu)勢。

但是，CISA發(fā)布TCP/IP安全漏洞警報卻比民間滯后了6個月。一方面，民間的技術力量和能力不容小覷，“玩家”即是專家。另一方面，CISA和NSA真的會如此愚鈍、麻木嗎？

根據(jù)美國政府問責辦公室（GAO）的報告（2020-6-1）：

● 美國國防部擁有全球IPv4地址（43億個）的約20%；

● 美國國防部已使用約3億個IPv4地址；

● 美國國防部的IPv4地址可支持使用到2030年。

因此，美國國防部認為，自2003年開始IPv6過渡計劃以來，IPv4地址短缺不是過渡到IPv6的主要動力。

1.webp (7).jpg

2014年12月，美國國防部監(jiān)察長（IG）簽發(fā)“國防部需要重啟IPv6的過渡”（DODIG-2015-044）報告。

1）其中指出，根據(jù)美國國防部“IPv6過渡計劃 v2.0”（2006-6）：

● 國防部首席信息官全面負責確保國防部門及時、一致地過渡到IPv6，確?；ゲ僮餍院桶踩?，并根據(jù)需要發(fā)布策略。

● 國防信息系統(tǒng)局負責在國防信息系統(tǒng)網(wǎng)絡上規(guī)劃和實施IPv6，包括非涉密IP路由器網(wǎng)絡（NIPRNet）和涉密IP路由器網(wǎng)絡（SIPRNet）。此外，國防信息系統(tǒng)局負責采購、分配和管理國防部的IPv6地址空間，對IPv6產品和功能進行互操作性測試和認證，并與國家安全局（NSA）合作確保在IPv6過渡中的信息安全以及發(fā)現(xiàn)存在的安全問題。

● 網(wǎng)軍司令部負責IPv6過渡的計劃、協(xié)調、整合、同步和實施，并對具體國防部信息網(wǎng)絡的運行和防御給予指導。網(wǎng)軍司令部還負責進行網(wǎng)信空間的全方位軍事作戰(zhàn)，實現(xiàn)全域的行動。在非涉密IP路由器網(wǎng)絡（NIPRNet）上啟用IPv6，必須得到網(wǎng)軍司令部的批準。

2）其中認定，美國國防部需要重啟向IPv6過渡的主要原因是：

● 國防部首席信息官（CIO）和網(wǎng)軍司令部并未將 IPv6作為重點；

● 國防部首席信息官，網(wǎng)軍司令部和國防信息系統(tǒng)局（DISA）的工作缺乏有效的協(xié)調，沒有運用可用資源推動在國防部范圍內的 IPv6 過渡；

● 國防部首席信息官沒有推進國防部 IPv6 過渡的當前行動計劃和階段性目標。

3）其中總結，從2003年到2014年，美國國防部的 IPv6 過渡計劃的實施僅僅是實驗性的，既沒有進行全面部署，也沒有投入規(guī)模過渡。主要原因包括：

● 由于網(wǎng)軍司令部/國家安全局并不具備充分能力識別過渡 IPv6 或保護 IPv6 網(wǎng)絡的潛在安全風險，因此其重點是保護當前的 IPv4 網(wǎng)絡。

由此可見，雖然美國國防部擁有充足的 IPv4 地址資源，且是在全球最先最早開始 IPv6 過渡計劃，但是其先決條件之一是要具備“充分能力識別過渡 IPv6 或保護 IPv6 網(wǎng)絡的潛在風險。”

反之，如果過渡 IPv6 是為了解決 IP 地址短缺，僅僅是為了能夠“載舟”（應用），而忽略忽視在過渡過程中和實際應用中潛在和未知的安全風險，則必然面臨“覆舟”（代價）的危險。

這就是因特網(wǎng)網(wǎng)信空間不可回避的供應鏈安全（Supply Chain Security）問題。

三、供應鏈安全問題

隨著網(wǎng)信空間的發(fā)展，供應鏈的組成、形態(tài)和復雜性也發(fā)生了顯著的變化。其安全問題不再僅僅是有形物體和產品的供給和集成。

仍在發(fā)酵的美國大選中揭露的“太陽風”（Solarwinds）網(wǎng)管軟件漏洞，使供應鏈安全問題對全球造成強烈震撼和深刻影響。我國一些專家們仍然認為，確保供應鏈安全是“最難破解的”（hardest nut to crack）問題，因為既沒有全球公認的軟件安全標準集，也沒有滿足這些要求的任何形式的強制性措施。

TCP/IP協(xié)議棧的安全漏洞比“太陽風”網(wǎng)絡軟件漏洞的影響更加嚴重，只是目前尚未發(fā)現(xiàn)這些已知“失憶”的漏洞被攻擊者如何利用。網(wǎng)絡協(xié)議的生態(tài)環(huán)境和供應鏈關系簡化如圖3：

其中，“數(shù)字資源”的源頭是因特網(wǎng)域名與數(shù)字地址分配機構（ICANN）。當被授權的機構從ICANN獲得域名和數(shù)字地址（如IPv6），所擁有的是對因特網(wǎng)數(shù)字資源的分配和管理，是供應鏈中的一個引導環(huán)節(jié)，并不直接具備和承擔網(wǎng)絡和信息安全的能力與責任。以網(wǎng)絡域名和 IP 地址為例：

1）在“太陽風”安全事件中，攻擊者注冊了惡意域名 “avsvmcloud.com”作為指揮和控制（C2），把下載更新軟件的用戶重定向到該惡意域名，下載被注入惡意代碼的軟件（如SUNBURST后門），并通過該域名的“別名”（CNAME）切換動態(tài)的子域名。已被披露的惡意子域名有1722個，用以調度和掩飾隱蔽攻擊行為。

2）“失憶：33”TCP/IP協(xié)議棧安全漏洞中，附件1給出的 “CVE-2020-11897”的高危影響，是通過多個格式錯誤的IPv6數(shù)據(jù)包，對 TCP/IP 協(xié)議棧“越界寫入”（Out-of-Bounds Write），從而導致系統(tǒng)損壞、協(xié)議崩潰或遠程控制。

顯然，以掩耳盜鈴的“馬甲”方式提供域名服務、錯誤渲染可替代根域名服務器、片面強調 IPv6 地址的特點優(yōu)于 IPv4，本質上都是“管中窺豹”，是在悖逆現(xiàn)實和科學的道路上漸行漸遠。

嚴峻斗爭中的對標（知彼知己），不能不注意到：

2007年 6月，美國國防部“全球信息網(wǎng)格”（GIG）提出并實施網(wǎng)絡邊界安全，是通過域名系統(tǒng)（DNS）服務以及域名和IP地址實現(xiàn)“隱身核心”（Black Core）和“隱形云”（Black Cloud）。

2014年12月，美國國防部總結“軟件開發(fā)商”和“硬件開發(fā)商”是過渡 IPv6 的主要瓶頸。

2020年3月，美國國家安全局局長兼網(wǎng)戰(zhàn)司令部司令官保羅•中曾根在眾議院述職時稱，已實現(xiàn)了“零信任”（Zero Trust）網(wǎng)絡框架模型，并在國防部和政府部門開始試點示范。