【摘 要】“數(shù)據(jù)作為武器系統(tǒng)”以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施與網(wǎng)絡(luò)應(yīng)用和服務(wù)被“武器化”,是網(wǎng)絡(luò)技術(shù)和應(yīng)用斗爭(zhēng)的產(chǎn)物,也是網(wǎng)絡(luò)發(fā)展及地緣政治和價(jià)值觀演變的必然。對(duì)此,我們的感知和認(rèn)識(shí)必須與之相適應(yīng),方能有效地應(yīng)對(duì)潛在的風(fēng)險(xiǎn)和挑戰(zhàn),高質(zhì)量地提升對(duì)國(guó)家網(wǎng)絡(luò)安全和安全數(shù)據(jù)的保障能力。
美國(guó)國(guó)防部發(fā)布《數(shù)據(jù)戰(zhàn)略》(2020年9月30日)強(qiáng)調(diào),“數(shù)據(jù)作為武器系統(tǒng)”。必須看到,承載數(shù)據(jù)的是網(wǎng)絡(luò)基礎(chǔ)設(shè)施;生成數(shù)據(jù)的是信息通信技術(shù)(ICT)及其應(yīng)用和服務(wù),由此所形成和構(gòu)成的供應(yīng)鏈?zhǔn)?ldquo;數(shù)據(jù)作為武器系統(tǒng)”戰(zhàn)略的基本支撐和重要保障。一方面,網(wǎng)絡(luò)基礎(chǔ)設(shè)施是由“點(diǎn)”(設(shè)備)和“線”(鏈路)的集合所組成;“點(diǎn)”是被作為“中間人”(MITM)發(fā)動(dòng)攻擊的依靠(據(jù)點(diǎn)),“線”是被作為“隱形人”(MOTS)進(jìn)行攻擊的依托(暗道)。因此,(物理)網(wǎng)絡(luò)基礎(chǔ)設(shè)施被“武器化”,是“數(shù)據(jù)作為武器系統(tǒng)”的必要條件,而且是“被動(dòng)性”的條件。另一方面,網(wǎng)絡(luò)入侵與攻擊的形式和方式正在發(fā)生演變。通過對(duì)用戶終端下載軟件的修改和更新,植入惡意軟件以及遠(yuǎn)程指揮和控制的指令(木馬),不需要(傳統(tǒng)的)漏洞挖掘,卻更具有目標(biāo)性和針對(duì)性,影響范圍更大。“太陽(yáng)風(fēng)”管理軟件安全事件就是一個(gè)典型案例。因此,網(wǎng)絡(luò)服務(wù)和技術(shù)被“武器化”,是“數(shù)據(jù)作為武器系統(tǒng)”的充分條件,并且是“主動(dòng)性”的條件。“數(shù)據(jù)作為武器系統(tǒng)”以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施與網(wǎng)絡(luò)應(yīng)用和服務(wù)被“武器化”,是網(wǎng)絡(luò)技術(shù)和應(yīng)用斗爭(zhēng)的產(chǎn)物,也是網(wǎng)絡(luò)發(fā)展及地緣政治和價(jià)值觀演變的必然。對(duì)此,我們的感知和認(rèn)識(shí)必須與之相適應(yīng),方能有效地應(yīng)對(duì)潛在的風(fēng)險(xiǎn)和挑戰(zhàn),高質(zhì)量地提升對(duì)國(guó)家網(wǎng)絡(luò)安全和安全數(shù)據(jù)的保障能力。事實(shí)上,美國(guó)國(guó)家安全局(NSA)和英國(guó)政府通信情報(bào)總局(GCHQ),20多年前就已經(jīng)使互聯(lián)網(wǎng)(Internet)“武器化”了!2013年11月13日,美國(guó)《連線》(Wired)雜志發(fā)表索納爾•喬克希(Sonal Chokshi)署名的專題文章(以下簡(jiǎn)稱《連線》)。盡管當(dāng)前全球網(wǎng)絡(luò)信息空間的態(tài)勢(shì)和狀況已發(fā)生了顯著變化,其中一些觀點(diǎn)仍具有積極的借鑒和警示意義。《連線》指出,互聯(lián)網(wǎng)(Internet,以下同)骨干網(wǎng)(數(shù)據(jù)流量所依賴的網(wǎng)絡(luò)基礎(chǔ)設(shè)施),已經(jīng)從被動(dòng)性的通信基礎(chǔ)設(shè)施,發(fā)展成為被用于攻擊的主動(dòng)性武器(系統(tǒng))。據(jù)被揭露的有關(guān)美國(guó)“量子”(Quantum)秘密行動(dòng)計(jì)劃,美國(guó)國(guó)家安全局(NSA)可以“獵殺”(Shoot)其鎖定的任何目標(biāo),就是利用目標(biāo)數(shù)據(jù)通信所必須通過的骨干網(wǎng)絡(luò)(竊聽和攔截)。由此證實(shí),是美國(guó)國(guó)家安全局(NSA)和英國(guó)政府通信情報(bào)總局(GCHQ),率先使互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)“武器化”。看來(lái),即使沒有斯諾登揭露美國(guó)政府的所作所為,其他國(guó)家也都可以做同樣的事,然后大家都會(huì)說(shuō),“這不是我們干的。即便是,你看著辦吧。”《連線》指出,如果NSA入侵巴西國(guó)家石油公司(Petrobras),俄羅斯就可以認(rèn)為其攻擊美國(guó)美孚石油公司(Exxon Mobil)是合理的;如果GCHQ入侵比利時(shí)通信公司(Belgacom)并進(jìn)行秘密竊聽,法國(guó)就可以對(duì)美國(guó)通信公司AT&T進(jìn)行同樣的操作;如果加拿大針對(duì)的目標(biāo)是巴西的礦產(chǎn)和能源部,中國(guó)就可以把美國(guó)內(nèi)政部作為目標(biāo)。我們現(xiàn)在生活在同一個(gè)世界,如果“背運(yùn)”的話,對(duì)我們的網(wǎng)絡(luò)攻擊者,可能就是來(lái)自我們的數(shù)據(jù)流經(jīng)過的每一個(gè)國(guó)家,除了我們自己的國(guó)家。▲ 其實(shí)也不盡然,從2020年美國(guó)總統(tǒng)大選的情勢(shì)看來(lái),攻擊者可能就在國(guó)內(nèi),就在自己的身邊。《連線》指出,這就意味著我們中間的一部分人,尤其是在經(jīng)濟(jì)上或政治上具有重要意義的公司或個(gè)人,現(xiàn)在都成為被攻擊的目標(biāo)。所有明文的數(shù)據(jù)流量不僅是發(fā)送與接收的信息,也可能成為攻擊載體。《連線》闡述這一過程稱,NSA的秘密行動(dòng)計(jì)劃“量子”(QUANTUM)的代號(hào),非常適合被稱為是一種“數(shù)據(jù)包注入”的技術(shù),該技術(shù)通過欺騙或偽造數(shù)據(jù)包竊聽目標(biāo)。NSA的竊聽甚至不需要保持靜默,只需要先向目標(biāo)發(fā)送一條消息。其工作原理是,向監(jiān)測(cè)目標(biāo)所發(fā)出的(連接)請(qǐng)求,注入看似來(lái)自真實(shí)收件人的虛假答復(fù),從而掌控和跟蹤目標(biāo)(受害者)的行動(dòng)。《連線》稱,在這種情況下,數(shù)據(jù)包注入用于“隱形人”(MOTS,或“鏈路劫持”)攻擊,其比“中間人”(MITM)攻擊更能容忍失敗,因?yàn)樵试S監(jiān)聽者觀察如做“加法”(增加新的跟蹤和掌控的線索),不同于“中間人”攻擊只能做“減法”。這就是“隱形人”為什么在監(jiān)聽系統(tǒng)中特別受歡迎的緣故。監(jiān)聽漏掉一些線索也沒關(guān)系,錯(cuò)過幾個(gè)總比根本沒有線索好。▲ 根據(jù)定義,“隱形人”(MOTS:man-on-the-side)攻擊,是網(wǎng)絡(luò)安全中的一種主動(dòng)攻擊形式,類似于“中間人”(MITM:man-in-the-middle)攻擊。但“隱形人”的攻擊并不同于“中間人”的攻擊那樣完全控制網(wǎng)絡(luò)節(jié)點(diǎn),而只是定期訪問通信鏈路,竊聽數(shù)據(jù)流量并注入新消息,且不得修改或刪除其他參與者發(fā)送的消息。《連線》指出,“隱形人”技術(shù)本身實(shí)際上很簡(jiǎn)單,且在Wi-Fi網(wǎng)絡(luò)上使用的相同技術(shù),也可以用于骨干網(wǎng)中竊聽。作者就曾從零開始,僅用幾個(gè)小時(shí)編寫一個(gè)數(shù)據(jù)包注入器的軟件程序,一直成為黑客大會(huì)(DefCon)惡作劇的主要內(nèi)容。諸如數(shù)據(jù)包注入的“武器化”技術(shù),《連線》列出NSA的八種已知的典型做法:在斯諾登泄密事件之前,最臭名昭著的就是在網(wǎng)絡(luò)監(jiān)管審查中,使用數(shù)據(jù)包注入。互聯(lián)網(wǎng)服務(wù)提供商(ISP)通過注入TCP重置數(shù)據(jù)包(RST),攔截不受歡迎的數(shù)據(jù)流量。當(dāng)聯(lián)網(wǎng)終端接收到一個(gè)注入的RST數(shù)據(jù)包時(shí),以為通信已經(jīng)完成,就會(huì)關(guān)閉連接。盡管公開披露了監(jiān)管審查的做法,迫使ISP停止這種行為,但網(wǎng)絡(luò)監(jiān)管審查仍然繼續(xù)利用數(shù)據(jù)包的注入重置,擴(kuò)展到域名系統(tǒng)(DNS),注入域名請(qǐng)求的虛假回復(fù)響應(yīng),阻止網(wǎng)絡(luò)訪問連接。2)用戶身份識(shí)別(Identification)網(wǎng)絡(luò)廣告和服務(wù),在客戶端插入的Cookie(保存在客戶端的純文本文件),也是NSA定位的重要標(biāo)識(shí)符。但是,Web瀏覽器僅在與此類端點(diǎn)進(jìn)行通信時(shí),才顯示這些Cookie。NSA的“量子”Cookie攻擊作為一種解決方案,被利用對(duì)Tor(洋蔥網(wǎng))的用戶進(jìn)行去匿名化(de-anonymizing)。數(shù)據(jù)包注入軟件程序,可以通過HTTP 302重定向目標(biāo)站點(diǎn)(例如Hotmail,微軟提供的公共電子郵箱),利用回復(fù)簡(jiǎn)單的網(wǎng)頁(yè)抓取(如小圖像),以獲取用戶端的Cookie。一旦連接到Hotmail時(shí),所有非安全的cookie都被獲取和監(jiān)聽,既可以在竊聽中識(shí)別用戶身份,也可以在竊聽中使用這些cookie。于是,對(duì)于未使用HTTPS加密的任何Webmail服務(wù),NSA的“量子”Cookie都可以竊聽目標(biāo)登錄日志,并讀取目標(biāo)的郵件。由于“量子”Cookie在重定向目標(biāo)時(shí),所抓取的Cookie也可以被設(shè)置或修改以及作身份識(shí)別,從而使NSA得以在網(wǎng)絡(luò)通信中主動(dòng)發(fā)現(xiàn)和跟蹤所感興趣的用戶。NSA擁有一系列旨在追蹤和利用網(wǎng)絡(luò)訪問者的Fox Acid服務(wù)器,是美國(guó)國(guó)家安全局設(shè)計(jì)的能夠針對(duì)目標(biāo)計(jì)算機(jī)發(fā)動(dòng)各種攻擊的系統(tǒng)。概念上,這些服務(wù)器類似于Metasploit(安全漏洞監(jiān)測(cè)工具)的Web Server瀏覽器自動(dòng)滲透測(cè)試模式,可監(jiān)測(cè)任何正在運(yùn)行的瀏覽器,以尋找要利用的弱點(diǎn)。只要目標(biāo)(受害者)訪問網(wǎng)絡(luò)的一個(gè)請(qǐng)求被截獲,“量子”竊聽就能識(shí)別出受害者,即在數(shù)據(jù)包中注入“302”,受害者的網(wǎng)絡(luò)通信將被重定向到Fox Acid服務(wù)器。一旦受害者的瀏覽器開始與Fox Acid服務(wù)器進(jìn)行通信,該服務(wù)器就會(huì)迅速接管受害者的計(jì)算機(jī)。NSA將此稱為“量子嵌入”(Quantum Insert)。NSA和GCHQ使用此技術(shù),不僅監(jiān)聽“洋蔥網(wǎng)”(Tor)中閱讀“基地”組織英語(yǔ)宣傳雜志(Inspire)的用戶,而且還作為竊聽比利時(shí)電信公司(Belgacom)的切入點(diǎn)。另一個(gè)特別的手段是,識(shí)別目標(biāo)在LinkedIn(社交平臺(tái))或Slashdot(技術(shù)社區(qū))的賬戶。當(dāng)“量子”系統(tǒng)監(jiān)測(cè)到訪問LinkedIn或Slashdot的個(gè)人時(shí),它會(huì)先檢查返回的HTML以識(shí)別用戶身份,然后“獵殺”(跟蹤和利用)目標(biāo)。只要NSA編寫一個(gè)解析器,就能夠從訪問的頁(yè)面內(nèi)容(包括任何通過HTTP訪問的頁(yè)面)中提取用戶身份信息。網(wǎng)絡(luò)瀏覽器通常會(huì)緩存關(guān)鍵腳本,例如十分普遍的Google分析腳本“ga.js”。數(shù)據(jù)包注入者可以看到對(duì)這些腳本的請(qǐng)求,并以惡意版本進(jìn)行響應(yīng),該惡意版本目前在許多網(wǎng)頁(yè)上運(yùn)行。由于此類腳本很少更改,因此受害者將持續(xù)使用攻擊者的惡意腳本,直到服務(wù)器更改腳本或?yàn)g覽器清除其緩存為止。5)無(wú)需漏洞挖掘(Zero-Exploit Exploitation,零漏洞挖掘)英國(guó)伽瑪國(guó)際(Gamma International)公司的Fin Fly“遠(yuǎn)程監(jiān)控”黑客工具被銷售給政府,通過對(duì)用戶終端下載軟件的修改和更新,嵌入包含F(xiàn)in Fisher間諜軟件的副本,而無(wú)須漏洞挖掘。雖然Fin Fly黑客工具可以作為“中間人”模式運(yùn)作,但是數(shù)據(jù)包注入可以反復(fù)地重現(xiàn)效果。數(shù)據(jù)包注入器只需等待在受害者嘗試下載文件時(shí),就會(huì)在數(shù)據(jù)包中注入“302”,受害者的網(wǎng)絡(luò)通信將被重定向到一個(gè)新的服務(wù)器,并提取和修改原始文件后,將其傳遞給受害者。當(dāng)受害者運(yùn)行可執(zhí)行的被修改文件時(shí),就被“獵殺”(跟蹤和利用),而無(wú)需任何實(shí)際的漏洞挖掘。▲ Fin Fly是伽瑪國(guó)際公司開發(fā)的系列黑客工具,包括Fin Fly-ISP、Fin Fly-Web等。據(jù)稱,F(xiàn)in Fly是一種面向國(guó)家范圍的戰(zhàn)略性解決方案,也是一種戰(zhàn)術(shù)性(移動(dòng))工具,可以被集成到ISP的接入和核心網(wǎng)絡(luò)中,在選定的目標(biāo)系統(tǒng)上遠(yuǎn)程安裝和遠(yuǎn)程監(jiān)控的軟件。許多安卓(Android)和iOS應(yīng)用程序簡(jiǎn)單地通過HTTP獲取數(shù)據(jù)。特別是安卓廣告庫(kù)“Vulna”,是一個(gè)容易被攻擊的目標(biāo),只要等待對(duì)該廣告庫(kù)的請(qǐng)求,并注入回應(yīng),就可以有效地完全控制受害者的手機(jī)。盡管Google刪除了應(yīng)用程序使用這個(gè)廣告庫(kù),但其他廣告庫(kù)和應(yīng)用程序仍然可能存在類似的漏洞。7)域名系統(tǒng)衍生的“中間人”(DNS-Derived MITM)某些網(wǎng)絡(luò)攻擊(例如使用偽造的證書攔截HTTPS流量),需要有一個(gè)“中間人”,而不是一個(gè)簡(jiǎn)單的竊聽者。由于每一次通信都是以DNS請(qǐng)求開始,且DNS解析服務(wù)器極少使用DNSSEC加密驗(yàn)證請(qǐng)求與響應(yīng),因此,數(shù)據(jù)包注入者可以簡(jiǎn)單地查看DNS請(qǐng)求,并注入惡意的DNS響應(yīng)。例如,對(duì)郵件服務(wù)器解析記錄(MX)的注入,重定向并攔截和修改電子郵件。這相當(dāng)于網(wǎng)絡(luò)攻擊能力的提升,將“隱形人”轉(zhuǎn)換成了“中間人”。▲ “中間人”攻擊,是指攻擊者與通信的兩端分別創(chuàng)建獨(dú)立的聯(lián)系,并交換其所收到的數(shù)據(jù),使通信的兩端認(rèn)為他們正在通過一個(gè)私密的連接與對(duì)方直接對(duì)話,但事實(shí)上整個(gè)會(huì)話都被攻擊者完全控制。8)放大攻擊面(Amplifying Reach)網(wǎng)絡(luò)的大流量和多傳輸路徑,使得監(jiān)聽和“量子嵌入”(Quantum Insert)受到約束。通過對(duì)被托管的大數(shù)據(jù)的監(jiān)聽,當(dāng)期望的目標(biāo)出現(xiàn)時(shí),使用數(shù)據(jù)包注入將其重定向到既定的服務(wù)器;在決定是否進(jìn)行攻擊之前,只需觀察潛在受害者來(lái)自哪個(gè)IP 地址。這就像是“水坑”攻擊,而攻擊者不需要破壞“水坑”(Watering Hole)。▲ “水坑攻擊”,是在受害者必經(jīng)之路設(shè)置一個(gè)“水坑”(陷阱)。最常見的做法是,黑客分析被攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律,尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點(diǎn),先將此網(wǎng)站“攻破”并植入惡意代碼,一旦被攻擊目標(biāo)訪問該網(wǎng)站就會(huì)“中招”。《連線》指出,加密(或類似的系統(tǒng)性方法和手段),不僅可以保護(hù)數(shù)據(jù)流量免受竊聽,還可以保護(hù)免受攻擊。例如,DNSSEC驗(yàn)證可以保護(hù)DNS免受篡改,SSL可以保護(hù)電子郵件和Web數(shù)據(jù)。《連線》認(rèn)為,雖然加密互聯(lián)網(wǎng)上的所有數(shù)據(jù)流量,涉及許多工程和數(shù)理邏輯上的困難,但是,如果要保護(hù)自己免受骨干網(wǎng)絡(luò)已被“武器化”(Weaponized)的傷害,我們必須克服這些困難。(作者:邱實(shí),網(wǎng)絡(luò)信息安全技術(shù)專家;牟承晉,昆侖策研究院高級(jí)研究員、中國(guó)移動(dòng)通信聯(lián)合會(huì)國(guó)際戰(zhàn)略研究中心主任、浙江省北斗未來(lái)網(wǎng)際網(wǎng)絡(luò)空間研究院首席研究員。來(lái)源:昆侖策網(wǎng)【原創(chuàng)】)【本公眾號(hào)所編發(fā)文章歡迎轉(zhuǎn)載,為尊重和維護(hù)原創(chuàng)權(quán)利,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明原創(chuàng)作者、來(lái)源網(wǎng)站和公眾號(hào)。閱讀更多文章,請(qǐng)點(diǎn)擊微信號(hào)最后左下角“閱讀原文”】
【昆侖策研究院】作為綜合性戰(zhàn)略研究和咨詢服務(wù)機(jī)構(gòu),遵循國(guó)家憲法和法律,秉持對(duì)國(guó)家、對(duì)社會(huì)、對(duì)客戶負(fù)責(zé),講真話、講實(shí)話的信條,追崇研究?jī)r(jià)值的客觀性、公正性,旨在聚賢才、集民智、析實(shí)情、獻(xiàn)明策,為實(shí)現(xiàn)中華民族偉大復(fù)興的“中國(guó)夢(mèng)”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請(qǐng)看《昆侖策網(wǎng)》,網(wǎng)址:
http://www.kunlunce.cn
http://www.jqdstudio.net
特別申明:
1、本文只代表作者個(gè)人觀點(diǎn),不代表本站觀點(diǎn),僅供大家學(xué)習(xí)參考;
2、本站屬于非營(yíng)利性網(wǎng)站,如涉及版權(quán)和名譽(yù)問題,請(qǐng)及時(shí)與本站聯(lián)系,我們將及時(shí)做相應(yīng)處理;
3、歡迎各位網(wǎng)友光臨閱覽,文明上網(wǎng),依法守規(guī),IP可查。
朱安東:私有化是一個(gè)致命的政治問題
王岐山:要?dú)v史性思考我們這些人是誰(shuí)培養(yǎng)的?
李毅深圳演講
彭勝玉:發(fā)揚(yáng)斗爭(zhēng)精神,增強(qiáng)斗爭(zhēng)本領(lǐng),不對(duì)美帝國(guó)抱任何幻想
王毅:中美關(guān)系須撥亂反正,重回正軌(全文)
