隔空取物時代信息終端面臨的挑戰
一、前言
過去我們一直認為信息終端中敏感信息的被盜主要是因為聯網所致,黑客利用了互聯網的漏洞、防火牆的弱點、以及終端系統的安全缺陷,因此為防止敏感信息泄露,廣泛採用的辦法是物理隔離,通過物理隔離,完全阻斷涉及敏感信息的終端與外界的信息交互,從而確保敏感信息的安全。物理隔離後終端中敏感信息就絕對安全了嗎?近年來發生的一系列事件逐步顛覆了我們的看法,今年最新的研究進展匪夷所思,幾乎可讓從事終端安全防護的從業人員處於崩潰的邊緣!我們必須重新思考、探尋和部署新的對策。
二、史上針對信息終端開展攻擊的知名事件
1.針對各種行動電話的攻擊
隨著信息技術的飛速發展,行動電話已經逐步成為了個人綜合通信與信息處理最常用、最方便的終端處理平台,特別是智能手機和移動互聯網的普及利用,作為綜合信息終端的行動電話甚至在逐步取代傳統電腦作為信息終端的統治地位,因此針對行動電話的攻擊成為了最熱門中的熱門項目。
(一)各手機廠商大規模開展監聽、攔截技術的研究
儘管愛德華?斯諾登揭露NSA(美國國家安全局)的監聽技術並引發了公眾對政府的大規模抗議活動,直到2016年6月,美國參議院以67比32的票數通過了《自由法案》並得到美國總統奧巴馬簽署,6個月後NSA才結束大範圍監聽美國公民電話的項目,而將監聽對象更嚴格地鎖定為可疑人員。但這並沒有阻礙手機廠商對監聽、攔截技術的研究。事實上,通過對該領域專利的申請研究表明,此領域的發明專利數量反而大幅增加了。
自2010年至今,將近有3000項關於電話監控、手機隱私和匿名性的專利被提交審核。這表明對通話進行主動攔截和監視的技術正穩步發展。
2010年,通話監控方面的專利只有100項,到了2014年,該數字已經攀升到1000項。手機生產商們在潮流中位於前列,不過谷歌、富士通和英特爾的名字也出現在了專利文件中。這些專利專註於簡訊隱私、政府部門採取的通話監控和相關的加密技術。
愛立信、黑莓和高通在該領域註冊的專利擁有最多的引用次數,而LG、AT&T和諾基亞的引用次數比發明數量本身還要多,這通常意味著這幾家公司在該領域的知識非常專業。
(二)衛星電話通訊已經幾乎可實時被秒破
一直以來,因為其用戶少、使用面不寬、帶有加密保護措施,衛星電話被認為是相對安全的行動電話。如英國電信的國際衛星電話就使用了GMR-2加密標準(GMR-2是一種應用於國際衛星電話的流密碼,這種流密碼所使用的密鑰長度為64位)。其實早在2012年,就有一群來自德國的研究人員演示了如何通過逆向工程分析來削弱AES等密碼的強度。德國專家解釋稱:「對於GMR-2密碼來說,在已知明文設定下大約有50-65個位元組的明文信息會暴露給攻擊者,因此攻擊者將有可能利用這些信息恢復出會話密鑰,而且計算複雜度和攻擊難度都不高」。
最近安全研究專家在GMR-2密碼實現中發現了漏洞,而這些漏洞導致衛星電話的通訊數據幾乎可以實時解密。與過去的攻擊方法不同的是破解GMR-2密碼使用的並非是明文攻擊技術,而是通過對加密過程進行逆向工程分析來實現。
研究報告表明:「新的攻擊技術可以將64位加密密鑰的窮舉搜索空間降低至213位,其中一幀密鑰流為15位元組。與之前已知的攻擊相比,這種反轉攻擊的效率更高。測試報告顯示,如果在3.3GHz平台上利用這種攻擊技術來進行攻擊的話,可以在平均0.02秒內恢復出64位的加密密鑰」。
(三)VoIP電話已經可以被隨意更改
VoIP(Voice over InternetProtocol)簡而言之就是將模擬信號(Voice)數字化,以數據封包(Data Packet)的形式在IP網路(IP Network)上做實時傳遞。目前VoIP已經大量普及,由於話音被打成了多個IP數據包分別從不同路徑傳輸,因此被許多人認為它是比較安全的,事實果真如此嗎?答案是否定的!最近一系列報道表明,針對IP電話(VoIP)的攻擊正逐步上升。安全公司Nettitude揭露,VoIP系統正遭受嚴重打擊,VoIPSA(網路電話安全聯盟)將攻擊分為:社會學攻擊(就類似我們所說的「社會工程學」攻擊)、監聽(惡意用戶會監控VoIP的通訊)、截獲和修改(惡意用戶會有VoIP雙方通訊信號的所有許可權,能夠修改內容)、服務濫用(這一類攻擊最為普遍,主要吸費)、故意干擾服務(用DoS攻擊資源耗盡)、其他對服務的干擾(主要是物理攻擊,諸如斷電等)。
最近,黑客在網路上公開演示了對VoIP攻擊的全過程。具體如下:
(1)竊聽的實現
步驟1:ARP投毒(通過中間人攻擊,攻擊者可以讀取、插入、修改交際雙方之間的信息,沒有任何一方會知道通信通道已經被第三方控制。在區域網場景中,這種攻擊可通過ARP緩存投毒實現)。
步驟2:啟動VoIP呼叫(啟動VoIP呼叫以方便下一步的分析。打開VoIP客戶端,通過用戶代理A呼叫用戶代理B)。
步驟3:嗅探(ARP緩存投毒之後,開始嗅探數據包,幾秒鐘後可以看到SIP和RTP的數據包)。
步驟4:分析(停止包捕獲,在離線模式下對VoIP的數據包進行分析,查看和理解整個溝通的過程)。
步驟5:監聽會話(分析RTP數據包以及會話通信,採用再現通信流來收聽整個會話)。
步驟6:保存會話(繼續恢復會話,保存會話為音頻格式)。
步驟7:將會話轉換成音頻格式(將音頻文件換成wav格式)。
由此,實現VoIP竊聽。
(2)RTP包篡改實現
一旦成功執行了中間人攻擊來竊聽會話,可以通過插入或替換RTP包來改變會話。通過合適的攻擊方式,修改會話中的某些部分為預錄的音頻。攻擊之所以能夠成功是因為RTP協議是容易受到多媒體篡改的,特別是如果沒有加密和使用UDP傳輸協議。
兩個VoIP端點之間的通信會話是由SSRC(同步源標識符)、序列號和時間戳進行控制。攻擊者捕獲RTP數據包,複製出有同樣的SSRC更大的序列號和時間戳的數據包,迫使目標端點丟棄那些合法的報文,而採用攻擊者發出的報文,因為它們有一個更高的序列號。
由此,攻擊者實現了RTP包篡改。
(四)軍用衛星電話依然被黑客入侵
軍用衛星電話可能是目前大家覺得最安全的電話,但是據報道,一名英國黑客已經承認其入侵美國國防部系統,並竊取到大約3萬條衛星電話通信數據。
這位年僅25歲的黑客名叫西恩?卡弗里(Sean Caffrey),來自英國伯明翰郊區,其承認曾於2014年6月15日入侵美國軍事通信系統並竊取得「數百個用戶帳號」。根據英國國家犯罪局(簡稱NCA)發布的新聞稿,該名黑客總計獲得了800多個衛星通信系統用戶的通訊人、用戶名以及電子郵件信息,並掌握了約3萬通衛星電話的呼叫數據。
在起訴書中,NCA表示該名黑客突破了美國國防部增強型移動衛星系統中的短脈衝數據系統。這名黑客從「國際衛星信息傳播系統」當中竊取到敏感數據——這項增強型移動衛星服務由五角大樓用於通過電子郵件或者電話與世界各地的工作人員進行通信。另外據NCA的解釋,該名黑客曾在文本共享站點Pastebin上發布一條消息,這條消息的內容為「我們獵殺蜥蜴,蜥蜴小隊的末日快到了。我們身在你的基地,我們控制你的衛星。導彈將瞄準所謂的聯盟,當心你的狗頭」。這名黑客所指的很可能正是臭名昭著的黑客組織「蜥蜴小隊(Lizard Squad)」,其專門入侵Xbox Live以及其它在線遊戲服務。該條消息或其副本目前似乎仍然有效。該消息的發布者聲稱隸屬於ISIS組織,並共享了多份截圖以證明他的入侵成果。截圖中包含軍事人員全名、電話號碼、電子郵件地址以及用戶名。
根據美國國防部的介紹,卡弗里的入侵總計造成62.8萬美元損失。該名黑客根據英國計算機濫用法中的反黑客條款而遭到逮捕。根據NCA的說明,目前美國FBI與美國國防部正在協力對此事開展調查。
(五)客機電話也被監聽和定位
飛機在天上高速飛行,攻擊者不可能也開著飛機來跟著監聽飛機上的電話,這下安全些了吧?據法國《世界報》援引從美國中情局前僱員斯諾登手上取得的一份報告稱,英美情報機關自2005年開始就研究如何截取從客機上撥出的電話通話,甚至可能已利用相關技術監聽目標人物。NSA及GCHQ(英國政府通訊總部)未有響應。
報告指出,只要目標人物乘坐的飛機航行高度達1萬英尺以上,地面的秘密探測站就能截取電話向衛星發出的訊號,從而監聽通話內容。只要啟動電話,系統就能分析電話信號的準確位置,並與航班編號及乘客名單配對,從而得知撥出電話的是誰,情報員甚至可以干擾手機功能。
法國航空被列為恐怖分子的高危襲擊目標,加上公司自2007年起容許乘客使用手提電話,於是成為NSA及GCHQ的早期實驗對象。法航稱對實驗並不知情,並表示乘客不能在法航客機上使用語音通話。
報告引用NSA一段說話,稱「巴基斯坦總統、私煙商、軍火商、恐怖分子都有一個共通點,他們都曾經在飛機上打電話」,反映情報機關極可能監聽多個目標。
(六)用無人機進行WI-FI密碼破解、電話竊聽、簡訊攔截
近日,前美國空軍成員Mike Tassey和Rich Perkins成功DIY了一架無人偵察機,該無人偵察機可進行WI-FI密碼破解、電話竊聽、簡訊攔截等行為。
據Mike Tassey和Rich Perkins介紹,他們是在一間車庫中利用一些現有的電子產品完成的這架無人偵察機。目前它的起飛和降落都需要人的幫助,但它能夠依照既定的程序飛行並模仿手機基站進行欺騙連接。該無人偵察機配備了多根天線和藍牙技術,來實現用戶的通話和WI-FI監聽和檢測。通過這些,它可以輕而易舉的獲得附近任何通訊工具的主要數據。
MikeTassey和Rich Perkins曾在法律允許的範圍內做了表演測試,記錄了某地區一些無意義的通話信息。
由此可見,美國空軍完全具備採用無人機進行電話竊聽、簡訊攔截的能力。
2.針對電腦終端網路的攻擊
電腦作為最普通的信息處理終端,一直是黑客們研究和關注的重點攻擊對象,透過網路協議缺陷、操作系統漏洞、應用軟體瑕疵等來進行攻擊已經成了常規手段。為此,具有安全意識的單位採取各種措施防止敏感信息的泄露與被盜,負責處理敏感信息的計算機通常在與外界隔離的內部網路運行,它們在物理上與公共網路斷開。物理隔離相比於邏輯分割算是更為嚴苛的手段,物理隔離的終端或網路就安全了嗎?針對觸及不到的電腦終端和網路,黑客們干出了如下驚天事件:
(一)「震網」病毒破壞事件
作為一個蠕蟲病毒感染事件,震網(Stuxnet)具有劃時代的意義,它將我們帶入一個新紀元,震網是網路世界第一個成功攻擊現實世界中物理隔離工業基礎設施的病毒,它的出現直接導致伊朗第一座核電站布希爾核電站推遲併網發電。
2010年9月26日,伊朗境內的大約3萬個互聯網終端遭遇了震網病毒襲擊,印度、印度尼西亞、巴基斯坦等國不少計算機也沒能倖免,但伊朗受害情況最為嚴重。據悉,全球感染震網病毒的計算機中,60%位於伊朗。
震網利用了微軟操作系統中至少4個漏洞(其中有3個全新的零日漏洞),偽造驅動程序的數字簽名,利用西門子SIMATIC WinCC系統的多個漏洞進行攻擊。震網病毒充分利用了與互聯網物理隔離的特點--獨立於外部網路而自成體系運行的內部網路會造成內部計算機無法及時獲得最新的操作系統補丁,防病毒軟體也可能無法及時升級更新,從而給病毒攻擊帶來可乘之機。因此,這給原本認為「很安全」的物理隔離網路敲響了警鐘,使人們意識到物理隔離的專用區域網並非牢不可破,甚至採用專用軟體的工業控制系統同樣能被攻破。
(二)WannaCry事件
2017年5月12日20時,全球爆發的大規模勒索蠕蟲感染事件,歐洲、亞洲、美洲等100多個國家和地區20多萬台電腦受到感染,眾多物理隔離網路中的電腦中招,包括教育、醫療、能源等行業,造成嚴重損失,遭攻擊的電腦文檔資料被加密,被勒索300美元的比特幣。這是繼震網病毒事件後最影響最大的網路安全事件,再次用慘痛的經歷告訴了我們—物理隔離的內網很不安全!
(三)通過GSM頻率從被物理隔離的計算機上竊取數據
有一些單位認為智能手機的攝像頭、藍牙和WIFI是存在風險的,限制它們在特殊環境場所的使用。例如,英特爾公司文檔規定:「目前,製造員工只可以攜帶並使用有最基本的手機功能(如語音通話和簡訊息的)手機,這些手機有沒有攝像頭、攝像或者WIFI。另一個例子,來訪者在洛克希勒馬丁公司訪問時,要遵循如下的要求:「下列項目不允許在我們辦公區使用:照相機(電影、視頻、數字)成像設備、錄音機、聽錄音設備。使用手機是允許的,但不可以使用攝像機/錄音功能」。許多有安全意識的組織採取了類似的做法。顯然,這樣做是使得有攝像頭和WIFI的手機處於監控之下。然而,現代計算機屬於電子設備,註定要發射一些不同強度和頻率的無線電信號。此外,手機還有靈敏的無線電信號接收器。這兩個因素結合起來,為隱蔽的攻擊創造了可能。
如何開展攻擊的呢?首先,利用一個可以在蜂窩數據頻率上竊取被隔離網路計算機數據的惡意軟體,讓受感染計算機上的惡意程序調製信號,並通過調用使用內存的相關指令來產生蜂窩移動數據無線電信號,然後利用多通道內存架構來放大傳輸的信號,緊接著用附近手機來接收被感染計算機發出的信號,利用手機的基帶系統和基帶固件接收並解調信號。最近,互聯網上一篇文章甚至公布了信號的產生接收、數據的調製和傳輸的關鍵技術並演示了一套原型實驗系統,實驗演示了使用行動電話接收、傳輸距離為1米到5.5米,當使用專用卻並不太昂貴的接收工具,有效距離可達30米以上。
(四)最駭人聽聞的攻擊進展
研究員近期發現,被完全阻斷的計算機設備也可能遭受入侵!黑客可以通過利用計算機的光、聲、熱等微小元素的釋放來找到入侵計算機的方法。
眾所周知,「法拉第籠」(Faraday cage)是防止電磁場(EM field)進入或逃脫的金屬外殼。一個理想的法拉第籠由一個未破損的、完美的導電層組成(在實際中這種理想狀態是不能達到的,但是能夠通過使用細網的銅篩來達到)。為了達到最佳性能,法拉第籠直接接地。
法拉第籠(Faraday cage)在敏感的無線接收設備的測試中非常重要,必須阻止漂移的電磁場進入。此外,法拉第籠可以防止由電腦顯示器陰極射線管(CRT)發出的電磁場的逃脫。這些電磁信號能夠被中途截取並破譯,這樣黑客在不需要信號線、電纜和攝像設備的情況下就可以遠程實時地看到屏幕上的數據(這種行為被稱為屏幕輻射竊密(van Eck phreaking),它也能被政府官員用於查看罪犯和某些犯罪嫌疑人的計算機使用活動)。
因此,法拉第籠可以算是史上最嚴密、最難突破的絕對觸及不到的物理隔離環境。
2018年2月15日,據以色列內蓋夫本?古里安大學的一支研究小組證明,即使目標設備位於「法拉第籠」內,隔離計算機上的惡意軟體同樣能夠利用磁場實現敏感數據滲漏。該研究小組已經成功創建出兩種概念驗證(簡稱PoC)惡意軟體,其可利用設備內CPU產生的磁場實現數據滲漏。
目前,這支研究小組已經發現了多種通過從氣隙網路當中實現數據滲漏的方法,具體包括紅外攝像機、路由器LED、掃描儀、磁碟活動LED、USB設備甚至是磁碟驅動器與風扇產生的噪音及熱量等。
三、分析與建議
針對日新月異、層出不窮的新攻擊方法與手段的出現,我們該如何辦?這是對從事終端與網路安全從業者的機遇與挑戰。必須通過分析攻擊者採用的攻擊原理、攻擊方法,從而找到相應的應對措施。對應於普通行動電話、衛星電話、VoIP電話、物理隔離網路的計算機,對策建議如下:
1.普通行動電話
普通行動電話自身存在被病毒和木馬應用軟體入侵的安全風險,在使用時藉助網路和雲平台,存在信息被竊取、數據遭泄露等隱患。為此,可以借鑒美軍的經驗,美國防部通過努力構建一種移動生態系統,利用單一安全體系結構,從而降低使用行動電話的諸多風險。同時,美國國防信息系統局通過使用安全技術實施指南(STIG),對移動裝置的具體配置設置提出強制性的要求。
具體而言,措施主要集中在加固與加密並舉上,加固是對現有普通行動電話採用的操作系統進行安全性加固,使其成為帶強制認證、審計的安全操作系統;加密是對普通行動電話的話音、簡訊以及存儲數據進行加密,同時利用加密技術建立虛擬專用網,從而通過網內的加密隧道在任意兩個或者多個電話之間創建安全連接。
2.衛星電話
考慮到在衛星通信中,保密性是非常重要的一個因素,因此衛星電話以及衛星通訊中所採用的加密演算法必須足夠健壯以抵禦包括竊聽在內的各種安全風險。
由於目前GMR-2密碼標準中存在嚴重的安全缺陷,因此衛星通訊服務提供商應該儘快升級各自所採用的加密系統,以提升通訊的保密性。選擇健壯的加密演算法是目前衛星電話避免被竊聽的關鍵。
3.VoIP電話
針對VoIP電話被竊聽、篡改的情況,必須加入安全機制,建議使用SVoIP(安全VoIP),旨在保護VoIP通話的機密性、完整性、有效性,雖然這可能會導致性能下降。此外還可使用防火牆或面向VoIP的IPS/IDS,監控RTP數據包,檢測和阻斷其中可能隱藏的威脅。
4.物理隔離環境中電腦
從震網病毒攻擊以及WannaCry勒索軟體事件可見,僅僅依靠物理隔離是遠遠不夠的,我們還應該加強內網安全建設,建立完善的安全管理制度和策略,通過「深度防禦」實現有效的安全防護;重視網路服務的安全性,及時更新操作系統補丁,關閉不必要的網路服務,不啟用弱口令和默認口令,安裝安全防護軟體;加強移動存儲設備安全管理,關閉計算機的自動播放功能,使用可移動設備前先進行病毒掃描,為移動設備建立病毒免疫,使用硬體式U盤病毒查殺工具等。此外,還應該強化電子簽名數字證書應用安全管理,提高內網安全應急響應能力。
從前面利用手機攻擊隔離網路中電腦報道可見,攻擊者是通過調用特定內存相關CPU指令產生可被接受的GSM、UMTS和LTE的頻率。通過使用多通道內存體系結構的功能,為信號的放大和傳輸增加功率。這些信號接收和解碼由安裝在標準的手機內核的程序完成。這是一個由桌面計算機上運行程序以及在GSM手機上運行的程序共同組成的惡意攻擊,因此,處理涉及敏感信息的電腦必須遠離手機等具有無線收發功能的設備。
我們分析以色列小組突破「法拉第籠」事件可見,攻擊主要利用了:
(一)磁場滲漏數據原理
磁場是由移動電荷(例如流經導線的電流)與磁偶極子共同產生的力場,且會對其附近其它的移動電荷與磁偶極子施加力。磁場的屬性包括方向與強度。
現代計算機當中的CPU會產生低頻磁信號,而根據研究小組的觀察,這些信號可通過氣隙實現數據傳輸。攻擊者以某種方式在其希望竊取數據的氣隙設備上植入一款惡意軟體。震網攻擊以及其它安全事件表明,主動攻擊者完全能夠成功執行這項前置任務。一旦惡意軟體部署到位,其即可收集鍵盤輸入內容、密碼以及加密密鑰等信息,並將其發送至周邊的接收器處。
(二)惡意軟體可控制CPU磁場
惡意軟體能夠通過調節CPU的工作負載來控制CPU產生的磁場——例如提高計算負載強度以增強處理器功耗,進而產生更強的磁場。收集到的數據隨後可通過利用開關鍵控(簡稱OOK)調製(攻擊者可以通過磁場產生的信號發送「」或「1」位,信號存在代表「1」位,不存在則代表「」位);或者利用二進位頻移鍵控(簡稱FSK)調製(由於信號頻率同樣能夠操縱,所以該惡意軟體還能夠使用特定頻率來發送「1」位,並以另一種不同的頻率發送「」位)。
由此可見,物理隔離網路中處理敏感信息的電腦不僅需要進行電場的屏蔽,也應該處於磁場屏蔽的環境中才能抵禦這種新的隔空取物的攻擊。
四、結語
沒有系統可以被建造成是絕對安全或是絕對可靠的,信息處理終端與網路同樣不可倖免。在與黑客採用層出不窮的新攻擊手段的對抗中,我們必須具備及時應對的能力並迅速拿出應對方案,俗話說道高一尺魔高一丈,從裸奔並聯網的電腦走到安裝了眾多安全軟體的今天,整個信息安全事業就是這般被波瀾壯闊地推動著,永遠沒有可以懈怠的那一天。正當我們在歡度春節的時刻傳來的法拉第籠也不安全的消息,不知讓多少人陷入徹夜難眠的境地,現有的造價高昂的屏蔽機房還能不能用?夠不夠安全?如何加裝磁材料屏蔽?安全環境檢測標準需不需要調整…?這些問題非常現實地擺在了我們面前。
處理敏感信息的電腦已經從聯網走到了物理隔離,要求更高的甚至從物理隔離搬入了屏蔽機房,新的攻擊進展迫使我們要儘快升級到磁屏蔽的環境中去了,只是希望未來不要走到只能在真空、電、磁屏蔽環境中去使用信息終端來處理敏感信息。
TAG:網路安全新視野 |