隔空取物——揭秘網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)
什么是網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)
通常的網(wǎng)絡(luò)設(shè)備(例如交換機(jī)和路由器)攻擊手段是利用操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞,通過(guò)互聯(lián)網(wǎng)注入病毒或木馬,造成網(wǎng)絡(luò)設(shè)備信息的泄密或網(wǎng)絡(luò)癱瘓。然而,這些常規(guī)的攻擊手段并不適用于物理隔離環(huán)境下的局域網(wǎng)網(wǎng)絡(luò)設(shè)備。因此,網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)是利用這些網(wǎng)絡(luò)設(shè)備生產(chǎn)、運(yùn)輸、存儲(chǔ)等供應(yīng)鏈環(huán)節(jié)的安全漏洞,攔截正常的網(wǎng)絡(luò)設(shè)備,并在其中植入惡意軟硬件,建立隱蔽傳輸通道,竊取局域網(wǎng)絡(luò)重要信息或使之癱瘓。如果按照植入方式分類(lèi)的話,網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)可分為硬件植入攻擊、固件植入攻擊、芯片植入攻擊等。這幾類(lèi)攻擊方式在實(shí)際應(yīng)用的時(shí)候,還可組合使用。
圖1 網(wǎng)絡(luò)設(shè)備的物理隔離攻擊
意想不到的硬件植入攻擊
2013年,斯諾登曝光了一組美國(guó)國(guó)家安全局下屬的TAO(特定入侵行動(dòng)辦公室)的物理隔離攻擊技術(shù)。其中,一種名為“FIREWALK”的硬件植入攻擊技術(shù)就是針對(duì)物理隔離網(wǎng)絡(luò)進(jìn)行攻擊的。早在2008年,這種硬件植入攻擊技術(shù)就不僅可以搜集物理隔離環(huán)境下的千兆位以太網(wǎng)的網(wǎng)絡(luò)流量,而且還可以主動(dòng)地將以太網(wǎng)數(shù)據(jù)包注入到該千兆位以太網(wǎng)絡(luò)中,實(shí)現(xiàn)網(wǎng)絡(luò)竊密或網(wǎng)絡(luò)癱瘓功能。
圖2 網(wǎng)絡(luò)設(shè)備的硬件植入攻擊
“FIREWALK”是一種雙向的網(wǎng)路惡意硬件,該硬件可被植入到一個(gè)雙堆棧的RJ45/USB連接器中。“FIREWALK”的簡(jiǎn)易工作原理是利用定制的射頻收發(fā)機(jī),在物理隔離網(wǎng)絡(luò)與外部攻擊網(wǎng)絡(luò)之間建立一個(gè)意想不到的網(wǎng)絡(luò)通道。當(dāng)外部攻擊網(wǎng)絡(luò)發(fā)出指令時(shí),“FIREWALK”可通過(guò)該通道實(shí)現(xiàn)物理隔離網(wǎng)絡(luò)流量輸出和流量注入功能。
難以清除的固件植入攻擊
2015年初,斯諾登又披露了以搜集他國(guó)通訊情報(bào)為目標(biāo)的美國(guó)國(guó)家安全局的SIGINT行動(dòng)組也采用類(lèi)似的方式攻破物理隔離網(wǎng)絡(luò)的安全防線。工作過(guò)程是:攔截發(fā)送到目標(biāo)地區(qū)的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備(服務(wù)器、路由器、交換機(jī)等)裝運(yùn),然后在TAO(特定入侵行動(dòng)辦公室)情報(bào)人員和技術(shù)人員的協(xié)助下,對(duì)這些計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備植入修改后的固件程序,最后重新打包發(fā)送到目標(biāo)地區(qū)。
圖3網(wǎng)絡(luò)設(shè)備的固件植入
通過(guò)固件植入攻擊技術(shù),美方控制了敘利亞電信設(shè)施GSM骨干網(wǎng)上的一臺(tái)交換機(jī),詳盡挖掘該交換機(jī)所在的網(wǎng)段的網(wǎng)絡(luò)信息,并利用該交換機(jī)的漏洞進(jìn)一步獲取目標(biāo)對(duì)象的通話語(yǔ)音內(nèi)容。由于固件程序的特點(diǎn),這種攻擊手段是不易被覺(jué)察和清除的,即使重新啟動(dòng)網(wǎng)絡(luò)設(shè)備也無(wú)濟(jì)于事。
潛在威脅的芯片植入攻擊
近幾年,被稱為硬件木馬(Hardware Trojan)的芯片植入攻擊技術(shù)正處于研究中。該技術(shù)直接將惡意電路集成在目標(biāo)設(shè)備使用的芯片中,實(shí)現(xiàn)敏感信息的獲取。目前,用于網(wǎng)絡(luò)設(shè)備的以太網(wǎng)核心芯片技術(shù)主要掌握在國(guó)外公司的手里,如果該公司將惡意電路集成在其以太網(wǎng)核心芯片,并將安裝該芯片的網(wǎng)絡(luò)設(shè)備出售給國(guó)內(nèi)重要部門(mén),其后果不堪設(shè)想。
芯片植入攻擊技術(shù)最大的特點(diǎn)是,一旦將帶有硬件木馬的芯片安裝到網(wǎng)絡(luò)設(shè)備中,這個(gè)硬件木馬是永遠(yuǎn)不會(huì)被清除的,而潛在的威脅也是持久的。當(dāng)前,并沒(méi)有證據(jù)顯示芯片植入攻擊技術(shù)用于物理隔離網(wǎng)絡(luò)中,但是從目前研究發(fā)展來(lái)看,用于物理隔離網(wǎng)絡(luò)的芯片植入攻擊技術(shù)是完全可行的。
總結(jié)
網(wǎng)絡(luò)設(shè)備交換機(jī)、路由器在物理隔離網(wǎng)絡(luò)中發(fā)揮著不容忽視的重要作用,其安全性直接關(guān)系到物理隔離網(wǎng)絡(luò)的安全。然而網(wǎng)絡(luò)設(shè)備的物理隔離攻擊手段的多樣性使得網(wǎng)絡(luò)設(shè)備存在諸多安全隱患,網(wǎng)絡(luò)信息安全面臨著嚴(yán)峻挑戰(zhàn)。基于此,信息安全人員應(yīng)制定合理有效的安全策略,特別是加強(qiáng)線上線下供應(yīng)鏈的安全風(fēng)險(xiǎn)評(píng)估與防護(hù)措施,在物理空間無(wú)線信號(hào)檢測(cè)的基礎(chǔ)上建立長(zhǎng)時(shí)監(jiān)測(cè)與防護(hù)機(jī)制;網(wǎng)絡(luò)管理人員及時(shí)更新設(shè)備補(bǔ)丁、有效監(jiān)控管理網(wǎng)絡(luò);普通用戶,尤其是軍政要害部門(mén)、重要企業(yè)的從業(yè)人員,更要提高安全意識(shí)謹(jǐn)防危害網(wǎng)絡(luò)的行為,各方協(xié)同聯(lián)動(dòng)為正常運(yùn)營(yíng)業(yè)務(wù)、維護(hù)信息資產(chǎn)提供穩(wěn)定有力的保障。
【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)聯(lián)系原作者】
