什么是網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)

通常的網(wǎng)絡(luò)設(shè)備(例如交換機和路由器)攻擊手段是利用操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞，通過互聯(lián)網(wǎng)注入病毒或木馬，造成網(wǎng)絡(luò)設(shè)備信息的泄密或網(wǎng)絡(luò)癱瘓。然而，這些常規(guī)的攻擊手段并不適用于物理隔離環(huán)境下的局域網(wǎng)網(wǎng)絡(luò)設(shè)備。因此，網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)是利用這些網(wǎng)絡(luò)設(shè)備生產(chǎn)、運輸、存儲等供應(yīng)鏈環(huán)節(jié)的安全漏洞，攔截正常的網(wǎng)絡(luò)設(shè)備，并在其中植入惡意軟硬件，建立隱蔽傳輸通道，竊取局域網(wǎng)絡(luò)重要信息或使之癱瘓。如果按照植入方式分類的話，網(wǎng)絡(luò)設(shè)備的物理隔離攻擊技術(shù)可分為硬件植入攻擊、固件植入攻擊、芯片植入攻擊等。這幾類攻擊方式在實際應(yīng)用的時候，還可組合使用。

[[192846]]

圖1 網(wǎng)絡(luò)設(shè)備的物理隔離攻擊

意想不到的硬件植入攻擊

2013年，斯諾登曝光了一組美國國家安全局下屬的TAO(特定入侵行動辦公室)的物理隔離攻擊技術(shù)。其中，一種名為“FIREWALK”的硬件植入攻擊技術(shù)就是針對物理隔離網(wǎng)絡(luò)進(jìn)行攻擊的。早在2008年，這種硬件植入攻擊技術(shù)就不僅可以搜集物理隔離環(huán)境下的千兆位以太網(wǎng)的網(wǎng)絡(luò)流量，而且還可以主動地將以太網(wǎng)數(shù)據(jù)包注入到該千兆位以太網(wǎng)絡(luò)中，實現(xiàn)網(wǎng)絡(luò)竊密或網(wǎng)絡(luò)癱瘓功能。

圖2 網(wǎng)絡(luò)設(shè)備的硬件植入攻擊

“FIREWALK”是一種雙向的網(wǎng)路惡意硬件，該硬件可被植入到一個雙堆棧的RJ45/USB連接器中。“FIREWALK”的簡易工作原理是利用定制的射頻收發(fā)機，在物理隔離網(wǎng)絡(luò)與外部攻擊網(wǎng)絡(luò)之間建立一個意想不到的網(wǎng)絡(luò)通道。當(dāng)外部攻擊網(wǎng)絡(luò)發(fā)出指令時，“FIREWALK”可通過該通道實現(xiàn)物理隔離網(wǎng)絡(luò)流量輸出和流量注入功能。

難以清除的固件植入攻擊

2015年初，斯諾登又披露了以搜集他國通訊情報為目標(biāo)的美國國家安全局的SIGINT行動組也采用類似的方式攻破物理隔離網(wǎng)絡(luò)的安全防線。工作過程是：攔截發(fā)送到目標(biāo)地區(qū)的計算機網(wǎng)絡(luò)設(shè)備(服務(wù)器、路由器、交換機等)裝運，然后在TAO(特定入侵行動辦公室)情報人員和技術(shù)人員的協(xié)助下，對這些計算機網(wǎng)絡(luò)設(shè)備植入修改后的固件程序，最后重新打包發(fā)送到目標(biāo)地區(qū)。

[[192848]]

圖3網(wǎng)絡(luò)設(shè)備的固件植入

通過固件植入攻擊技術(shù)，美方控制了敘利亞電信設(shè)施GSM骨干網(wǎng)上的一臺交換機，詳盡挖掘該交換機所在的網(wǎng)段的網(wǎng)絡(luò)信息，并利用該交換機的漏洞進(jìn)一步獲取目標(biāo)對象的通話語音內(nèi)容。由于固件程序的特點，這種攻擊手段是不易被覺察和清除的，即使重新啟動網(wǎng)絡(luò)設(shè)備也無濟(jì)于事。

潛在威脅的芯片植入攻擊

近幾年，被稱為硬件木馬(Hardware Trojan)的芯片植入攻擊技術(shù)正處于研究中。該技術(shù)直接將惡意電路集成在目標(biāo)設(shè)備使用的芯片中，實現(xiàn)敏感信息的獲取。目前，用于網(wǎng)絡(luò)設(shè)備的以太網(wǎng)核心芯片技術(shù)主要掌握在國外公司的手里，如果該公司將惡意電路集成在其以太網(wǎng)核心芯片，并將安裝該芯片的網(wǎng)絡(luò)設(shè)備出售給國內(nèi)重要部門，其后果不堪設(shè)想。

芯片植入攻擊技術(shù)最大的特點是，一旦將帶有硬件木馬的芯片安裝到網(wǎng)絡(luò)設(shè)備中，這個硬件木馬是永遠(yuǎn)不會被清除的，而潛在的威脅也是持久的。當(dāng)前，并沒有證據(jù)顯示芯片植入攻擊技術(shù)用于物理隔離網(wǎng)絡(luò)中，但是從目前研究發(fā)展來看，用于物理隔離網(wǎng)絡(luò)的芯片植入攻擊技術(shù)是完全可行的。

總結(jié)

網(wǎng)絡(luò)設(shè)備交換機、路由器在物理隔離網(wǎng)絡(luò)中發(fā)揮著不容忽視的重要作用，其安全性直接關(guān)系到物理隔離網(wǎng)絡(luò)的安全。然而網(wǎng)絡(luò)設(shè)備的物理隔離攻擊手段的多樣性使得網(wǎng)絡(luò)設(shè)備存在諸多安全隱患，網(wǎng)絡(luò)信息安全面臨著嚴(yán)峻挑戰(zhàn)?；诖耍畔踩藛T應(yīng)制定合理有效的安全策略，特別是加強線上線下供應(yīng)鏈的安全風(fēng)險評估與防護(hù)措施，在物理空間無線信號檢測的基礎(chǔ)上建立長時監(jiān)測與防護(hù)機制;網(wǎng)絡(luò)管理人員及時更新設(shè)備補丁、有效監(jiān)控管理網(wǎng)絡(luò);普通用戶，尤其是軍政要害部門、重要企業(yè)的從業(yè)人員，更要提高安全意識謹(jǐn)防危害網(wǎng)絡(luò)的行為，各方協(xié)同聯(lián)動為正常運營業(yè)務(wù)、維護(hù)信息資產(chǎn)提供穩(wěn)定有力的保障。

[[192849]]

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文