从“心血”安全漏洞谈起
2014-09-02裴毅东
裴毅东
通常,当用户访问Gmail.com等网站时,会在URL地址栏看到一个“锁”型标志。这个标志表明用户在该网站上的通信信息都被加密,第三方无法读取用户与该网站之间的任何通信信息,只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。Open SSL正是互联网加密使用最广泛的这把“锁”。用户或许认为,Gmail和Facebook等网站上的Open SSL加密“锁”可以保证通信信息安全,而实际上,借助Open SSL的安全漏洞,不法分子可以轻易解密用户的通信信息,甚至获取服务器密钥。Open SSL存在的安全漏洞,可以使这把广泛使用的“安全锁”成为无需钥匙即可开启的“废锁”。
2014年4月,谷歌安全部门和芬兰安全检测公司科诺康同时发现Open SSL开源软件存在名为“心血”的安全漏洞。作为全球2/3以上互联网网站普遍采用的加密手段,Open SSL开源软件存在的安全漏洞,不仅会使网上银行、电子支付、门户网站、电子邮件等网站的用户敏感信息面临被窃取的危险,还会使网络服务器、路由器、移动智能终端等网络设备甚至国家关键信息基础设施面临受攻击的风险。此次曝光的“心血”安全漏洞虽为独立事件,但绝非偶然,这再次反映出美国政府在网络安全漏洞的获取、利用、顶层设计方面具备成熟的运行机制。
“心血”安全漏洞的形成原因及工作机理
Open SSL采用C语言开发,可以支持Linux、Windows、Mac OS等多种操作系统,具有优秀的跨平台性能,已成为目前互联网领域广泛使用的一种开源加密软件工具。用户在网站上的账户、密码及各类通信信息均通过该软件包进行加密。加密数据只有网络服务器这个接收者才能解密,不法分子即便监听用户与网络服务器之间的对话信息,也只能看见一行随机字符串,而无法获取用户实际的敏感信息。
此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列(除1.0.1g外)多个版本存在的“心血”安全漏洞,使得Open SSL的加密功能基本无效,主要问题出在Open SSL实现传输层安全协议(TLS/DTLS)的心跳扩展代码中。当Open SSL的传输层安全协议被调用时,连接SSL一端的客户端向另一端的服务器发出一条简短的字符串(即“心跳信息”),以确认服务器在线并能获取响应;另一端的服务器会向客户端返回与“心跳信息”相匹配的信息。但是,在这个过程中,由于Open SSL未对客户端发送的字符串长度做边界检查,使不法分子可以截获正常“心跳信息”并修改其长度后发给服务器,欺骗网络服务器,从其内存中窃取相应长度的数据,并将相应空间的信息作为“心跳信息”返回给不法分子,这部分数据中,很可能包含安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等信息。虽然不法分子利用该漏洞每次只能从服务器窃取64KB字节信息,但反复多次操作后,可以拼凑出更多用户的账户、密码、通信记录等多种敏感信息。
“心血”安全漏洞可能产生的影响
由于“心血”安全漏洞属于内存泄露,可以从服务器内存中直接读取数据,即使入侵行为也不会在服务器日志中留下痕迹,所以无法确定哪些服务器曾被入侵。但从Open SSL的应用范围,可以判断“心血”安全漏洞可能产生的影响。
大范围波及互联网服务器及相关信息服务
2014年4月,英国Netcraft公司提供的网站服务器调查数据显示,全球约有66%的互联网活跃网站受“心血”安全漏洞影响。这些网站大都采用了基于Open SSL的Apache和Nginx等开源服务器。此外,由于Open SSL主要用于保护电子邮件服务器、聊天服务器、虚拟专用网络、网络应用和多种客户端软件,所以除互联网网站受到影响外,电子邮件、即时通信和虚拟专网(VPN)等信息服务都遭受了严重影响。
2014年4月9日,我国国家信息安全漏洞共享平台(CNVD)发布了关于“心血”漏洞的情况通报。根据监测结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也受到影响。国内两大信息安全公司的监测数据显示,国内网站约有2.3万个(占其抽样的1.5%)和1.1万个(占其抽样的1.0%)服务器主机受影响,涉及大型电商网站、银行网银系统、第三方支付、微信、淘宝、社交网站、门户网站等等,以及126、163等邮箱、即时通信服务。截止4月10日,在全国存在“心血”安全漏洞的网站中,依然有近30%没有采取任何防护措施。
大量敏感数据可能遭窃取
目前,“心血”安全漏洞的验证脚本可以被不法分子广泛获取,而且不法分子可以针对这一安全漏洞进行大量的试验和尝试,可能导致使用Open SSL的站点遭到信息窃取。然而由于不法分子利用该安全漏洞对服务器进行信息窃取时不会留下任何痕迹,可能导致有些站点的大量敏感数据已经遭到窃取,却浑然不觉。
由于该安全漏洞给不法分子提供了读取网站服务器内存的权限,用户修改密码、发送消息、登录等请求以及很多操作会全部暴露出来,直接导致用户的证书密钥、用户名、密码、甚至是安全问题与答案、即时通信、电子邮件、业务关键文档和通信信息都可能遭窃。
国家关键信息基础设施或受影响
事实上,政府、金融、能源、交通、国防等诸多国家关键领域都有用到类似Open SSL的开源软件组件,由于这种组件功能专一、用途广泛,且具有不可替代性,一旦存在安全漏洞,将导致国家关键信息基础设施的底层通信、信息传输、上层应用等功能彻底瘫痪,甚至整个网络空间都将面临严峻的安全风险。
美国已建立完善的网络安全漏洞获取与应用机制
“心血”只是被曝光的众多安全漏洞之一。当前,大量类似Open SSL这样的开源软件包广泛应用于全球互联网服务器、路由器、移动智能终端以及国家重要信息基础设施。公开资料表明,美国长期以来通过植入、发掘、购买等多种方式获取安全漏洞,建立了一套相对完善的网络安全漏洞获取机制。endprint
多管齐下获取安全漏洞
作为网络时代的领跑者,以及最早发现并应用网络技术的国家,面对日益复杂的网络安全威胁,美国政府一直将安全漏洞视为重要的网络战略资源,为掌握海量秘密漏洞不惜花费大量的人力、物力和财力。
一是斥巨资与私营科技公司紧密合作,在软硬件产品或算法中植入安全漏洞、预置“后门”。美国政府与私营企业的合作由来已久,大约有数千家高科技公司作为“可信合作伙伴”为美国政府提供用户敏感信息,其中不乏谷歌、微软、思科等世界知名IT公司。例如,美国国家安全局每年为“信号情报”项目(SIGNIT)投入2.5亿美元,以合同授予的形式引诱国内科技公司在商用加密系统、网络系统、通信设备中植入隐秘漏洞,方便国家安全局获取用户信息。国家安全局曾与加密技术公司RSA达成1000万美元的协议,要求对移动终端广泛使用的加密软件预置2个精心设计的“后门”。
同时,国家安全局下属的“商用解决方案中心”长期与私营科技公司开展合作,表面上是对企业的IT产品进行安全评估,实际上是寻求如何在IT产品中植入安全漏洞。
二是建立官方专业技术团队,开展网络安全漏洞研究,不断挖掘和发现漏洞。美国政府十分重视利用专业技术团队的力量提升网络防御与攻击能力,充分吸收民间网络人才组建专门技术团队,并集结军方精锐网络力量挖掘和发现当前各类系统存在的安全漏洞。国家安全局下属的“获取特定情报行动办公室”(TAO)的“远程行动中心”拥有一个超过600名专业技术人员的团队。该技术团队建立了从网络设施到人、从内容到行为的完整体系,以网络获取技术为主线,以云计算和大数据分析技术为核心,利用先进的网络渗透、机器学习、数据分析等漏洞挖掘技术,不间断地寻找他国信息系统的安全漏洞,这已成为美国政府获取安全漏洞的重要渠道。
三是投入大量资金,长期从黑客手中购买漏洞。多年来,为第一时间掌握互联网、软件、服务器存在的安全漏洞,美国政府长期从贩卖漏洞的黑客手中购买安全漏洞。尽管平均每项安全漏洞的价格达到3.5~16万美元,苹果iOS系统安全漏洞的售价甚至高达50万美元,但美国政府为提升自身网络的防御和攻击能力,仍不惜重金,成为当前安全漏洞市场的最大买家。据国家安全局合同文件显示,该机构在2012年9月订购了法国安全公司VUPEN一年的“零日”漏洞。
充分利用安全漏洞资源,做到早发现、早修复、早利用
一是利用发现的安全漏洞,及时修复自身网络存在的安全问题,做好网络防御措施。据美国彭博新闻社报道,美国国家安全局早在2012年就发现Open SSL开源加密软件存在“心血”安全漏洞,但美国政府出于“维护国家安全威胁免受威胁”等因素的考虑,一直未将漏洞信息公之于众,为其利用该漏洞搜集情报提供了2年的时间窗口。当“心血”安全漏洞被私营企业发现后,美国联邦储备委员会、财政部、国土安全部等政府部门立即对网络系统开展了全面测试和修复。
二是利用安全漏洞制造网络监听工具,搜集海量机密信息。一旦美国国家安全局寻找到目标网络或计算机存在安全漏洞,就会借助软件设计师和工程师队伍设计的专用监听软件,通过电子手段入侵系统并持续搜集机密信息。自2009年开始,美国政府利用搜集华为公司相关技术中存在的安全漏洞,入侵华为网络设备并实施监控,试图找到华为与中国军方之间有联系的证据,同时监控华为高管的通信。
三是利用安全漏洞制造网络攻击武器,破坏关键基础设施。美国政府通过植入、发掘和购买等方式获得安全漏洞后,利用这些庞大的安全漏洞资源,研发制造极具杀伤力的网络武器,伺机将恶意软件植入目标国家的计算机、路由器和防火墙,在需要时利用先进的网络渗透与攻击技术实行谨慎而高效的网络监听或攻击,破坏他国关键信息基础设施。2010年,美国家安全局曾利用包括Windows字体漏洞在内的四个“零日”漏洞,制造出“震网”蠕虫病毒并向伊朗铀浓缩项目发动攻击,最终破坏了约1000台伊朗离心机。此外,美国家安全局在代号为“精灵”的项目中,利用掌握到的漏洞资源,将恶意软件秘密植入世界各地的计算机、路由器和防火墙,伺机发动网络攻击。至2013年底,该项目已控制了至少85000台计算机。此外,美国中央情报局还部署了名为“FoxAcid”的利用安全漏洞发动网络攻击的服务器平台,可对目标的状态、受攻击后的反应等进行判断,以选择最有效的漏洞进行攻击。
从国家层面加强网络安全立法和机构设置,为利用安全漏洞提供顶层保障
近年来曝光的每一例关于网络安全的问题,基本都是由美国官方或私营科技公司率先发现,其他国家只有在安全漏洞曝光或遭受攻击后才能了解安全漏洞的相关信息。事实上,美国从国家层面建立了一整套完善的安全漏洞监测、预警及响应体系,通过加强网络安全立法和组织机构设置,为美国率先获取和利用安全漏洞提供了顶层保障。
首先,重视网络安全战略建设,将网络安全由政策、计划提升到国家战略高度。从克林顿时期的《美国政府对关键基础设施的保护政策》、《信息系统保护国家计划》到布什时期的《保护网络空间的国家战略》,再到奥巴马政府的《网络空间国际战略》、《提升美国关键基础设施网络安全框架》等一系列文件的出台,可以看出,美国政府高度重视网络安全战略建设,将其视为影响经济发展和国家安全的关键因素,通过政策、计划、战略逐级递增的方式,不断提升美国网络安全的战略高度。同时,美国先后颁布了《计算机欺诈和滥用法》、《联邦信息安全管理法》、《关键基础设施信息法》等十多部有关网络安全的法律,这些法律从计算机与信息系统安全、基础设施安全、信息内容安全等多个层次构建了庞大的网络安全保护框架,将网络安全“威慑与防御”的理念贯彻在顶层战略的具体规划中,使美国成为网络安全领域颁布法律最多且体系最为完善的国家。
其次,美国政府将网络安全政策执行、管理与监督等权利分配给国土安全部、国防部、审计署、商务部及财政部等多个联邦政府部门。各联邦部门在网络安全管理方面分工明确,职责清晰,形成了美国网络安全管理的双层主体架构:第一层是白宫网络安全办公室,由白宫网络安全协调官协调和整合政府网络安全方面的所有政策;第二层是国土安全部和国防部,分别作为联邦政府网络安全的指挥中枢和掌管美军网络安全与网络作战指挥的司令部。endprint
对我国网络安全漏洞应对机制的建议
虽然“心血”安全漏洞在曝光后迅速得到修复,但我国仍至少有3万台服务器受到影响。鉴于我国政府、金融、能源、交通、军工等关键行业所用的服务器、操作系统、芯片等软硬件产品和通用网络组件主要来自国外,无法实现安全可控,这些关键行业的信息基础设施都可能受到该安全漏洞的影响。因此,我国一方面要加强自主、安全、可控的软硬件技术与产品的研发,并逐步在关键领域实现替代,从根本上防御网络安全漏洞存在的威胁;另一方面,应加大对网络安全漏洞的监测、预警和响应力度,使我国能够及早发现网络安全漏洞,进而做到早修复。
加强各部门之间信息共享和协同行动,提升网络安全态势的整体感知能力,及时实施应急响应和威慑反制措施
从“蠕虫”病毒到“震网”攻击,再到此次存在时间长达2年的“心血”安全漏洞,美国一直以来都是病毒、木马、漏洞等网络武器的第一发现者和网络攻击发起者,这些“成绩”的取得都直接归于美国所建立的成熟的网络安全监测机构。因此,我国应通过网络安全监测机构建立关键领域网络安全漏洞库,并及时将安全漏洞在不同部门之间共享,切实提高网络安全态势的感知能力和应急响应能力。
结合实际情况,坚持发展自主可控的软硬件产品,着力推进国产软硬件产品系统性替代
发展和应用自主可控的元器件、芯片、操作系统、数据库、服务器等软硬件产品,是保障我国网络安全的根本方法。我国应该结合实际情况,寻找适合自身需求的软硬件产品。例如,在桌面操作系统方面,我国不需要重新研发类似Windows这样的操作系统,基于Linux开发的操作系统在可用性、易用性、适用性等方面基本具备替代能力。虽然国内厂商的研发能力、产品技术、生态环境与国外产品存在一定的差距,但国产操作系统、数据库、服务器已基本能够满足大部分用户90%以上的需求。然而,很多行业部门在实际选择中出于风险和安全考虑,仍偏向使用国外产品。因此,我国应通过优化政府采购政策等方式,加大国产软硬件产品在政府、金融、能源、交通、军工等关键行业的应用比例,逐步推进国产软硬件产品的替代步伐。
正确认识开源软件的安全性,通过第三方评测机构对关键行业重要信息基础设施所用的开源软件开展评估
开源软件采用的“同行评议”方式,使得众多开发者持续对软件代码进行修改和完善,在一定程度上可以有效消除软件内部存在的缺陷。但正是由于行业内对Open SSL这类全球广泛应用的开源软件安全性的信任,使得某些明显漏洞在开源软件中长期存在。因此,我国应该了解和掌握开源软件在政府、金融、能源、交通、军工等关键行业重要信息基础设施中的应用情况,通过第三方评测机构对上述行业所使用的开源操作系统、数据库、服务器的安全性和可靠性开展评估,及时修复发现的安全漏洞,满足党政军及国家关键基础设施等重要信息系统的运行需求,应对他国持续、有预谋、高强度的网络空间攻势。
加强政企合作,借助IT企业成熟的技术和管理经验,应对新技术、新商业模式带来的安全挑战
以云计算、物联网、大数据和移动互联网为代表的新技术、新应用已经成为促进国家经济发展新的增长点,这些新技术、新商业模式的深度和广度拓展将给国家带来新的安全威胁。当前,我国互联网、通信、软件产业蓬勃发展,涌现出百度、阿里、腾讯、华为、中兴等一大批IT企业,形成了具有一定国际影响力和竞争力的IT产业格局。政府部门应充分借鉴和吸收IT企业成熟的技术和管理经验,双方应在技术研发、成果转化、人才培养等方面加强合作,形成从网络安全漏洞预警、发现、攻击,到用户信息保护、处理、分析等一系列完善的分工合作机制。endprint