什么是網(wǎng)絡(luò )設備的物理隔離攻擊技術(shù)

通常的網(wǎng)絡(luò )設備（例如交換機和路由器）攻擊手段是利用操作系統的安全漏洞或通信協(xié)議的安全漏洞，通過(guò)互聯(lián)網(wǎng)注入病毒或木馬，造成網(wǎng)絡(luò )設備信息的泄密或網(wǎng)絡(luò )癱瘓。然而，這些常規的攻擊手段并不適用于物理隔離環(huán)境下的局域網(wǎng)網(wǎng)絡(luò )設備。因此，網(wǎng)絡(luò )設備的物理隔離攻擊技術(shù)是利用這些網(wǎng)絡(luò )設備生產(chǎn)、運輸、存儲等供應鏈環(huán)節的安全漏洞，攔截正常的網(wǎng)絡(luò )設備，并在其中植入惡意軟硬件，建立隱蔽傳輸通道，竊取局域網(wǎng)絡(luò )重要信息或使之癱瘓。如果按照植入方式分類(lèi)的話(huà)，網(wǎng)絡(luò )設備的物理隔離攻擊技術(shù)可分為硬件植入攻擊、固件植入攻擊、芯片植入攻擊等。這幾類(lèi)攻擊方式在實(shí)際應用的時(shí)候，還可組合使用。

圖1 網(wǎng)絡(luò )設備的物理隔離攻擊

意想不到的硬件植入攻擊

2013年，斯諾登曝光了一組美國國家安全局下屬的TAO（特定入侵行動(dòng)辦公室）的物理隔離攻擊技術(shù)。其中，一種名為“FIREWALK”的硬件植入攻擊技術(shù)就是針對物理隔離網(wǎng)絡(luò )進(jìn)行攻擊的。早在2008年，這種硬件植入攻擊技術(shù)就不僅可以搜集物理隔離環(huán)境下的千兆位以太網(wǎng)的網(wǎng)絡(luò )流量，而且還可以主動(dòng)地將以太網(wǎng)數據包注入到該千兆位以太網(wǎng)絡(luò )中，實(shí)現網(wǎng)絡(luò )竊密或網(wǎng)絡(luò )癱瘓功能。

圖2 網(wǎng)絡(luò )設備的硬件植入攻擊

“FIREWALK”是一種雙向的網(wǎng)路惡意硬件，該硬件可被植入到一個(gè)雙堆棧的RJ45/USB連接器中�！癋IREWALK”的簡(jiǎn)易工作原理是利用定制的射頻收發(fā)機，在物理隔離網(wǎng)絡(luò )與外部攻擊網(wǎng)絡(luò )之間建立一個(gè)意想不到的網(wǎng)絡(luò )通道。當外部攻擊網(wǎng)絡(luò )發(fā)出指令時(shí)，“FIREWALK”可通過(guò)該通道實(shí)現物理隔離網(wǎng)絡(luò )流量輸出和流量注入功能。

難以清除的固件植入攻擊

2015年初，斯諾登又披露了以搜集他國通訊情報為目標的美國國家安全局的SIGINT行動(dòng)組也采用類(lèi)似的方式攻破物理隔離網(wǎng)絡(luò )的安全防線(xiàn)。工作過(guò)程是：攔截發(fā)送到目標地區的計算機網(wǎng)絡(luò )設備（服務(wù)器、路由器、交換機等）裝運，然后在TAO（特定入侵行動(dòng)辦公室）情報人員和技術(shù)人員的協(xié)助下，對這些計算機網(wǎng)絡(luò )設備植入修改后的固件程序，最后重新打包發(fā)送到目標地區。

圖3網(wǎng)絡(luò )設備的固件植入

通過(guò)固件植入攻擊技術(shù)，美方控制了敘利亞電信設施GSM骨干網(wǎng)上的一臺交換機，詳盡挖掘該交換機所在的網(wǎng)段的網(wǎng)絡(luò )信息，并利用該交換機的漏洞進(jìn)一步獲取目標對象的通話(huà)語(yǔ)音內容。由于固件程序的特點(diǎn)，這種攻擊手段是不易被覺(jué)察和清除的，即使重新啟動(dòng)網(wǎng)絡(luò )設備也無(wú)濟于事。

潛在威脅的芯片植入攻擊

近幾年，被稱(chēng)為硬件木馬（Hardware Trojan）的芯片植入攻擊技術(shù)正處于研究中。該技術(shù)直接將惡意電路集成在目標設備使用的芯片中，實(shí)現敏感信息的獲取。目前，用于網(wǎng)絡(luò )設備的以太網(wǎng)核心芯片技術(shù)主要掌握在國外公司的手里，如果該公司將惡意電路集成在其以太網(wǎng)核心芯片，并將安裝該芯片的網(wǎng)絡(luò )設備出售給國內重要部門(mén)，其后果不堪設想。

芯片植入攻擊技術(shù)最大的特點(diǎn)是，一旦將帶有硬件木馬的芯片安裝到網(wǎng)絡(luò )設備中，這個(gè)硬件木馬是永遠不會(huì )被清除的，而潛在的威脅也是持久的。當前，并沒(méi)有證據顯示芯片植入攻擊技術(shù)用于物理隔離網(wǎng)絡(luò )中，但是從目前研究發(fā)展來(lái)看，用于物理隔離網(wǎng)絡(luò )的芯片植入攻擊技術(shù)是完全可行的。

總結

網(wǎng)絡(luò )設備交換機、路由器在物理隔離網(wǎng)絡(luò )中發(fā)揮著(zhù)不容忽視的重要作用，其安全性直接關(guān)系到物理隔離網(wǎng)絡(luò )的安全。然而網(wǎng)絡(luò )設備的物理隔離攻擊手段的多樣性使得網(wǎng)絡(luò )設備存在諸多安全隱患，網(wǎng)絡(luò )信息安全面臨著(zhù)嚴峻挑戰�；�于此，信息安全人員應制定合理有效的安全策略，特別是加強線(xiàn)上線(xiàn)下供應鏈的安全風(fēng)險評估與防護措施，在物理空間無(wú)線(xiàn)信號檢測的基礎上建立長(cháng)時(shí)監測與防護機制；網(wǎng)絡(luò )管理人員及時(shí)更新設備補丁、有效監控管理網(wǎng)絡(luò )；普通用戶(hù)，尤其是軍政要害部門(mén)、重要企業(yè)的從業(yè)人員，更要提高安全意識謹防危害網(wǎng)絡(luò )的行為，各方協(xié)同聯(lián)動(dòng)為正常運營(yíng)業(yè)務(wù)、維護信息資產(chǎn)提供穩定有力的保障。