【原編者按】本文為《牟承晉:再也不能迷信和依賴美國畫好的“圈”——TCP/IP協議棧是因特網安全危害的根源》(可點擊閱讀)的續篇和技術補充。
一、概 述
公共漏洞披露(CVE,Common Vulnerabilities & Exposures),2020年6月連續發布了19個TCP/IP協議棧的安全漏洞,其中2個漏洞的嚴重程度(CVSSv3)為最高級別的“10”,4個漏洞嚴重程度在“7.3-9.1”之間(參見附件1)。其后,微軟、思科(Cisco)等公司相繼宣布確認TCP/IP協議棧安全漏洞,稱正在修復中。
2020年12月8日,位于美國硅谷的Forescout研究實驗室在多方協助下,發布了TCP/IP協議棧的33個新漏洞報告,被命名為“失憶:33”(Amnesia: 33)。報告特別指出,“失憶:33”中的大多數漏洞,是由于內存出錯引起,使攻擊者具備讀取或寫入存儲單元的能力,導致不同程度的影響,例如拒絕服務,信息泄漏和遠程控制等。但是,內存出錯并非協議棧軟件的原創屬性。
2020年12月18日,美國網信安全及基礎設施安全局(CISA)發布工業控制系統警報(ICSA-20-353-01),其中明確,TCP/IP協議棧安全漏洞的嚴重程度(CVSSv3)為9.8,直接影響超文本傳輸協議(HTTP,Hyper Text Transfer Protocol)、因特網協議第6版(IPv6,Internet Protocol Version 6)、動態主機配置協議v6(DHCPv6,Dynamic Host Configuration Protocol v6)。
TCP/IP協議棧是因特網通信互連互通的基礎,任何聯網的設備都需要安裝TCP/IP協議。雖然TCP/IP協議的技術標準是規范的、全球公開的,但實現TCP/IP協議棧的軟件是專業企業所開發,不是開源的。
例如,TCP/IP協議棧是美國Treck公司的產品,是“嵌入式”(Embedded)的模塊化系統設計,而且是“零副本”(Zero Copy),其源代碼不開放。也就是說,Treck公司的TCP/IP協議棧(包括IPv4和IPv6)是網信空間供應鏈中的一個不可忽視的環節,對于終端用戶來說,是被動接受和使用的一個“黑盒子”。
有專家稱,網絡的安全威脅主要來自于設備漏洞和后門,而不是網絡協議本身,網絡協議是由技術標準規范的,是全球公開的。公開的就是安全的?否!迷信和盲從因特網協議和標準的認識或假設,是完全錯誤的,其要害在于:
1)缺失對協議的基礎研究,源頭和底層的本質沒搞清楚;
2)混淆技術標準與協議棧是供應鏈中兩個作用不同的環節;
3)忽視TCP/IP協議棧本身,具有商業化動態有形產品的特性。
一種普遍的認識是,TCP/IP為代表的因特網協議,與因特網的網絡信息安全沒有太大關系:漏洞自有人去發現,補丁自有人會發布,軟件自有人會提供,版本自有人會更新,“事不關己,高高掛起”,習慣于當“甩手掌柜”,習慣于“順水推舟”,習慣于滿足人為寄托或依附于受他人控制的(協議棧與和供應鏈)“空間”和“地盤”,理所當然地想象“天塌不下來,塌下來也不關我的事”。
值得注意的是,在CISA的安全警報中(參見圖1),明確指出Treck的TCP/IP協議棧版本6.0.1.67及之前版本影響IPv6系列。根據公共漏洞披露(CVE,附件1),Treck的TCP/IP協議棧版本 6.0.1.66和之前的版本,影響IPv4隧道(IPv4 Tunneling),嚴重程度(CVSSv3)為“10”。TCP/IP協議棧版本6.0.1.67包含著之前的6.0.1.66版本,即嚴重影響IPv4的同時嚴重影響IPv6,實際上是因特網固有的本源性、原始性先天不足的頑癥。
或者,CISA的安全警報是在暗示,所披露的IPv4安全漏洞已經得到控制,目前嚴重的態勢,只是必須重視解決IPv6的安全漏洞問題?其中的邏輯與順序是什么?
二、IPv4與IPv6的供應鏈安全案例
美國網信安全及基礎設施安全局(CISA)和美國國家安全局(NSA),是網絡安全漏洞的官方認證和管理單位,具有強大的專業技術能力和先發優勢。
但是,CISA發布TCP/IP安全漏洞警報卻比民間滯后了6個月。一方面,民間的技術力量和能力不容小覷,“玩家”即是專家。另一方面,CISA和NSA真的會如此愚鈍、麻木嗎?
根據美國政府問責辦公室(GAO)的報告(2020-6-1):
● 美國國防部擁有全球IPv4地址(43億個)的約20%;
● 美國國防部已使用約3億個IPv4地址;
● 美國國防部的IPv4地址可支持使用到2030年。
因此,美國國防部認為,自2003年開始IPv6過渡計劃以來,IPv4地址短缺不是過渡到IPv6的主要動力。
2014年12月,美國國防部監察長(IG)簽發“國防部需要重啟IPv6的過渡”(DODIG-2015-044)報告。
1)其中指出,根據美國國防部“IPv6過渡計劃 v2.0”(2006-6):
● 國防部首席信息官全面負責確保國防部門及時、一致地過渡到IPv6,確保互操作性和安全性,并根據需要發布策略。
● 國防信息系統局負責在國防信息系統網絡上規劃和實施IPv6,包括非涉密IP路由器網絡(NIPRNet)和涉密IP路由器網絡(SIPRNet)。此外,國防信息系統局負責采購、分配和管理國防部的IPv6地址空間,對IPv6產品和功能進行互操作性測試和認證,并與國家安全局(NSA)合作確保在IPv6過渡中的信息安全以及發現存在的安全問題。
● 網軍司令部負責IPv6過渡的計劃、協調、整合、同步和實施,并對具體國防部信息網絡的運行和防御給予指導。網軍司令部還負責進行網信空間的全方位軍事作戰,實現全域的行動。在非涉密IP路由器網絡(NIPRNet)上啟用IPv6,必須得到網軍司令部的批準。
2)其中認定,美國國防部需要重啟向IPv6過渡的主要原因是:
● 國防部首席信息官(CIO)和網軍司令部并未將 IPv6作為重點;
● 國防部首席信息官,網軍司令部和國防信息系統局(DISA)的工作缺乏有效的協調,沒有運用可用資源推動在國防部范圍內的 IPv6 過渡;
● 國防部首席信息官沒有推進國防部 IPv6 過渡的當前行動計劃和階段性目標。
3)其中總結,從2003年到2014年,美國國防部的 IPv6 過渡計劃的實施僅僅是實驗性的,既沒有進行全面部署,也沒有投入規模過渡。主要原因包括:
● 由于網軍司令部/國家安全局并不具備充分能力識別過渡 IPv6 或保護 IPv6 網絡的潛在安全風險,因此其重點是保護當前的 IPv4 網絡。
由此可見,雖然美國國防部擁有充足的 IPv4 地址資源,且是在全球最先最早開始 IPv6 過渡計劃,但是其先決條件之一是要具備“充分能力識別過渡 IPv6 或保護 IPv6 網絡的潛在風險。”
反之,如果過渡 IPv6 是為了解決 IP 地址短缺,僅僅是為了能夠“載舟”(應用),而忽略忽視在過渡過程中和實際應用中潛在和未知的安全風險,則必然面臨“覆舟”(代價)的危險。
這就是因特網網信空間不可回避的供應鏈安全(Supply Chain Security)問題。
三、供應鏈安全問題
隨著網信空間的發展,供應鏈的組成、形態和復雜性也發生了顯著的變化。其安全問題不再僅僅是有形物體和產品的供給和集成。
仍在發酵的美國大選中揭露的“太陽風”(Solarwinds)網管軟件漏洞,使供應鏈安全問題對全球造成強烈震撼和深刻影響。我國一些專家們仍然認為,確保供應鏈安全是“最難破解的”(hardest nut to crack)問題,因為既沒有全球公認的軟件安全標準集,也沒有滿足這些要求的任何形式的強制性措施。
TCP/IP協議棧的安全漏洞比“太陽風”網絡軟件漏洞的影響更加嚴重,只是目前尚未發現這些已知“失憶”的漏洞被攻擊者如何利用。網絡協議的生態環境和供應鏈關系簡化如圖3:
其中,“數字資源”的源頭是因特網域名與數字地址分配機構(ICANN)。當被授權的機構從ICANN獲得域名和數字地址(如IPv6),所擁有的是對因特網數字資源的分配和管理,是供應鏈中的一個引導環節,并不直接具備和承擔網絡和信息安全的能力與責任。以網絡域名和 IP 地址為例:
1)在“太陽風”安全事件中,攻擊者注冊了惡意域名 “avsvmcloud.com”作為指揮和控制(C2),把下載更新軟件的用戶重定向到該惡意域名,下載被注入惡意代碼的軟件(如SUNBURST后門),并通過該域名的“別名”(CNAME)切換動態的子域名。已被披露的惡意子域名有1722個,用以調度和掩飾隱蔽攻擊行為。
2)“失憶:33”TCP/IP協議棧安全漏洞中,附件1給出的 “CVE-2020-11897”的高危影響,是通過多個格式錯誤的IPv6數據包,對 TCP/IP 協議棧“越界寫入”(Out-of-Bounds Write),從而導致系統損壞、協議崩潰或遠程控制。
顯然,以掩耳盜鈴的“馬甲”方式提供域名服務、錯誤渲染可替代根域名服務器、片面強調 IPv6 地址的特點優于 IPv4,本質上都是“管中窺豹”,是在悖逆現實和科學的道路上漸行漸遠。
嚴峻斗爭中的對標(知彼知己),不能不注意到:
2007年 6月,美國國防部“全球信息網格”(GIG)提出并實施網絡邊界安全,是通過域名系統(DNS)服務以及域名和IP地址實現“隱身核心”(Black Core)和“隱形云”(Black Cloud)。
2014年12月,美國國防部總結“軟件開發商”和“硬件開發商”是過渡 IPv6 的主要瓶頸。
2020年3月,美國國家安全局局長兼網戰司令部司令官保羅•中曾根在眾議院述職時稱,已實現了“零信任”(Zero Trust)網絡框架模型,并在國防部和政府部門開始試點示范。
請注意,“零信任”是不存在任何信任,不是“毫不懷疑的信任”。即不能信任出入網絡的任何內容,必須創建一種以數據為中心的全新邊界,通過強身份驗證技術保護數據。
綜上,不論域名空間安全,還是 IPv6 地址空間安全,都是動態的信息和生態環境中一個實時及“零信任”供應鏈安全。顯然,重新認識并構建網信空間的“供應鏈安全”,至關重要!
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
