警惕网络设备中的幽灵
(2008年06月)文/江海客
本月22日,在伦敦的一场安全会议上,一个名为Sebasiian Muniz的安全研究者,会介绍其编写的Cisco路由器Rootkit。
表面上,这个程序无需让大家感到恐慌,因为这并非是针对IOS缺陷的远程溢出代码,其能做的事情只是一旦被安装后能在IOS环境中静默的运行。但其确实揭示了Rootkit的方法面前,所有OS一律平等。即使是专用硬件和嵌入式系统,仍然有其运行空间。
在安全威胁的历史上,思想的突破和可实现性验证的公开的造成的后果远胜于技术突破,就像臭名昭著的BO(Back Orifice)一样,AVER们显然并不认为这份开源的代码多么经典。当年拉斯维加斯的黑客会议上,更有人嘲笑这种需要在对方系统上运行才能奏效的程序根本有辱黑客的门风,更不要说当时释放的官方版本不小心感染了CIH。但示范效应推开了Backdoor之门,之后的事情如洪水决堤,目前已经产生了数千个家族的三万八千多个变种。
可以想象,威胁将是迅速到来的,现在就需要提醒网管,警惕非可靠渠道的获得的IOS升级版本。同时更需要关注的另外一个问题是,那就是我们拿到手的路由器安全吗?
自西捷出厂硬盘带毒事件后,原厂安全性开始为人关注,与硬盘不同的是桌面系统用户交互多,安全检测工具纷繁芜杂,问题可能容易被发现。但即使最专业的网管,也往往不会考虑类似路由器这样的设备中会有问题的存在。从路由器设计、生产、罐装、测试、分销甚至返修,这个链路如此之长,任何一个环节出现问题,都可能让部分带有幽灵的设备悄然进入用户的网络。特别在分销环节,此前,水货智能手机,偷偷GPRS上网,点击广告的问题,已经风起于清萍之末。有利益,就会有冒险。
另外一方面,安全威胁的无孔不入的原因,也在于其正向与逆向应用前景的不对称性,对于网络地下经济体系,获得这样的资源优势是显而易见的,如果能覆盖足够多的网络终端,不用说信息窃取,即使只是进行DNS劫持或者其他的擦边球操作,都可能带来丰厚的利润。但如果做其检查产品,其用户的小众性,却并不足以支撑足够的市场空间。从这个一个意义上说,国家对于高端的、专门化的深度检测产品的研发,还缺乏足够的政策激励。
当然,如果真的去开发,也许并不是一个机理非常复杂的产品,最简单的方法,只要IOS的版本收集齐全,采用比对FLASH内容的方式就可以完成检测。
更令人担心的是,这一问题的出现,会掩盖另外一个问题,那就是IOS本身的安全性,对于普通的网络用户来说,商用检测产品可以基于比对设计,但从国家安全的角度评价, 把企业的原厂发布内容当作可信内容,则显得幼稚。针对IOS和CISCO的硬件设计,依然需要经历反复的分析、审视和版本跟踪。
令人感觉啼笑皆非的是,有关西方站点在报道Cisco Rootkit这一消息时,竟然联想到数月前被打掉的一个在中国南方生产假Cisco路由器的团伙,报道说这个团伙生产的路由器销售给了美国各情报、军队和敏感部门。仿佛这些部门天赋异秉,不就地采购,非要不远万里,来购买中国组装货。一方面是一个小小的造假作坊能引发美国舆论的渲染大哗,而另一方面却是每当我们以同样的角度去质疑、审视和思考中美因信息基础能力所带来的巨大战略不对称性时,总被怀疑为神经过敏。
成稿之日,正是汶川地震国家哀悼日,于伤痛中思绪混乱,但无论如何,为了保卫这个由他人操作系统、底层硬件、网络关键设备组成的信息社会,中国的信息安全工作者必须警觉和奋起。
分享到:
相关推荐
Rem.exe幽灵设备清理
网络安全 漏洞。熔断漏洞利用CPU乱序执行技术的设计缺陷,破坏了内存隔离机制,使 恶意程序可越权访问操作系统内存数据,造成敏感信息泄 露。幽灵漏洞利用了CPU推测执行技术的设计缺陷,破坏了 不同应用程序间的逻辑...
《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》.zip
关闭幽灵熔断
给打了微软幽灵熔断补丁导致电脑性能下降的用户的后悔药,可以关闭幽灵熔断,提高性能。对普通用户来说性能比这点安全更重要!
网络空间安全 网络空间安全 网络空间安全 插图/Lanski 图片来源/千图网 英特尔爆出"Meltdown"(熔毁)和"Spectre"(幽灵)两大新型漏洞窃取信息、 Facebook8700多万用户数据遭泄露、 网络安全问题的频出,也让更多人...
幽灵网吧4.2官方论坛原版 官方论坛出品
64K动画大赛作品之一:幽灵古堡 整段动画只用了64kb大小的空间,程序语言写出来的
用于关闭影响cpu随机读取能力的安全补丁,分别为熔断和幽灵;注:补丁为安全补丁,是否屏蔽取决于自身需求,正常情况下不会感受到系统运行能力的差异
全国信息安全标准化技术委员会发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》.pdf
《网络安全实践指南——CPU熔断和幽灵漏洞防范指引》发布.pdf
广外幽灵相对于同类型的软件来说,运行稳定,CPU占用非常低,而且运行的时候在系统中不增加任何进程与线程,只有在发送邮件的时候,才在当前用户工作的程序进程中创建一个临时线程来进行发信,网络防火墙即使发出...
龙管家网吧幽灵
同联记费幽灵2008.exe
幽灵的礼物
网络游戏-气球网络中的位置知晓“幽灵”简况.zip
小幽狂注幽灵小幽狂注幽灵小幽狂注幽灵,密码是ff368
发布《网络安全实践指南--CPU熔断和幽灵漏洞防范指引》.pdf
幽灵网吧辅助工具.rar
安全研究 被“幽灵”所困扰的浏览器 - spring 应用安全 技术分析安全培训 安全测试 安全体系