2008年06月《安全天下事之警惕网络设备中的幽灵》

警惕网络设备中的幽灵

（2008年06月）文/江海客

本月22日，在伦敦的一场安全会议上，一个名为Sebasiian Muniz的安全研究者，会介绍其编写的Cisco路由器Rootkit。
表面上，这个程序无需让大家感到恐慌，因为这并非是针对IOS缺陷的远程溢出代码，其能做的事情只是一旦被安装后能在IOS环境中静默的运行。但其确实揭示了Rootkit的方法面前，所有OS一律平等。即使是专用硬件和嵌入式系统，仍然有其运行空间。
在安全威胁的历史上，思想的突破和可实现性验证的公开的造成的后果远胜于技术突破，就像臭名昭著的BO(Back Orifice)一样，AVER们显然并不认为这份开源的代码多么经典。当年拉斯维加斯的黑客会议上，更有人嘲笑这种需要在对方系统上运行才能奏效的程序根本有辱黑客的门风，更不要说当时释放的官方版本不小心感染了CIH。但示范效应推开了Backdoor之门，之后的事情如洪水决堤，目前已经产生了数千个家族的三万八千多个变种。
可以想象，威胁将是迅速到来的，现在就需要提醒网管，警惕非可靠渠道的获得的IOS升级版本。同时更需要关注的另外一个问题是，那就是我们拿到手的路由器安全吗？
自西捷出厂硬盘带毒事件后，原厂安全性开始为人关注，与硬盘不同的是桌面系统用户交互多，安全检测工具纷繁芜杂，问题可能容易被发现。但即使最专业的网管，也往往不会考虑类似路由器这样的设备中会有问题的存在。从路由器设计、生产、罐装、测试、分销甚至返修，这个链路如此之长，任何一个环节出现问题，都可能让部分带有幽灵的设备悄然进入用户的网络。特别在分销环节，此前，水货智能手机，偷偷GPRS上网，点击广告的问题，已经风起于清萍之末。有利益，就会有冒险。
另外一方面，安全威胁的无孔不入的原因，也在于其正向与逆向应用前景的不对称性，对于网络地下经济体系，获得这样的资源优势是显而易见的，如果能覆盖足够多的网络终端，不用说信息窃取，即使只是进行DNS劫持或者其他的擦边球操作，都可能带来丰厚的利润。但如果做其检查产品，其用户的小众性，却并不足以支撑足够的市场空间。从这个一个意义上说，国家对于高端的、专门化的深度检测产品的研发，还缺乏足够的政策激励。
当然，如果真的去开发，也许并不是一个机理非常复杂的产品，最简单的方法，只要IOS的版本收集齐全，采用比对FLASH内容的方式就可以完成检测。
更令人担心的是，这一问题的出现，会掩盖另外一个问题，那就是IOS本身的安全性，对于普通的网络用户来说，商用检测产品可以基于比对设计，但从国家安全的角度评价， 把企业的原厂发布内容当作可信内容，则显得幼稚。针对IOS和CISCO的硬件设计，依然需要经历反复的分析、审视和版本跟踪。
令人感觉啼笑皆非的是，有关西方站点在报道Cisco Rootkit这一消息时，竟然联想到数月前被打掉的一个在中国南方生产假Cisco路由器的团伙，报道说这个团伙生产的路由器销售给了美国各情报、军队和敏感部门。仿佛这些部门天赋异秉，不就地采购，非要不远万里，来购买中国组装货。一方面是一个小小的造假作坊能引发美国舆论的渲染大哗，而另一方面却是每当我们以同样的角度去质疑、审视和思考中美因信息基础能力所带来的巨大战略不对称性时，总被怀疑为神经过敏。
成稿之日，正是汶川地震国家哀悼日，于伤痛中思绪混乱，但无论如何，为了保卫这个由他人操作系统、底层硬件、网络关键设备组成的信息社会，中国的信息安全工作者必须警觉和奋起。