【原编者按】本文为《牟承晋:再也不能迷信和依赖美国画好的“圈”——TCP/IP协议栈是因特网安全危害的根源》(可点击阅读)的续篇和技术补充。
一、概 述
公共漏洞披露(CVE,Common Vulnerabilities & Exposures),2020年6月连续发布了19个TCP/IP协议栈的安全漏洞,其中2个漏洞的严重程度(CVSSv3)为最高级别的“10”,4个漏洞严重程度在“7.3-9.1”之间(参见附件1)。其后,微软、思科(Cisco)等公司相继宣布确认TCP/IP协议栈安全漏洞,称正在修复中。
2020年12月8日,位于美国硅谷的Forescout研究实验室在多方协助下,发布了TCP/IP协议栈的33个新漏洞报告,被命名为“失忆:33”(Amnesia: 33)。报告特别指出,“失忆:33”中的大多数漏洞,是由于内存出错引起,使攻击者具备读取或写入存储单元的能力,导致不同程度的影响,例如拒绝服务,信息泄漏和远程控制等。但是,内存出错并非协议栈软件的原创属性。
2020年12月18日,美国网信安全及基础设施安全局(CISA)发布工业控制系统警报(ICSA-20-353-01),其中明确,TCP/IP协议栈安全漏洞的严重程度(CVSSv3)为9.8,直接影响超文本传输协议(HTTP,Hyper Text Transfer Protocol)、因特网协议第6版(IPv6,Internet Protocol Version 6)、动态主机配置协议v6(DHCPv6,Dynamic Host Configuration Protocol v6)。
TCP/IP协议栈是因特网通信互连互通的基础,任何联网的设备都需要安装TCP/IP协议。虽然TCP/IP协议的技术标准是规范的、全球公开的,但实现TCP/IP协议栈的软件是专业企业所开发,不是开源的。
例如,TCP/IP协议栈是美国Treck公司的产品,是“嵌入式”(Embedded)的模块化系统设计,而且是“零副本”(Zero Copy),其源代码不开放。也就是说,Treck公司的TCP/IP协议栈(包括IPv4和IPv6)是网信空间供应链中的一个不可忽视的环节,对于终端用户来说,是被动接受和使用的一个“黑盒子”。
有专家称,网络的安全威胁主要来自于设备漏洞和后门,而不是网络协议本身,网络协议是由技术标准规范的,是全球公开的。公开的就是安全的?否!迷信和盲从因特网协议和标准的认识或假设,是完全错误的,其要害在于:
1)缺失对协议的基础研究,源头和底层的本质没搞清楚;
2)混淆技术标准与协议栈是供应链中两个作用不同的环节;
3)忽视TCP/IP协议栈本身,具有商业化动态有形产品的特性。
一种普遍的认识是,TCP/IP为代表的因特网协议,与因特网的网络信息安全没有太大关系:漏洞自有人去发现,补丁自有人会发布,软件自有人会提供,版本自有人会更新,“事不关己,高高挂起”,习惯于当“甩手掌柜”,习惯于“顺水推舟”,习惯于满足人为寄托或依附于受他人控制的(协议栈与和供应链)“空间”和“地盘”,理所当然地想象“天塌不下来,塌下来也不关我的事”。
值得注意的是,在CISA的安全警报中(参见图1),明确指出Treck的TCP/IP协议栈版本6.0.1.67及之前版本影响IPv6系列。根据公共漏洞披露(CVE,附件1),Treck的TCP/IP协议栈版本 6.0.1.66和之前的版本,影响IPv4隧道(IPv4 Tunneling),严重程度(CVSSv3)为“10”。TCP/IP协议栈版本6.0.1.67包含着之前的6.0.1.66版本,即严重影响IPv4的同时严重影响IPv6,实际上是因特网固有的本源性、原始性先天不足的顽症。
或者,CISA的安全警报是在暗示,所披露的IPv4安全漏洞已经得到控制,目前严重的态势,只是必须重视解决IPv6的安全漏洞问题?其中的逻辑与顺序是什么?
二、IPv4与IPv6的供应链安全案例
美国网信安全及基础设施安全局(CISA)和美国国家安全局(NSA),是网络安全漏洞的官方认证和管理单位,具有强大的专业技术能力和先发优势。
但是,CISA发布TCP/IP安全漏洞警报却比民间滞后了6个月。一方面,民间的技术力量和能力不容小觑,“玩家”即是专家。另一方面,CISA和NSA真的会如此愚钝、麻木吗?
根据美国政府问责办公室(GAO)的报告(2020-6-1):
● 美国国防部拥有全球IPv4地址(43亿个)的约20%;
● 美国国防部已使用约3亿个IPv4地址;
● 美国国防部的IPv4地址可支持使用到2030年。
因此,美国国防部认为,自2003年开始IPv6过渡计划以来,IPv4地址短缺不是过渡到IPv6的主要动力。
2014年12月,美国国防部监察长(IG)签发“国防部需要重启IPv6的过渡”(DODIG-2015-044)报告。
1)其中指出,根据美国国防部“IPv6过渡计划 v2.0”(2006-6):
● 国防部首席信息官全面负责确保国防部门及时、一致地过渡到IPv6,确保互操作性和安全性,并根据需要发布策略。
● 国防信息系统局负责在国防信息系统网络上规划和实施IPv6,包括非涉密IP路由器网络(NIPRNet)和涉密IP路由器网络(SIPRNet)。此外,国防信息系统局负责采购、分配和管理国防部的IPv6地址空间,对IPv6产品和功能进行互操作性测试和认证,并与国家安全局(NSA)合作确保在IPv6过渡中的信息安全以及发现存在的安全问题。
● 网军司令部负责IPv6过渡的计划、协调、整合、同步和实施,并对具体国防部信息网络的运行和防御给予指导。网军司令部还负责进行网信空间的全方位军事作战,实现全域的行动。在非涉密IP路由器网络(NIPRNet)上启用IPv6,必须得到网军司令部的批准。
2)其中认定,美国国防部需要重启向IPv6过渡的主要原因是:
● 国防部首席信息官(CIO)和网军司令部并未将 IPv6作为重点;
● 国防部首席信息官,网军司令部和国防信息系统局(DISA)的工作缺乏有效的协调,没有运用可用资源推动在国防部范围内的 IPv6 过渡;
● 国防部首席信息官没有推进国防部 IPv6 过渡的当前行动计划和阶段性目标。
3)其中总结,从2003年到2014年,美国国防部的 IPv6 过渡计划的实施仅仅是实验性的,既没有进行全面部署,也没有投入规模过渡。主要原因包括:
● 由于网军司令部/国家安全局并不具备充分能力识别过渡 IPv6 或保护 IPv6 网络的潜在安全风险,因此其重点是保护当前的 IPv4 网络。
由此可见,虽然美国国防部拥有充足的 IPv4 地址资源,且是在全球最先最早开始 IPv6 过渡计划,但是其先决条件之一是要具备“充分能力识别过渡 IPv6 或保护 IPv6 网络的潜在风险。”
反之,如果过渡 IPv6 是为了解决 IP 地址短缺,仅仅是为了能够“载舟”(应用),而忽略忽视在过渡过程中和实际应用中潜在和未知的安全风险,则必然面临“覆舟”(代价)的危险。
这就是因特网网信空间不可回避的供应链安全(Supply Chain Security)问题。
三、供应链安全问题
随着网信空间的发展,供应链的组成、形态和复杂性也发生了显著的变化。其安全问题不再仅仅是有形物体和产品的供给和集成。
仍在发酵的美国大选中揭露的“太阳风”(Solarwinds)网管软件漏洞,使供应链安全问题对全球造成强烈震撼和深刻影响。我国一些专家们仍然认为,确保供应链安全是“最难破解的”(hardest nut to crack)问题,因为既没有全球公认的软件安全标准集,也没有满足这些要求的任何形式的强制性措施。
TCP/IP协议栈的安全漏洞比“太阳风”网络软件漏洞的影响更加严重,只是目前尚未发现这些已知“失忆”的漏洞被攻击者如何利用。网络协议的生态环境和供应链关系简化如图3:
其中,“数字资源”的源头是因特网域名与数字地址分配机构(ICANN)。当被授权的机构从ICANN获得域名和数字地址(如IPv6),所拥有的是对因特网数字资源的分配和管理,是供应链中的一个引导环节,并不直接具备和承担网络和信息安全的能力与责任。以网络域名和 IP 地址为例:
1)在“太阳风”安全事件中,攻击者注册了恶意域名 “avsvmcloud.com”作为指挥和控制(C2),把下载更新软件的用户重定向到该恶意域名,下载被注入恶意代码的软件(如SUNBURST后门),并通过该域名的“别名”(CNAME)切换动态的子域名。已被披露的恶意子域名有1722个,用以调度和掩饰隐蔽攻击行为。
2)“失忆:33”TCP/IP协议栈安全漏洞中,附件1给出的 “CVE-2020-11897”的高危影响,是通过多个格式错误的IPv6数据包,对 TCP/IP 协议栈“越界写入”(Out-of-Bounds Write),从而导致系统损坏、协议崩溃或远程控制。
显然,以掩耳盗铃的“马甲”方式提供域名服务、错误渲染可替代根域名服务器、片面强调 IPv6 地址的特点优于 IPv4,本质上都是“管中窥豹”,是在悖逆现实和科学的道路上渐行渐远。
严峻斗争中的对标(知彼知己),不能不注意到:
2007年 6月,美国国防部“全球信息网格”(GIG)提出并实施网络边界安全,是通过域名系统(DNS)服务以及域名和IP地址实现“隐身核心”(Black Core)和“隐形云”(Black Cloud)。
2014年12月,美国国防部总结“软件开发商”和“硬件开发商”是过渡 IPv6 的主要瓶颈。
2020年3月,美国国家安全局局长兼网战司令部司令官保罗•中曾根在众议院述职时称,已实现了“零信任”(Zero Trust)网络框架模型,并在国防部和政府部门开始试点示范。
请注意,“零信任”是不存在任何信任,不是“毫不怀疑的信任”。即不能信任出入网络的任何内容,必须创建一种以数据为中心的全新边界,通过强身份验证技术保护数据。
综上,不论域名空间安全,还是 IPv6 地址空间安全,都是动态的信息和生态环境中一个实时及“零信任”供应链安全。显然,重新认识并构建网信空间的“供应链安全”,至关重要!
「 支持!」
WYZXWK.COM
您的打赏将用于网站日常运行与维护。
帮助我们办好网站,宣传红色文化!
欢迎扫描下方二维码,订阅网刊微信公众号
