“棱镜门”发酵背后的国家网络安全暗战
一场路由器引发的“窃听风云”
IT时报记者 尤歆飞 图 CFP
“棱镜门”事件正在发酵。曾为美国中情局工作的斯诺登披露了美国政府在互联网企业中进行数据挖掘的事实,一串列有苹果、微软、雅虎等IT巨头的长长名单震惊了世界。然而,被卷入“棱镜风潮”的另一个企业,或许更令中国“坐立不安”——这就是思科,全球最大的网络设备和方案提供商,它生产的路由器,几乎覆盖了中国的通信、金融、海关、邮政、铁路、民航、医疗等要害部门。
业内人士指出,路由器是连接网络的重要关卡,从技术角度来说,它不仅可以获取那些经过路由的信息,甚至可以在短时间内,让所有网络瘫痪。
■路由器安全性探密
在保护数据安全的各种声音中,鲜有人关注隐藏在电脑、网线背后的路由器,但在业内,这座“网络与网络之间的桥梁”可被利用泄露数据,却早非秘密。
每个节点的路由器都可能被攻击
南京翰海源公司CEO、知名网络安全专家、安全焦点核心成员Flashsky对《IT时报》记者说,路由器是传输信息的设备,在物理可控的路由器上,经过节点的元数据是可以被获得的。如果该设备不是攻击者物理可控,他也可以借助路由器本身的功能,让数据进入攻击者设计的路径,在这条路径上,只要有一个节点是攻击者物理可控的路由器,他就可以拿到数据。
“窃取数据只是攻击者的一种威胁方式而已,利用路由器还可以发起多种方式的攻击,譬如在下载中劫持,让受害者下载补丁,其实下载的是木马;或劫持DNS,受害者访问站点时,经过攻击者控制的站点,导致数据被窃,或者身份被伪冒。”Flashsky并非危言耸听,中国电信日前发布了一则安全公告,称有黑客劫持家用无线宽带路由器,用户只要浏览黑客控制的网页,其宽带路由器的DNS (域名解析服务)IP地址就会在用户不知情的情况下被篡改,当用户访问特定的网站,如网上银行或购物网站时,可能被指向仿冒的欺诈网页,造成用户信息泄露。
控制了路由器便控制了网络
尽管从理论上来说,使用双向加密可以防范数据窃取,但Flashsky指出,实际上通过中间人、DNS劫持等攻击方式,加密数据也不保险。“如果路由器设有监听的‘后门’,要进行反侦测比较困难。目前来说,一种是通过监控路由器流量,在骨干网络上对一些路由的路径进行监控,可能会发现蛛丝马迹;另一种是通过事前安全测试来发现一些问题,不过这两者都比较难,成本较高。”
窃听信息还不是最关键的问题。业内人士指出,从技术角度来说,控制了路由器,让整个网络瘫痪也是完全可能的。一名不愿具名的运营商网络维护人员介绍,2005年7月,北京网通ADSL和LAN宽带网大面积中断,最后查明原因为思科路由器出现了故障。从2011年至今,全国各地因为路由器故障引发的通信事故多次上演。2011年初,厦门电信城域网使用的思科设备出现下挂IPTV业务异常,平均每两周出现一次。上述运营商人士表示,“一个特定的代码包,就可能让路由器崩溃。”
■中美网络安全暗战
“棱镜门” 的曝光让一向自诩尊重“互联网自由”的美国政府陷入了尴尬,也让其此前对于中国的中兴、华为威胁国家安全的指控显得别有用意:是否因已施于人,所以己所不欲。尽管思科否认参与“棱镜”项目,但令国人忧心的是:在中国,以思科为代表的国外网络设备早已长驱直入,占据着核心领域的核心企业。如果未来网络安全战打响,中国的网络能否经受考验?
国货当自强?路很漫长
从技术上来看,国内很多产品都是从零开始,或者由开源技术改进,创新力不强,缺乏竞争力。TP-Link路由器生产厂商,深圳普联公司市场经理刘科伟曾表示,目前不少IT行业核心技术掌握在欧美国家手中,譬如普联的芯片和解决方案大都是美国公司的,中国企业拿来二次开发后,生产相关产品。尽管华为和中兴等中国企业在通信领域开创出自己的品牌,但这样的公司还太少。
“棱镜”事件曝光后,业界支持国产品牌的呼声日益高涨。在关键领域内,国产设备已经开始布局。去年10月,中国联通完成了169骨干网江苏无锡节点核心集群路由器的搬迁工程,以华为的设备取代了思科。但即便是华为、中兴这样有实力的企业,想要在短时期内取代思科也非常困难。Flashsky说,思科等国外厂商进入中国比较早,已经在市场普及并形成了用户习惯,这些年尽管中国企业技术实力有所提升,但要大规模地更换网络设备,硬成本和软成本都比较高,只能是一个循序渐进的过程。
国家安全意识需进一步提升
网络信息安全是整个安全行业都在讨论的问题,中美两国的反应不尽相同。北京邮电大学教授曾剑秋对《IT时报》记者说,“美国这些年在信息安全方面的力度非常大,一方面警惕国外通信产品的进入,另一方面大力投资新型的安全技术,并利用这些技术构建国家级监控体系。”比如美国有一家名为FIREEYE的公司,成立不到4年推出了新的检测技术,国家就给予投资并给了国防大订单,现在已经成了美国安全领域的顶级公司。
中国工程院院士倪光南表示,在过去的时间里,国内对网络安全问题重视的高度不够,这也造成了在基础设备采购上,思科在国家系统,央企系统中占了太多的份额,“我们国家的《政府采购法》明确提出应该采购国产货物和服务,意味着我们用的软件和服务,如果有国产的就用国产的,没有国产的才能用外国的,但是国家财政性资金的项目有许多都是买了国外的产品,却没有遭到任何处罚。而在发达国家,哪个公司如果违反了政府采购法就会立刻受到严惩。”此外,由于国家层面的信息安全审核机制比较薄弱,国外产品进入中国时几乎不设防,也带来较大的安全隐患。