本周北約發(fā)布闡述國家網(wǎng)絡(luò)戰(zhàn)的塔林報告(The Tallinn Papers)。這份資料是一份從全局的角度回顧國家網(wǎng)絡(luò)戰(zhàn)歷史和主要APT攻擊的文章。本期海外安全回顧將著重解讀這份報告。

??

[[110153]]

塔林國家網(wǎng)絡(luò)戰(zhàn)報告解讀

世上無新事。一切都是歷史的輪回。

在本周，由NATO Cooperative Cyber Defence Centre of Excellence發(fā)布的塔林系列報告(以下簡稱塔林報告)是一件值得關(guān)注的事情。本次發(fā)布的塔林報告包括兩份：一份是“混沌：國家，國家安全和互聯(lián)網(wǎng)”(PANDEMONIUM:NATION STATES, NATIONAL SECURITY, AND THE INTERNET)，另一份是“軟件制造商對其缺陷產(chǎn)品的責(zé)任”(THE LIABILITY OF SOFTWARE MANUFACTURERS FOR DEFECTIVE PRODUCT)。

本期海外安全事件回顧主要解讀一下第一份報告。第二份報告請大家自己閱讀。兩份報告均可以從NATO CCD COE網(wǎng)站(https://www.ccdcoe.org/)下載，或從本人的微博(http://www.weibo.com/hacktivism)下載。

??

這份名為“混沌：國家，國家安全和互聯(lián)網(wǎng)”(PANDEMONIUM:NATION STATES, NATIONAL SECURITY, AND THE INTERNET)的文章由FireEye的資深安全分析師KENNETH GEERS編寫。毫無疑問，這是一份概述從1998年以來全球發(fā)生的最主要的國家間網(wǎng)絡(luò)戰(zhàn)歷史的文章，包括了愛沙尼亞網(wǎng)絡(luò)戰(zhàn)，伊朗震網(wǎng)，巴勒斯坦-以色列網(wǎng)絡(luò)戰(zhàn)，敘利亞網(wǎng)絡(luò)戰(zhàn)以及南北韓網(wǎng)絡(luò)戰(zhàn)等著名事件。

在開始解讀之前，先簡單介紹一下NATO Cooperative Cyber Defence Centre of Excellence(以下簡稱NATO CCD COE)，即北約卓越網(wǎng)絡(luò)防衛(wèi)合作中心。這個中心成立于2008年5月14日。在2008年10月28日得到北約的認(rèn)可，取得國際軍事組織的地位。該中心從事網(wǎng)絡(luò)安全研究和培訓(xùn)，共有40名員工。NATO CCD COE中心坐落于愛沙尼亞的塔林。

細(xì)心的朋友一定有種突然醒悟的感覺。沒錯，愛沙尼亞。NATO CCD COE的前身是愛沙尼亞的網(wǎng)絡(luò)安全研究組織。在2007年愛沙尼亞網(wǎng)絡(luò)戰(zhàn)后，其重要作用凸顯出來，并最終被北約收納。

由于NATO CCD COE所在地是的塔林，因此，此番報告命名為塔林報告也就不難理解了。從另一個角度來說，以所在地命名報告，也體現(xiàn)了該報告的重要程度。

GEERS以“Pandemonium”作為標(biāo)題是有其深刻寓意的?！癙andemonium”源于約翰彌爾頓的史詩《失樂園》，本意是描述一種荒蕪而嘈雜的混亂狀態(tài)?！妒穲@》中的“樂”就是人間天堂，即伊甸樂園。人類失去伊甸樂園正是因?yàn)槿祟愡`背上帝旨意犯下的罪導(dǎo)致的。“Pandemonium”是地獄的一種標(biāo)準(zhǔn)狀態(tài)。地獄不在地下，而在天堂之外的冥冥荒野。作者在這里以“Pandemonium”為題更是為了表現(xiàn)國家間安全狀況的混沌。

??

[[110154]]

文章第一句話是：很久以前，Ecclesiastes(筆者注：即傳道書，來自圣經(jīng))的作者說到：“世上無新事(There is nothing new under the sun)”。這明顯是一種影射。GEERS認(rèn)為，和很久之前人類喪失伊甸樂土一樣，當(dāng)下國家間本應(yīng)該是相互和平共處，但是正是這些網(wǎng)絡(luò)戰(zhàn)使得原本和諧的“樂土”變成了野蠻和沒有秩序的荒原。

對于網(wǎng)絡(luò)威脅，GEERS首先把它定義為一種技術(shù)和哲學(xué)的奇跡：網(wǎng)絡(luò)攻擊可以將遠(yuǎn)在千里之外的核控制系統(tǒng)癱瘓，也可以記錄下載我們所有的一舉一動，一段加密的代碼可以且只可以破解唯一的目標(biāo)。網(wǎng)絡(luò)攻防戰(zhàn)已經(jīng)不簡簡單單是一個技術(shù)問題，而是人類社會幾千年來進(jìn)攻和防御、破壞與反破壞、欺詐與反欺詐經(jīng)驗(yàn)的結(jié)晶以及諸多知識的結(jié)合體。

GEERS以劃分國家的方式闡述這些導(dǎo)致人類樂土變成荒原的網(wǎng)絡(luò)戰(zhàn)。

首當(dāng)其沖的是俄羅斯。毋庸置疑，俄羅斯有全球最好的黑客。他們自由出入對方的系統(tǒng)，獲取自己需要的數(shù)據(jù)如囊中取物，手到擒來。1998年北約空襲塞爾維亞時，支持塞爾維亞的俄羅斯黑客就用DDoS了北約網(wǎng)絡(luò)并在電子郵件植入病毒發(fā)起攻擊。2007年，俄羅斯是愛沙尼亞網(wǎng)絡(luò)戰(zhàn)背后最主要的推手。2008年俄羅斯入侵格魯吉亞期間，俄羅斯是通過USB入侵并導(dǎo)致美軍中央司令部重要信息泄露的首要嫌犯。2009年，俄羅斯黑客是“氣候門”的罪魁禍?zhǔn)祝麄冏柚勾髮W(xué)研究的目的正是為了破壞減緩氣候變化的國際談判。2010年，F(xiàn)BI逮捕并驅(qū)逐了Alexey Kafelnikov，在此之前他是微軟的軟件測試工程師。

在GEERS筆下，俄羅斯的累累罪行真是罄竹難書。當(dāng)然，GEERS認(rèn)為美國也不是省油的燈。GEERS引用了Ralph Langner(注：震網(wǎng)病毒最有經(jīng)驗(yàn)和權(quán)威的研究者)的論斷，如果將國家網(wǎng)絡(luò)戰(zhàn)定義為通過網(wǎng)絡(luò)攻擊導(dǎo)致物理基礎(chǔ)設(shè)施遭到破壞，那么震網(wǎng)(Stuxnet)是迄今已來唯一的網(wǎng)絡(luò)超級武器(“only one” cyber superpower in the world)。

??

震網(wǎng)是一個完全和徹底的創(chuàng)新，它集諸多進(jìn)攻手段于一身，成為一種準(zhǔn)宗教式(quasi-religious)的經(jīng)典：多個0day漏洞，強(qiáng)制加密“哈希碰撞”，披著合法操作外衣的格外復(fù)雜的破壞行為等等。與此同時，震網(wǎng)具有明確的目標(biāo)。和Slammer以及Code Red盡可能感染更多系統(tǒng)的理念不同，震網(wǎng)盡可能少地感染系統(tǒng)。對于絕大多數(shù)系統(tǒng)來說，震網(wǎng)病毒是安靜和安全的。

GEERS對震網(wǎng)的評價非常高，他認(rèn)為震網(wǎng)改變了人類歷史。我同意他的觀點(diǎn)。

關(guān)于震網(wǎng)到底是不是美國人發(fā)明的這個問題，GEERS沒有直接回答YES or No。他提到，除了Langner，還有包括紐約時報、美國總統(tǒng)資深反恐官等一票人都相信震網(wǎng)是在一個華盛頓律師團(tuán)的監(jiān)管下編寫的。此外，Duqu, Flame和Gauss等APT代碼和震網(wǎng)一樣，都是出自同一幫人之手。事實(shí)上，這個問題問的有點(diǎn)多余。GEERS把震網(wǎng)放到美國這個版塊而不是中東，就已經(jīng)給出了明確的回答。

接下來是中東(Middle East)和北韓(North Korea)。在中東版塊，除了支持巴勒斯坦的黑客與以色列黑客之間的攻防戰(zhàn)之外，GEERS特別著重提到了兩個黑客組織：伊朗的Izz ad-Din al-Qassam，以及敘利亞的敘利亞電子軍(SyrianElectronic Army ，簡稱SEA)。Izz ad-Din al-Qassam打得美國幾十家金融機(jī)構(gòu)暈頭轉(zhuǎn)向、風(fēng)聲鶴唳，SEA更是連下Al-Jazeera(半島電視臺), Anonymous(匿名者組織),Associated Press (美聯(lián)社),BBC, the Daily Telegraph(每日郵報), the Financial Times(金融時報), the Guardian(衛(wèi)報),Human Rights Watch(人權(quán)觀察), National Public Radio(國家公共廣播),the New Nork Times(紐約時報),Twitter等系統(tǒng)。SEA的殺手锏是社工和魚叉式郵件攻擊，一旦得手，馬上植入RAT代碼。

??

[[110155]]

談到北韓，GEERS則多少表現(xiàn)的有些不屑。北韓從2009年開始對美國和南韓的政府網(wǎng)站發(fā)起網(wǎng)絡(luò)攻擊。而北韓的黑客直到2013年才可以稱得上“成熟”，開始對南韓的銀行、媒體、運(yùn)營商等目標(biāo)發(fā)起包括DDoS在內(nèi)的網(wǎng)絡(luò)攻擊。當(dāng)前，北韓的網(wǎng)絡(luò)戰(zhàn)部門有3000人。有意思的是，相對于南韓的四處救火，北韓自己的服務(wù)器非常安全——因?yàn)檫@些服務(wù)器根本就沒有互聯(lián)網(wǎng)連接。

??

報告的最后，是一些標(biāo)準(zhǔn)的FireEye數(shù)據(jù)，全球C&C分布數(shù)據(jù)等。如下圖所示，圖中的圓圈即代表C&C控制服務(wù)器，圓圈越大，說明C&C服務(wù)器越密集。這些東西已經(jīng)看過很多次了，沒更多的感覺，這里就不再贅述了。

總之，這份資料是一份難得的、從歷史和全局的角度回顧主要國家網(wǎng)絡(luò)戰(zhàn)和APT攻擊的文章。GEERS認(rèn)為，網(wǎng)絡(luò)戰(zhàn)體現(xiàn)了國家與國家之前，體制與體制之間的矛盾和沖突，從這個角度上來說，網(wǎng)絡(luò)戰(zhàn)不過是冷戰(zhàn)的另外一種形式。人類戰(zhàn)爭的歷史仍在繼續(xù)，攻防對抗的事件仍在不斷輪回。

最后，細(xì)心的讀者一定會問，文章到這里完了?沒錯，完了。你可能會問，不會吧，缺了點(diǎn)什么。沒錯，有一個重要的版塊沒有解讀。哈哈，那部分內(nèi)容請大家自己閱讀吧。原因嘛，你懂得。

本周其他事件：

1、北約網(wǎng)站系統(tǒng)遭受DDoS攻擊。

無獨(dú)有偶，上面剛解讀完北約(NATO)發(fā)布的塔林報告，本周末，NATO的網(wǎng)站系統(tǒng)就被DDoS攻擊了。攻擊者自稱 "Cyber Berkut",一個烏克蘭愛國組織，他們攻擊NATO的原因是不滿北約干涉烏克蘭內(nèi)政。"Berkut"曾經(jīng)是一支真實(shí)存在的烏克蘭特種部隊(duì)，在前不久因“鎮(zhèn)壓”烏克蘭游行示威而被解散，其成員隨后組成親俄羅斯的軍事組織。

??

被攻擊的網(wǎng)站包括北約官網(wǎng)(www.NATO.int)和上面提到的總部在愛沙尼亞的NATO CCD COE(www.ccdcoe.org)。據(jù)北約發(fā)言人稱，攻擊并沒有對北約的正常事務(wù)造成影響。

2、克里姆林宮網(wǎng)站被匿名者組織DDoS，無法訪問。

攻擊者自稱是高加索匿名者(Anonymous Caucasus)。攻擊者在Facebook上留言：“這只是熱身，俄國豬!(This is just warming up, Russian pig!)

??

3、中東的DDoS呈上升趨勢。

Anonymous和SEA(敘利亞電子軍)在中東的一番折騰加劇了數(shù)據(jù)中心面臨的威脅。據(jù)統(tǒng)計(jì)，中東地區(qū)DDoS攻擊的平均流量為2.8Gbps，高于全球2.3Gbps的平均水平。有意思的是，中東的數(shù)據(jù)中心仍舊普遍采用防火墻和IPS來抗DDoS。

(完)