什么是網絡設備的物理隔離攻擊技術

通常的網絡設備(例如交換機和路由器)攻擊手段是利用操作系統的安全漏洞或通信協議的安全漏洞，通過互聯網注入病毒或木馬，造成網絡設備信息的泄密或網絡癱瘓。然而，這些常規的攻擊手段并不適用于物理隔離環境下的局域網網絡設備。因此，網絡設備的物理隔離攻擊技術是利用這些網絡設備生產、運輸、存儲等供應鏈環節的安全漏洞，攔截正常的網絡設備，并在其中植入惡意軟硬件，建立隱蔽傳輸通道，竊取局域網絡重要信息或使之癱瘓。如果按照植入方式分類的話，網絡設備的物理隔離攻擊技術可分為硬件植入攻擊、固件植入攻擊、芯片植入攻擊等。這幾類攻擊方式在實際應用的時候，還可組合使用。

[[192846]]

圖1 網絡設備的物理隔離攻擊

意想不到的硬件植入攻擊

2013年，斯諾登曝光了一組美國國家安全局下屬的TAO(特定入侵行動辦公室)的物理隔離攻擊技術。其中，一種名為“FIREWALK”的硬件植入攻擊技術就是針對物理隔離網絡進行攻擊的。早在2008年，這種硬件植入攻擊技術就不僅可以搜集物理隔離環境下的千兆位以太網的網絡流量，而且還可以主動地將以太網數據包注入到該千兆位以太網絡中，實現網絡竊密或網絡癱瘓功能。

圖2 網絡設備的硬件植入攻擊

“FIREWALK”是一種雙向的網路惡意硬件，該硬件可被植入到一個雙堆棧的RJ45/USB連接器中。“FIREWALK”的簡易工作原理是利用定制的射頻收發機，在物理隔離網絡與外部攻擊網絡之間建立一個意想不到的網絡通道。當外部攻擊網絡發出指令時，“FIREWALK”可通過該通道實現物理隔離網絡流量輸出和流量注入功能。

難以清除的固件植入攻擊

2015年初，斯諾登又披露了以搜集他國通訊情報為目標的美國國家安全局的SIGINT行動組也采用類似的方式攻破物理隔離網絡的安全防線。工作過程是：攔截發送到目標地區的計算機網絡設備(服務器、路由器、交換機等)裝運，然后在TAO(特定入侵行動辦公室)情報人員和技術人員的協助下，對這些計算機網絡設備植入修改后的固件程序，最后重新打包發送到目標地區。

[[192848]]

圖3網絡設備的固件植入

通過固件植入攻擊技術，美方控制了敘利亞電信設施GSM骨干網上的一臺交換機，詳盡挖掘該交換機所在的網段的網絡信息，并利用該交換機的漏洞進一步獲取目標對象的通話語音內容。由于固件程序的特點，這種攻擊手段是不易被覺察和清除的，即使重新啟動網絡設備也無濟于事。

潛在威脅的芯片植入攻擊

近幾年，被稱為硬件木馬(Hardware Trojan)的芯片植入攻擊技術正處于研究中。該技術直接將惡意電路集成在目標設備使用的芯片中，實現敏感信息的獲取。目前，用于網絡設備的以太網核心芯片技術主要掌握在國外公司的手里，如果該公司將惡意電路集成在其以太網核心芯片，并將安裝該芯片的網絡設備出售給國內重要部門，其后果不堪設想。

芯片植入攻擊技術最大的特點是，一旦將帶有硬件木馬的芯片安裝到網絡設備中，這個硬件木馬是永遠不會被清除的，而潛在的威脅也是持久的。當前，并沒有證據顯示芯片植入攻擊技術用于物理隔離網絡中，但是從目前研究發展來看，用于物理隔離網絡的芯片植入攻擊技術是完全可行的。

總結

網絡設備交換機、路由器在物理隔離網絡中發揮著不容忽視的重要作用，其安全性直接關系到物理隔離網絡的安全。然而網絡設備的物理隔離攻擊手段的多樣性使得網絡設備存在諸多安全隱患，網絡信息安全面臨著嚴峻挑戰?；诖?，信息安全人員應制定合理有效的安全策略，特別是加強線上線下供應鏈的安全風險評估與防護措施，在物理空間無線信號檢測的基礎上建立長時監測與防護機制;網絡管理人員及時更新設備補丁、有效監控管理網絡;普通用戶，尤其是軍政要害部門、重要企業的從業人員，更要提高安全意識謹防危害網絡的行為，各方協同聯動為正常運營業務、維護信息資產提供穩定有力的保障。

[[192849]]

【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件，轉載請聯系原作者】

戳這里，看該作者更多好文