在0 与1 的字符世界里,它悄无声息间摧毁一国的“核计划”,不损一兵一卒下引爆一场席卷全球的“腥风血雨”。它便是当代战争形态里最当之无愧的“军火利器”——漏洞!
拉开网战火药桶“引线”,“漏洞军火”横空出世
2006年,当伊朗重启核计划,总统艾哈迈迪·内贾德骄傲地向世界喊出“伊朗要向西方国家说不”时,世界的另一端,网络战火药桶的“引线”已悄然拉开。
2009年,美军利用伊朗核设施的工业控制系统中的两个漏洞发动攻击,致使纳坦兹铀浓缩基地至少有3万台电脑“中标”,1/5的离心机瘫痪,“核计划”瞬间被化为一纸空谈。
这是史上首个一国蓄意针对另一国工业控制系统芯片的网络攻击,它开启了网络战的先河。此后“高危漏洞”便以“新型军火”的身份,与网络战捆绑在一起。
覆巢之下,安有完卵?
事实上,在漏洞撕开魔鬼入口的那一刻,全球性的“安全浩劫”就处在时刻会上演的边缘。
2017年,勒索软件Wannacry携“永恒之蓝”席卷全球:150多个国家瞬间沦陷,全球20多万家机构的电脑中毒,医院、警察局、学校、机场、车站,甚至ATM机、加油机……一切网络终端几乎无一幸免。这次对微软操作系统中的高危漏洞成功利用,再次创下全球先例——“漏洞军火”民用化。这一年,360公司董事长兼CEO周鸿祎发出“今后网络漏洞会变成如稀土、原油一样的国家战略资源”的慨叹。
而今天,利用漏洞发动网络攻击事件愈演愈烈:
今年3月,委内瑞拉全国遭遇大断电事件,总统马杜罗一度怀疑是国内“内鬼”与美国暗中勾结,利用电网系统中的安全漏洞瘫痪了该国的电网系统。
本月16日,黑客利用保加利亚国家税务局在线增值税退税服务的漏洞向其发动了攻击,导致该国有超过500万人(全国总人口数为700万)的个人信息数据泄露。某国成为重点怀疑对象。因为今年春天,保加利亚同意花费13亿美元从美国购买八架F-16战斗机。因此,黑客攻击被认为是某国针对此事的报复行为。
上周,黑客利用企业资源规划(ERP)网络应用程序中的一个漏洞,入侵了62所高校系统,黑客“利用受影响的Banner系统上用于招生或注册部分中的脚本来创建了多个学生帐户,致使学生的财务援助数据受到影响。
不光是国家工业基础设施、政府部门、院校机构被“漏洞轰炸”,关键个人一旦被瞄准也不能幸免;也不光是勒索、信息泄漏那么简单,“军火”所带来的杀伤力,势必也会伴随着血腥和暴力;还不光是PC端,手机移动端漏洞也可能成为利用的对象。
去年10月,沙特异见记者Jamal Khashoggi(卡舒吉)以一种极为惨烈的方式死在了伊斯坦布尔的沙特领事馆,并被注射不明药物之后,惨遭肢解。而这场网络间谍程序助力下的政治暗杀,正是由于卡舒吉手机中的漏洞被沙特高层的Pegasus间谍程序利用,暴露了他的行踪。
尖峰利刃,漏洞已成网战国家“重要筹码”
一个小漏洞,能轻易取得任何“一场战争”的胜利,还不损一兵一卒。所以,漏洞也日渐成为一些别有用心国家手上的重要“筹码”。
早在2015年,美国海军相关部门的一份请求安全业界协助的文档就显示,美国军方希望安全专家能够向海军出售“软件漏洞情报、漏洞攻击报告、以及进行攻击的二进制文件等等。”
当时的美国海军也对这些尚未获得修补的漏洞提出了具体要求,即必须是有关大量用户使用和依赖的商用软件,且最好是“零日漏洞”或是“N日漏洞”(漏洞发现时间不超过六个月)。
这意味着,这些软件的漏洞一旦被发现,相关的软件企业并未发布补丁或者升级之前,美国军方的网络战部门就可能已经会对其加以使用,为所欲为,进而达到其想要的政治、经济目的。
早前微软总裁布拉德·史密斯,就曾在其博客上愤怒说:“如果某些政府部门继续躲在暗处挖掘全球电脑系统的漏洞,然后制成所谓的‘武器库’用来攻击别国或是‘买卖’,那么这些国家就是网络犯罪的帮凶!”
大论兵法,避免全球性“安全浩劫”再发生
漏洞无处不在。伴随网络战争向常态化趋势发展,漏洞就如同非定时炸弹一样,一旦被黑客利用攻击,整个国家的关键基础设施将随时陷入瘫痪,电力、水利、通信、金融、交通、航空航天、公用事业等重要行业运行的信息系统或工业控制系统会首当其冲,这将对国家政治、经济、社会、文化、国防、环境以及人民生命财产造成难以估量的损失。所以,防备永远都要“正在进行时”,既要有看得见的能力,也要有守得住的实力。
所以,在今年的第七届互联网安全大会(ISC)上(8月19日-20日在北京·雁栖湖国际会展中心举行),主办方360在“应对网络战、共建大生态、同筑大安全”的主题下,聚焦高危漏洞,重磅发布了包括:野外Windows操作系统内核漏洞利用、RDP(CVE-2019-0708)远程高危漏洞、0day漏洞交易内幕、苹果FaceTime零接触远程漏洞、iPhone远程无交互攻击方法和漏洞以及iPhoneXS Max越狱在内的 ISC 2019六大安全议题。据悉,这些重量级议题将由卡巴斯基实验室、谷歌零计划实验室、Q-recon漏洞军火商、360Vulcan Team、盘古团队等国内外知名大咖现场讲解分析。
此外,大会上360Vulcan Team团队也将在全球范围内首次披露RDP(CVE-2019-0708)漏洞(这一破坏力丝毫不亚于“永恒之蓝”的高危漏洞),并将全面解析包括漏洞原理、如何远程无损扫描、如何实现拒绝服务攻击,如何在不同操作系统平台实现稳定的、无需交互的远程代码执行等一系列漏洞核心内容,解行业安全疑云,守住政企、国家第一道网络安全防线,谨防全球性“安全浩劫”再度发生。
不仅全球安全研究员将高危漏洞作为一项重要课题,面对威胁,智库也建议:
1.牢固树立网络安全无小事的大局意识,时刻牢记:没有不存在漏洞的系统,没有攻不破的网络。对于网络漏洞的监测和防范工作务求夙夜在公,不允许有片刻疏忽。
2. 网络防御与网络攻击是两种思路。国家、政府、企业应加强与向360这样的网络安全公司的合作,使用国产化的独立的信息系统。
3.加强网络人才的培养。网络战说到底是技术人才之间的竞争。网络战需要广泛动员本国技术人才加入到网络部队中去,走军民相结合之路。
