美国“量子”项目敲响IT供应链警钟作者:冯伟 来源:学习时报 字数:3782 “上网不涉密、涉密不上网”是我国确保敏感信息安全的底线,但最近曝出的美国“量子”项目显示,离线计算机也不再安全。据《纽约时报》2014年初报道,美国国家安全局(NSA)借助“量子”项目在IT供应链环节向重点目标植入恶意软硬件,并据此与互联网或邻近接收装置建立连接,窃取和收集目标中的重要、敏感信息。据悉,NSA已入侵近10万台电脑,包括俄罗斯军方、欧盟贸易机构以及中国军队等。“量子”项目以美国强大的IT产业为基础,将网络攻击前置于芯片设计、产品生产、商品流通等供应链环节,具有更强的隐蔽性。
2014年以来,斯诺登事件呈现出愈演愈烈之势,在新近曝光的诸多机密信息中,美国国家安全局(NSA)的绝密“量子”项目(Quantum)引起广泛关注。据2014年1月14日《纽约时报》报道,NSA早在2008年就开始启动该项目,通过植入间谍软硬件,其能够监控目标计算机的一举一动,并能够借助事先安装在电脑中的微电路板、USB连接线等装置发送的秘密无线电波传递情报,从而达到监控离线计算机的目的。除通过传统间谍手段安装外,这些装置更多的是在生产或流通阶段被恶意植入,具有极强的隐秘性。据披露,中国军方是“量子”项目的主要目标之一,美国已经在中国境内设立了两处数据中心,专门用于给电脑植入恶意软硬件。“量子”项目改变了网络攻击的根本模式,其攻击行为早在芯片设计、产品生产、商品流通等供应链环节就已经展开。
“量子”项目的内容
监控在线和离线目标。在“量子”项目中,NSA能够通过互联网给电脑安装间谍软件,也能够在电脑生产和流通环节植入电路板和USB等硬件,而后使用一种名为“高科技广播频率技术”,通过秘密无线电信号对在线和离线目标实现监控。NSA用来接收信息的中继设备代号为“床头柜”,其可以被放在大号行李箱中以移动的方式接收13公里内的无线信号,在NSA和监控目标间承担“桥梁”角色。这样,无论监控目标联网与否,NSA都能够对其进行监控。据披露,在对伊朗核电站实施网络入侵时,NSA正是使用了上述设备成功在近千台离心机中安装了广为人知的“震网”病毒。
发动网络攻击。“量子”项目开发了包括DNS(域名系统)和HTTP注入式攻击等在内的一系列网络攻击工具,这些工具能够借助“量子”项目操控基于IRC和HTTP的犯罪僵尸网络,其中关联数据库管理系统MySQL插件工具能够让NSA篡改第三方数据库内容。据披露,NSA已经实施了高达10万次“全球范围的植入”,已经正如《纽约时报》所说,借助“床头柜”等中继设备,NSA构建了一条“发动网络攻击的数字高速公路”,能够随时对在线或离线目标发动网络攻击。
设置网络陷阱。“量子”项目覆盖范围非常广,其中名为QUANTUMDEFENSE的子项目通过设置网络陷阱对国防部门遭遇的网络攻击进行分析、溯源和反制,以加强对美国重要系统和网络的防护能力。在该项目中,NSA对访问美国国防部NI-PRNET网络地址的DNS请求进行监控,通过给数据包注入虚假的DNS请求,将攻击者引向NSA所控制的网站,并采用技术手段定位攻击来源。目的是留存其遭到网络攻击相关证据,以证明自己是网络攻击受害方,为美国政府外交争取主动权。
“量子”项目反映了美国在IT供应链的垄断地位
美国借助IT产业优势布控全球。从整体来看,美国毫无疑问是当今信息技术(IT)产业第一强国,其在芯片、计算设备、网络设备等领域的核心竞争优势突出。美国出口的电子产品往往预埋漏洞、后门,其情报机关能够通过这些产品上的后门进行网络入侵和情报窃取。“量子”项目也不例外,其采用的间谍硬件往往在制造阶段就已经植入到电脑中,用户难以发现。此外,美国建立了完善的硬件漏洞共享机制,情报部门会首先最大化地利用被发现的漏洞,之后才会对外公开。
IT企业成为美国监控全球的“先锋”。思科、英特尔、微软等超级IT企业与美国政府的合作关系非常紧密,这些企业已经成为美国监控全球的“急先锋”。“棱镜门”事件显示,NSA等美国政府和情报部门可直接接入微软、谷歌、Facebook、苹果等9家美国IT企业中心服务器,挖掘数据、搜集情报、全面监控民众的网络行为。斯诺登披露的“量子”项目资料显示,美国已通过个别企业在中国设立了两个数据中心,以方便情报机构将恶意软件植入中国的目标电脑。
产品流通环节成为美国情报部门关注重点。早在1997年,NSA就设立了名为“定制入口行动办公室”(TAO)的黑客部门。德国《明镜》周刊在2013年12月29日的爆料显示,TAO在掌握目标人物的网购信息后,拦截运送途中的电脑、硬盘、路由器等电子产品,并对这些产品的硬件做手脚,然后通过这些硬件后门对目标人物进行实时监控。被安装后门的电子产品包括思科、三星、戴尔、西部数据等知名品牌。秘密文件显示,在过去10年里,TAO成功地进入到了89个国家的258个目标,仅在2010年就实施了279次网络入侵行动,几乎触及世界上的每个地方。
“量子”项目折射出我国严峻的IT供应链安全形势
国际IT供应链安全风险突出。电子产品的构成日益复杂,一件产品的配件可能来自不同的国家和厂商,一套复杂软件系统可能由不同地方的人员共同设计完成,因此信息安全已经成为全供应链安全问题,任何一个环节都可能引入后门或漏洞,极大地增加了信息安全的防护难度。以芯片设计为例,芯片在设计过程中就可能存在有意的“漏洞”,随着芯片复杂程度的提高和设计团队的全球化,在其中插入后门的风险也在逐渐增加。正如2013年11月布鲁金斯学会John Villasenor教授所说,“恶意芯片等硬件产品已经成为信息系统、设备、产品预埋后门和漏洞的主要途径”。
国内IT供应链基础薄弱。我国IT产业起步较晚,包括技术、产品、企业等在内的IT供应链各环节与发达国家存在较大差距。一是IT技术相对落后,一直在“跟随”国外先进技术发展;二是IT产品缺乏竞争优势,芯片、微型处理器等基础硬件产业与国外存在代差,高端电子产品竞争力弱;三是IT企业还未形成规模,我国IT企业国际化步伐缓慢,市场主要集中在亚非拉地区,难以撼动美国等发达国家的IT市场垄断地位。
IT产业链路径依赖积重难返。我国政府、金融、电力等关键领域的信息系统严重依赖国外技术产品。在基础网络领域,思科占据了我国骨干通信网络设备70%~80%的市场份额,把持了几乎所有超级核心节点和国际交换节点;在金融领域,70%以上的路由器等网络产品来自思科、80%以上的服务器来自IBM。一直沿用国外的信息系统架构,导致我国各领域信息系统对国外硬件产品存在路径依赖。在这种情况下,即便某些国产IT产品性能足够优异,但仍无法很好地应用于现有IT体系中,这严重阻碍着我国IT产业国产化替代进程。
加强我国IT供应链安全的对策建议
加强硬件安全技术研发。与传统病毒、木马不同,恶意硬件更加隐蔽,一些硬件后门以逻辑漏洞的形式直接存在于被封装好的芯片中,其恶意功能只在特定条件下才会触发,难以通过常规检测手段检测出。为此,一是应开展针对性的硬件安全检测,重点检查“量子”项目中涉及的电路板和USB接口等软硬件模块;二是应尽快汇集恶意硬件信息并建立漏洞库,对已知恶意硬件进行梳理和分析,找出其结构特征、触发条件等关键信息,提出预防、封堵硬件漏洞的普适性方法;三是应加快开发恶意硬件监控工具,以便在恶意硬件触发后能够及时发现。
加速打造自主可控的产业生态体系。全球化趋势下IT供应链安全已经成为软硬件安全的首要风险,只有使用可控的硬件才有可能做到可靠,自主可控的产业体系是确保IT供应链安全乃至国家网络和信息安全的基础和前提。
加大资金支持力度,优化支出模式。改变资金支持方式,由给资金、先补助改为促应用、后补助的方式,同时通过科学评估,集中优势资源对重点企业进行集中支持;合理引导,引入社会基金等资金的投入,最大限度地整合政、产、学、研、用各界资源,发挥集中力量办大事的制度优势,实现国产芯片、微处理器、操作系统在易用性、可靠性和安全性上的突破。
全力推动国产软硬件产品的应用。加大政策扶持力度,鼓励和扶助国内电子产品厂商优先采用国产硬件,要求新建的重要网络和信息系统采用国产产品;加大对网络和信息系统整体架构研究力度,采取断然措施,设定时间表,建立中国自己的架构体系,打破制度、技术、产品和人员等方面的路径依赖。
尽快建立进口IT产品审查和检测制度。近年来,进口IT产品不断被曝存在后门,尽管厂家一再宣称这些只是设计漏洞,但对于大量使用进口IT产品的我国而言,这些所谓的“设计漏洞”已经成为对我国进行窥探的后门。应尽快建立进口IT产品信息安全审查和检测制度。对我国航空航天、石油石化等重点领域正在使用的进口IT产品进行信息安全检测,发现和封堵漏洞;建立进口IT产品国家安全审查制度,对涉及国计民生的重要设备,在进口时应充分评估其信息安全风险,审查通过后方能采购。
强化国外企业在华业务的监管。为避免“棱镜门”事件再次上演,应加强对思科、英特尔、微软等国外IT企业在华业务的管理。一方面,尽快制定IT企业收集、处理、保护数据和信息的有关法律,建立相关的标准制度,对数据和信息的跨境流动做出限制性规定;另一方面,明确国外IT企业在国内提供产品、技术和服务时的责任和义务,防范国外企业对我国互联网的窥探。
|