从西北工业大学被攻击说起，谈网络安全的最后一道防线—密码

一、背景
据央视2022年9月5日报道我国西北工业大学以下简称西工大遭到美国国家情报局特定入侵办公室代号TAO非法入侵目前已查明涉案人员13人攻击次数一千余次大量关键核心数据被窃取[1] [2]。

随后有关部门进一步分析发现TAO组织对我国关键信息基础设施核心设备进行长期渗透控制以非法身份侵入我国运营商网络构建非法远程访问通道。实施内网渗透并侵入关键数据服务器非法访问一批中国境内敏感身份人员信息窃取用户隐私数据传至美国国家情报局总部。TAO组织相关行为严重侵犯中国有关机构的技术秘密严重危害中国关键信息基础设施安全, 严重侵犯个人信息安全[3] [4] [5]。

二、TAO组织攻击渗透流程剖析

图一、绘图出自《红莲安全实验室》研究人员Michael

TAO组织此次对我国发起的网络攻击采取了集中火力寻找突破口、顺藤摸瓜感染更大范围和更深层次设施、逐步渗透、分步实施、步步为营、长期静默潜伏窃密的战略展示了其强大的网络攻击能力。其具体的攻击步骤按照攻击的时间顺序、因果关联我们分四步分析。

1、集中火力寻找突破口控制西工大网络
经过长期的精心准备TAO组织使用“酸狐狸”平台对西工大内部主机和服务器实施中间人劫持攻击部署“怒火喷射”远程控制武器劫持多台关键服务器、核心网络设备、服务器及终端窃取身份验证数据最终达成了对西工大内部网络的隐蔽控制[6]。

2、搜集身份验证数据构建非法访问通道渗透基础设施窃取核心运维数据
TAO组织通过窃取的西工大技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据顺藤摸瓜非法攻击上游的中国关键信息基础设施构建了对运营商核心数据网络远程访问的非法通道实现了对中国关键信息基础设施的渗透和控制。

3、控制关键信息基础设施的重要业务系统窃取用户数据
TAO组织通过掌握的中国关键信息基础设施运营商的某厂商网络安全设备的账号口令非法进入运营商内部网络控制业务服务器利用“魔法学校”等专门针对运营商设备的武器工具查询了一批中国境内敏感身份人员信息并加密后经多级跳板回传至美国国家情报局总部。

三、TAO组织攻击事件定性分析
中国西工大是工信部直属院校是中国唯一以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学建有多个国家重点实验室承担着我国航空、航天、海洋、国防等多项尖端科研任务。各大电信运营商负责建设我国通信关键信息基础设施在各行各业中发挥着举足轻重的作用其安全事关重大。很明显这是一起由美国国家情报局组织的情节恶劣的网络攻击事件目的是窃取我国尖端科研成果和核心机密数据并嫁祸于人其行为给我国关键信息基础设施安全造成严重危害威胁到我国网络安全和国防安全影响我国发展和繁荣稳定。

这次事件给我们敲响了警钟黑恶势力就在身边网络安全与我们息息相关没有网络安全就没有国家安全。同时提醒我们网络安全不能受制于人应从顶层设计开始立足于自主设计要广泛地普及网络安全意识通过国家立法和技术手段来保护我们的关键信息基础设施安全要对违反网络安全的行为实施制裁。

这次攻击使我们更加明白密码法和网络安全法的必要性实行网络安全等级保护制度的必要性对涉密信息系统进行分级保护的必要性以及对关键信息基础设施进行保护的必要性。

三、密码筑牢维护国家网络空间信息安全的最后一道防线
我们应当坦然承认当前境外敌对势力攻击能力十分强大攻击手段多样任何传统网络安全设备并非铁板一块、牢不可破。然而亡羊补牢犹未晚也我们应该积极思考的是当传统网络安全遭到攻击和破坏时有没有最后的一道防线来抵御答案是确定的这道防线就是现代密码技术。密码是网络安全的核心技术是网络空间中网络信任的基石是保护我们党、国家和人民根本利益的战略性资源更是国之重器。这一点在中国共产党创建和发展的长期历史经验中已得到广泛的验证经受了无数次考验。因此承担防御任务密码技术是合适的。

海泰方圆作为一家拥有20年专业经验的密码企业多年来在密码应用实践中受到广泛信赖及认可在新基建、重要领域国产密码应用改造等全面发展的网信大时代以密码全能力匹配业务全场景护航数字中国建设网络强国。多次承担、参与国家级、省部级科研课题在密码标准编制、密码学术论文方面都有显著成果参与国家各级课题43项参编国家及行业标准48项。

让我们复盘此次TAO组织攻击的完整步骤剖析涉及的每一个场景从密码的角度出发去“华山论剑”从攻防角度讨论如果采用合规的密码技术究竟海泰方圆的密码全能力可以提供什么样的防护最终达到什么样的防护效果。为行文方便下文中把TAO组织实施的攻击称为“矛”海泰方圆提供的密码防护称为“盾”。

第一回合TAO组织入侵西工大阶段矛一对应密码防护盾一海泰方圆身份认证系统。

TAO组织首先使用网络攻击武器入侵西工大的Telnet服务器并部署NOPEN木马黑客软件窃取运维人员账号口令。在此阶段海泰方圆提供的“盾”为采用基于国密的身份认证系统。如图二所示此系统利用我国商用密码技术为运维人员提供账号口令和硬件指纹UKey证书结合的双因素强身份认证手段提供全面的证书签发机构CA管理、证书管理、日志管理。用新系统改造用户原有运维管理系统最终全面提升系统入口访问的安全性。

TAO组织遇到的第一个“拦路虎”将是海泰方圆身份认证系统对运维账号的全面防护。因无法在海泰的硬件指纹UKey上留下指纹身份认证系统的双因素认证流程将无法通过获取运维账号操作失败TAO组织只得悻悻而归。

图二、海泰方圆基于国密的身份认证系统盾一

第二回合TAO组织窃取西工大数据阶段矛二对应密码防护盾二海泰数据加解密系统。

TAO组织大肆窃取西工大的数据包括操作记录系统日志等关键敏感数据。此阶段对抗中海泰方圆提供的“盾”是数据加解密系统。它是一套提供标准及定制化密码算法服务能力的密码服务系统用此系统对西工大关键敏感数据做加密保护提供机密性、真实性、完整性保护。

图三、海泰方圆数据加解密系统盾二

得益于此系统对用户数据的全面保护TAO组织在此回合将遇到无法访问操作记录、系统日志等关键敏感数据的难题即使TAO费了九牛二虎之力访问到加密后的数据也会遇到无法解密的难题。此系统基于我国商用密码算法和先进的PKI体系要暴力破解此密码需要1.8x1056年[7]几乎是宇宙的尽头。TAO组织在第二回合完败。

第三回合TAO组织渗透中国关键信息基础设施矛三对应密码防护盾三和盾四。

根据从西工大非法获取的运维账号口令TAO组织在此阶段的攻击是通过国内外某两家公司生产的网络防火墙进入运营商机房释放“魔法学校”攻击武器进行内网渗透。得手后进一步控制短信网关等服务器拿到中国境内敏感身份人员信息和其他隐私数据为避免窃取的数据被其实施攻击使用的跳板机所在国家发现TAO组织把这些数据加密后上传给美国国家情报局总部。

针对组织如此严密、攻击技术十分高超的攻击者海泰方圆提供的防护组合重拳是两个超级盾云密码应用服务解决方案和海泰隐私保护统一服务平台。

为什么海泰的组合重拳能够防住此波攻击呢让我们先来了解他们。

海泰方圆云密码应用服务解决方案中灵活的密码服务虚拟化技术和强大的密码计算资源满足了云平台及云上应用系统的机密性、完整性、真实性和不可抵赖性需求[8] [9]。

图四、海泰方圆云密码应用服务解决方案盾三

原始数据加密后变成了密文谁也看不见。通常情况下要使用数据就得对密文解密获得原始数据再使用。在解密利用数据进行过程中长期攻击者会尝试一切可能的攻击途径和攻击方法这使得数据利用变得效率低下。针对此问题海泰方圆组合重拳之二“数据隐私保护服务综合解决方案”派上用场。

图五、海泰方圆隐私保护统一服务平台盾四[10]

它基于海泰隐私保护统一服务平台可为多种业务应用的不同场景和需求提供高效、便捷、合规的数据隐私保护服务使数据在隐私安全保护下传递信息价值使合法用户得到无感化保护实现隐私数据的“可用不可见”[11] [12]。

应用海泰方圆以上两个防护超级“盾”之后客户的数据可以做到在完全无感的加密环境下实现密文计算安全地完成任务。实现诸如身份证号码提取、电话号码提取、短信身份验证等等传统的业务无需对数据泄露等问题有任何担心。

我们再来分析TAO组织此回合攻击中将面临的挑战。TAO组织将会发现沼泽密布举步维艰。TAO组织会惊讶于进入短信网关等服务器保存的原始数据竟然是密文这些密文外表看起来似乎是身份证号码实际却是一种密文的“伪身份证”。更为神奇的是这些像“伪身份证”的数据竟然还能被运营商内部的其他服务器正常使用 TAO组织伪造几个这样的身份证尝试混入正常的密文数据队列旋即这些伪造的脏数据被新系统精准识别并“吐”了出来。TAO组织一无所获只得望洋兴叹。

五、参考文献

1. 《中国信息安全》期刊2018年第12期

2. 《人民网》2022-9-27期特别报道

3. 《环球时报》2022-9-22期

4. 《央视新闻》2022-9-27新闻直播间

5. 《北京日报》2022-09-13报道

6. 《圣小博》公众号2022-9-30期

7. 《计算机安全》2009.12《高级加密标准AES的过程分析及其破解思考》

8. 《海泰方圆数据加解密系统白皮书》

9. 《海泰方圆基于国密的身份认证系统白皮书》

10. 《海泰方圆云密码服务平台白皮书》

11. 《海泰方圆云密码应用服务解决方案白皮书》

12. 《海泰方圆数据隐私保护服务综合解决方案白皮书》