❶ 美國「頂級後門」浮出水面!潛伏接近20年,背後真凶到底是誰
據觀察者網報道,美國「電幕行動」網路後門被中國一家 科技 公司曝光。
互聯網行業迅速發展,人們在互聯網世界的互動越來越多,隨著大量私密數據被儲存到互聯網雲端,有些國家開始發展互聯網竊取技術,原本現實世界裡的競爭,被發展到互聯網世界,近日中國一家 科技 公司找到美國設置在網路世界的「後門」,美國的網路計劃遭曝光,中國團隊手中已經掌握主要證據。
美國「頂級後門」被發現
北京奇安盤古實驗室與360公司有些千絲萬縷的聯系,奇安盤古的母公司正是奇安信公司,這個公司在中國素來有網路安全國家隊的稱號,在國家網路安全領域,他有著不可磨滅的貢獻。此次奇安盤古發現美國「電幕行動」後門,並且將其驗證技術細節曝光,可以看出這個後門正是由美國黑客組織「方程式」製造,「方程式」屬於美國國安局管轄,目前「電幕行動」已經涉及到全球四十幾個國家的網路安全問題。其主要任務是竊取各國機密,並且監視各國網路信息傳遞,這個後門為黑客組織在網路世界提供諸多便利,建立後門的黑客組織可以自由來往於各國網路世界,哪怕是加密文件也可能被竊取。
網路世界裡美國一直扮演「偷竊者」
要在2013年奇安盤古實驗室就已經注意到美國這一網路計劃,但當時建立後門的技術過於復雜,奇安盤古實驗室並未找到實際性證據證明美國的「入侵」,經過多年努力多年取證,終於抓到了漏洞,並且將其「入侵」證據完整挖掘,根據時間計算,美國將該後門植入的時間已經有二十年,二十年後終於被公布於眾,美國「黑客帝國」的罪名被坐實。雖說這是一件讓人驚詫的事情,但幕後黑手是美國這就讓人更容易接受,作為世界「攪屎棍」,美國做出任何讓人詫異的事情都不奇怪,網路安全問題上美國已經不止一次被揭穿,之前轟動全球的「棱鏡門」事件也是美國一手策劃,所以「電幕行動」的出現也十分正常。
美國應該給世界一個交代
不過讓人佩服得是,哪怕事情的證據已經擺在面前,美國還能反咬一口,去年美國在丹麥實施的監聽計劃被發現後,美國並沒有自我反思而是將矛頭指向中國。潑臟水的事情,中國雖然已經習慣了,但也不能總背黑鍋,中國外交部立刻表態,外交部發言人汪文斌表示,關於美國監聽歐洲盟友的問題,只不過是全球網路竊密中的一件小事,除了歐洲被美國監聽的國家數不勝數,美國作為世界上最大的「黑客帝國」,應該正視其錯誤,給世界一個交代。
美國的網路丑聞多次被爆出,美國不僅是現實世界的不安定分子,也是網路世界的搗亂者,美國熱衷於竊取他國機密,熱衷於在網路世界橫行霸道,就像在現實世界的霸權主義一樣。美國這樣大規模的竊聽行為已經嚴重影響網路世界的正常發展,此時美國應該停止這種可恥的行為,並且給予世界各國一個交代,從始至終被美國竊取機密的國家才是受害者,作為世界大國美國應該為自己的行為負責。
❷ 蘇奎:個人數據保護是平台的「阿克琉斯之踵」
【文/觀察者網專欄作者 蘇奎】嘩拍櫻
毫無疑問,互聯網平台是信息時代的主角。超大規模、壟斷、權力巨大是其主要特徵,能影響無數人的生活、利益,甚至生計。平台具有多重屬性,既是一個傳統企業,同時也是一種經濟形態。以平台為核心構成的平台經濟甚至就是一個虛擬城邦國。正如扎克伯格的名言:「在很多方面,臉書(Facebook)更像是一個政府,而不是一個傳統的公司。」
平台是平台經濟的絕對主宰者,它能夠恣意制定規則、解釋規則並執行規則,而這些規則可以影響數以億計的人。它們與國家法律法規在本質上沒有區別,卻不需要遵循國家立法、司法、執法所要求的正當性程序。自從國家產生以來,政府沒有面對過類似的管治對手,可以說是3000年未有之大變局。
在信息時代,如何治理平台在世界范圍內都是一項巨大的挑戰。反壟斷、消費者保護、公平競爭等傳統工具是世界范圍內進行平台治理的幾條主要路徑。然而,反壟斷、消費者保護、公平競爭這些治理工具都是傳統經濟時代發展而來的,面對著信息時代的巨頭,它們可以說常常是捉襟見肘、力有不逮,成效多有不彰。
個人數據保護是信息時代發展出的新工具,盡管其初衷是保護個人信息,但無數人的個人信息積水成淵就成了大數據,有了大數據,演算法才能從一具奄奄的軀殼化身為一頭桀驁的巨獸。也就是說,演算法的命門在個人信息保護。
近期歐美正在發生的平台個人信息保護的一些案例發人深思,讓人興奮,個人數據保護賦予個人更大的權力從而平衡平台在平台經濟中的權力結構,可能也是平台治理的一條新路徑。
勞務平台
互聯網平台並不具有廣泛的同一性,不同類型之間差異巨大,既有以信息服務為核心的社交平台、搜索平台,也有生產海量信息的電商平台。以網約車、外賣等為代表的勞務平台可算是後者。平台是虛擬的市場,通過平台出售勞務。但更重要的是,這些勞務平台上聚集了數百萬,甚至上千萬分布在全球城市的勞動人民。相比其他平台,它們不只是在為人服務,還掌握著無數人的信息。因此,這些平台與人的關系更為密切,對 社會 治理帶來的挑戰更大,影響也更為深遠。
這些平台上的人依靠平台提供的信息而生存,為平台生成海量的信息資源,又被這些信息所管理控制。相比其他電商平台,這類平台上的人(勞動力)的幾乎沒有自主權,傳統的勞動保護也與其無緣,因為他們被平台認為是 微型企業家 。平台依靠信息對如此龐大的勞動力隊伍進行精準管理,這超過了人類 歷史 上任何組織的極限,可以說是人類 歷史 的奇跡,而創造這樣的奇跡的核心則是隱藏在平台背後的演算法。
網約車平台幾乎是迄今為止對 社會 治理帶來最多問題、爭議最大的互聯網平台。創建於2008年的優步開創了網約車行業,其月度活躍的消費者數量約1億人,全球日均訂單數近2000萬(包括外賣),平台上的駕駛員人數超過400萬,平均每月有5萬名新駕駛員加入平台。其強硬對抗全球監管機構的做派曾經亂叢為其帶來無數的麻煩,蔑視規則和法律的企業文化也使得企業本身遭遇了內傷。2017年,創始人卡拉尼克甚至被趕出了公司。除了廣為人知的與各地監管機構的鬥法外,優步與平台內駕駛員之間的矛盾可以說是日益尖銳,與消費者之間的齟齬也不時傳出。
泄露個人信息後果很嚴重
1月20日,特朗普在離開白宮前公布了多達73人的赦免長名單,前軍師史蒂夫·班農毫無懸念出現在名單上,但也有一些名字是出人意料的。前優步負責自動駕駛業務的高管——安東尼·萊萬多斯基(Anthony Levandowski)相當幸運地逃脫了原本在2月7日就要開始的牢獄之災,據傳特朗普在矽谷中為數不多的支持者——大佬彼得·蒂爾(Peter Thiel)是其幕後的操盤手。
相比之下,優步的另一位前高管——首席安全官喬·沙利文(Joe Sullivan)恐怕只能哀嘆命運之不公了。不過這確實是咎由自取,簡直就是「不作不死」。2020年8月21日,沙利文遭聯邦司法部以阻礙司法和作偽證兩項罪名起訴,刑期可能高達8年。而這一切均始於2016年那次對約5700萬駕駛員和乘客個人信息泄露後的掩蓋。
沙利文並非新手,他曾是互聯網巨頭臉書的首席安全賀枯官,對信息安全和個人信息保護有豐富的經驗。然而,在獲悉優步發生黑客入侵導致平台個人信息泄露後,他並沒有依法立即向政府有關部門報告,而是在與時任CEO卡拉尼克(Travis Kalanick)商議後通過向黑客支付10萬美元的封口費,買通黑客將其定性為平台主動邀請黑客發現安全漏洞。而封口費也就變成了安全獎勵。
發生如此大規模的個人(包括平台的駕駛員和乘客)信息泄露,自然不會被歐美的相關監管機構放過。按照歐盟的規定,數據泄露後應在72小時內向監管機構報告。據此,其歐洲總部所在的荷蘭數據保護局2018年對其處以60萬歐元的罰款。宣布脫歐的英國(ICO)也對其施以38.5萬英鎊的罰款。
相比歐洲同行,美國本土的監管機構對其下手更重,加州檢察總長與舊金山檢察長聯合了美國50個州和首都華盛頓特區的相關部門對其發起訴訟。2018年9月,優步主動以高達1.48億美元的巨額賠償金和解。看來,在個人信息保護方面,國內一直以來有關美國立法和監管更為寬松的觀點恐怕並非事實。
監管深入企業的黑箱
FTC是在公平競爭和消費者保護方面的執法機構,在知悉此事後,迅速宣布2017年8月已經達成的和解協議無效,需要重新商定有關和解條款。
2018年10月 ,FTC再次宣布達成新的和解協議。作為信奉自由市場的特朗普政府,治下的FTC確實對優步手下留情,並沒有如州政府予以重罰,甚至根本就沒有罰款,但對優步的內部信息安全管理提出了事無巨細的要求。相比以企業外在結果為主要對象的結果保護策略,FTC的協議則是以企業內部管理為主要對象的過程保護策略。也就是說,它更多地是以事前預防的思路對企業內部可能存在的個人信息保護漏洞進行全方位的監管, 將企業內部的信息安全管理納入公共管理。這可以說是一種新的個人信息保護模式。
事實上,我國正在開展的個人信息保護立法(包括已經完成的網路安全法,以及2020年徵求意見的數據安全法、個人信息保護法)同樣也採用了這種思路。不過,相比FTC的和解協議,中國的平台企業享有更多的自由。FTC的和解協議建立了相對較為完備的企業信息安全制度,主要內容包括:
優步需要立即建立綜合性的個人信息(隱私)保護計劃,所有計劃、方案、培訓均需要有書面記錄。設置專門的人員負責個人信息(隱私)保護計劃。
開展個人信息(隱私)風險排查、評估,確定風險點,制定整改計劃。制定個人信息(隱私)風險動態監控和評估方案。
建立第三方信息(隱私)審計、評估制度,第三方審計人員需有執業資質並具有3年以上的從業經歷,相關審計人員還需經過FTC消費者保護部門批准。完成評估後10天內,需將評估報告送FTC備查。在協議執行開始後半年內應完成第一次第三方審計,以後每兩年應至少開展一次。
建立信息安全事故統計與報告制度。
建立文件簽收與學習制度。公司所有相關人員必須學習FTC的和解協議文件,並要簽名確認,有關學習記錄需要書面記載。
文件簽發一年後,優步需向FTC遞交合規報告,報告應該宣誓內容真實可靠,否則將承擔偽證罪。企業任何組織機構和實體發生變化需在14天內通知FTC,以便於監管部門檢查、監督。
及時響應監管部門,收到FTC有關信息(隱私)安全的問詢後,優步需在10天內回復或響應,有關合規報告或材料需要宣誓非偽證,並准備好詳細記錄備查。
建立信息安全檔案記錄,包括相關員工的檔案記錄(包括離職原因)、平台用戶投訴記錄、所有可證明公司落實文件的材料、公司對外宣傳及承諾有關個人信息(隱私)保護措施、信息安全評估、審計與整改報告、安全漏洞獎發放記錄、執法部門傳票、調查與說明材料等。
福布斯網上關於該案件的報道截圖
加州檢察總長聯合各州與優步達成的和解協議在巨額賠償之外其實也提出了類似的一系列企業信息安全合規要求,包括企業需要設置首席安全官,以及雲存儲密碼、認證強化制度、建立信息安全員工培訓與違規處罰制度、第三方信息審計人員資格制度(需要5年以上的從業經歷)、個人信息安全情況作為董事會的固定議題制度、事故確認與報告中的律師參與制度、公司內部違規舉報制度等。
孔子曰:「不教而殺謂之虐,不戒視成謂之暴。」美國聯邦和州相關監管機構利用優步違法的契機,構建了一套非常嚴格的企業內部個人信息保護機制,特別強調內部部門監督、外部審計、員工培訓等,將此前以負面清單方式的事後監管模式推進到以作為的義務為主的事前事中監管模式,也就是從懲戒為主模式轉換到以預防為主的模式。
平台企業不再是一個黑箱。通過一個設計精密的內部監督機制,平台的保護更為透明,個人信息保護的目標有更加可靠的保障。其意義在於,只有在個人信息保護有了更為可靠的保障,個人信息保護以外的平台經濟治理功能才有了其他可能。
演算法統治平台
4名駕駛員做出這樣的動作也是事出有因。按照優步的說法,4名駕駛員均是因為欺騙性行為或者違規操縱(不當使用)駕駛員手機應用程序。直白地說,就是駕駛員或因為挑單以等價格上漲後的好單(game the surge),或是因為私自安裝其他應用程序改變手機狀態欺騙優步的駕駛員應用程序(如改變位置),被平台演算法判定為嚴重違規而被除名(在優步平台上沒有開除的概念,永久凍結賬號則是一個等同的說法),而做出這些決策的都是平台的演算法。換句話說,4名駕駛員都是被演算法監控到有違規行為並被演算法除名(開除)的。
不過,駕駛員並不這樣認為,他們認為是自己只是行使了自由選擇工作時間的權利,而這也是優步平台一向對外宣稱駕駛員所具有的權利,並且也正是具有這樣的自由,駕駛員才不被平台認為是平台的雇員,而是自由職業者,甚至是所謂的「微型企業家」。平台與駕駛是合作夥伴。4名駕駛員否認存在欺詐或不當行為,且優步沒有提供申述機會,使得他們的命運被演算法所掌控。因此,他們向優步歐洲總部所在的荷蘭阿姆斯特丹地方法院提起了訴訟。
駕駛員起訴優步最主要的法律依據就是2018年5月開始施行的歐盟通用數據保護法。按照歐盟通用數據保護法第15條,數據主體有權訪問個人數據並獲知數據處理的目的、數據類型以及有權要求糾正不準確的數據。第22條則涉及自動化決策和用戶畫像,「數據主體有權反對此類決策:完全依靠自動化處理——包括用戶畫像——對數據主體做出具有法律影響或類似嚴重影響的決策」。
按照歐盟通用數據保護法的定義,「用戶畫像」指的是為了評估自然人的某些條件而對個人數據進行的任何自動化處理,特別是為了評估自然人的工作表現、經濟狀況、 健康 、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。顯然,所謂的自動化決策(用戶畫像)就是平台演算法。這本質上是一條演算法監管條款。不過22條也特意列出了例外情形,包括 (a)當決策對於數據主體與數據控制者的合同簽訂或合同履行是必要的;……(c)當決策建立在數據主體的明確同意基礎之上。
顯然,這次訴訟的爭議聚焦在對22條的理解,如完全自動化決策的認定標準是什麼?何種人為的干預程度可以達到排除完全自動化決策的標准?考慮到平台每天數千萬甚至上億的有關駕駛員的決策需求規模(包括派單、定價、評價等環節),自動化決策是否可以被看作平台履行與駕駛員合同的必要措施?
平台權力結構平衡
駕駛員們希望通過一個第三方非盈利機構(工人信息交換中心WIE Ltd.)實現個人數據攜帶,也就是優步將駕駛員在工作中產生的個人數據直接轉移給WIE這家第三方數據交換中介,第三方數據機構成為個人的數據信託(data trust)機構,可以幫助駕駛員分析其個人行為以及監督平台的演算法邏輯是否與其對外宣稱的處理邏輯一致且公平合理、評估平台對服務價格是否正確計算、駕駛員真實的勞動數量和質量、以及分析不同駕駛員評分差異的原因。
通過掌握並有能力處理這些關鍵數據,駕駛員可以減少或者消除平台的信息優勢,駕駛員就有可能與平台進行更平等的集體談判,成為更為平等的對手。
根據法律規定,優步有責任在30天內向數據主體(駕駛員)提供相關數據,但優步並沒有提供駕駛員所要求的全部數據,或者說駕駛員要求的關鍵內容都遭到了事實上的拒絕。盡管訂單數據(如上下車時間、乘客支付費用)包括在提供的數據清單內,但駕駛員上線、下線時間、完整的GPS位置信息記錄都沒有提供。這些內容事關駕駛員工作時間的確定(英國上訴法院已經判決駕駛員的工作時間是從上線開始計算,而不是從接單開始計算),而平台卻不希望駕駛員掌握這些可能對自己不利的數據。
但優步也有自己的解釋:沒提供的數據或是因為沒有,或是因為如果向駕駛員提供將損害其他人的隱私權。
如果說上面這些數據駕駛員可以自己記錄,管理駕駛員的演算法是如何運行的則只有平台才有可能知道。駕駛員最希望知道的其實是平台演算法的秘密:它究竟是如何通過駕駛員的行為和乘客評價數據對駕駛員進行畫像,以及駕駛員畫像是如何影響駕駛員的利益的?比如,駕駛員的評分與派單機制的關系是怎樣的?駕駛員的評分如何觸發平台除名機制(駕駛員認為是解僱)?
駕駛員在訴狀中特別提出優步沒有回應他們所要求的駕駛員標簽數據。這確實是整個爭執的核心。優步不會認為這些是駕駛員需要知道的個人數據信息,甚至是不是個人信息都有巨大的分歧。而且,這些內容幾乎可以肯定將被用於英國最高法院正在審理的駕駛員與平台的勞動關系案件,因此也是優步不能輸的案子。
而原告駕駛員法勒(Farrar)也暗示了這些內容的用途:「我們要看一眼這個奧威爾式(意指嚴格統治而失去人性的 社會 )的工作世界。在這里工人們被機器所統治,沒有任何權力。」
事實上,駕駛員有關了解演算法秘密的訴求也是有法律依據的。根據歐盟通用個人數據保護法第15條,數據主體應當有權從控制者那裡得到有效信息。比如存在自動化決策的就包括數據分析,對於相關邏輯就包括此類處理對於數據主體的預期後果。
盡管優步否認對駕駛員的除名處理是由演算法完成的(優步發言人聲稱在演算法檢測到駕駛員存在違規行為後,是由管理人員做出除名決定),但難以解釋的是,公司網站上有介紹演算法MasterMind的材料,其中明確寫道:MasterMind負責監督管理駕駛員的欺騙行為。在駕駛員應用程序的隱私政策更是白紙黑字寫道,優步會使用自動化決策對於涉嫌違規行為的駕駛員予以除名。
平台演算法決定了駕駛員的工作機會、工作量和收入,甚至永遠失去平台工作機會。它對於駕駛員的重要性恐怕沒有多少分歧。數據自動化處理的邏輯,也就是演算法的秘密,是平台的商業機密。究竟要提供到何種程度才算達到15條要求的數據訪問權標准,在保護個人數據與企業的知識產權(商業秘密)上如何達成平衡,非常考驗法官的智慧。
可以說,這是歐盟通用個人數據保護法實施以來最為重要的案件,其意義遠遠超過了這個案子涉及的4名駕駛員本身(事實上,這些駕駛員正在組織更多的網約車駕駛員和外賣騎手加入),其裁判標准可以說相當於是又一次歐盟個人信息保護立法。幾乎可以肯定,這個案子最終會提交到歐盟最高法院審判。
平台經濟的金絲雀
「對於每一個人來說,這是一場事關未來的戰場」,駕駛員法勒說道。優步平台上的零工就是 歷史 上地下礦山裡的金絲雀,這是一場不能輸的戰斗。
數據就是權力,平台經濟進一步放大了企業作為僱主所擁有的傳統信息優勢。通過第三方數據信託實現數據攜帶權,通過數據對駕駛員賦權賦能,還有誰能比網約車駕駛員、外賣騎手更有動力監督平台呢?可以說,這就是一種全新的平台監管思路,以信息權對治大數據。
❸ 阿里雲未及時通報重大漏洞,會造成什麼後果
阿里雲發布關於開源社區Apache log4j2漏洞情況的說明。阿里雲表示,Log4j2 是開源社區阿帕奇(Apache)旗下的開源日誌組件,被全世界企業和組織廣泛應用於各種業務系統開發。
工業和信息化部網路安全威脅和漏洞信息共享平台收到有關網路安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網路安全專業機構開展漏洞風險分析,召集阿里雲、網路安全企業、網路安全專業機構等開展研判,通報督促阿帕奇軟體基金會及時修補該漏洞,向行業單位進行風險預警。
2021財年(2020年4月1日至2021年3月31日跨年度),阿里雲營收達601億元,比上一財年400億元收入大幅增長50%,在阿里集團財年總營收7173億元總營收比例為8.38%。600億元總收入,超過多數上市公司年度總收入。
❹ 阿里雲未及時通報重大網路安全漏洞,會帶來什麼後果
【文/觀察者網 呂棟】
這事緣起於一個月前。當時,阿里雲團隊的一名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟體基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網路安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麼漏洞?阿里雲沒有及時通報會造成什麼後果?國內企業在發現安全漏洞後應該走什麼程序通報?觀察者網帶著這些問題采訪了一些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網路領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、列印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網路服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:一是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內部網路,竊取信息、植入惡意軟體和刪除關鍵信息等。
阿里雲官網截圖
然而,阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後,並沒有按照《網路產品安全漏洞管理規定》第七條要求,在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息,而只是向阿帕奇軟體基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟體基金會(Apache)於1999年成立於美國,是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟體產品都遵循Apache許可證(Apache License)。
12月10日,在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後,中國國家信息安全漏洞共享平台才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時採取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞共享平台官網截圖
事實上,國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人注冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞共享披露)是國際非盈利組織,全球通用漏洞共享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台,由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。
上述業內人士認為,阿里這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的共識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿里安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網路產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平台提交。
由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理,根據工信部最新通報,工信部網路安全管理局研究後,決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿里,其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的,一是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。
❺ 網路安全-TCP-IP攻擊
概述
1. SYN-Flooding攻擊效果,受害者系統卡死.
2. TCP-RST攻擊實現已經建立的TCP連接斷開.
3. TCP會話劫持,劫持TCP會話,並實現反向Shell.
實驗環境
1. 三台Linux系統主機,一台作為攻擊者,一台作為受害者,一台作為觀察者.
2. 為了簡化TCP序列號和源埠號的「猜測」,實驗處於同一區域網內,你可以使用嗅探器來獲取受害者信息.
SYN-Flooding攻擊
1. SYN-Flooding攻擊原理
SYN-Flooding是DoS攻擊的一種,攻擊者向受害者的TCP埠發送很多SYN請求,但攻擊者無意完成三次握手過程.
攻擊者要麼使用欺騙性的假的IP地址,要麼不要繼續完成整個三次握手過程.
通過這種攻擊,攻擊者可以淹沒用於半連接的受害者隊列,即已完成SYN,SYN-ACK但尚未得到最終ACK的連接.
當這個隊列已滿時,受害者不能再進行任何連接.
正常三次握手過程:
在Linux中,我們可以使用以下命令檢查
我們可以使用命令「netstat -na」來檢查隊列的使用情況,即與監聽埠相關聯的半連接的數量.
這種半連接的狀態是SYN-RECV。如果三次握手完成,則連接的狀態將為ESTABLISHED.
在這個任務中,你需要演示SYN-Flooding攻擊:
您可以使用Netwox來執行攻擊,然後使用嗅探器捕獲攻擊性數據包.
在攻擊發生時,在受害機器上運行「netstat -na」命令,並將結果與攻擊前的結果進行比較.
2. Netwox 76簡介
3. SYN Cookie防禦機制
如果你的攻擊看起來不成功,你可以檢查是否啟用了SYN cookie機制.
SYN cookie是抵抗SYN-Flooding的防禦機制.
防禦原理簡介:
在TCP伺服器收到TCP SYN包並返回TCP SYN+ACK包時,不分配一個專門的數據區,
而是根據這個SYN包計算出一個cookie值.
在收到TCP ACK包時,TCP伺服器在根據那個cookie值檢查這個TCP ACK包的合法性.
如果合法,再分配專門的數據區進行處理未來的TCP連接.
你可以使用sysctl命令打開/關閉SYN cookie機制:
4. 實驗結果分析
比較 netstat -na 前後狀態如下:
產生大量的TCP半連接,阻塞了隊列,導致後續正常TCP連接無法建立!!
TCP-RST攻擊
1. FTP協議
2. TELNET協議
3. SSH協議
4. Newox 78簡介
5. 實驗結果分析
-** FTP**
FTP伺服器地址: 192.168.59.146/24
FTP客戶端地址: 192.168.59.144/24
攻擊者地址: 192.168.59.1/24
攻擊者終端對受害者進行TCP-RST打擊:
結果顯示:已經建立的TCP連接斷開.
Telnet伺服器地址: 192.168.59.146/24
Telnet客戶端地址: 192.168.59.144/24
攻擊者地址: 192.168.59.1/24
攻擊者終端對受害者進行TCP-RST打擊:
結果顯示:已經建立的TCP連接斷開.
SSH伺服器地址: 192.168.59.146/24
SSH客戶端地址: 192.168.59.144/24
攻擊者地址: 192.168.59.1/24
攻擊者終端對受害者進行TCP-RST打擊:
結果顯示:已經建立的TCP連接斷開.
TCP會話劫持
1. 會話劫持簡介
TCP會話劫持攻擊的目標是通過向該會話中注入惡意內容來劫持兩名受害者之間的現有TCP連接(會話).
如果這個連接是一個telnet會話,攻擊者可以在這個會話中注入惡意命令(例如刪除重要文件),導致受害者執行惡意命令.
2. Wireshark簡介
如果您使用Wireshark觀察網路流量,當Wireshark顯示TCP序列號時,
默認情況下會顯示相對序列號,它等於實際序列號減去初始序列號.
如果想查看包中的實際序列號,則需要右鍵單擊Wireshark輸出的TCP部分,
然後選擇"Protocol Preference". 在彈出窗口中,取消選"Relative Sequence Number"選項.
3. Netwox 40簡介
4. 實驗結果分析
Telnet伺服器地址: 192.168.59.148/24
Telnet客戶端地址: 192.168.59.146/24
攻擊者地址: 192.168.59.1/24
攻擊者終端對受害者進行TCP會話劫持:
我們要偽造發下一個包:
所以直接採用nextseq作為下一個包的ack,採用ack作為下一個包的seq.
最後一個Telnet數據包內容如下:
我們偽造向伺服器 192.168.59.148 發送 ls 命令,
通過netwox構造我們的攻擊指令如下:
在wireshark上顯示抓包數據如下:
來創建我們的肉雞~
現在我們來通過NC反彈一個Shell,來控制我們受害者:
首先是構造NC命令:
實驗結果如圖:
首先看結果:我們成功拿到了伺服器上的用戶gu的所有許可權!
咱們再來看看抓包數據,通過抓包數據,你可以看到最後一條Telnet的TCP數據,通過這些數據,就可以很方便通過Netwox構造攻擊語句了!!