觀點

難以遏止的網路攻擊文化

2010 / 08 / 30
鍾慶豐
難以遏止的網路攻擊文化

網路攻擊存在於各種網路應用領域,不管是主動式攻擊或是被動式攻擊,其次數、範圍與危害程度已逐漸達到令人難以忍受的地步,美國軍方甚至提議將網路攻擊視為一種軍事挑釁,建議以軍事行動加以回應,未來此類的衝突只會越來越加白熱化。

 

網路攻擊之所亦如此猖獗,其中原因之一在於目前IP網路對攻擊者身分驗證仍有困難所致。此特點乃當時IP網路迅速普及的誘因之一,但現在這項優點卻也成為未來網路應用方面的致命缺點。不管未來大家對網路攻擊事件的看法如何,如果真要反擊,那反擊的方式將是筆者所好奇的。

 

畢竟以目前機制而言,要能精準定位到分散式攻擊之攻擊者,實在有諸多困難,更不要談反擊能力的有效實施。

 

雲端應用仍暴露在傳統安全威脅

新技術使舊威脅變得較難以實施,因此大家不斷推出新版本的作業系統、應用程式、防毒軟體…等,以為自己的電腦系統安全盡一份心力。然新技術只會導致舊威脅的進化,因為新技術一旦沒有將舊威脅斬草除根,不管再怎樣升級系統,都只是延緩被攻擊成功的時間而已。

 

就以目前大家耳熟能詳的雲端運算(cloud computing)技術來說,先不談其與叢集運算(cluster computing)或網格運算(grid computing)之異同,其所遭遇到的網路安全威脅依舊存在。雲端技術將網路的應用與電腦技術加以結合,而形成所謂的「雲端運算」。

 

客戶可以將資料移到雲端,而不用再擔心資料硬體的儲存管理問題,舉凡Amazon的簡易儲存服務(S3, simple storage service)或其彈性運算雲端(EC2, elastic compute cloud)便是此類最好的例證。

 

這些線上服務提供大量的儲存空間與客制化的運算,但缺點是將客戶本身的服務可用性與資料整合性委託給雲端服務提供者,其間是否具有信任與穩定性頗值探討。

 

雖然雲端安全的設定好像是設定內部安全一樣,你日常所適用的安全工具一樣可以保護那些位在雲端的資料。這裡唯一的差異,乃是雲端環境屬多承租環境(MTE, multi-tenant environment),同時可能有多家公司承租而共享雲端服務。此外雲端環境所牽涉到的安全問題,雖然大多數都可以用目前現有的安全工具加以定位,表面上客觀威脅性並未明顯增加,但人員道德威脅的主觀威脅性卻有所增加。

 

正如其他新興運算技術一樣,基於IT產業之原本特性,一旦有新技術被使用,在一定期間內他往往會發揮某種經濟上的使用價值,但這些價值會隨著時間經過與更新技術的提出而改變,以持續提供企業的金融競爭力,雲端技術亦屬此類技術經濟價值。在其價值用盡之前,是否有值得攻擊的必要,往往必需看雲端存放的資料隸屬何種資料而定。

 

不過假如各位選擇了一個有品質的雲端服務提供者,這個品質往往也提供了相當的安全保證。一般而言,您所需要的安全等級,通常是依據您在雲端用戶端所可能遭遇之風險來決定。

 

但不可諱言的,傳統密碼學所能提供的資料保護,無法直接套用在雲端運算中已非使用者能控制的資料上。因此要在沒有完整資料引導的情況下,去驗證雲端資料這便顯得有點困難。另外,使用者儲存在雲端的資料型態不盡相同,其資料安全的保證亦難以統一。

 

此外,雲端運算並非只是協力廠商提供的資料倉儲,那些儲存在雲端的資料,可能常被使用者更新或修改。因此如何在使用者動態操作中,仍能對資料的完整性予以確認,便顯的相當重要。另外,為使使用者資料整體性威脅降低,其使用者資料往往經冗餘處理後被儲存在不同的實體位置,因此儲存資料使用的分佈協定(distributed protocols)所扮演的角色,對資料完整性來說便顯得非常重要。

 

以上這些影響雲端用戶資料安全的因素,都可進一步被發展成攻擊雲端運算之武器。所以網路攻擊者要直接攻擊雲端運算服務提供者並非不可能之事,但要追蹤攻擊者卻不是件簡單的事情。因為追蹤的第一要務是必須在網路流量中先識別攻擊封包,這些攻擊封包可能來自攻擊跳躍環(stepping stone chain)中的反射電腦(reflector)或殭屍電腦。

 

此外這種IP追蹤技術無法協助我們預防或阻止(攔截)攻擊者發動網路攻擊,其僅能提供被害電腦受攻擊時,可以去識別這些攻擊封包所在而重建攻擊者封包遞送可能路徑而已。

 

追蹤攻擊者IP十分困難

隨者網路攻擊案例的增加,許多人都想揪出幕後黑手。各先進國家對IPTS(IP traceback system)亦已投入相當多的研究,而有關IPTS最近的研究目前也成為網路安全領域一項很夯的議題,許多學者例如2005RP. LauferP.B. Velloso等人的研究、2007T. KorkmazC. Gong等人的提議方法或2008A.O. CastelucioR.M. Salles等人的報告等等均提出了IPTS相當不錯的看法,不過這些技術仍有很多待解決的問題,多數提議方法乃屬理論面之論述,實務上並未完全被實作運用。換句話說,利用IP追蹤技術(IP traceback)或許可嘗試去鑑別網路的IP封包,但要能追蹤到真正的攻擊者還需要很多努力。

 

追蹤技術實作需要考量因素有很多,如:記憶體需求、ISP業者的參與程度、局部部署能力、要完成IP追蹤所需要的攻擊封包數、頻寬消耗成本、處理成本與該策略之保護能力等。

 

A. Rabkin2008年)歸納了最後幾個IP追蹤技術有待解決的干擾問題,包含:攻擊者可以產生各種型式的攻擊封包、攻擊的產生可經由多位攻擊者協同為之、攻擊者非常瞭解攻擊機制與防禦方法、封包會遺失或重新排序、攻擊者可產生偽造封包、路由器必須是穩固耐用的、路由器的CPU與記憶體有限、每個網路路由器並非都是相同的等問題。

 

目前IP網路位置追蹤技術的策略可概分為四種類別,分別是:末端主機倉儲(end-host storage)、封包紀錄(packet logging)、特定路由(specialized routing)及網路推演狀態(state of the network inference)等四種。

 

使用末端主機倉儲技術者,有機率式封包標記(PPM, probabilistic packet marking)iTrace(ICMP traceback);使用封包記錄者,有赫序式IP追蹤(hash-based IP traceback);使用特定路由方式者,有IPSecIP追蹤技術與涵蓋網路(overlay network)技術;使用網路推演狀態者,有控制流量(controlled flooding)方式。在此不另做詳述()

 

另外,以目前許多IP追蹤技術來說,絕大多數乃以IPv4IP網路環境研究為基礎,而有關IPv6封包追蹤技術的研究則較少探討。不過令人遺憾的是,一些威脅IPv4的網路攻擊技術,在某些方面,一樣可以威嚇IPv6網路的使用,但是可用在IPv4網路的防禦技術卻不見得可適用在IPv6裡面,正因為追蹤技術的實作不易,這使得許多網路攻擊者得更無顧忌的進行瘋狂的網路掃瞄或攻擊。

 

4G無線網路的安全威脅

看過上面簡要的敘述,我們心裡都有底,要定位一位網路攻擊者通常非一般使用者能力所及。然在未來大量使用網際網路技術之同時,這方面的威脅也逐漸開始引起多數人關心。

 

4G無線網路而言,自從3GPP會議(3rd generation partnership project consortium)建議3G IP網路多媒體子系統環境(IMS, IP multimedia subsystem)SIP選為多媒體管理協定以來,SIP的重要性顯然有所提升。3GPP之所以選用SIP作為多媒體管理協定的原因之一,乃在於SIP除了可以輕易的支援多域環境,並符合未來網路環境服務參與者多樣化趨勢。

 

另外在4G無線網路環境中,資料的傳送與分享使用的是有線IP網路技術,其同樣涉及多域環境(multidomain environment)的安全問題。例如,在IMS控制架構中,呼叫區段控制功能(CSCF, call session control function)主要利用的是SIP發訊(SIP signaling)功能,此由數種型態的SIP伺服器組成。不過最常見之SIP主機有三種,分別是質問主機(interrogating-CSCF)──負責SIP訊號進入點;服務主機(serving-CSCF)──管理所有的區段控制;與代理主機(proxy-CSCF)──最前線的認證機器,具有控制認證功能。

 

當時發展第四代無線網路的考量之一,是為了與現有有線IP網路資源的接口方便,所以全面採IP-based的設計。但IMS嘗試簡化網路的核心設計時,其同時也造成網路管理與監控較以往更複雜。這之間主要原因還是因為IMS的設計使然,因為其基礎建設需要對網路流量作即時的安全監控,結果造成IMS網路需要更多安全的考量資訊可供參考,以杜絕可疑活動,例如:分散式阻絕服務攻擊、冒充呼叫者ID(caller ID spoofing), 潛在的SS7網路侵害(potential SS7 network breaches)…等。

 

因此,未來如何對外部無線網域進來的SIP-based區段訊息進行身分確認、整合性檢查與強化認證的程序將是非常重要的。可惜的是大多數的SIP裝置並無強力的安全機制,欠缺足夠的安全保護,如同手機的SIM卡一樣,只用簡單的安全機制便算交差了事,這在未來或許會成為一個重要的安全問題。

 

雖然網路安全的問題重重,一般民眾要抓到網路犯罪者常有某種困難,但也不是沒有明哲保身的方法。一般只需要注意幾項原則,通常就會幫您降低很多網路安全方面的威脅,例如:不利用不信任的網路傳送機密資料、養成使用編碼訊息的習慣、不瀏覽或下載不明網站或資料、不使用不明軟體、安裝防毒軟體與定期掃瞄、注意更新系統版本…等諸如此類,相信可以讓安全威脅對生活的不便降到最低才是。

註:這些技術的探討可參考A. BelenkyN. Ansari2003年所發表的IP traceback研究報告或2007X.H. Dang, E. Albright等人發表之Performance analysis of probabilistic packet marking in IPv6資料。

 

本文作者為自由作家,數位多媒體暨網路安全顧問