前两天,奇虎360报道了一种高级网络流量劫持攻击技术:Quantum(量子)攻击。(注意,不是量子计算,也不是量子通信,只是一个名字。)这种攻击方式可以劫持全球任何地区任何在线用户的正常网页浏览流量,然后利用漏洞进行攻击并植入后门程序.具体过程如下:0.NSA在全球骨干互联网部署FoxAcid(酸狐)服务器。1.“酸狐狸”会监听HTTP网络请求。一旦发现NSA要攻击的目标,就会比真实网站服务器更早做出响应,先向用户电脑发送重定向信息。2、受害者被迫访问“酸狐”服务器。3、“酸性狐狸”利用各种主流浏览器和Flash应用程序的0day漏洞对目标对象进行攻击,然后在其上网终端植入初始后门程序。如果攻击成功并植入后门,计算机就被控制了。0day漏洞是指尚未被软件厂商或杀毒软件厂商发现的漏洞。作为一名程序员,我的职业病又犯了,开始思考攻击中的几个问题:(1)如何监控网络请求,尤其是HTTPS请求?(2)怎样才能比一般服务器响应的更快?(3)这些强大的0day漏洞从何而来?我不是网络安全专家,下面的分析可能不准确。欢迎批评指正。1、如果监控网络请求是Http请求,很简单,就是明文,只要处理速度足够快即可。如果是Https请求怎么办?这并不容易处理。之前有一篇很火的文章,讲的是Https的基本原理。没看过的同学可以点击下图看看。简单来说,浏览器获取服务器的证书,从中提取服务器的公钥,用它加密一个对称密钥,然后发送给服务器。双方都使用这个对称密钥来加密通信。Https存在中间人攻击。如果NSA可以出示合法签名的证书并让浏览器将其误认为服务器,则它可以充当中间人并拦截通信请求。国家安全局能做到吗?我也没有确定的答案。另一种攻击是SSLStrip:攻击者试图将Https链接替换成Http,指向攻击者的服务器,让受害者访问。同时,攻击者的服务器发起与真实服务器的连接,使攻击者成为中间人,可以监控所有流量。比如波兰就遭遇了大规模的用户网银DNS劫持事件。攻击者利用路由器的DNS漏洞,让受害者先访问一个“邪恶”的DNS服务器,让受害者返回一个“邪恶”的服务器地址,让受害者进行用户访问(使用Http)。然后“邪恶”服务器连接到真正的银行(使用正常的Https),这样攻击者就在中间并窃取任何数据。当然,这种攻击家用路由器的方式不同于NSA的量子注入攻击,因为NSA的酸狐服务器部署在骨干互联网上。2、响应更快酸狐服务器监听请求后,主要工作是:分析请求,伪造数据包,发回给浏览器。这三个时间之和必须小于正常服务器向浏览器发送响应的时间,否则无法实施注入攻击。考虑到骨干互联网的巨大流量,至少100Gbps,加上AcidFox对世界各国的无差别攻击,其处理能力一定非常惊人。这也与美国不遗余力地打压华为有关,很可能有控制网络设备的目的。3.0day漏洞如前所述,0day漏洞是软件供应商和防病毒供应商都没有发现的漏洞。量子攻击的最终目的是利用0day漏洞在浏览器等终端植入后门。一旦成功,机器将被控制。NSA有多少个0day?恐怕他自己也知道。但是想想我们用的操作系统、浏览器、办公软件、图形处理软件,几乎都是美国的。一旦出现危机,没有人会替我们补漏洞。前面我们提到Https看起来很难攻破,但是这里要提醒大家:Https只能保护通信过程,防止数据在网络中被窥视和篡改。它不能保护通信的两端。一旦盗贼进入你的电脑,先拿到数据,再用Https进行数据加密,还指望Https来保护,简直就是个笑话。因此,当你访问一个既有Http页面又有Https页面的网站时,访问Http页面的请求可能会被注入,被0day漏洞攻击,被植入后门。有的网站,比如谷歌,号称全部都是HTTPS,酸狐狸就没办法了吗?斯诺登曝光的棱镜项目中有这样一张图:从中可以看出用户与GFE(GoogleFrontEnd)的关系,但是在谷歌的数据中心,是明文传输的。在这里,美国国家安全局通过光纤复制数据流,监控起来非常简单。在网上,360安全卫士被认为是流氓软件,但很多人不知道的是,360也是美国制裁的一员,也在美国实体名单上。有一说一,360在网络安全领域很强。其安全团队为国家安全做出了重大贡献。具体细节这里就不一一列举了。有兴趣的可以搜索一下。最后,可能有人会问:你有那么多BB,为什么NSA不黑进我的电脑?答案很简单:黑客没有针对你,因为你的价值不高。
