覆巢时代
(2011年6月)文/江海客
本月最令人震惊的不是洛克希德马丁、诺思罗普格鲁曼这些军火巨头厂商遭受入侵,而是这些入侵具有共同的原点——RSA的SecurID令牌。这几起令人震惊的入侵事件,都源于令牌仿冒,而仿冒的原因经推导是今年三月RSA所遭遇的入侵。基本可以确认与用户账户关联的伪随机数生成算法或其种子遭到了窃取。因此,RSA已经发放的所有令牌从某种意义上已经失去了安全价值,而成为一颗随时可能爆炸的地雷。目前,RSA已经宣布召回大约4000万SecurID令牌。这是硬件安全性神话的再一次破灭。
一段时间以来,特定的攻击正在转向针对基础设施,而基础设施的重要环节就是传统的电子认证和信用体系。因为更多的安全应用基于此搭建,从去年VeriSign遭遇入侵的传闻,到今年3月RSA和Comodo(SSL证书厂商)的沦陷,其连锁反应都还在持续进行当中。联想到这些厂商的产品在金融、工业、军事等领域的广泛应用,一个“覆巢之下岂有完卵”的时代正在到来。
而在覆巢时代,带来更大变局的就是国家力量的身影。从Stuxnet蠕虫被怀疑是以色列情报部门所为,到大国之间频繁的相互指斥,都可以嗅到浓重的硝烟味。今年五月,美国部分网络安全专业人士向美国政府就利比亚战事呈文,这篇名为Project Cyber Dawn Public的文章不慎在网络上泄露。发布者在经过关键字涂抹后,干脆将其完全公开,以冲销流失的影响。这是一份非常具有典范意义的评估报告,从一定意义上,这也是一份信息战的预案和前言。
相比这下,此前被视为臭名昭著的黑客组织“lulz”,本月显得可爱的多。在游戏机厂商世嘉被入侵后,他们声称希望为世嘉提供技术支持,并代为报复。在索尼、任天堂先后被攻破后,世嘉出问题也就成了早晚的事情。但这些入侵,都以用户信息库为目的,用户在紧盯自己的电脑的同时,别忘了我们的隐私也在“云端”。
笔者本月提出一个观点:传统的HASH算法不再适合用于密码保存。HASH的初衷并非是用于口令保护,而是用于完整性验证,口令由于受其长度限制,是一个有限集。在GPU等辅助计算资源无比强大的情况下,廉价的计算中心正在不断积累覆盖这个有限范围的HASH值。一旦口令数据库被攻破,HASH的算法单向性已经不足以保证口令不被还原。而多数用户基本上是在很多系统中采用同一口令,攻击者获得大批用户信息和口令后,和用户信息关联,再去攻击用户的其他系统。这种攻击方法目前已经成为了一个非常显著的关联威胁。因此,在口令保护中,设计新的、带有环境参数机制的专用HASH算法很有必要,这样同一个口令,在不同系统中的HASH结果均会不同,查表法就会大打折扣。
最新漏洞:
国家信息安全漏洞共享平(CNVD)发布最新一期漏洞通报,本期共整理安全漏洞80个,其中高危38个、中危漏洞39个、低危漏洞3个。上述漏洞中,可以实施远程攻击的漏洞有75个。本期漏洞中,已经由厂商修补的有68个。
会议信息:
~ 6月24日,中国信息安全测评中心CISP之家俱乐部与《中国信息安全》杂志社合作主办了“索尼黑客事件与用户隐私保护对话会”
~ 2011年中国计算机网络安全年会将于8月8日在大连召开。
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
