细说QUANTUM:NSA最强大的互联网攻击工具

加州大学伯克利分校(UC Berkeley)及国际计算机科学中心(the International Computer Science Institute)的研究院尼古拉斯·韦弗(Nicholas Weaver)日前在《连线》(Wired)杂志发表文章,仔细阐述了美国国家安全局(NSA)最强大的互联网攻击工具QUANTUM(量子)。

以下是文章主要内容:

众所周知,NSA已将互联网变成了一件武器,让其能够随心所欲“攻击”任何人的漏洞,一个简单的网页抓取(web fetch),就足以让NSA用来对目标进行攻击。

但是,爱德华·斯诺登(Edward Snowden)日前在新闻网站The Intercept曝光的最新机密文件,更加详细的解释了NSA所具备的监控技术及其局限性。

首先,NSA选择代号为“QUANTUM“的恶意软件,作为其首选互联网开发机制。比起单纯的发送垃圾邮件,QUANTUM的效率更高,自从该项目在NSA上线以来,其任务和目标都出现了变化。

如果NSA只利用QUANTUM来攻击对那些试图阅读煽动性内容的潜在恐怖主义者,那么,几乎不会有人提出异议。但相反,NSA不仅利用该程序来扩大自己的监视范围,比如监控意大利最大电信公司Belgacom,同时还对该程序的监视功能进行拓展。

如今,QUANTUM涵盖了包括DNS(域名系统)和HTTP注入式攻击等在内的一系列网络攻击工具。此外,QUANTUM还拥有能够插入关联数据库管理系 统MySQL连接的插件等小工具,让NSA能够在人不知鬼不觉的情况下,干扰第三方数据库的内容。由这可以看出,互联网中未加密的MySQL很容易被 NSA盯上。

而且,NSA还能够借助QUANTUM,操控基于IRC和HTTP的犯罪僵尸网络,以及那些利用数据包注入来创建虚拟服务器的程序,甚至可以用来防御攻击。QUANTUM的覆盖范围非常广,其中最著名的就是名为QUANTUMDEFENSE的项目,NSA能够借对寻求"非保密因特网协议路由器网"(NIPRNET)地址的DNS请求进行监控,并能够将数据包注入虚假的DNS请求,将攻击者引向NSA所控制的网站。

QUANTUMDEFENSE 项目非常准确的诠释了“如果你只有一把榔头,那么所有的问题在你看来都像是钉子。”这句话。“互联网协议路由网络“(NIPRNET)是美国国防部网络的 一部分,是一种非保密但十分敏感的网络系统,而公众可以连接到该网络。借助QUANTUMDEFENSE,美国国防部控制着攻击者们正在查阅的DNS权限 记录,并且能够直接让这些网络攻击者无功而返。

此外,QUANTUM还有三点限制:类档次结构、履行受限以及防御性薄弱。

此前大家不解的是,100次“提示”是如何在一次测试中(窃听装置发现一些有趣内容,并将这些信息发送至其他电脑)仅实现5次成功“攻击”(受害人收取到的攻击数据包);另外,先前曝光文件展示的是一个明显破损的设计,而在这个设计中,“攻击”命令是由“远程计算机”来执行,那么为何在先前QUANTUM恶意软件潜伏时间增长,而且有效性降低。

是因为类档次结构。监控设备本身就依靠互联网,处于“低层系统(system low)”空间,而攻击行为背后的程序逻辑则处于NSA的机密“高层系统(system high)”空间。

低层系统能够很容易向高层系统传送数据,也就是从非机密网络向NSA机密网络传送数据。但是根据QUANTUM的设计结构,高层系统向低层系统进行传输几乎是不可能的。这个特殊的单向“管”通道控制着通信,保证信息不会从机密网络中逆流出去。

这就是QUANTUM采用分体式设计,并出现之后性能低下的潜在原因。NSA要求攻击程序逻辑位于“高层系统”,而其他内容则只会根据那个设计决定流出。“高层系统”需要高度防护,可能需要存放在一个不同的安全地点,而且还不能随意向互联网发送请求。

相较于通过分级结构改变将攻击程序逻辑转移至“低层系统”,NSA寻求新的解决方法,推出了代号为“QUANTUMHAND(量子指针)”的恶意软件系统。 除了瞄准任何可攻击的网页链接,QUANTUMHAND以来自Facebook的持续“推送”连接为目标,当用户登录Facebook网站时,NSA会发 送恶意数据包,使目标用户认为其在访问真正的Facebook网页。NSA通过将恶意软件隐藏在看似普通的Facebook页面中,对目标计算机进行攻 击,并从计算机硬盘中获取数据。

通过这种方法,即便是速度缓慢且设计破损的加密结构也能够攻击Facebook用户的计算机。不过,Facebook在已几个月前启动了加密措施,NSA、英国政府通讯总部(GCHQ)等机构的攻击行为可能会被挫败。

QUANTUM的第二个限制出现在一项试验的描述中。NSA和GCHQ都在寻求添加“关键字pwn”,即,检查用户的Hotmail和Yahoo邮件中是否含有关键字,如果有,便自动对其进行攻击。

为了检测攻击是否有效,这些间谍机构进行了一项试验,结果显示,QUANTUMTHEORY(量子理论)监控设备只检查单一数据包,无法完整处理TCP数据流,从而导致该项目变成一个有限工具。

从本质上来说,QUANTUM就是一款没有补丁的安全及使用软件工具。

QUANTUM第三个局限性来自NSA另一个项目QUANTUMSMACKDOWN(量子攻击),即,利用数据包注入,来阻断针对美国国防部测试资产的攻击。不过,在尼古拉斯·韦弗看来,这个计划似乎有些痴心妄想。

为了让该项目运作起来,监视设备需要识别出通往美国国防部网络的“邪恶流量”,鉴于监视设备只检查单一数据包的设定,使得流量识别成为了一个更加复杂的难 题。即便“邪恶流量”被探测数来,QUANTUM能做的只有阻断请求并提前终止回复。但由于档次分层结构,等到QUANTUM决定终止连接的时候,网络应 该已经遭到了损害。

QUANTUMSMACKDOWN能够将一些下游数据排除在国防部网络之外,但是也仅限于下游数据流。任何遭遇类似低端 攻击而感染病毒的国防部网络,遭到感染不足为奇,而相关的网络承包商也应该被解雇。至于那些专业级别的恶意攻击,则将如入无人之境一般,轻而易举的躲过 QUANTUMSMACKDOWN。

市场上从事类似NSA数据收集的私营企业也不少,而关于这些企业也有不少看法。这些公司所收集的大部分 数据,多少都与用户追踪数据有关。比如,谷歌和Facebook等内容网络以及无数的广告网络,建立了一个全球的用户监视网,因此,NSA监控互联网数据 并且利用其进行攻击,这种做法似乎也是情理之中。而幕后,NSA还执行了用户连接,让其能够完全破解“匿名”广告信息。

其实,QUANTUM最大的局限性是位置:攻击方必须能够看到一个进行目标识别的请求。由于类似技术能够通过位于美国国务院星巴克的Wi-Fi网络运行,任 何国家都能够借此获取关于QUANTUM恶意攻击软件的信息,外国政府也将因此可以实施NSA式的QUANTUM攻击。这是NSA QUANTUM项目的底线,NSA并不具备技术垄断优势,而其对类似技术的大肆使用似乎也是一种“鼓励”,默许罪犯或其他国家做出类似举动。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-03-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏网络安全防护

最常见的十种网络攻击行为,你能防住几个?

随着互联网的快速发展,给我们的生活带来了很多便利,5G网络的即将来临,将带我们进入一个万物互联的时代。然而在网络快速发展的同时,网络安全威胁也越来越严重,网络攻...

94100
来自专栏VRPinea

Oculus公开Touch控制器的CAD文件,以便开发者制造集成Touch的新外设

30950
来自专栏FreeBuf

从恶意流量看2018十大互联网安全趋势

「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽,同样为了「...

22820
来自专栏云基础安全

Web应用安全:腾讯云网站管家WAF

腾讯云网站管家WAF(Web Application Firewall,Web应用防火墙),是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营...

79200
来自专栏云鼎实验室的专栏

安全报告 | 从恶意流量看2018十大互联网安全趋势

 导语: 「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽...

91530
来自专栏FreeBuf

做一名无线黑客,这些装备你必须有

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 在电影里黑客都在大街上或者马路上直接用笔记本“嗒…嗒…嗒…”就把某个...

39350
来自专栏企鹅号快讯

网络安全:你可能被“潜规则”了

信息安全公益宣传,信息安全知识启蒙。 教程列表见微信公众号底部菜单 如今,在网络平台上,先“注册”再使用服务已经成为大家习以为常的事情。但是,如果有一天用户想彻...

21590
来自专栏CSDN技术头条

黑帽大会2014:10个酷炫的黑客工具

【编者按】黑帽大会的规模逐年递增,这场全球最聪明的大脑聚集在一起,会擦出什么样的电光火石,本年度的黑帽大会吸引了近万人参加,这些技术男很符合《黑客帝国》中“基努...

26790
来自专栏安恒信息

你知道吗:facebook员工无需密码,就能访问你的账号!

毫无疑问,在不久的将来,Facebook和其他大型科技公司:包括谷歌,苹果和雅虎正试图通过采用终端到终端通信加密解决方案,来确保他们的数据不会被执法、间谍机构窃...

28180
来自专栏FreeBuf

Hold安全公司公布俄罗斯大型泄密事件细节

在8月4日,Hold安全公司宣布,一个俄罗斯的犯罪团伙承认了一场数据泄露事件–窃取了12亿用户名+密码的组合和5千万email地址。其中电子邮件账户数量大概占了...

19780

扫码关注云+社区

领取腾讯云代金券