美國思科路由器預置“后門(mén)” 建議加強安全防護

美國思科公司的信息產(chǎn)品在中國市場(chǎng)具有極高的占有率，其路由器產(chǎn)品幾乎參與了中國所有基礎信息網(wǎng)絡(luò )和重要信息系統的重大項目建設。而一直以來(lái)，包括路由器在內的思科信息產(chǎn)品存在嚴重安全漏洞的報告屢屢被披露。近十年來(lái)，僅CVE網(wǎng)站公開(kāi)發(fā)布的有關(guān)思科產(chǎn)品的漏洞就多達1300余個(gè)，其中，路由器的各類(lèi)漏洞就有166個(gè)之多。最不可容忍的是，據國內網(wǎng)絡(luò )安全權威技術(shù)部門(mén)檢測發(fā)現，思科路由器存在嚴重的預置式“后門(mén)”！

美國“棱鏡計劃”曝光，蓋在其頭上的遮羞布被揭開(kāi)，美國在網(wǎng)絡(luò )空間大做手腳的惡劣行徑受到世人的強烈譴責。美政府長(cháng)期以來(lái)，對本國公民進(jìn)行全面的大范圍信息監控，對多個(gè)國家政要、企業(yè)和民眾進(jìn)行有組織的竊密和監聽(tīng)活動(dòng)，特別是對中國長(cháng)期以來(lái)實(shí)施大規模、高強度的網(wǎng)絡(luò )攻擊和滲透。一個(gè)舉世公認的事實(shí)是，美國是當今世界上最大的網(wǎng)絡(luò )攻擊者和竊密者。而作為一個(gè)信息技術(shù)的后發(fā)國家，中國是網(wǎng)絡(luò )攻擊的最大受害者。中國大量關(guān)鍵基礎信息網(wǎng)絡(luò )和重要信息系統被設置“后門(mén)”或安置“木馬”，眾多網(wǎng)絡(luò )被病毒感染成為“僵尸”或被終端遠程控制成為“肉雞”。在這其中，思科公司沒(méi)有遵守一個(gè)科技公司不參與其政府對外政策的起碼的商業(yè)道德，而是和美國政、軍兩界打得火熱，利用其在中國網(wǎng)絡(luò )信息市場(chǎng)的技術(shù)產(chǎn)品優(yōu)勢，扮演了不光彩的角色，成為美國推行互聯(lián)網(wǎng)強權的重要技術(shù)依仗。甚至有證據表明，思科公司積極參與了美政府和軍界組織的“網(wǎng)絡(luò )風(fēng)暴”演習，而且是演習重要設計者之一。

在思科路由器中，不少漏洞初看是無(wú)意的設計或技術(shù)漏洞，而深入檢測你會(huì )發(fā)現，這些漏洞其實(shí)不少是預置式的“后門(mén)”。比如，思科路由器多款主流產(chǎn)品的VPN隧道通訊和加密模塊存在預置式“后門(mén)”。利用這個(gè)“后門(mén)”，攻擊者可獲取密鑰等核心敏感數據，攻擊程序可還原VPN加密信息內容，實(shí)現數據監測。又如，思科多款路由器存在隱蔽監視陷門(mén)。通過(guò)這些預設的陷門(mén)，攻擊者可以隱蔽地將流經(jīng)思科路由器的網(wǎng)絡(luò )數據選擇性地鏡像傳輸到指定的IP地址，為網(wǎng)絡(luò )監視提供數據條件。而從管理員正常管理界面和配置文件中，卻無(wú)法察覺(jué)到這些數據被非法鏡像傳輸。再如，思科路由器在維護模塊中存在可遠程操控的后門(mén)，可使用遠程網(wǎng)絡(luò )數據觸發(fā)，也可通過(guò)特殊指令觸發(fā)，對思科路由器進(jìn)行配置、操控。另外，思科路由器系列產(chǎn)品的訪(fǎng)問(wèn)認證機制設計上存在多處未知安全漏洞，攻擊者可以繞過(guò)認證機制獲得最高管理權限，有的可以在提權后任意修改固件代碼，將惡意代碼或后門(mén)口令植入到固件中，并擇機觸發(fā)。

僅舉美國思科公司的路由器產(chǎn)品安全問(wèn)題為例，就如此觸目驚心。

嚴峻的現實(shí)警示我們，在短期無(wú)法實(shí)現我國關(guān)鍵網(wǎng)絡(luò )信息系統自主可控的情況下，必須針對美國政府和思科公司的行為，采取積極有效的安全防護策略，確保我國基礎信息網(wǎng)絡(luò )和重要信息系統的安全可控。一是對包括路由器在內的思科信息產(chǎn)品開(kāi)展更加嚴格的安全性檢測，嚴查預置后門(mén)種類(lèi)，統計漏洞分布，評估對我國基礎信息網(wǎng)絡(luò )和重要信息系統的影響程度。二是積極開(kāi)展相關(guān)行業(yè)思科路由器數據非法鏡像在線(xiàn)監測，在全國范圍內有重點(diǎn)、分步驟地實(shí)施在線(xiàn)技術(shù)監測。通過(guò)在線(xiàn)全程跟蹤監測，捕獲異常、可疑竊密數據和遠程操控行為，分析掌握其技術(shù)特點(diǎn)，制定處置方案，阻斷竊密數據通訊。三是有針對性地開(kāi)展思科路由器安全加固技術(shù)研究，針對已發(fā)現的后門(mén)，有針對性地采取加固措施和防護技術(shù)方案，自主開(kāi)發(fā)針對思科路由器的安全加固技術(shù)產(chǎn)品，制定相應安全管理措施，分步驟、分階段地組織試點(diǎn)和實(shí)際部署。四是建立重要部位關(guān)鍵網(wǎng)絡(luò )設備和軟件產(chǎn)品基于漏洞分析的安全審查機制，特別是對進(jìn)口設備盡快建立安全性技術(shù)檢測機制，在政府集中采購前，分類(lèi)實(shí)施關(guān)鍵信息技術(shù)產(chǎn)品供應鏈安全審計，深入開(kāi)展漏洞檢測分析，對有嚴重安全問(wèn)題的信息技術(shù)產(chǎn)品列入黑名單，限制采購應用。五是針對思科網(wǎng)絡(luò )交換產(chǎn)品、工業(yè)自動(dòng)化控制系統、物聯(lián)網(wǎng)、云計算等領(lǐng)域的安全風(fēng)險，建立專(zhuān)業(yè)化嵌入式操作系統安全研究實(shí)驗室，全面開(kāi)展漏洞挖掘、脆弱性分析、安全檢測和安全防護技術(shù)方法研究和工具手段研發(fā)，為相關(guān)測評機構提供技術(shù)支撐和資源共享服務(wù)。來(lái)源：中國青年網(wǎng)