开源意识流

观点与事件:科技、开源、商业化

现代工业之殇:供应链攻击


By Forsaken

俗话说,条条大路通罗马。

这句话几乎每个人都耳熟能详,但问题在于,为什么?

每个中国人都知道丝绸之路,丝绸之路当然缘起中国,那么最完整的那条丝绸之路,最终它通向何处?

罗马。

那么,为什么?

答案很简单,因为约 2500 年前开始,罗马就是欧洲大陆的超级物流中心,并且经过数百年的扩建,体量惊人。既然是当时欧洲经济的心脏,那么每一条血管都与它联通是必然的。

如果要摧毁这样强大的帝国,说来也很简单,摧毁罗马就可以了。或者,想要摧毁欧亚文明,只需要罗马发生一场瘟疫就行了。公元 165 年至 180 年,人类历史上死人最多的流行病之一,“安东尼大瘟疫“从罗马开始席卷欧亚大陆,一直感染到当时汉朝的中国。

建宁二年(169年)“疫气流行,死者极众。”(《备急千金要方·伤寒》)

当时每天罗马城死亡两千多人,最终死亡人数在五百万到一千万左右,为帝国人口总数的 10%。自从这场瘟疫之后,罗马帝国一蹶不振。

在希律王统治之下的耶稣被钉死的一百多年后,上帝对那个无论如何也不可能被摧毁的罗马帝国发动了这场供应链攻击,以投入成本最低的方式让一个雄伟的帝国灰飞烟灭——它赖以生存的优势有多么伟大,这番伟大就给它的棺材板钉上多沉的钉子。


什么是供应链攻击?


简单来说,在供应链上随便攻击一个点就是供应链攻击。而重点根本就不在攻击的这个点,关键在于通过这个点把攻击延伸到供应链下游。

像前述例子,攻击的是物流中心。供应链环环相扣,牵一发而动全身,一个点的爆破能造成后续连锁反应,乃至整个系统的崩溃。

另外,除了工业领域的传统供应链以外,还有开源时代产生的软件供应链安全问题,典型案例就是 Log4J 事件。

2019 年 4 月到 2020 年 2 月之间,美国 IT 软件商 SolarWind Orion 的内网遭到入侵,其软件产品被植入后门,导致其客户受到大量波及,影响极其严重。美国国务院、五角大楼、国土安全部、商务部、司法部等大量政府单位,全部在受害者列表当中。而受害者最多集中于制造业,占受害者比例 18.11%。

这是一个非常好的案例,好就好在你根本无法估量其造成的伤害。这就是供应链攻击最有魅力的地方,真正的以小博大,蚂蚁撼大象,而且是一只蚂蚁撼一群大象。

连守法公民都想得清楚的事情,犯罪分子怎么会想不到呢?

除此之外,案例多得数不胜数,Google 上随便一搜就是一大堆。

2018 年 8 月,台积电遭遇勒索病毒大规模入侵,最终损失超过 17.6 亿;

2020 年 12 月,富士康在墨西哥的工厂服务器遭受攻击,并被勒索者1804 枚比特币,折合人民币 2.3 亿元,这是富士康第二次遭受供应链攻击;

2022 年 10 月,澳大利亚 Medibank 被盗取了 6.5G 医疗隐私数据,并被勒索 1500 万澳元,负责人拒绝向犯罪势力低头,没有支付赎金并积极配合警方,然而结局攻击者在暗网公布了数据,受害企业的信用遭受巨大损失。

不向犯罪势力低头是难能可贵的,但这需要实力作为保证。如果对方已经得手,那么再高尚的行为也不过是加速自己的悲催。

看起来,防范供应链攻击需要像对抗传染病一样,防患于未然,就好像打疫苗。

主动防御就相当于软件系统的疫苗。传统的安全方案,基本上是外挂式的,比如防火墙、杀毒软件,而且绝大部分都只在应用层,没有到内核层。

如果内核层甚至固件层被攻破,那么应用层这些的安全方案将毫无用处,成为马奇诺防线,如果你熟悉三国演义,蜀汉曾经接连失去汉中,阳平关,乐城,汉城等城池后,姜维仍然可以退守剑阁,力扛十万魏军。主动防御就是你方的剑阁,要是连这个都没有,后面就是一马平川的成都了。


所以业内搞定了吗?


2022年5月16日,云原生安全公司 Isovalent 的CTO宣布开源了其内部开发了多年的基于 eBPF 安全监控和阻断的方案:Tetragon (WayBackMachine 20220516)。由于 Tetragon 宣称可以防御容器逃逸的 Linux 内核漏洞,但从 Tetragon 的设计来看只支持 post-exploitation 阶段的检测和阻断,这种基于规则的检测和阻断遭到了安全研究人员 Felix Wilhelm 的质疑,此后几天的讨论引起了更多安全研究人员的注意,PaX/GRsecurity 团队成员 Pawel Wieczorkiewicz 在5月20日研究了两个小时后基于 CVE-2021-22555 公开 exploit 击穿了 Tetragon 的防御机制,随后 PaX/GRsecurity 公开了其细节以及探讨了为什么防御机制中不能单一依赖 post-exploitation 阶段的检测和阻断机制。

Tetragon 的问题在于,虽然它在内核层构建了防线,但是 Tetragon 自身没有自防护的体系,相当于警察身上没有穿防弹衣,那么就很容易被干掉。这样的话,整个系统还是跟裸奔没有差别。

目前业内已经公开并且有评测数据的安全产品,并且确认带自防护体系的安全产品,包括 PaX/GRsecurity 和 HardenedVault VED,前者是美国的,后者是中国的。为什么非要这么狭隘地计较国别呢?因为后贸易战时代必须考虑这些,中国不一定能买到这类高端的美国技术。

至于其他产品效果如何,还需要看它们拿出评测结果。


国家层面的投入


美国从 2011 年开始一直到 2018 年连续针对 BIOS 进行折腾,最终还是把服务器固件安全问题从立法、到标准、到最佳实践一条龙搞定了,并且还发布了《美国版固件合规指南》。然后才在 2021 年由拜登亲自发布总统令(EO14028)。

德国联邦信息安全办公室(简称BSI)多次公开的提到对开放固件的支持和跟进工作。2019年,BSI认证了德国老牌安全厂商Genua GmbH的网络安全产品(编号:BSI-DSZ-CC-1085-2019)支持开放固件体系实现固件安全特性。2021年10月,欧盟委员会开启了针对消费级市场强制固件安全更新的立法程序,而对于关键基础设施保护的法律中欧盟层面的NIS2和RCE扩展到德国国家层面的KRITIS(ITSIG 2.0)中了固件的长期维护和升级都必须在关键性基础设施中得到保证。

中国在 2021 年发布《关基保护条例》,2022 年中旬发布的《基础架构安全弹性合规指南》,2022 年底发布了关基的国标《信息安全技术 关键信息基础设施安全保护要求》中虽然没有直接谈到操作系统和固件层面的技术风险和防护要求,但谈到了两个高级防护中的重要组成部分:



柿子不能只捏软的,笨蛋!


业内目前已经有 SALSA(Supply chain Levels for Software Artifacts)作为参考,并指导业界对软件供应链的最佳实践,但 L3(基础架构及复杂软件系统)和 L4(最高级别保障) 的问题依然没有得到缓解。

Linux 基金会也极其重视软件供应链安全,为此他们特地找了公认在产品安全和开源大有口碑的微软来助阵,想必稳健得很。

拜登的总统令(EO14028)之后,供应链安全受到资本青睐,但进入硬件和固件等关键领域的资金还是很少。虽然业内嗅到了资本的味道,但很可惜的是,几乎所有关注云原生安全的公司都在找软柿子捏,在应用层和浅表的层面兜圈子,没有勇气直面 hardcore 的技术层面,根本不能真正帮助甲方解决问题。

当然,市场上总是有一些人会抱有一些不切实际的幻想,比如柿子捡软的捏,等赚到大钱之后再来做更有价值的事情。想得很美,那样的话,等钱烧得差不多之后,就只能找头脑发热的接盘侠,要是根本没有人接盘,那么发展链条也就彻底断了——要是真想发财,最好不要觉得市场上只有自己是个大聪明。

浮躁之余,我们也能看到一些国内创业团队在认真地往正确的方向走,希望他们在资本寒冬和疫情政策的夹击之下还有钱吃饭。

当然,醉卧沙场君莫笑,古来征战几人回。创业失败才是正常的,要是成功,反而是不正常的。

不过,这句耳熟能详的诗后面,藏着一个朴素简单的道理:如果我方健儿在沙场都特么卧倒了,那国家安全也就随之卧倒了。