注册
登录
| 关键词: 安全 诺尔 加密 算法 互联网 GSM 隐患 语音 黑客 计算机 |
互联网安全隐患早已不是什么秘密,由于一些网络管理员安全意识淡薄,至使部分应用服务器漏洞百出,即便是菜鸟级黑客也能利用工具轻松注入。更可怕的是,一些不法分子在利益驱使下会利用这些漏洞,恶意窃取企业和个人信息、释放木马病毒、制造垃圾邮件,等等。并且,随着技术的发展和参与人群的增加,一个层次清晰、分工明确的庞大黑客产业链日趋完善。据数据调查显示,中国的木马产业链一年的收入已经达到了上百亿元。这是一个惊人的数字!虽然国家相关职能部们和产业链的参与者都采取了积极措施,但种种迹象表明,互联网安全隐患仍令人担忧! 其实互联网出现诸多安全隐患并不稀奇,因为Open和Free是它的根本理念,互联网设计之初在安全和加密上的考虑相对较少。与互联网不同,电信网络一向以安全、可靠着称,它有着丰富保护倒换机制和安全加密算法支撑。然而,近日一则关于全球移动通讯系统GSM的新闻让全世界都为之震惊。 在2009年12月30日闭幕的“电脑捣乱者俱乐部”年会上,德国计算机高手卡斯滕-诺尔(Karasten Nohl)宣布,他与一些密码破译行家联手破解了全球移动通信系统(GSM)的加密算法,破解代码已经上传至文件共享网站供下载。卡斯滕-诺尔(Karasten Nohl)在接受美联社记者采访时表示,利用破解代码,一台高端个人计算机、一部无线电接收装置或一些计算机软件即可截获移动电话用户的语音通话信息。此消息一经发布便引起了全球广泛关注,英国《金融时报》预测,这一破解举动可能对全球80%移动电话通信构成安全隐患,令30多亿移动电话用户置身语音通话遭窃听的风险中。 代表各大GSM手机厂商和运营商利益的GSM联盟(GSM Association)发言人近日表示,他们早在2009年8月就得知了这一消息,但他们当时认为,虽然理论上破解GSM加密算法是可行的,但实际上不太可能。因为黑客需要无线电接收系统和正版的讯号处理软件。这种讯号处理软件由于受版权限制,黑客很难弄到手。诺尔可能低估了破解的复杂性。GSM联盟发言人还表示,GSM联盟会严肃处理此事,将组织专家进行研究,并强调诺尔的行为在英国、美国均属违法行为,并且夸大了破解加密算法对手机用户造成的安全威胁。GSM协会对诺尔声称的为了促进用户通信安全而进行的破解活动,表示无法理解。 GSM联盟的这种不负责任的解释和态度让产业界各方更加担忧,Counterpane Systems公司总裁,资深安全专家Bruce Schneier表示,目前攻击的威胁不是减弱,而是越来越强了。同时他也表示,虽然手机可能被监听影响很大,但现在更严重的问题是用GSM来支付和身份验证。诺尔也表示,虽然这本身不合法,但是有经验的黑客确实有可能利用它进行违法犯罪活动。事实上,两年前已经有黑客从事过类似的研究,GSM密码本已可通过BT(Bit Torrent)下载,而且,数码监控所需的软件属于开放源码产品,可免费获得。另外,GSM协会开发的3G加密算法A5/3也已经被学术界破解,并得到了防真验证。两种加密算法使用了同样的密钥,从而削弱了安全性。对A5/3的破解手法是所谓半主动攻击(semi-active attack),所需工具都可以公开获得。 而在美国塔尔萨大学计算机科学系教授苏吉特?谢诺伊看来,诺尔等人的破解举动引发手机用户通话安全性争议之外,有组织犯罪集团还可能利用GSM的安全漏洞窃取消费者与商家间的交易信息记录,从事非法商业活动。GSM加密算法的破解将大大降低窃听手机语音通话的“技术门槛”,给不法分子以可乘之机。从事移动电话加密业务的企业Cellcrypt首席执行官西蒙?布兰斯菲尔德-加思表示:“一年前,窃听移动通信语音通话还需配备价值数十万美元的设备并掌握专业技术,如今,(窃听通话)只要价值1500美元的网络设备和一台计算机即可……一名计算机高手现在就能做到。” 笔者前后对上百家网站和虚拟主机进行了安全测试,我惊奇的发现大部分网站和虚拟主机都存在安全漏洞。更不可思议的是,到目前为止,我试图破解的无线WiFi接入点密码,无一失手。一些WEP密码,甚至在短短5分钟内就被暴出。而我所用的工具仅仅是一台Dell D620笔记本电脑。这是一个相当可怕的事情!近年来,在业务驱动下融合通信的发展迅猛,全业务运营也成为中国三大运营商的共同目标,All IP已不是什么秘密,基于IP的语音、视频、数据的三重播放业务引起了通信和互联网产业参与者的广泛关注。诸如Google、IBM、Microsoft等互联网巨头的业务,也向电信业务渗透。电信网IP化和互联网电信化已成为一种大的趋势。在这种情况下,安全危机所波及的范围将更加广泛。电信运营商和互联网巨头们不得不重新审视现有的安全加密体系。 从目前的发展状况来看,互联网和电信网的融合是大势所趋。但它们的发展思路将完全不同于业务网的融合,它们的融合必将是一个相互补充、相互借鉴、渐行渐进的过程。互联网和电信网的融合,不会简单地合到任何一方,而是会结合到下一代以IP为基础、同时保持电信级安全性的网络上。这就要求我们综合考虑现有网络实际状况,建立一个更加强壮的安全体系。GSM是2G时代的神话,它创造了语音时代的奇迹,但我们要客观的看待它所存在的安全隐患,发动各方面力量,改善算法、修补漏洞,争取在技术上作到完美。更重要的是,3G时代已经来临,相信4G LTE也不会遥远,这些技术同样面临安全性的挑战。并且,某些新技术的标准还没有最终确定,这就给我们提出了更高要求。我们在制定标准时,一定要把安全问题考虑到位,通过合理的协议架构和更强壮算法引入来确保我们的通信安全,争取将所有安全隐患防范于未然! 用户端也要加强安全意识,通过合理的部署减少被入侵的风险。如安装防火墙、配置IDS/IPS系统、修补服务器系统漏洞等。此外,有效的国家政策和法律管制也是不容忽视的一个重要环节。对于恶意入侵他人网络、窃取通信信息等网络犯罪,要严厉打击! |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
