安全——毫無疑問是一個(gè)永恒的話題,尤其是隨著互聯(lián)網(wǎng)應(yīng)用的普及,在越來越互聯(lián)的今天,一臺(tái)與互聯(lián)網(wǎng)完全隔絕的服務(wù)器基本上也是“無用”的。如果說互聯(lián)網(wǎng)是一個(gè)公共的空間,服務(wù)器則就是相應(yīng)用戶的自留地,它是用戶自身應(yīng)用與數(shù)據(jù)面向互聯(lián)網(wǎng)的最終門戶,也將是企業(yè)應(yīng)用最關(guān)鍵的安全命脈——很多安全話題看似與網(wǎng)絡(luò)相關(guān),但這些來自于網(wǎng)上的入侵最終的目標(biāo)則都是獲得服務(wù)器的主管權(quán)。
也正是出于這樣的認(rèn)識(shí),越來越多的企業(yè)開始更加關(guān)注服務(wù)器外圍乃至數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護(hù),比如更嚴(yán)格的服務(wù)器訪問管理、更先進(jìn)的防火墻、更智能的入侵檢測(cè)、更全面的行為分析等等。但正所謂“日防夜防,家賊難防”,又有多少人會(huì)考慮到來自服務(wù)器內(nèi)部的“天生安全缺陷”呢?
服務(wù)器由內(nèi)至外的先天安全缺陷
很多時(shí)候,看似銅墻鐵壁的防護(hù),都禁不住來自內(nèi)部的輕輕一擊。就好比,在足球場(chǎng)上,就算你的防守再穩(wěn)固,也架不住“自擺烏龍”。 ICT設(shè)備也是如此。
我們經(jīng)常聽到的,產(chǎn)生重大破壞后果的安全事件,大多是與木馬相關(guān)的,而所謂的木馬就是通過用戶有意無意間的操作,而明目張膽的將賊請(qǐng)進(jìn)家,并在家里開了一個(gè)貌似已經(jīng)獲得用戶授權(quán)的后門,對(duì)此,很多安防系統(tǒng)也就無能為力了。比如前不久流行的一個(gè)木馬騙局,手機(jī)上收到一條短信:“你的老婆(老公)在外面有人了,以下就是相關(guān)視頻的URL,點(diǎn)擊觀看”,如果點(diǎn)擊了短信中的URL,也就為木馬敞開了大門,接下來就是你手機(jī)上的絕密安全信息,會(huì)源源不斷的發(fā)送給木馬的持有者。
服務(wù)器也是如此,如果已經(jīng)被植入木馬,那么外圍再安全的防護(hù)也于事無補(bǔ)。當(dāng)然,不斷加強(qiáng)的外圍防護(hù)也正是意在將木馬攔在數(shù)據(jù)中心之外,包括在服務(wù)器本地部署的安全軟件,近幾年清除操作環(huán)境(包括虛擬環(huán)境)中安全隱患的能力也在不斷加強(qiáng)??墒?,如果這個(gè)后門是服務(wù)器硬件本身先天就具備的,外圍的守護(hù)者,不管是防火墻還是防護(hù)軟件,也只能干瞪眼了。
服務(wù)器先天安全缺陷從何而來?
服務(wù)器上會(huì)有先天的“后門”?可能在很多人看來,這個(gè)問題有點(diǎn)不可思議。不過2013年12月29日,德國(guó)《明鏡》周刊網(wǎng)絡(luò)版所發(fā)表的一篇文章則給了我們一個(gè)有力的證明。
這篇文章的內(nèi)容主體是披露了一份來自美國(guó)國(guó)家安全局(NSA,National SecurICTy Agency)內(nèi)部的50頁(yè)“產(chǎn)品目錄”,這個(gè)并非是NSA的日常采購(gòu)產(chǎn)品清單,而是NSA下屬的特定入侵行動(dòng)辦公室(TAO, Tailored Access Operations)用于在相關(guān)主流ICT設(shè)備中植入后門的特殊產(chǎn)品,這些產(chǎn)品的開發(fā)者是高級(jí)網(wǎng)絡(luò)技術(shù)部門(ANT,Advanced Network Technology),這部門可以認(rèn)為是NSA所組織的專業(yè)網(wǎng)絡(luò)黑客部門,專門研制用于在網(wǎng)絡(luò)、服務(wù)器等ICT設(shè)備中植入后門的軟硬件產(chǎn)品。
本次披露的產(chǎn)品類別涉及到防火墻、路由器、無線局域網(wǎng)、射頻網(wǎng)絡(luò)、USB等,在這份目錄清單中,ANT為每款產(chǎn)品均起了名字,并簡(jiǎn)要介紹了其原理,最后給出了相關(guān)的價(jià)格以及目前的研發(fā)與部署狀態(tài)。
ANT目錄中針對(duì)Dell PowerEdge服務(wù)器的BIOS入侵產(chǎn)品,可借助系統(tǒng)管理模式,隨操作系統(tǒng)啟動(dòng)而執(zhí)行(摘于ANT產(chǎn)品目錄文檔)
ANT目錄中針對(duì)HP ProLiant DL380 G5服務(wù)器的BIOS產(chǎn)品,可借助系統(tǒng)管理模式,通過置入的硬件進(jìn)行對(duì)外雙路射頻通信(摘于ANT產(chǎn)品目錄文檔)
在服務(wù)器類別中,我們可以看到Dell的PowerEdge與惠普的ProLiant DL380 G5赫然在列。而入侵的手段則都是從系統(tǒng)的BIOS入手。需要指出的是,披露這份報(bào)告的文章是在2013年年底發(fā)布的,但這份產(chǎn)品目錄則是2008年的,相關(guān)涉及的服務(wù)器產(chǎn)品,目前也早已淘汰,可誰(shuí)也不知道這7年之后的今天,ANT又做出了哪些新的入侵產(chǎn)品,植入了哪些現(xiàn)有的服務(wù)器里。
《明鏡》周刊就此評(píng)論到:ANT不僅制造監(jiān)控硬件,同時(shí)也開發(fā)專用軟件。ANT的開發(fā)者很喜歡將惡意代碼植入計(jì)算機(jī)的BIOS中。BIOS位于計(jì)算機(jī)主板,當(dāng)計(jì)算機(jī)開機(jī)時(shí)將被最先加載。這樣做能帶來許多優(yōu)勢(shì):被感染的PC或服務(wù)器能正常工作,因此防病毒軟件和其他安全軟件無法探測(cè)到惡意軟件。即使被感染計(jì)算機(jī)的硬盤被完全清空,操作系統(tǒng)被重新安裝,ANT的惡意軟件仍可以繼續(xù)發(fā)揮作用,在新系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。ANT的開發(fā)者將其稱作“留存”,認(rèn)為這種方式能幫助他們獲得永久訪問權(quán)限。
而服務(wù)器內(nèi)部的另一個(gè)隱患則在于每臺(tái)服務(wù)器必備的基板管理控制器(BMC,Baseboard Management Controller),這是一個(gè)特殊的處理器,用來監(jiān)測(cè)服務(wù)器中相關(guān)組件的物理狀態(tài),比如I/O接口、I/O總線、CPU溫度、電源狀態(tài)、風(fēng)扇轉(zhuǎn)速等,配合智能平臺(tái)管理接口(IPMI,Intelligent Platform Management Interface),以便于管理員更好的進(jìn)行服務(wù)器的運(yùn)維,包括服務(wù)器本地和遠(yuǎn)程控制、配置管理、硬件診斷和故障排除等。顯然,如果BMC出現(xiàn)漏洞也將近同于BIOS的失陷。
IPMI 2.0的架構(gòu)組成,BMC是關(guān)鍵的一環(huán),掌握了BMC,也就對(duì)服務(wù)器內(nèi)部一覽無遺
而在現(xiàn)實(shí)中,就出現(xiàn)了類似的BMC隱患,有些廠商的服務(wù)器存在BMC不經(jīng)過鑒權(quán)訪問的風(fēng)險(xiǎn),而有些廠商的服務(wù)器的BMC則存在的安全漏洞,入侵者可模仿合法用戶,查看用戶記錄及執(zhí)行事務(wù)。而最近工信部發(fā)現(xiàn)M國(guó)某芯片廠家的BMC 管理芯片存在安全漏洞,會(huì)竊取用戶數(shù)據(jù)向外發(fā)送,并且無法關(guān)掉或屏蔽。
如何避免服務(wù)器的先天安全缺陷?
明白了服務(wù)器內(nèi)部安全隱患的要點(diǎn),以及美國(guó)國(guó)家安全局的種種手段,不難體會(huì)到中國(guó)強(qiáng)調(diào)的“安全、可控”的必要性。而對(duì)于最終的用戶,在挑選服務(wù)器時(shí),也應(yīng)該在相關(guān)方面予以重視。
簡(jiǎn)單來說,服務(wù)器內(nèi)部的先天安全缺陷主要就來源于BIOS與BMC,在這兩個(gè)方面入手,盡量能做到知根知底,則可以最大限度杜絕最基礎(chǔ)的安全隱患。不過這顯然需要服務(wù)器廠商自己有更高的自我要求,與自主的技術(shù)實(shí)現(xiàn)能力,以杜絕外界通用部件以及國(guó)外組件可能存在的安全隱患。但是就目前中國(guó)內(nèi)部市場(chǎng)來說,坦白的講并不樂觀,一方面是這方面的安全意識(shí)普遍不強(qiáng),另一方面相應(yīng)的技術(shù)研發(fā)也沒有及時(shí)跟上。
說到此,不能不提一下華為,這家一直主張自主創(chuàng)新、自主研發(fā)的ICT廠商,在服務(wù)器領(lǐng)域也堅(jiān)守著這一原則,這也使其在服務(wù)器基礎(chǔ)安全層面體現(xiàn)出了與眾不同。
首先,華為自主研發(fā)了服務(wù)器CPU以外的所有主要芯片,其中就包括BMC芯片及配套軟件,消除了BMC安全隱患。此外,華為還自主研發(fā)了RAID控制器、SSD主控、I/O控制芯片(單芯片、針對(duì)FC、iSCSI、FCoE存儲(chǔ)接口,支持TCP /iSCSI /FCoE /RDMA協(xié)議加速)以及QPI節(jié)點(diǎn)控制器(用于英特爾至強(qiáng)E7平臺(tái)8路以上服務(wù)器的架構(gòu)擴(kuò)展,最高可實(shí)現(xiàn)32插槽設(shè)計(jì))。
這些與用戶數(shù)據(jù)直接打交道的芯片全部由華為自主研發(fā),從而也在根本上排除了國(guó)外產(chǎn)品可能的后門植入,就算ANT想在華為平臺(tái)上做手腳,難度也會(huì)大大增加。
華為自主研發(fā)的BMC芯片
其次,在服務(wù)器的底層軟件平臺(tái)上,華為也在BIOS和管理軟件開發(fā)方面布以重兵,把去除軟件黑箱化作為目標(biāo):
系統(tǒng)管理軟件 eSight 和BMC 管理軟件已經(jīng)實(shí)現(xiàn)了代碼100%自研
BIOS 軟件實(shí)現(xiàn)了100%的源代碼可見,華為購(gòu)買全部源代碼,并進(jìn)行二次代碼開發(fā),不存在二進(jìn)制庫(kù)文件、封裝文件、嵌套文件等不可見源碼的“黑箱”
由上文可知,通過惡意代碼駐留BIOS,是服務(wù)器安全風(fēng)險(xiǎn)的核心關(guān)鍵點(diǎn)。由于華為的BIOS源代碼100%可見,支持三方機(jī)構(gòu)開源安全掃描,并且不在美國(guó)NSA的勢(shì)力范圍之內(nèi),安全風(fēng)險(xiǎn)也就大為降低了。
當(dāng)我們?cè)絹碓街匾暺髽I(yè)ICT系統(tǒng)與整體架構(gòu)的安全性時(shí),除了必要的更堅(jiān)固的外圍保護(hù),服務(wù)器內(nèi)部的安全因素,也必須引起更高的重視,否則有可能極大的損害企業(yè)在安全保護(hù)上的投資效益。被披露的ANT產(chǎn)品目錄無疑給了我們很大的警示——在服務(wù)器關(guān)鍵性組件上實(shí)現(xiàn)開放透明,顯然是必要的,而在這方面,華為服務(wù)器確實(shí)為我們提供了有益的參考。