一年一度的Black Hat USA和DEF CON又如约而至。8月初的美国拉斯维加斯气温高达42摄氏度,但也无法抵挡全球各地的安全研究者、厂商、政府代表等,参加这个安全界最负盛名的两个会议。两会的创始人Jeff Moss在开场致辞中介绍,今年参会者来自120个国家,创造了新记录,也表明网络安全在国际上是一个备受关注的领域。
奇安信红雨滴团队不仅在两会上做了三个工具演示,并将工具开源,为安全社区贡献了自己的一份力量;而且红雨滴团队还通过会议演讲和各种社交活动,了解国外的安全动态。本文总结了红雨滴团队的收获,主要集中在空间系统安全和医疗安全两个领域。
Ly Vessels博士在Black Hat第一天的会议上做了名为“针对关键安全系统的网络安全风险评估”( Cybersecurity Risk Assessment for Safety-Critical Systems)的演讲[1],介绍了Honeywell公司针对空间系统(Space Systems)制定的一套网络风险评估框架。该框架从航空界的信息安全指南RTCA DO-326A发展而来,特别关注了空间系统重要组成部分的卫星可能存在的风险。
在过往的BlackHat会议上,空间系统安全是一个热点话题,但只聚焦在安全隐患的发现阶段。Ruben Santamarta在2014年的BlackHat会议上介绍了卫星通信终端的若干安全问题[2],包括后门,硬编密码,存在风险的协议,密码重置隐患,等等。Ruben又在2018年的BlackHat会议上介绍了卫星通信在民航、海运以及国防三个领域中出现的安全隐患[3],例如可以在未授权的情况下透过民航客机的空中Wifi网络访问卫星通信终端。而今年Ly Vessels博士的演讲则表明业界正在开始着手提升空间系统的安全性。
在安全技术圈之外,今年也有不少从国家安全的角度对空间系统安全的讨论。英国智库Chatham House在今年7月发布报告[4]称,空间系统是北大西洋公约组织NATO的重要战略资产,将面临更多网络攻击的风险,呼吁加强对空间系统的保护。此外,麻省理工科技评论在今年6月发表文章[5]讨论了未来可能出现的空间战争(Space War),并列举了若干空间战争的攻击手段,网络攻击位列其中,它可以远距离干扰卫星与地面基站之间的数据传输,是较为“温和”(less aggressive)的攻击手段。
对空间系统安全的关注是有科技及社会背景的:各国政府及私人企业都在加大对空间系统的投入。例如,美国私人航天公司SpaceX公司已于今年5月发射了60颗卫星,用于构建Starlink卫星网络提供互联网通信服务,而预计Starlink卫星网络将由12,000颗卫星构成[6]。我国的北斗卫星导航计划也正在组网进程中,预计将于2020年向全球提供服务[7]。未来将有更多的卫星上天,提供通信或者定位等重要的服务;而卫星可以被简单理解为悬浮在地球轨道上的计算机,同样可能遭受网络攻击,所以作为关键基础设施的卫星,其安全性是非常值得关注的。
今年的DEF CON首次开放了一个医疗设备实验室,该实验室模拟了一个医院的诊疗环境,放置了真实或者高度仿真的医疗设备[8]。同时,DEF CON邀请了医疗设备厂商以及美国食品药品监督管理局(FDA)参加这次活动,向安全研究人员介绍医学知识和医疗设备知识,并建立更为广泛的信任和合作,共同推进医疗安全。
在医疗行业里有一个明显的技术趋势,越来越多的医疗设备具备了接入网络的功能,可以与信息管理系统或者其他医疗设备实现数据传输。但这些接入网络的医疗设备面临很多的安全问题,比如设备管理软件存在安全漏洞;或者,任何对医疗设备的升级以及安全修复必须要经由医疗设备厂商的批准,这容易造成对安全问题的响应不及时;另外,医疗设备可能没有足够的内存或其他硬件条件,无法安装安全软件。除了医疗设备本身的问题之外,医疗设备一般放置在医院中使用,而医院的网络安全性也将直接影响这些医疗设备的正常使用。
FDA作为医疗设备的政府监管单位,已经发布了多项网络安全方面的指导意见[9][10],协助医疗设备厂商在设备设计、开发和维护过程中,改善设备的网络安全性。同时,FDA还在网路安全方面做了其他努力[11],比如:接收处理医疗设备的漏洞举报,举办工作组和研讨会加强与相关方的联络,其中包含安全研究人员。FDA参加本次DEF CON也是在努力加强与安全社区的联系。
安全厂商也在尝试解决医疗安全问题,美国硅谷的一家安全创业公司ZingBox[12]就是其中之一。他们的业务重点放在了协助医院管理医疗设备的风险,包括资产发现、漏洞评估、以及医疗行业法律合规等等[13]。
另外,来自ZingBox的同行还介绍了美国医疗安全的一些情况。美国的医疗设备通常会存储一些影像、诊断书等受保护的健康信息(Protected Health Information,PHI),PHI是极为敏感的个人身份信息,而对这些信息的保护还有待改善。此外,他们发现泄露的PHI在美国暗网中的售价可以比信用卡信息贵出10倍,可见PHI对攻击者来说是高价值数据。
[2]. https://ioactive.com/pdfs/IOActive_SATCOM_Security_WhitePaper.pdf
[4]. https://www.chathamhouse.org/publication/cybersecurity-nato-s-space-based-strategic-assets
[5]. https://www.technologyreview.com/s/613749/satellite-space-wars/
[6]. https://www.spacex.com/news/2019/05/24/starlink-mission
[7]. http://news.cctv.com/2019/06/08/ARTI4rWRAnfAzegjSfppviMW190608.shtml
[8]. https://www.villageb.io/device-lab
[12]. https://www.zingbox.com/
[13]. http://go.zingbox.com/rs/562-ZPO-907/images/Zingbox_Solution_Brief_Healthcare.pdf