业界快讯 第13页

文│ 科大国盾量子技术股份有限公司总裁  赵勇

数字基础设施是“新基建”的重心和基础，而信息安全是当前建设数字基础设施的重要前提。以量子通信和量子计算为代表的量子信息技术是当前国际热门的战略性科技方向，我国在这一领域处于国际前列，特别是量子通信技术在信息安全领域已有较明确的应用模式，在国内外都受到了广泛关注和大力推进。本文从信息安全的基础——密码技术发展的角度来看待量子通信这一新兴技术的定位，也将从量子通信自身发展的角度来介绍其在“新基建”下信息安全领域的作用。

一、从密码学发展的角度看待量子通信技术

现代密码学认为：一切秘密寓于密钥之中，密码算法是可以公开的，密钥则必须绝对保密，这样才能确保密码安全。密钥对密码技术来说是如此的重要，正是因为密钥，量子通信走进了密码学，开始助力信息安全。

密钥的概念最早出现在人类第三代密码技术——维吉尼亚加密法中。维吉尼亚加密法可以理解为用密钥来约定如何进行第二代加密法——字母的“移位和替换”，猜到密钥就是破解之法。之后的第四代密码技术以机械电子时代的“恩尼格玛机”（Enigma）为代表，密钥变化极其复杂，但仍是破解的突破口。随着电子计算机时代的到来，现代密码学迎来了第五代密码技术——魔王加密法（DES），这类加密法是对称加密法，需要加解密双方共享安全的密钥，而没有有效的密钥交换机制仍然成为这一代加密法最大的风险。第六代密码技术是以RSA为代表的非对称加密法，其设计的初衷就是为了解决密码中安全分发密钥的问题，后来，其发展出了有效的认证、数字签名以及数据完整性检验等一系列新密码技术，成为现在互联网应用的安全基础，并仍在不断的拓展新的形态和应用模式。

然而，第六代密码技术的安全性依赖于某些数学难题假设，其面临着可被算力破解的威胁，以量子计算为代表的未来可期的人类超强计算能力正在快速发展。而第七代密码技术则被寄予了抵御这一威胁的厚望。量子物理支撑了量子计算，却也在抗击算力破解方面提供了量子密码。量子密码中目前最成熟的技术当属量子密钥分发（Quantum Key Distribution ,QKD），其通过“量子态制备—测量”或是“共享量子纠缠”的量子通信手段，实现空间分离的两用户间安全地分发密钥。这种分发的安全性不受人类计算能力的影响，常被称为信息理论安全性（Information-theoretic security）。QKD就是解决密钥分发的问题，在密码学的应用中需要和算法结合使用。在现实的应用中，第六代密码技术也不是对第五代的取代，而是作为密钥交换手段与第五代加密法结合使用，而QKD发作为新的密钥交换手段与第五代对称密码技术结合使用，这丝毫不会降低它的重要性。

当前，“以量子计算为代表的人类算力威胁现有非对称密码体系”这一判断已经是主要密码技术国家的共识，各国纷纷启动的“抗量子计算”密码研究就是证明。现代互联网及更广义的ICT技术的信息安全对密码技术的需求不仅包括信息的“机密性”，还需要“真实性”“不可抵赖”和“完整性”，而后三种需求是目前第六代密码技术——非对称密码技术的强项。人们自然会想，能不能应用新的数学难题构建新一代非对称密码技术呢？因此，第七代密码技术，除了QKD还包括新的非对称密码技术——后量子密码（Post quantum cryptography, PQC），它们都需要实现“抵御量子计算破解”的安全性——量子安全（Quantum security, QS）”。

有人说QKD和PQC是竞争关系，我们认为竞争存在，但各有千秋，应该融合发展。比如QKD安全性不依赖算法，因此原则上无论人类算力发展如何，QKD能提供长效的安全性，而PQC存在新数学难题仍被未来新的量子计算算法破解的风险；PQC在数字签名方面优势明显，而QKD结合的对称算法很难胜任；对于身份认证的需求，对称算法与非对称算法都有各自的优势，PQC的高效与QKD的长效结合当属最佳。这一观点在国际科研领域、地区和国家科技战略发展计划以及国际上如ETSI等标准化组织中都体现了共识，并正在英国的量子通信枢纽及欧洲的量子通信基础设施研究项目OpenQKD等实用化技术合作平台上进行实践。

信息安全系统涉及方方面面，各项技术发展不是对立、零和博弈、此消彼长的局面。我们需要在一个大的框架下，统筹系统中的各项技术，既协调配合，又不断创新，从而使得系统整体在不断地提升。QKD技术作为国际热点前沿和我国具有优势的、自主的一项信息安全技术，其获得持续支持而不断进步，符合市场需要和国家科技发展及产业升级的需要。

从第五代加密法开始，人类的密码技术由数学推动发展，到了第七代量子安全，密码技术开始由数学和物理学一起推动，进入了新的时代。随着量子技术与密码思想更深度的融合，特别是当量子通信技术更进一步地实现量子资源的产生和传递后，是否会催生更新一代的密码技术来更广泛的支持未来形态的信息安全？

二、在信息安全上，量子通信技术可以做什么？

量子通信技术是量子信息技术中的重要分支，是利用量子态作为信息载体进行信息交互的通信技术。其特点体现在从三个方面超越现有通信技术的能力：

一是信息传输安全。基于量子通信技术我们可实现QKD，其安全性由量子状态的测不准、不可分割、不可复制等物理特性来保障。基于QKD提供的共享对称密钥，结合现代密码算法（SM4、AES等）或者一次性密码本（One-time-pad，OTP），可以在信息机密性上发挥作用；结合认证及其他密码算法，还可以在机密性之外的信息真实性和完整性等其他密码需求上发挥作用。

二是量子态的传输。基于量子通信技术我们可以实现量子隐形传态，用于有效的传递量子态，这也是现有的通信技术无法替代的，是未来分布式量子计算、分布式量子传感器等应用的实现基础。

三是提高信道容量。我们可以利用量子叠加等信息并行处理特征来设计新的通信编码方式，以期突破现有通信的信道容量极限。目前已有量子超密集编码等理论证明可获得超越经典极限的量子信道容量，但尚未有可实用化的技术落地。

这些能力的共性来源于量子通信通过量子态为信息载体，量子态本身的特别之处带来了量子通信和信息处理的一系列优势，从而有别于基于电磁波宏观特性来承载信息的现有通信技术。

谈及量子通信发展的未来，一幅“量子互联网”的蓝图展现在我们面前，其不是对现有互联网的替代，而是为互联网加上新功能的新型基础设施。如果说QKD网络是量子互联网的初级阶段，那么其最终目标将是全量子网络，是用量子隐形传态或量子纠缠交换等技术作为链接，将量子计算机、量子传感器、QKD设备、终端用户等节点连为一体，产生、传输、使用量子资源，面向计算、感知和信息安全的新型网络。其中，信息安全是贯穿量子网络发展始终的核心功能。未来，量子互联网将在量子中继的帮助下实现多用户、远距离的量子纠缠共享，进而可以利用量子纠缠来实现QKD，并实现量子安全应用。在量子中继技术成熟之前，也就是量子互联网的初级阶段，QKD链路与经典的可信中继技术的结合是目前实现广域可扩展QKD光纤网络的唯一可行方案。其中可信中继的安全性已有相关的安全增强技术及工程要求进行保障，其标准化也是QKD网络标准工作中的重要组成部分。

国际标准组织ITU-T、ISO/IEC JTC1、IETF、ETSI等都在开展QKD的标准化工作。2019年10月，国际电信联盟标准化部门（ITU-T）正式发布了首个QKD网络国际标准 Y.3800“Overview on networks supporting quantum key distribution”（“支持量子密钥分发的网络综述”）。该标准对QKD网络的概念结构及基本功能进行了描述，并且明确指出“可信中继是目前唯一已知的被广泛应用于远距离QKD光纤网络的解决方案”。基于Y.3800标准建议书达成的国际共识，ITU-T正在抓紧制定QKD相关的一系列国际标准，包括：QKD网络功能要求、安全要求、密钥管理、商业模型、QoS通用要求、QoS保障要求，等等。

近年来，国际上多个国家和地区发布了量子科技发展战略，规划量子互联网发展，并启动了QKD网络的工程实践和应用示范。例如，美国白宫国家量子协调办公室于2020年2月发布的《美国量子网络战略愿景》报告指出：“探索如何建立量子互联网——一个由量子计算机和其他量子设备组成的庞大网络，将促进新技术的发展，加速当今互联网的发展，提高我们的通信安全性，并使计算技术取得巨大进步。” 再如，欧盟委员会2020年3月发布《量子旗舰项目战略研究计划》中提到：“实现量子互联网是长期目标⋯⋯为欧洲公民提供更安全的电信通讯和数据存储、改善医疗保健以及更强的计算能力。”这份报告中明确了量子通信未来3年的路线图，重点包括：针对基于可信中继QKD网络，开发用例和业务模型、经济高效且可扩展的系统、密钥管理和应用接口等软件；研究可信节点网络的网络功能和互操作性；为网络性能、应用、协议和软件开发测试套件；演示和验证QKD、量子随机数等在基础设施、物联网和5G中的应用等等。

此外，欧盟日前发布的研究报告JRC118150“QKD现网实现”中指出，亚洲的中、日、韩，欧洲的奥地利、瑞士、意大利、西班牙、英国、俄罗斯、波兰，北美洲的美国、加拿大，非洲的南非等国，均部署了基于可信中继的QKD试验或商用网络。

三、量子通信技术助力数字“新基建”安全发展

在数字“新基建”的关键领域：5G、物联网、工业互联网、卫星互联网、人工智能、云计算、区块链等，QKD作为信息安全保障的有力手段，具有广泛的应用潜力。例如在5G方面，2019年英国量子通信中心联合布里斯托大学，基于英国5G测试网开展了一系列5G+QKD融合技术试验，在5G测试网络中实现了量子安全的多域NFV编排器，以及基于QKD的Inter-DC数据安全传输等安全增强应用；2019年韩国SK电信将QKD技术用于其5G网络（首尔-大田段）的回传数据加密传输，并计划分阶段扩大应用范围。SK电信还首次实现了将QKD用于5G接入网，保护某车企智慧工厂关键数据传输的应用案例。在卫星互联网领域，基于QKD来实现星地、星间安全通信是极富潜力的解决方案，目前美欧多国将其作为重点方向研发，我国则是目前全球唯一能够实现星地量子通信的国家，处于领先地位，并有望在量子通信融合数字基础设施方面走在世界前列。

伴随技术的持续突破而不断升级，量子通信技术奔跑在”量子互联网”的征途上。未来的量子互联网除了QKD之外，还能实现其他的信息安全应用吗？答案是肯定的。利用网络上的量子资源，将可以继续充实和拓展量子密码的范畴。学术界已经提出了包括量子安全认证、量子数字签名、量子比特承诺以及量子安全存储等在内的多种量子密码技术理论方案。这些都需要密码学、量子物理、信息通信领域的科研和产业力量紧密合作，催生更新一代的密码技术，更广泛、更有力地支持未来形态的信息安全。

（本文刊登于《中国信息安全》杂志2020年第7期）

---

扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

原文始发于微信公众号（中国信息安全）：专题·原创 | 量子通信技术助力“新基建”信息安全

点击上方“中国信息安全” 可订阅

工业和信息化部办公厅关于开展2020年网络安全技术应用试点示范工作的通知

工信厅网安函〔2020〕190号

各省、自治区、直辖市及计划单列市工业和信息化主管部门，各省、自治区、直辖市通信管理局，部属有关单位，有关中央企业，相关单位：

为深入贯彻习近平总书记关于发展网络安全产业的重要指示精神，落实党中央、国务院关于加快新型基础设施建设的重大决策部署，挖掘新一代信息技术与网络安全技术融合创新的典型应用场景，提炼推广网络安全最佳实践和解决方案，促进网络安全教育、技术、产业融合发展，提升网络安全产业发展水平，强化新型信息基础设施安全保障能力，现开展2020年网络安全技术应用试点示范工作。有关事项通知如下：

一、重点方向

（一）新型信息基础设施安全类。

1.5G网络安全。重点结合增强移动带宽、低时延高可靠、海量大连接三大场景安全需求，针对网络功能虚拟化、网络切片、边缘计算等带来的网络安全需求，在威胁监测、风险识别、安全防御、安全检测、安全恢复、安全模型认证等方面的安全解决方案。

2.工业互联网安全。围绕装备、电子信息、原材料、消费品、石化、能源等重点生产制造领域，结合工业互联网智能化生产、网络化协同、个性化定制、服务化延伸等典型应用场景网络安全需求，在网络、平台、工控设备、工业APP、工业数据等方面的安全解决方案。

3.车联网安全。结合先进驾驶辅助、自动驾驶、车路协同、智慧交通等典型场景，针对智能驾驶系统、车联网平台、无线通信、复杂环境感知、车用高精度时空服务等网络安全需求，在安全认证、安全防护、数据保护、威胁监测、测试验证等方面的安全解决方案。

4.智慧城市安全。面向智慧政务、智能生活、智能医疗、在线教育、远程办公、智慧环保等典型应用场景网络安全需求，在新型智慧城市设施、建设、运行、服务、管理等方面的安全解决方案。

5.大数据安全。面向大数据中心、智能计算中心、云计算平台等先进算力设施的网络安全解决方案，以及结合海量网络数据汇聚存储、流动共享等安全需求，在数据资产识别、分类分级防护、数据加密、数据脱敏、泄露追溯等方面的解决方案。

6.物联网安全。结合智慧家庭、智能抄表、零售服务、智能安防、智慧物流、智慧农业等典型场景网络安全需求，在物联网卡、物联网芯片、联网终端、网关、平台和应用等方面的基础管理、可信接入、威胁监测、态势感知等安全解决方案。

7.人工智能安全。结合智能机器人、智能语音交互、视频图像身份识别、影像辅助诊断、无人机等典型应用场景网络安全需求，在人工智能数据、算法、平台、应用服务等方面的安全解决方案，以及运用人工智能技术的高级威胁预警、网络资产管理、网络行为溯源分析等安全解决方案。

8.区块链安全。结合供应链管理、电子交易、数字版权、保险、社会救助等区块链技术典型应用场景网络安全需求，在身份验证、安全存储、存证取证、数据共享流通等方面的安全解决方案，以及区块链基础设施、区块链平台、区块链服务等方面的安全监测、防护、测试验证解决方案。

9.商用密码应用。针对商用密码在5G、工业互联网、车联网领域业务应用场景，在密码算法、密码设备、检测认证服务等方面的解决方案，以及应用商用密码的网络身份认证、设备安全接入认证等解决方案。

10.电信网络诈骗防范治理。围绕电信网络诈骗技术防范、管理创新、联防联控等安全需求，在涉诈风险实时预警处置、诈骗行为精准分析、远程智能群呼设备监测定位取证、电信网络诈骗协同分析治理等方面的解决方案。

（二）网络安全公共服务类。

1.安全防护。基于云模式提供安全检测、风险评估、流量清洗、域名安全等技术服务的公共服务平台。

2.安全运营。面向智能制造、智能家居、智慧医疗、智慧交通等重点领域提供网络安全运营服务的公共服务平台。

3.威胁情报。提供网络安全威胁在线查询、漏洞验证、关联分析、开放共享等信息服务的公共服务平台。

4.安全培训。提供安全课堂、在线测试、培训认证、攻防模拟等培训服务的公共服务平台。

（三）网络安全“高精尖”技术创新平台类。

面向新型信息基础设施安全类、网络安全公共服务类重点方向，以及拟态防御、可信计算、零信任、安全智能编排等前沿性、创新性、先导性的重大网络安全技术理念，汇聚产学研用等创新资源，具备核心技术攻关、产业化应用推广等关键环节协同创新环境和载体的网络安全技术创新或试点示范区。

二、申报要求

（一）申报主体。第一类、第二类主要包括公共通信和信息服务、能源、交通、水利、金融、医疗、智能制造、航空航天、电子政务等行业和领域的企事业单位，以及为其提供网络安全技术、产品和服务的企事业单位等；申报主体应在中华人民共和国境内注册、具备独立法人资格。中央企业所属下级单位、子公司可作为独立申报主体。第三类主要包括技术创新或试点示范区运营、管理机构。

（二）申报对象。第一类、第二类包括围绕新型基础设施典型应用场景，支撑本单位或用户建设的网络安全技术系统或平台。第三类包括地市级及以上各类技术创新或试点示范区。

（三）遴选要素。主要包括创新性、先进性、实用性、可推广性。优先推荐在新型基础设施建设发展、新冠肺炎疫情防控、龙头企业复工复产、产业链供应链护链保供、网络安全保障等方面发挥重要作用的项目和区域优势明显、产业基础良好、政策制度完善、创新要素聚集的创新平台。同等条件下优先推荐中小微企业的项目。

（四）各申报主体牵头或参与联合申报的总数原则上不超过2个。多个申报主体联合申报的，参与申报的主体数量不超过3个。

（五）已列入工业和信息化部相关试点示范项目的不可重复申报，未建及在建项目不可申报。

（六）中央企业集团公司和各省、自治区、直辖市及计划单列市工业和信息化主管部门、通信管理局可进行推荐。

三、工作流程

（一）申报方式。申报主体于2020年8月21日前将2020年网络安全技术应用试点示范申报书（见附件）一式三份报送工业和信息化部（网络安全管理局），同时通过网络安全技术应用试点示范管理系统在线申报电子版（网址：https:/sdsf.mii-aqfh.cn），纸质材料应与电子版保持一致。

（二）遴选评审。工业和信息化部组织中国信息通信研究院、中国电子信息产业发展研究院、国家工业信息安全发展研究中心、工业和信息化部网络安全产业发展中心、中国工业互联网研究院等单位开展评审，并对符合要求的项目开展试点示范。试点示范期为2年。

四、联系方式

联系人：赵 泰 赵 爽 010-62305321/68206207

地　址：北京市海淀区花园北路52号（100191）

附　件：2020年网络安全技术应用试点示范申报书

工业和信息化部办公厅
2020年7月30日

（来源：工信部网站）

---

原文始发于微信公众号（中国信息安全）：通知 | 工信部组织开展2020年网络安全技术应用试点示范工作

2020年07月27日-2020年08月02日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞292个，其中高危漏洞82个、中危漏洞152个、低危漏洞58个。漏洞平均分值为5.95。本周收录的漏洞中，涉及0day漏洞86个（占29%），其中互联网上出现“eGroupWare ‘spellchecker.php’远程代码执行漏洞、Frigate Professional ‘Pack File’缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2739个，与上周（3433个）环比减少20%。

图1 CNVD收录漏洞近10周平均分值分布图

图2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

 

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件14起，向基础电信企业通报漏洞事件5起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件292起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件32起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件33起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

图5 CNVD教育行业应急组织处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

深圳市网心科技有限公司、常州市青之峰网络科技有限公司、上海丹帆网络科技有限公司、太原迅易科技有限公司、山西尚品优创科技股份有限公司、义乌市创博网络科技有限公司、北京万维盈创科技发展有限公司、北京人大金仓信息技术股份有限公司、南昌市博然科技有限公司、深圳市华磊信息科技有限公司、北京通达信科科技有限公司、诸城市三剑网络传媒有限公司、上海金桥信息股份有限公司、杭州涂鸦科技有限公司、深圳市圆梦云科技有限公司、江苏智汇信息技术有限公司、西安佰联网络技术有限公司、微软（中国）有限公司、山西牛酷信息科技有限公司、南通点酷网络科技有限公司、合肥彼岸互联信息技术有限公司、中国建筑股份有限公司、安徽龙讯信息科技有限公司、上海智休信息科技有限公司、深圳华磊物流通信息科技有限公司、合肥明信软件技术有限公司、三菱电机自动化（中国）有限公司、廊坊市极致网络科技有限公司、深圳迅雷网络技术有限公司、珠海国津软件科技有限公司、甘肃修森网络信息科技有限公司、张家港市易盟电子商务有限公司、杭州吉拉科技有限公司、沈阳盘古网络技术有限公司、北京完美创意科技有限公司、湖南翱云网络科技有限公司、中凯信息网络有限公司、台达电子企业管理(上海)有限公司、深圳市网狐科技有限公司、上海诣策信息科技有限公司、广州搜浪网络科技有限公司、北京米尔伟业科技公司、洛阳市万谦网络科技有限公司、成都康菲顿特网络科技有限公司、南京酷奇信息科技有限公司、哈尔滨巨耀网络科技有限公司、高等教育出版社有限公司、联奕科技有限公司、江苏国泰新点软件有限公司、上海卓卓网络科技有限公司、东方博冠（北京）科技有限公司、镇江明润信息科技有限公司、贵阳同心软件科技有限公司、河南卓奇信息技术有限公司、海南易而优科技有限公司、西安丝路智慧科技有限公司、成都飞鱼星科技股份有限公司、天津南大通用数据技术股份有限公司、深圳市迅雷网络技术有限公司、海南赞赞网络科技有限公司、霍尔果斯鸿鹭华阅文化传播有限公司、深圳市天地心网络技术有限公司、《中国学术期刊（光盘版）》电子杂志社有限公司、广州市华企网络科技有限公司、西门子（中国）有限公司、哈工大大数据集团（哈尔滨）农林有限公司、西安华尚软件科技有限公司、喆企网络科技（上海）有限公司、安徽阳光心健科技发展有限公司、西安三才科技实业有限公司、洛阳云业信息科技有限公司、福州亿虎云科技有限公司、珠海金山办公软件有限公司、北京畅娱科技有限公司、花生未来（广州）科技有限公司、上海优恒酒店管理有限公司、上海格平信息科技有限公司、中山市自定易网络科技有限公司、用友网络科技股份有限公司、广州市粤企网络科技有限公司、北京东云创达科技有限公司、晋城优逸网络技术有限公司、广东布恩网络有限公司、帝国软件、逍遥B2C商城系统、施耐德（Schneider Electric）、zzz中文网、通达CMS、海洋CMS、ZZCMS、YCCMS、UCMS、BEESCMS、The Apache Software Foundation、SeaCMS、Wdlinux、Bludit、Bo-Blog Wind和PHPEMS。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京神州绿盟科技有限公司、深信服科技股份有限公司、北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。山东新潮信息技术有限公司、山东华鲁科技发展股份有限公司、河南灵创电子科技有限公司、南京众智维信息科技有限公司、山东云天安全技术有限公司、吉林谛听信息技术有限公司、北京禹宏信安科技有限公司、河南信安世纪科技有限公司、北京天地和兴科技有限公司、山东道普测评技术有限公司、北京安华金和科技有限公司、广州三零卫士信息安全有限公司、广州安亿信软件科技有限公司、广东安创信息科技开发有限公司、京东云安全、泽鹿安全、安徽长泰信息安全服务有限公司、北京长亭科技有限公司、浙江鹏信信息科技股份有限公司、赛尔网络有限公司山东分公司、广西网信信息技术有限公司、河北千诚电子科技有限公司、杭州安信检测技术有限公司、上海观安信息技术股份有限公司、浙江安腾信息技术有限公司、上海纽盾科技股份有限公司、武汉绿色网络信息服务有限责任公司、北京智游网安科技有限公司及其他个人白帽子向CNVD提交了2739个以事件型漏洞为主的原创漏洞，其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大向CNVD共享的白帽子报送的1385条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

 

本周，CNVD收录了292个漏洞。应用程序135个，WEB应用95个，操作系统39个，网络设备（交换机、路由器等网络端设备）21个，安全产品1个，数据库1个。

表2 漏洞按影响类型统计表

图6 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Oracle、Google、Microsoft等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了18个电信行业漏洞，21个移动互联网行业漏洞，5个工控行业漏洞（如下图所示）。其中，“Apple iOS和iPadOSWiFi组件代码问题漏洞、GoogleAndroid External Memory Interface权限提升漏洞、Cisco Data Center Network Manager参数注入漏洞、Open-Xchange OX App Suite访问控制错误漏洞（CNVD-2020-43160）、D-LinkDIR-816L命令注入漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图7 电信行业漏洞统计

图8 移动互联网行业漏洞统计

图9 工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、 Cisco产品安全漏洞

Cisco SD-WAN vManage Software是一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Data Center NetworkManager（DCNM）是一套数据中心管理系统。Cisco SD-WAN Solution是一套网络扩展解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取或修改系统上的任意文件，以root用户权限登录账户，执行任意命令，导致系统内存耗尽（拒绝服务）等。

CNVD收录的相关漏洞包括：Cisco SD-WAN vManageSoftware SQL注入漏洞（CNVD-2020-42256）、Cisco SD-WAN vManage Software资源管理错误漏洞、Cisco SD-WAN vManage Software路径遍历漏洞、Cisco SD-WAN vManage Software授权问题漏洞、Cisco SD-WAN vManage Software路径遍历漏洞（CNVD-2020-42258）、Cisco Data Center NetworkManager参数注入漏洞、Cisco SD-WAN Solution权限许可和访问控制问题漏洞（CNVD-2020-42261）、Cisco SD-WAN Solution缓冲区溢出漏洞。其中，除“Cisco SD-WAN vManage Software授权问题漏洞、Cisco Data Center Network Manager参数注入漏洞、Cisco SD-WAN Solution权限许可和访问控制问题漏洞（CNVD-2020-42261）、Cisco SD-WAN Solution缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42256

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42255

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42260

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42259

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42258

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42257

https://www.cnvd.org.cn/flaw/show/CNVD-2020-42261

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43668

2、Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。本周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Microsoft WindowsWalletService权限提升漏洞（CNVD-2020-43094、CNVD-2020-43098、CNVD-2020-43096）、Microsoft Windows Delivery Optimization service权限提升漏洞、Microsoft Windows Modules Installer权限提升漏洞、Microsoft Windows Update Stack权限提升漏洞、Microsoft Windows Profile Service权限提升漏洞、Microsoft Windows psmsrv.dll权限提升漏洞。其中，“Microsoft Windows Update Stack权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43094

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43098

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43096

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43101

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43100

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43099

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43105

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43110

3、Adobe产品安全漏洞

AdobeBridge是一款免费数字资产管理应用程序。Adobe Photoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。本周，上述产品被披露存在越界读取和越界写入漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop越界写入漏洞（CNVD-2020-43379、CNVD-2020-43378、CNVD-2020-43380）、Adobe Photoshop越界读取漏洞（CNVD-2020-43381、CNVD-2020-43382）、Adobe Bridge越界写入漏洞（CNVD-2020-43384、CNVD-2020-43383）、Adobe Bridge越界读取漏洞（CNVD-2020-43385）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43379

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43378

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43381

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43380

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43382

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43384

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43383

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43385

4、Google产品安全漏洞

Chrome是由Google开发的一款Web浏览工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，执行任意代码或造成应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome信息泄漏漏洞（CNVD-2020-43474、CNVD-2020-43484）、Google Chrome类型混淆漏洞（CNVD-2020-43473、CNVD-2020-43483）、Google Chrome WebRTC输入验证错误漏洞、Google Chrome缓冲区溢出漏洞（CNVD-2020-43482、CNVD-2020-43485）、Google Chrome释放后重用漏洞（CNVD-2020-43480）。其中，“Google Chrome缓冲区溢出漏洞（CNVD-2020-43482）、Google Chrome释放后重用漏洞（CNVD-2020-43480）、Google Chrome类型混淆漏洞（CNVD-2020-43483）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43474

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43473

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43476

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43482

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43480

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43484

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43483

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43485

5、NETGEAR R6700缓冲区溢出漏洞（CNVD-2020-43667）

NETGEAR R6700是一款无线路由器。本周，NETGEAR R6700被披露存在缓冲区溢出漏洞。该漏洞源于程序将用户提供的数据复制到基于栈的固定缓冲区之前，未能正确验证数据长度。攻击者可利用该漏洞绕过身份验证。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43667

更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。

参考链接：http://www.cnvd.org.cn/flaw/list.htm

小结：Cisco产品被披露存在多个漏洞，攻击者可利用漏洞读取或修改系统上的任意文件，以root用户权限登录账户，执行任意命令，导致系统内存耗尽（拒绝服务）等。此外，Microsoft、Adobe、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，绕过安全限制，获取敏感信息，执行任意代码或造成应用程序崩溃等。另外，NETGEAR R6700被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞绕过身份验证。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

本周重要漏洞攻击验证情况

本周，CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、eGroupWare ‘spellchecker.php’远程代码执行漏洞

验证描述

eGroupWare是一个多用户，在以PHP为基础的API上的定制集为基础开发的，以WEB为基础的工作件套装。

eGroupWare ‘spellchecker.php’存在远程代码执行漏洞，该漏洞源于程序未能正确地验证用户提交的数据。远程攻击者可通过发送恶意的请求利用该漏洞在底层操作系统上执行任意代码。

验证信息

POC链接：

https://www.exploitalert.com/view-details.html?id=35891

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2020-43466

信息提供者

深信服科技股份有限公司

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

关于CNVD

国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

关于CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。

作为国家级应急中心，CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行。

网址：www.cert.org.cn

邮箱：[email protected]

电话：010-82991537

关注CNVD漏洞平台

 

原文始发于微信公众号（CNVD漏洞平台）：CNVD漏洞周报2020年第31期

有时候需要访问一些不存在的网站和下载东西的时候会用到VPN服务，除了收费的以外，还不乏有一些免费的VPN服务，但免费的同样意味着危险，这不，有安全专家就在网上曝出了7个香港免费VPN，将使用用户的个人信息，访问记录、真实IP等暴露在一个公开的服务器上。

发现问题的是一个国外的安全公司「Comparitech」，他们在一款「UFO VPN」中发现，这个VPN服务公司将用户的Log和API访问记录等信息在网络上公开，而且不需要输入密码和任何身份信息验证就能查阅这些内容。

经了解该公司总部在香港，UFO VPN在Play商店安装下载量超过1000万。安全公司表示，每天有超过2000万个条目被添加到Log中，而UFO VPN恰巧在其网站上拥有2000万用户，数据量高达894GB。

这些被暴露公开的用户信息条目中包括：

1. 连接日志、访问量和访问的站点；
2. 真实IP地址；
3. 网络服务供应商（ISP）；
4. 真实定位；
5. 设备类型、编号；
6. 手机型号、应用程序版本；
7. 用户网络连接；
8. 电子邮件、家庭住址；
9. 纯文本密码等；

要知道VPN服务一般对外宣称都是“无日志”的，不会保留任何用户活动数据，但现在却发现如此之大的数据存在且在线公开。

这一问题被公布在网上之后，美国VPN服务点评网站VPNmentor在也表示这一问题好像不单单在UFO VPN上出现，总共有7款免费VPN服务：UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN和Rabbit VPN存在该问题，而且他们都说自己的VPN服务是“无日志”的，每个服务都拥有1万~100万的安装下载量，这些VPN服务加起来暴露的数据量高达1.2TB。

而且有很多证据指向这7个免费VPN服务作者都是同一人：

1. 这些VPN服务皆共享一个通用程式码和基础架构的White Label VPN；
2. 这些VPN服务都共享在一个公用的Elasticsearch伺服器；
3. 这些VPN服务都只有一个相同的收款人：Dreamfii HK Limited；
4. 这些VPN服务中有三个官网几乎一摸一样；

安全专家之后和香港VPN供应商联系后，在7月15日将在线公开的服务器加上了保护措施，目前在Play商店只有Rabbit VPN被下架，其他程序仍然可以下载。

钉子在这里提醒大家，使用VPN服务一定要选择可信任来源，切勿下载一些不可靠的程序，不然你在网络上的每一步操作都会被记录保存，成为别人查阅的数据资料。

原文始发于微信公众号（黑白之道）：7个香港免费VPN被爆泄露用户隐私，1.2TB上千万条用户个人信息在线公开

 概要信息: 

OpenStack RCE 0Day   

漏洞危害: 高，攻击者利用此漏洞，可实现远程代码执行。 

应急等级: 黄色  

版本: 1.0

01

漏洞概述

 关于 OpenStack 

OpenStack 是一个利用虚拟资源池构建和管理私有云和公共云的平台。在虚拟化环境中，例如存储、CPU 和 RAM 等资源都是从诸多供应商特定的项目中提取出来，然后由虚拟机监控程序进行拆分并按需进行分配。

OpenStack 使用一组一致的应用编程接口（API），进一步将这些虚拟资源提取为离散池，用于辅助标准云计算工具，供管理员和用户直接交互使用。

02

漏洞描述

Openstack Trove是openstack为用户提供的数据库即服务(DBaaS)。即trove既具有数据库管理的功能，又具有云计算的优势。

使用trove，用户可以：

“按需”获得数据库服务器，配置所获得的数据库服务器或者数据库服务器集群，对它们进行自动化管理，根据数据库的负载让数据库服务器集群动态伸缩。

漏洞位于OpenStack的trove模块中，OpenStack和每个已部署的数据库实例之间都有一个连接协议，该协议用于更改这些实例的配置，进行备份以及对数据库实例执行其他操作。它还用于从数据库收集统计信息。我们在此协议中进行代码审查和执行流审计过程中发现可导致远程代码执行的0day漏洞。

03

处置建议

目前我们已经对OpenStack 官方进行通报，并且也已经与国内云厂商进行积极沟通和确认。

为了保护您的OpenStack服务器，请确保您使用Service Tenant模型进行trove。

(https://docs.openstack.org/trove/latest/admin/run_trove_in_production.html#service-tenant-deployment)

另外，请使用最新版本的数据库服务器，确保在trove中使用的所有数据库映像都是安全的，存在漏洞的数据库映像也将使您的OpenStack服务器容易受到攻击。

 

 

 

原文始发于微信公众号（极光无限）：漏洞公告 | OpenStack远程代码执行0day

社交媒体巨头推特证实，黑客在上周的黑客攻击中入侵了130个帐户，并从其中的8个帐号下载了数据。

社交媒体平台Twitter遭受了有史以来最大的网络攻击之一，多个知名帐户被黑。

 

上周，社交媒体平台Twitter 遭受了历史上最大的网络攻击之一，黑客入侵了许多备受瞩目的帐户，包括巴拉克·奥巴马，美国总统候选人乔·拜登，亚马逊首席执行官杰夫·贝索斯，比尔·盖茨，埃隆的那些帐户。埃隆·马斯克，优步和苹果。

 

Twitter解释说，它是针对员工的“协调社会工程攻击”的受害者，该攻击使攻击者可以使用其内部工具。

所有帐户同时遭到入侵，威胁参与者使用它们来促进加密货币骗局。攻击者发布了消息，敦促被黑帐户的追随者向特定的比特币钱包地址汇款，以收取更大的款项。

从比尔·盖茨（Bill Gates）的Twitter帐户张贴的一条消息中读到：“每个人都在要求我回馈，现在是时候了。” “您寄出$ 1,000，我寄回给您$ 2,000。”

专家还注意到，攻击者已更改与帐户关联的电子邮件地址，以延迟对劫持的响应。

现在，Twitter提供了有关安全事件的更新，确认攻击者通过社会工程计划将某些Twitter员工作为目标。

黑客锁定了130个帐户，并能够控制其中45个帐户，这些帐户代表所有者发送了一些帖子，并从8个帐户下载了数据。

“攻击者成功操纵了少量员工，并使用其凭据访问Twitter的内部系统，包括获得我们的两因素保护。到目前为止，我们知道他们访问了仅内部支持团队可用的工具，以130个Twitter帐户为目标。” 读取Twitter提供的更新。“对于其中的45个帐户，攻击者能够发起密码重置，登录到该帐户并发送推文。”

在Twitter提供的针对黑客所针对的130个帐户的信息下方：

• 黑客没有查看以前的帐户密码，因为这些密码不是以纯文本格式存储的，也不是通过攻击中使用的工具提供的。
• 黑客仅访问与受感染帐户相关的个人信息，包括电子邮件地址和电话号码。Twitter的内部支持工具的某些用户可以使用此数据。
• 如果攻击者接管了帐户，则他们可能已经能够查看其他信息。

对于多达8个被黑客锁定的Twitter帐户，入侵者还通过Twitter的“ 您的Twitter数据 ”工具下载了该帐户的信息。

 

“对于多达8个涉及的Twitter帐户，攻击者采取了额外的步骤，即通过我们的“ 您的Twitter数据 ”工具下载该帐户的信息。” 继续更新。

 

“此工具旨在为帐户所有者提供其Twitter帐户详细信息和活动的摘要。我们会直接与我们知道确实如此的任何帐户所有者联系。这八个帐户中没有一个是经过验证的帐户。”

 

Twitter指出，一旦发现该黑客事件，其事件响应团队便立即采取行动，它保护并撤销了对内部系统的访问权限，以将攻击者拒之门外。该公司决定仅在线共享有关其补救程序的一些细节，以保护其有效性。Twitter计划将来提供有关修复程序的更多技术细节。

社交媒体网络正与执法部门一起继续调查此事件。

本周，《纽约时报》发布了一份报告，该报告显示，黑客破坏了该员工的Twitter内部Slack消息通道，他们在该通道中找到了社交网络后端系统的凭据。

原文始发于微信公众号（熊貓情報局PIB）：Twitter发现黑客还从八个受感染的帐户下载了数据

最新消息，渡鸦币出现安全漏洞问题，攻击者使用漏洞成功窃取4000 万元人民币！不仅如此，此次漏洞中，黑客仅用3行代码便轻易得逞，不得不惊叹：这样的骚操作到底是如何进行的？

 

首先，我先介绍一下渡鸦币(Ravencoin,RVN)，渡鸦币是比较典型的代币 (AltCoin，山寨币) ，使用 KAWPOW 挖掘算法略微小众但也倒是吸引部分矿工。该币种发行总量为 210 亿枚，按其社区说法该币种基于比特币代码分叉，但改进后支持在区块链上创建发布令牌。

 

 

事情还要从GitHub免费修漏洞说起

 

渡鸦币和其他代币一样相关代码都是开源并托管在 GitHub 上的，正常情况下来说社区可以审查代码并参与改进。

2020年1月16日，有个名为 @WindowsCryptoDev 的账号向渡鸦币项目源代码提交看起来是要修复某个漏洞的。

 

在 GitHub 上每天有无数开发者检查各种项目添加各种代码，当然也有热心开发者帮助其他项目进行调整和优化。实际被提交的代码也仅仅只有3行而已，至少从表明上看这些代码人畜无害，所以项目核心开发者审查通过合并。代码合并后也没有发生什么意外的事情。

 

黑客提交的代码截图：

代码合并六个月后渡鸦社区慌了！

 

本月初渡鸦币使用的某个服务的开发商发现代码存在异常，这个开发商经过排查确认项目代码存在逻辑上的漏洞。

然而这个逻辑漏洞是非常致命的，简单来说当时提交的代码其实也是个逻辑漏洞，可实现任意增加 RVN 出产数量。

由于当时项目核心开发者并未尽职审查代码导致这个逻辑漏洞被合并到项目中，随后黑客开始潜伏直到五月活动。

 

到2020年5月份时，当时提交逻辑漏洞的黑客觉得差不多时机已到，随后他利用自己制造的漏洞疯狂增发RVN币前文我们提到过渡鸦币发行总量为 210 亿枚，由于漏洞黑客实际增发约 3.15 亿枚，而这 3.15 亿渡鸦币也是有效的。

 

黑客这一系列的骚操作为什么这么牛？我来重点说一下：

 

1.小操作、大影响。事件开始，黑客使用的这个账号是个新账号仅仅只有一次提交记录，并且只是3行代码，而且没有任何项目也没有在其他项目里提交过代码。

 

2. 增值币真实可用。尽管有人认为这种增发的币为虚假的，但其实他们都是在渡鸦币区块链上而且全部都是被区块承认的币。所以黑客才能将这些币直接转到交易所卖掉。

 

3.追查无力。统计显示这名黑客共增发 3.15 亿枚渡鸦币并将其转到交易所换成其他加密货币或法币，现在想要追查也已经没戏。这些增值的渡鸦币价值人民币约 3987 万元，而渡鸦币社区只能放弃追回这部分币。

 

那么，是谁为这一事件买单的呢？

 

事件中并没有任何人的账户和资产被盗，最后都是所有渡鸦币的投资者们背负这一切，毕竟渡鸦币的币值是投资者支撑起来的，所以黑客薅走这高达 4000 万元人民币的羊毛，最后还是要均摊到所有投资者身上。

 

华盟君只想说，遇上这么厉害的黑客们，这些渡鸦币的投资者们只能吃哑巴亏，也真的是倒了霉了。

文章参考内容来源：蓝点网

原文始发于微信公众号（黑白之道）：3行代码窃取4000万元！有文化的黑客太可怕了！

作者：腾讯安全平台部研发安全团队 Martin

众多名流被黑，推特面临严重安全事件

16日凌晨，众多推特“大V”突然集体转发诈骗信息 —— “只要给特定账号汇入等值1000美元的比特币，就能获得双倍返还”，受影响账户包括：前总统奥巴马、比尔盖茨、巴菲特、马斯克和苹果公司等。

推特官方很快介入调查，并于三小时后给出初步调查结果：“员工受钓鱼攻击，内部系统和工具被攻击者滥用”。

事件很快攻占各大媒体头条，对平台安全的质疑声四起。

并由此引发蝴蝶效应，推特面临公关危机，股价受累。当今万物互联，作为重要媒介，越来越多政商名流、企业等通过推特等社交媒体宣布重大政策决定，此类攻击甚至有可能掀起现实世界的乱局。

居安思危，相关风险应该如何防范？

从公开信息分析，本次安全事件与“认证鉴权、访问控制”相关。历史上，通过内部安全测试、TSRC等渠道，腾讯安全团队曾提前发现并处置过多起类似安全风险。

2013年，腾讯微博也曾差点经历类似的“惊魂时刻”。因存在一个CGI鉴权漏洞，若被攻击者利用，能以任何人的账号发微博。当时漏洞由国内著名白帽子、知道创宇CSO SuperHei发现并提交给腾讯安全应急响应中心（TSRC），接到报告后TSRC很快就联合业务修复了漏洞。同时内部展开排查，又修复了数个类似问题。

该次事件的TSRC应急响应过程

为保护用户隐私数据，近年来，腾讯各团队积极开展安全内建。透过本次事件，结合内部实践经验，从系统研发及运营视角，我们简单梳理了风险及建议。

01. “零信任”，精细化访问控制

管理系统在内网一定“高枕无忧”吗？本次推特的安全事件，无疑敲响警钟 —— 风险也有可能来自内部。甚至有时内部“作恶”并非是有意的，员工可能成为攻击者的“提线木偶”。从披露的推特管理后台看，此次事件暴露出许多系统设计可吸取的教训。

安全，再怎么严谨都不为过。当前，业界推行的“零信任”安全理念，或许是更好的安全防御思路。即：每个用户、设备、服务或应用程序都是不可信任的，必须经历身份和访问管理过程才能获得最低级别的信任和关联访问特权。这意味着，不应将内外网作为是否可信的“边界”，访问控制应精细到个体级别，尤其是特权接口、敏感数据。

从应用视角看，原则上，只有用户能接触、操作自身的数据。如因业务需要，员工或运营系统访问、操作敏感接口和数据，均应审批并留存日志，方便定期审计、回溯。

在业界，相关理念已有实践。如，针对云原生服务架构，Google提出的BeyondProd (https://cloud.google.com/security/beyondprod)  模型。相关要点可概括为：

不信任网络边界。

Google不依赖内部网络分段或防火墙作为主要安全机制；

服务模块间访问控制。

在Google基础架构上运行的每项服务都具有关联的服务帐号身份标识。服务具有加密凭据，可在向其他服务发送或从其他服务处接收远程过程调用 (RPC) 时用于证明自己的身份。客户端利用这些身份标识来确保其与正确的目标服务器通信，而服务器则利用这些身份标识将方法与数据的访问权限授权给特定的客户端；

精确到单用户角色的访问控制。

Google的中央身份识别服务会对最终用户的登录信息进行验证，然后向该用户的客户端设备签发用户凭据，例如 Cookie 或 OAuth 令牌。从该客户端设备向 Google 发出的任何后续请求都需要提交此用户凭据。当一项服务收到最终用户凭据时，就会将该凭据传递给中央身份识别服务进行验证。如果最终用户凭据经验证正确无误，中央身份识别服务就会返回短期有效的“最终用户权限工单”，该工单可用于与请求相关的远程过程调用 (RPC)；

异曲同工，类似理念在腾讯业务也已有落地实践，如：微信 —— 全程票据系统。是由微信团队设计的一套数据保护机制，其方案核心是：用户登录后，后台会下发一个票据给客户端，客户端每次请求带上票据，请求在后台服务的整个处理链条中，所有对核心数据服务的访问，都会被校验票据是否合法，非法请求会被拒绝，从而保障用户隐私数据只能用户通过自己的客户端发起操作来访问。

02. 同级别“地雷”，权限控制类逻辑漏洞

一如前文所述的“腾讯微博”案例，业务中的权限控制类逻辑漏洞，也能产生类似此次事件的效果。从TSRC历史报告来看，由于此类问题与业务逻辑高度相关，无法设计通用的自动化检测手段，正逐年成为各类业务面临的首要风险。

漏洞主要分三类：

未鉴权，业务未校验登录态，外部可任意拉取业务敏感数据。例如：SNS社交动态任何人可删除、网站管理接口可直接操作。

水平越权，具有同等权限的A、B能相互进行敏感操作。例如：以QQ号A的身份，能在B的QQ空间中发布动态。

垂直越权，即普通用户能执行需要更高级别身份的操作。

我们建议，业务开发阶段遵循以下原则：

1) “零信任”，系统/接口开启默认鉴权。除非敏感功能外，所有接口/功能校验权限；

2) 禁止将参数值作为判断用户身份或权限的依据。应从登录态判断用户并根据用户角色、权限等级进行鉴权；

3) 健全访问控制相关的人工及自动化测试用例。开发过程中，按功能设计需求，编写单元测试用例进行自测。对于核心的业务逻辑，采用自动化测试用例的方式覆盖，避免持续的变更过程中因疏忽导致漏洞产生；

在此背景下，结合Google BeyondProd和微信全程票据方案，安全团队也正与公司系统框架中台协同预研 —— RPC票据。我们认为它可能会是一种更为彻底、有效的数据保护和逻辑漏洞收敛手段。相关技术细节与实践经验，敬请期待后续TSRC分享。方案可简述为：

• 用户鉴权登录后，衍生成RPC票据，供内部服务间流转

• RPC票据采用非对称加密保护完整性，只有指定颁/验票节点才有权创建、修改

• 授权信息通过RPC票据承载、层层透传，且会随扩展颁票，不断填充入增强信息（如：关系链等）

• 基于“零信任”思路，数据操作（DAO）时，没有或持非法RPC票据则拒绝操作

总结

“应对一场被3亿人关注的安全事件，一点也不好笑”。曾负责推特安全团队的Charlie Miller如是说。

作为从事安全防御方向的同行，深知其中不易。有时攻击只要击破一个点，而防御往往需要考虑千百种情况，往往面临更大挑战和不确定因素。正如Google安全总监Heather对此次事件评论的那样“这就是为什么我看到同行面临困境时，一点也笑不出来的原因。”

居安思危，在访问控制方向的安全防御建设，仍任重道远。欢迎与我们携手，一同探索零信任、数据保护、逻辑漏洞收敛方面的方案与经验。

参考资料

[1]《从无到有：微信后台系统的演进之路》

https://www.infoq.cn/article/the-road-of-the-growth-weixin-background/

[2] Google BeyondProd

https://cloud.google.com/security/beyondprod

我们是TSRC

互联网安全的守护者

用户数据安全的保卫者

我们找漏洞、查入侵、防攻击

与安全行业精英携手共建互联网生态安全

期待正能量的你与我们结盟！

微信号：tsrc_team

原文始发于微信公众号（腾讯安全应急响应中心）：企业安全建设 丨 当我们在谈论推特安全事件时，我们在谈论什么？

7月16日，2020年315晚会再次提到手机超限违规收集个人信息情况。据央视报道，上海市消费者权益保护委员会委托第三方对市场上的App进行检测，发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。

SDK是Software Development Kit的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说，可以将某项功能交给第三方来开发以缩短周期。

 

据移动支付网了解，具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段，成为整个手机软件供应链中不可或缺的一部分。

 

上海市消费者协会权益保护委员会检测了50多款App，这些App中带有两家公司的SDK：上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中包含大量的金融App，如：国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等等。

在上海市消费者协会权益保护委员会的调查当中，第三方SDK除了收集用户手机号码、设备信息之外，还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息。在采集之后还会发送至指定服务器进行存储。

 

北京招财旺旺信息技术有限公司开发的SDK甚至会收集并上传用户手机中的短信内容，带有验证码的短信同样会被采集上传。

短信验证码是目前手机App验证用户身份的重要手段，通过短信验证码可以完成开通业务、支付款项、修改密码、修改绑定邮箱等敏感操作。在掌握手机号码的前提下，可以无密码登陆，只要有系统发送的验证码，就可以快速登陆。

 

短信验证码一旦泄露可能带来极为严重的财务损失。多地警方陆续破获使用“伪基站2.0”盗取短信验证码，进而通过各大银行、网站、移动支付App，实现信息窃取、资金盗刷和网络诈骗等犯罪。

 

去年1月，中央网信办、工信部、公安部、国家市场监督管理总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，成立了App违法违规收集使用个人信息专项治理工作组。

 

在随后的几个月时间里，仿冒App、过度索权、账户注销难、霸王隐私政策等问题得到了社会各界的广泛关注。在这段时间里《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《移动互联网应用基本业务功能必要信息规范》等文件相继出炉。 

 

在一系列文件出炉的同时，公安部、国家网信办、工信部等监管部门开始了违法违规App“点名”，2019年下半年几乎每个月都会有一批违法违规App被曝光。

 

去年11月，央行下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（237号文），并随通知发布了《移动金融客户端应用软件安全管理规范》。在规范中，对移动客户端的身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全都做出了要求。 

 

在今年2月，央行发布了《个人金融信息保护技术规范》，并在其中强调，个人金融信息相关的客户端应用软件及应用软件开发工具包（SDK）应符合《移动金融客户端应用软件安全管理规范》、《网上银行系统信息安全通用规范》客户端应用软件有关安全技术要求。

原文始发于微信公众号（移动支付网）：315晚会曝光SDK窃取个人隐私信息：涉及多款金融App