“2013全球IPv6下一代互联网高峰会议”4月11日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
国家互联网应急中心运行部副主任王明华
大家好,一看表12点了,在大家又累又饿的时候我们换一个话题,网络安全。今天我简单探讨一下,在IPv6网络安全方面,现在大家没有达成一个非常统一的意见,因此我们对于IPv6的安全认识经历了四个阶段,我谈四个观点。
第一个IPv6和IPv4比较四个阶段。依次是IPv6比IPv4更安全,IPv6和IPv4一样安全,IPv6与IPv4相比更不安全,未来希望我们一起努力让IPv6比IPv4更安全,四个观点。
第一个在IPv6刚出现的时候,IPv6也开始考虑IPv4中间的不足,(英文)的选项,使得通讯加密过程更加容易,因此设计IPv6的时候,会认为IPv6比IPv4更加安全。
第二个阶段我们为什么会认为一样安全,表现在网络空间安全遇到很多问题,网络攻击、网络钓鱼、拒绝服务、移动互联网安全、跨界攻击等多方面安全,在IPv6和IPv4下我们初步认为是一样的。后来看一些数据比如说网站安全,这是去年的一个数据,网站隐秘性攻击事件持续的增长,网站用户信息成为黑客窃取的重点。我们有5万多个网站植入后门,三千多个是政府网站,有大量黑客攻击网站,无论是在IPv4还是IPv6上都是一样。
第二网络钓鱼,页面也非常多,严重影响在线的金融服务,和电子商务的发展,我们处理大概有两万多的网络钓鱼网站,主要是IPv4的地址,未来切换到IPv6下依然这样,也不可能解决网络钓鱼的问题。
第三方面移动互联网,移动互联网发展安卓平台成为重要,样本数量呈现25倍的激增,增加非常多,主要是安卓市场快速发展,和安卓平台大量出货相关,无论在IPv4和IPv6是一样的,也许到IPv6以后运营商更多采用IPv6地址,每个终端分配一个全球可查的地址,使网络犯罪检查很容易。
拒绝服务攻击,现在影响互联网运行主要威胁,去年运营商推动虚假园治理,虚假园攻击比例有所下降,发生超过1G以上的攻击,比前年增长了三倍,常见虚假园比例,从70%下降到49%,也许在IPv6更多对原地址进行限制认证这个比例更低一些。
下一个是APT,去年披露多起APT事件,国家企业数据面临非常威胁,高斯病毒、火焰病毒等,主要是窃取金融机构敏感数据为目的。未来无论是IPv4还是IPv6这些问题持续的存在。
下一个安全漏洞,这个数量持续增加,比前年增加23%,漏洞和网络并不直接相关,但是整个网络空间最高威胁,无论是IPv4还是IPv6是一样的。
下面是跨境攻击,从其他组织发起对我们国家,去年我们国家经历1470万个阻击。
第三有3.8个网站被境外3.2万个控制端控制,这三个跨域威胁无论是IPv4还是IPv6下是一样的。
第二个阶段我们IPv4和IPv6遇到安全问题,很多不止不是网络层,通过地址切换不能很好解决,因此我们认为IPv4和IPv6是一样安全。
第三我说一下接下来IPv6可能更不安全,在2011年九月份美国的一个公司,在世界环境中出现验证IPv6攻击事件,2012年出现新的IPv6广播,可以攻击多台路由器。在(英文)发布新的攻击套间,一个命令可以让整个IPv6主机宕机,IPv6没有IPv4成熟,实验过程中出现很多问题。同时演进过程中也会出现一些风险,在IPv6新实践过程当中,演进技术的存在,使得编码更加复杂。每一万行程序过程出现漏洞是固定数字,数码越多出现漏洞会更多,可能出现更多漏洞出现。IPv4和IPv6互通,IPv4比较成熟,IPv6新风险,由于过渡或者有所传递,这时候IPv6网络更不安全。
面向未来我们希望IPv6更安全,这里面我们可以共同探讨做一些事情。第一个介绍APT攻击是热门的话题,分享一个最新APT最新案例,在IPv6可能会怎么样。第二网络钓鱼如果能做一些什么,在IPv6更加安全一下。
韩国遭受大规模可以称之为网络战,也可以称之为大规模的APT事件,韩国民众在ATM取款机上没法取到钱,ATM取款机也是Windows构建,遭受很严重影响。影响银行,保险公司,广播电视台等等。破坏以后的系统没有办法启动。简单的介绍一下整个攻击的过程,黑客通过攻击韩国的两家知名杀毒软件补丁更新服务器,用恶意程序替换相应的补丁,补丁的安装到了大量的主机。释放四个程序,第一个程序叫做(英文),一个安全软件的伪装。第二是远程拷贝程序伪装。第三个程序脚本,第四个程序是运作在windows机器运行破坏。一个破坏本机,另外三个程序破坏远程服务器。本机的Windows程序杀掉本机杀毒软件进程,发现这个病毒也没有办法有效的进行恢复。在3月20号下午将本机磁盘MBR破坏,把机器所有磁盘MBR也破坏,破坏以后机器没办法启动,覆盖式破坏,即便专业公司做恢复也非常困难。整个破坏结束会让你继续关机,再重启没了。搜集你机器所保存你登录远程服务器的用户名和密码信息,搜集完以后用刚才我们提到两个程序,破坏的脚本复制到远程服务器,利用远程执行方式把远程脚本进行执行。判断一下远程服务器的类型是(英文),针对这几种不同的(英文),(英文)服务器执行破坏动作,删除重要的目录文件,有些是DD方式覆盖整个分区,完全以破坏为目的对韩国3.2万台主机进行大规模的破坏。这个过程我们参与了,3月20号晚上我们联系(英文)问他需不需要帮助。
3月21号下午当时韩国提出有一个地址101.106.25.105的地址,这个地址入侵了韩国的广播电视台,怀疑对这个地址进行了攻击。我们查清这个IP属于北京联通,半年没有启用,不可能由这个发起,韩国最后发现这个银行没有地址空间用,随意使用了101开头的地址段做内网用,没有规范使用IPv4私有地址段造成,调查人员看101开头,一调查属于中国,我们发布关于协助调查说不是来自中国,韩国道歉。这个给我们启示都使用IPv6,IPv6地址足够大这个不会发生。
第二我们看网络钓鱼,网络钓鱼页面,一个真实工商银行,一个钓鱼工商银行,我们很难区分哪个是真哪个是假,域名上有差异,仿冒它,看着很像但是还可以分辨,我们在地址上是不是可以做一些文章。左边是假的。这里面我们提出一个面向公共应用服务的特定服务,IPv6地址编码,IPv6地址空间足够大,因此我们申请在32(英文)这个空间里面拿出一部分,在(英文)我们分配用(英文)表示这个地址空间是用作公众服务,银行像一些金融机构可以申请在这个地址空间内开展它的业务,可以标识是不是公众服务,是不是安全,采用的服务类型和方式,不影响IPv6空间使用的效率,同时为公众提供在这个地址空间内开展金融服务是安全,用作仿冒今后没有市场,地址上本身不属于金融业务的地址空间,再在上面承载业务无论是终端、安全软件、杀毒软件都可以及时告诫,使用户很容易分辨。我们对于IPv6和IPv4的认识,经过了更安全、一样安全,更不安全,更安全,也许明年我们会有更多的内容跟大家分享,我介绍就这么多谢谢。
