欧盟网络安全威胁：概述

摘要

互联网的使用和信息的自由流动正在影响着所有欧洲人的生活。对许多人来说，上网已成为工作、学习、行使言论自由、政治自由和社会交往的基本必需品。

物理接管和破坏互联网基础设施

物理接管和破坏网络基础设施，是对互联网安全最直接和最有效的方式。

自俄乌冲突爆发以来，通过将互联网流量转向俄罗斯网络，俄罗斯不断接管乌克兰的互联网基础设施。例如，在接管赫尔松市后，俄罗斯迫使当地互联网供应商让渡对网络的控制，然后使用俄罗斯拥有的网络基础设施。这使得俄罗斯可以封锁社交媒体，防止信息泄露，对围绕战争的叙事有更多的控制，并进行监视活动。此外，乌克兰的蜂窝网络被迫关闭，也迫使乌克兰居民使用俄罗斯移动服务提供商的服务。

破坏通讯基础设施对互联网安全造成最直接的影响。根据乌克兰政府的数据，截至2022年6月，约15%的互联网基础设施被摧毁。这促使乌克兰数字转型部门去寻求替代手段，以确保该国关键基础设施的运行，例如通过使用卫星互联网系统。

主动审查

通过主动审查对相关网络进行屏蔽，也对互联网正常使用造成影响。

自2022年2月以来，俄罗斯约有3000个网站被屏蔽。这些封锁与俄乌冲突有关，包括Instagram、Facebook、Twitter、谷歌新闻、BBC新闻、NPR、《世界报》、《每日电讯报》、Bellingcat和国际特赦组织在内的知名新闻和社交媒体网站都被封锁了。这些网站中有1000个左右是乌克兰的。

OONI Probe就是一款旨在衡量各种形式的互联网审查软件，每月由大约160个国家的志愿者维护运营。数据是实时收集和发布的。对俄罗斯流量的数据分析表明，有两种用于审查的最常用方法，一种是在TLS握手的初始阶段之后注入RST包，另一种是基于DNS的过滤。

自2021年12月以来，“洋葱”网络也被封锁了。虽然在俄罗斯的大多数网络上仍然可以访问，但在65个测试的AS网络中，有15个网络的数据表明“洋葱”网络正在被封锁。

反之，欧洲也宣布暂停Sputnik和RT两家俄罗斯通讯社在欧盟的媒体宣传活动，理由是发布有关乌克兰的虚假信息。虽然这一决定与RT的媒体宣传活动有关，但一些欧洲国家以及社交媒体平台也屏蔽了俄罗斯媒体的网站。

国有证书机构

俄乌冲突爆发后，俄罗斯受到了许多西方国家政府的制裁。这些国家的金融机构阻止俄罗斯用户更新他们的TLS证书，过期的证书致用户无法可信通信。俄罗斯数字发展部开始为俄罗斯的法人实体提供创建证书的免费替代方案。

证书颁发机构颁发证书，并在审查时被视为受信任方。当国家拥有这个证书颁发机构（CA）时，他们对其公民执行HTTPS流量拦截和中间人攻击就变得简单了。由于持续不断的攻击和全球对俄罗斯作为合作伙伴缺乏信任，CA只在Yandex和Atom两个浏览器上受信任。任何其他网络浏览器将警告或阻止用户接入网络。对于俄罗斯的终端用户来说，购买证书更新的限制对他们的互联网安全和隐私造成了负面影响。

边界网关协议劫持

边界网关协议（BGP）劫持允许攻击者重新对互联网流量进行路由。通过错误地声明IP前缀、IP地址组的所有权，网络数据将会根据恶意的路由到达恶意节点。

BGP劫持可能导致数据错误路由、遭到监控、拦截、路由到一个“黑洞”或重定向到另一个网站。利用黑洞，数据会从网络中被丢弃。错误的BGP声明可能会造成重大影响，因为它们可能会扩散到原来的目标区域之外。错误的所有权声明也可能是错误配置造成的，因此无法简单判断BGP劫持事件是否确实是恶意的或无意的。

BGPStream是一个用于实时和历史BGP数据分析的开源软件框架。在2021年，BGPStream收集人员确定了大约775起被归类为“疑似BGP劫持”的事件。与2020年相比，2021年的事故较少。其他数据显示，2021年最后一个季度发生的劫持事件数量最多。2022年第一季度的结果虽然略低，但与2021年的第四季度结果相当。

2021年2月，黑客从韩国加密货币平台KLAYswap窃取了近200万美元。他们对其中之一的提供商KakaoTalk的服务器基础设施发起了BGP劫持攻击，占有了其中一个网站的所有权。在持续两个小时的劫持过程中，攻击者上传了一个恶意的JavaScript SDK脚本。当检测到平台上的交易时，新添加的恶意代码将会劫持资金，并将资产发送到攻击者的钱包中。

2022年3月，推特被一家俄罗斯的ISP短暂劫持过，这也被认为是BGP的错误配置导致的。

2022年7月，苹果还被俄罗斯的ISP（互联网服务提供商） ——Rostelecom劫持过。苹果只声明了较大的17.0.0.0/9前缀块。由于ISP占有了一个较小的前缀块17.70.96.0/19，这条路由被劫持了。为了重新获得控制权，苹果开始声明一个更小的块，17.70.96.0/21，将流量引导到正确的AS。这条错误的路由花了12个小时才被纠正。

边界网关强制撤销

当BGP路由在被声明的时候，这些路由同样也在不断被撤销。2021年10月，由于一个配置错误，Facebook网站不小心断开了整个骨干网。当DNS服务器注意到骨干网不再联网时，他们停止发送BGP通告，而是将其撤销。这次宕机持续了大约7个小时，Instagram和WhatsApp两个网站也受到影响。

2022年6月，Cloudflare经历了一次类似的事件，当时BGP配置更改导致前缀撤销，导致相关的19个数据中心无法访问。将近一个小时，所有的数据中心才重新联机。由于许多网站都在使用Cloudflare，此次事件影响了许多用户。

公钥资源基础设施的采用缓慢

公钥资源基础设施（Resource Public Key Infrastructure, RPKI）是一种签名证书的方式，该证书将作为所持有IP地址空间和AS自治区域号的身份证明，可以更好地保护BGP基础设施免受BGP劫持攻击。它提供了一种带外方法来帮助管理网络去声明特定路由。虽然RPKI并不新鲜，但采用率仍然很低。2021年的美国广播公司Comcast和2022年的KPN和Orange两家移动运营商都成功部署了RPKI。从2021年1月到2022年1月，RPKI的采用率已从28%增长到34.7%。虽然安全的ISP和运营商的数量正在增加，但全面采用RPKI的道路仍然漫长。

参考文献

《ENISA THREAT LANDSCAPE 2022 (July 2021 to July 2022)》

中国保密协会

科学技术分会

长按扫码关注我们

作者：潘泊凡中国科学院信息工程研究所

责编：何洁

往期精彩文章TOP5回顾

近期精彩文章回顾