国家安全视阈下浅析防回溯技术

薛永永(湖北工业大学理学院  湖北武汉  430068)

摘 要：X86软硬件技术作为某国的技术输出主力，附加了已被清晰勾勒的政治目的：对别国进行信息窃取与情报搜集。微软从windows 98开始，就已开始在outlook express等软件内添设后门。谷歌、苹果、sun java、ibm、oracle等作为调和内部利益分配的第二梯队，在附加其国家意志的基础上，实现了更长远意义上的技术输出战略：以假开源（软件或硬件）为诱饵，广泛吸纳全球免费智力劳动力为其服务，引导或利益绑架其他开源操作系统如linux，实现其既定的政治目的。

关键词：防回溯；CDN；爬虫

一、回溯技术当前发展现状

当前的计算机技术正在由辅助人类计算的状态正发展成为利用其便利的计算功能扩大搜索位于其生态上所有信息的方向。操作系统、浏览器、网络缓存与谷歌爬虫的进一步发展直接或间接的加速着这一方向。一个典型的例子是本地搜索的内核化。由于谷歌搜索引擎的巨大成功，代替了相当一部分中情局的情报搜集工作^[1]：谷歌、微软致力于将爬虫软件化、操作系统化，各自推出了google desktop、live desktop search。后者从Windows xp开始即通过windows update更新并将之推送至其全球用户。类比google desktop可提供用户在电脑上所有操作的全程回溯：无论联网或断网，其算法效率体现为不影响用户操作系统体验的前提下该用户一举一动的回溯能力在普通计算机上即可达到同步跟进。而微软正将或已将live desktop search整合进系统内核的同时利用咬合硬件的从加电开始即加密的方式防止第三方驱动级程序访问系统内核处理类似敏感信息的方式或与网络之间的通信方式，曾被揶揄为“中情局木马”。

二、互联网技术的发展现状

互联网颠覆了大多数人们想像中的理论连接场景，这些人中包括许多计算机系毕业的学生：即打开浏览器，只解析用户输入的地址。当用户对某网站访问完成之后，会发生一个他国咬合CDN连接接入用户开始，逐渐带进多个外国CDN网络架构的IP以随机或立即的形式咬合连接至用户主机的动作与过程。用户联网或断网的一举一动，均会被操作系统或浏览器忠实记录下来并用svchost.exe产生的不同进程分类型（加/解密数据、视/音频数据、磁盘文件变化、网络断开/连接与系统漏洞列表）分门别类通过某种机制（可以是操作系统、浏览器、或操作系统与CDN之间的特殊协议或管道甚至操作系统与谷歌爬虫之间的协议或管道）实时或回溯传送至具有信息传递功能的CDN集群；软、硬件防火墙形如虚设。基于DNS/IP解析的严格递归查询在CDN时代已不再有效。最为常见的场景为：在软/硬防火墙正常工作的前提下，只要用浏览器打开任意网站均会带给用户以意外的“惊喜”。

三、防回溯

由于CDN技术在国内最先采用于迅雷等加速下载领域，其加速度有目共睹。但是，微软自911以来，开始加强与该国情报机构合作，旗下产品如.net framework、windows 7等迅速向CDN靠拢，svchost.exe进程的数量明显增多。svchost.exe、CDN技术并不受目前的主流防火墙控制，svchost.exe进程数量的增多，一方面提供了绕过防火墙建立的与微软服务器间的各类型（多媒体、加解密、漏洞列表、网络变化信息与磁盘文件变化等）独立进程双向数据传输，如微软推送的实时证书更新、错误日志以及与系统有关的各类如文档增删、硬盘程序文件优化等内容和硬件的及时变化等信息。在Windows Vista（Windows 7可理解为Vista的官方精简版）与之后推出的版本上尤为明显。例如：会在用户不知情的前提下主动连接国外CDN，这些信息本身是加密传输，其目的或许是配合该国情报机构搜集全球用户隐私（或如该国政府所宣传的反恐、色情），而非仅仅基于用户隐私的安全。^[2]

从以下八个方面主要展开阐述

操作系统往往是第一层防线，从宏观角度看，操作系统提供的各类端口首当其冲。如Windows XP的135、139、445、1025等公用端口，在闭源软件局限性的支撑下，这些端口都曾发生过重大的安全事故，如三波病毒^[3]等。至于涉及端口相关的系统漏洞打上补丁后的安全程度，很多时候只是说明该漏洞隐藏了，而不是消失了。

硬件防火墙。在不考虑自身漏洞的基础下所能提供的服务。该服务在面临大流量、多连接的数据访问时，硬件负载能力往往会达到峰值，其防入侵的能力就会降低，提供的内容过滤，通常不超过三层路由器所提供的功能，在面对http等应用层服务时，往往无能为力，通常只能提供诸如域名过滤的功能。而这些功能在面临诸如CDN等提供的域名集群服务变得不再有效。

软件防火墙。除了操作系统提供的防火墙之外，需要一些第三方防火墙技术，这些防火墙针对操作系统本身进行了大量优化。在不涉及系统负载过高的前提下，其数据过滤的能力可有效增强数据的安全性。

防病毒技术。防病毒技术通常需要建立在输入可控的环境中。在充分利用商业上业已成熟的防病毒数据库基础上，由于防病毒技术通常先有病毒，后有防病毒数据库，所以该手段仅为防回溯技术的最后一道防线。

服务器防护。服务器通常面临两大威胁，其一为应用服务程序自身漏洞。其二为服务器操作系统漏洞威胁。如果服务器通过固定端口向外提供服务，通常在防火墙设置上，关闭不必要的端口来保证服务器和操作系统的安全。

数据库防护。众多拖库、撞库和社会工程学式的“入侵”造就了目前“隐私”漫天飞的现状^[4]。而数据库中存储的数据往往是所有应用展示的基础。所以，需要将数据库放置在防火墙后，不提供直接连接互联网的任意端口。

通用网络设施漏洞。路由器漏洞、各种无线设备漏洞，这些漏洞要求攻击的技术含量高（可通过软件模拟部分数据包），攻击者往往虚拟数据包连接请求，试图向目标机器提供“合法”的连接请求，进而进一步控制目标电脑^[5]。这些要求路由器本身除了能提供高速、稳定的数据传输外，还需对各个接口收发的数据有更为精确的识别能力。

内存攻击漏洞。开源软件与闭源软件均存在这方面的问题。开源软件受限于编写者自身水平，通常会将漏洞暴露给攻击者。闭源软件由于封闭代码环境下，其漏洞往往不能及时被发现，被诸多厂商、情报部门将漏洞据为己有而用以牟利或窃取情报。^[6]该漏洞广泛存在于之前介绍的各个领域，问题很多。

四、总结

跨平台思路、利用现有软件思想对操作系统进行重构的尝试，往往是解决问题的关键立意点，不能仅依赖旧有的Windows平台或linux平台。虽然，截至目前为止，Windows的服务器市场的安全性尚未暴露出更多漏洞。

参考文献：

[1]维基解密创始人.谷歌主要活动是收集情报.环球网2014.09.23 http://finance.chinanews.com/it/2014/09-23/6620184.shtml

[2]中国网.美国90%情报来自公开信息.谷歌为情报机构提供搜索服务.中国网2008.04.04.http://www1.china.com.cn/international/txt/2008-04/04/content_14276293.htm

[3]专家对比"三波"病毒 "极速"危害甚于冲击、震荡.搜狐数码天下2005.08.16 http://digi.it.sohu.com/20050816/n240260261.shtml

[4]bianews.推特账号曝光马云、马化腾、雷军等敏感个人信息.手机看国搜2016.05.13 http://internet.chinaso.com/sy/detail/20160513/1000200032865081463122060455462760_1.html

[5]Matthew M. AID. 美国《外交政策》.《Inside the NSA's Ultra-Secret China Hacking Group》2013.06.10虎嗅网 http://news.cnool.net/article/118030855.html

[6]Venvoo.新兴网络黑市销售零日漏洞.安全牛2015.04.21. http://netsecurity.51cto.com/art/201504/473301.htm

作者简介：

薛永永(1985--) 女，山西方山人，硕士，从事计算机安全方向研究。