2011年11月《安全天下事之双通道将遭遇挑战》

双通道将遭遇挑战

(2011年11月)文/江海客

本月安全会议纷至沓来，移动互联网国际研讨会安全分论坛、云安全联盟高峰论坛、RSA2011信息安全国际论坛、OWASP 2011亚洲峰会等先后在北京举行。信息安全的布道者、从业者和学习者们穿梭其间，成为一道独特的安全交流风景。

这些会议的主题基本集中在移动互联网、云计算、物联网等新兴安全领域上。笔者相对更加关注移动互联网的安全问题。会议期间，关于短信能否充分保证网银和交易安全问题的讨论让笔者印象深刻。这场讨论由笔者介绍的关于PC木马Zeus与手机木马Zitmo合作攻击的问题引发。笔者认为，由于与场景有关的前提条件存在差异，不能按照传统密码学的双通道安全的观点来认定PC交易、手机确认或告知的模式是安全的。

传统的双通道是在以人为端点的场景下构建的，其核心是通过不同的通道分别发送密文和密钥，以提高攻击者监听的难度。在这个场景下，如果不能同时监听两个通道，那么通讯是安全的。

此前我们亦是这么做的，如一些基本的保密手册，要求在不能使用PKI加密体系的情况下，采用邮件发送密文、短信发送密码的要求。这种策略下，只有对PC网络和移动网络同时嗅探才能还原通讯过程。在低交换时代，两条不同的链路，甚至同一条链路上不同的协议和加密方式（比如加密邮件和安全的IM），也曾被视为双通道。

但双通道的安全并非没有前提，它需要：端是安全的、两个通道彼此是隔离的。

而在实际场景中，节点往往比信道更脆弱。节点如果作为信道的一部分，信道可能就是不安全的；节点如果作为端的一部分，那么这个端本身就是不可信的。

在当今智能手机的时代，PC和手机之间的交换是频繁的，PC端具有通过同步接口远程安装或者写入的权限，也可以通过同步接口进行各种数据的读取。而手机端通过autorun.inf等机制交叉感染PC的病毒亦早已被发现。因此两个通道间并不具备有效的隔离性。

将移动网络作为第二通道的设计，一定程度上是由于GSM在链路层的难度。但由于GSM监听设备的廉价化，完全可能出现在PC通道上触发手机通道信息认证、在第二通道上定向监听获取的攻击方式。

从Zeus和Zitmo合作攻击（以及SpyEye与Spitmo合作攻击）的问题来看，对双通道的另外一种威胁是，即使两条通道之间并不存在交叉渗透的情况，当攻击方在两套通道上都掌握足够多的资源，也可以寻找一定的对应条件，找到在两个通道对接点。因此，犯罪集团如果掌握了足够多的双通道节点，就会尽力进行双通道之间的信息聚合。

当然，我们对安全要采用聊胜于无的态度，双通道方式毫无疑问提升了攻击者的成本，这就说明它是一个值得继续推广的方法。但我们需要避免误以为双通道是一个百分之百保险的方式。特别是如果认为银行实施了双通道就可以免除其对用户网银财产的安全保障责任，这就会引发新的综合问题。

作者微博：http://www.weibo.com/seak
历史各期安全天下事：http://blog.csdn.net/antiy_seak