新闻链接：http://www.seehand.com/news/364.html
新闻时间：2015-01-30
新闻正文：就在一个月以前，还很少有人对朝鲜互联网基础设备感兴趣。自从爆发了朝鲜黑客攻击索尼影业的猜测以来，人们的兴趣也增长了。一位安全专家已决定仔细研究朝鲜国家的浏览器，并发现了很多奇怪的事情。

浏览器Naenara是从过时的Mozilla Firefox版本中衍生而出的，并包含在朝鲜广泛使用的Red Star操作系统之中。该国以严格控制公民通信手段和通讯活动而闻名，甚至online领域也不例外。Robert Hansen，WhiteHat Security公司WhiteHat Labs副总裁及知名安全专家，最近成功获得了Naenara浏览器副本并对它展开细致研究。他很快发现，每次启动浏览器时发生的第一件事就是来自一个不知名的IP地址http://10.76.1.11.的请求。这个地址在朝鲜外部网络无法访问。

“这就引出了最有趣的部分：这意味着，整个朝鲜国家的网络是一个不可路由的IP空间。你理解的没错：它们适用于整个国家，也适用于中小规模企业直至企业办公室，”汉森在有关他的这一发现的博客中写道：“整个朝鲜使用一个相同的A级别网络（16 777 216地址）。我一直有这样一个猜测：他们只是假装占有这样一个巨大的IP块，并有选择地组织所有通过访问控制列表的出站数据。而事实证明，他们没有假装！”

所有这一切都使得朝鲜官方得以监控进出朝鲜电网的所有数据。

“有人可能会认为，这样一个庞大系统的目的是为了在全国范围内的LAN中规范什么是可以用的，什么是不可以提供给用户的。”汉森写道。

不过，这还只是冰山一角。专家还研究了Naenara浏览器电子邮件、日历、证书以及其他元素，并发现了更多怪事。例如，朝鲜已经建立了一个系统，可以在用户设置网络钓鱼和来自专业数据库的反恶意软件名单时进行精准定位。

“这就意味着，每次有人通过浏览器进行网络钓鱼和反恶意软件名单（从地址10.76.1.11）时候，‘母仓’上的指示时间(microtime)就停止了。这个时间足以用于锁定用户，同时也是google浏览器保留这个功能的原因。”汉森断言道。

同时，每次浏览器崩溃，其主要IP地址都会自动被发送到朝鲜官方部门，以便专业机构查找崩溃的原因，并发现可能隐藏在现象之后的漏洞。

“这对于发现和调试Firfox中的漏洞是非常有用的，而不需要由浏览器自己将报错信息发送至美国Mozilla公司。”汉森写道。

在朝鲜，所有电子邮件都精油一个主IP地址发送，并以日期标记。这样，Naenara浏览器只接受一个证书——由政府颁发的，就不足为奇了。

    “这意味着，使用‘中间人’ (man in the middle)攻击所有外接HTTPS链接是非常容易的，也就是说，即使朝鲜当局打开JSON数据库中的Google地理编码API出站访问通道也于事无补，因为链接和内容完全可以控制他们。”汉森声称道。

专家早就知道，朝鲜当局严格控制公民的在线访问，但是知道该系统的工作原理细节被揭开，专家才了解这些技术方案是如何实施的。

“奇怪的是，他们竟然可以通过一个单一IP地址做到这一切。也许，他们有某种系统负载，但是企图以一个IP地址完成对整个国家的管理——这从几个原因来说都是一个错误的决定。DNS会更加灵活，但是也会导致工作变慢，这在因特网速度较低的国家尤为明显。我怀疑，朝鲜极有可能使用代理，以及通过URL分配各种集群机器的基本功能。”汉森补充道。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)