因特网已成为数字化信息时代人们不可缺少的即时通信工具。而“红色代码”病毒对因特网的侵袭,将可能成为黑客组织间或政府间进行数字战争的先导。比“红色代码”更具破坏力的网络蠕虫已经并将继续产生,但因特网这一现代文明的产物,也必将在进步人类反病毒的联合斗争中,走向成熟,造福人类。
“试想像一下,如果突然爆发了一种能置人于死地的感冒,它以飞沫传染的形式在空气中迅速蔓延开来,似乎要把所有人一网打尽,鸡犬不留。你以为自己绝对健康,直到开始打喷嚏才明白大事不妙。要想保命,你惟有让自己完全与世隔绝,但这显然是办不到的。
上面这段话出自美国弗吉尼亚州阿灵顿信息提取与传送公司的首席科学家Jane Jorgensen之口。该公司受美国国防高级研究计划局(DARPA)的委托,专门研究因特网“流行病”问题。Jorgensen在这里所描述的并非最新流感大爆发,而是因特网的一次疾病大发作。2001年7月至8月间,这种计算机疾病席卷因特网,令计算机安全研究人员为因特网能否保持完好而大伤脑筋,当时担忧的程度超过以往任何时候。引起这次大恐慌的是一种名叫“红色代码”的网络病毒,即一种相当于电脑式毒蛇咬伤的电子疾病。红色代码是通过微软公司的因特网信息服务器(IIS)系统漏洞感染的。家用电脑通常使用其他的系统,但许多极受青睐的网站则在IIS上运行。在两次快如闪电的突袭中,红色代码只用了短短几个钟头便长驱直入,闯进几十万台IIS服务器中,使因特网的运行减慢。虽然红色代码造成的冲击已逐渐消逝,但修补遍布世界各地的微软IIS网络服务器(估计有600万台之多)中的安全漏洞以及清理红色代码所造成的破坏等项工作已耗资数十亿美元之多。
然而,真正令网络系统管理人员和其他专家忧心忡忡的是,红色代码可能只是杀伤力更强的网上瘟疫的预兆。在过去,搞黑网页是黑客们单枪匹马闯入网站所做的事情,这种赛伯战争(cyber warfare)相当于往目标上撒大量传单。但是现在,更先进的自动化攻击网络蠕虫将悄然出笼,它们可能使网络的性能恶化乃至毁掉整个万维网。这使计算机研究人员感到不寒而栗。
此外,某些研究人员还担心,红色代码只不过是对一类专事破坏的计算机程序所进行的检验;一旦战争爆发,任何政府都可以利用这类程序来搞垮因特网。2001年春,因美国间谍飞机入侵中国领空的事件而引发的中美黑客网上交锋更加凸显了这些危险。全面的赛伯战争可能会给发达国家造成无法估量的损失。这些隐蔽的攻击甚至可能把你的个人电恼当作一枚“卒子”,使其成为参与下一波计算机大屠杀的“黑机”(zombie)。单枪匹马的黑客攻击与政府发动的赛伯战争实质上是同一枚硬币的两面,都是通过电子手段来进行破坏,但其攻击的规模有所不同。遗憾的是,我们很难及时地分辨出这二者间的差别。
红色代码和其他某些类似的网上的有害东西(例如Melissa和SirCam病毒等)往往被通俗地归人电脑病毒一类.不过,用黑客的术语来说,它们的更准确的名称应该是网络蠕虫。与自然界中真正的病毒的行为相仿,软件病毒必须在结合进另一个程序之后才能运行及复制。但电脑蠕虫则不同,它是自我复制的独立程序,其传染力往往比病毒强得多。红色代码蠕虫病毒的危险性特别大,因为它对计算机进行所谓“分布式拒绝服务”(Distributed denial of service,即DDoS)式的攻击,即用洪水般涌来的垃圾信息使网络计算机瘫痪。
在2001年7月红色代码活动最为猖撅期间,它通过大量占用网络带宽(即网络的数据传输能力)来威胁网络。负责保护美国政府的客户免遭计算机犯罪活动之害的FC商业系统公司的资深安全工程师Greggory Peck认为,带宽是赛伯战争中的一种武器。当红色代码发动DDoS攻击时,一台受控计算机可以指挥许多黑机同时向进攻对象的计算机发送大量垃圾信息流,以占用后者的全部可用带宽。在2000年,当雅虎、eBay和其他dot.com网站在DDoS袭击下陷于瘫痪时,这类网上攻击事件首次成了媒体猛炒的新闻。
早期的DDoS事件只是纠集数百台最多数千台黑机进行攻击,因为攻击者必须通过手工方式逐个地闯进每一台可能成为黑机的计算机。而红色代码作为一种网络蠕虫能够自动扩散,并且能以指数级增长的速度扩散。这一特点使它拥有的黑机数目呈百倍地增加,因此它使因特网上所有可用带宽迅速饱和的能力也要强数百倍。来势汹汹红色代码蠕虫病毒的最初爆发跟感冒差不多。它在2001年7月l2日悄然露面,5天里只感染了约2万台易受其感染的IIS计算机服务器(这类服务器总数估计有50万台之多)。5天后位于加利福尼亚州的一家微软服务器安全软件供应商eEye数字安全公司的Ryan Permeh和Marc Mailfret才发现了这种病毒井警告全世界注意这种网络蠕虫的出现。
到7月19日,红色代码以一种更狠毒的形式重新露面,在不到l4个小时的时间里便有超过35.9万台的服务器被红色代码感染。大量的计算机试图占有其他的计算机,由此造成的通信流阻塞使因特网不堪重负。到当天的中午时分,负责监视因特网状况的计算机安全方面的权威——因特网风暴中心政府网站发布了“橙色警报”。这离最糟糕的状况——“红色警报”只有一步之遥了。而一旦发布红色警报,那就意味着因特网已告全面瘫痪。
接着,到午夜时分,所有红色代码黑机不再继续寻找新的受害者。它们倾巢而出,集中全力猛攻白宫网站,试图用无数垃圾链接将白宫网站所在的其中一台服务器淹没,迫使它关闭。曾协助白宫寻求对策的Network Associates McAfee的一位研究人员Jimmy Kuo,事后回忆说,白宫实际上关掉了其两台DNS服务器中的一台,并宣布对Whitehouse、gov信息的访问请求都会被重新发送到另一台服务器上。”系统管理员基本上清除了发往受损服务器上的所有信息。原来因特网协议地址一经改动后,红色代码对它便束手无策了,不能在停止运行的网站上兴风作浪。Kuo说,“公众对此毫无察觉,因为所有访问全都发到另一台服务器上了。”
到7月20日结束时,当时参与的红色代码黑机全部进入了一种预编程的永久休眠状态。由于红色代码蠕虫仅潜藏于每台计算机的内存中,而计算机一旦关闭,内存就被全部清除掉,因此要根除残余的红色代码,只需重新引导计算机就行了。于是问题宣告解决。
真是这样吗?几天后,eEye的分析专家透露,如果某人在任何一个月的1日到19日这段时间里(即由最初那位黑客预设的发动攻击日期)的任何时刻释放红色代码的一个新拷贝,那么感染将再次蔓延开来。
在其后10天的时间里,计算机安全志愿人员马不停蹄地通知微软IIS的用户注意他们的服务器可能易受黑客的攻击。7月29日,白宫举行了一次新闻发布会,要求人们采取措施保护其IIS服务器免遭红色代码的袭击。美国联邦调查局全国基础设施保护中心主任Ronald L.Dick告诫说:“因红色代码的蔓延而剧增的通信流可能影响因特网正常发挥其功能。”
不出所料,红色代码再次爆发,但第二次袭击的势头比第一次要弱。在8月l日,它感染了将近l75万台服务器,囊括了几乎所有易受攻击的服务器,大约相当于前一次袭击中受害服务器总数的一半。由于这次感染传播较慢,易受攻击的服务器也比较少,因此对因特网的影响极小。没过多久第二次攻击就烟消云散了。
但事情并没有完结。8月4日,又一种网络蠕虫被释放出来,它所用的闯入方式与红色代码如出一辙。这种名为红色代码Ⅱ的新蠕虫通过在受害计算机上开一道后门的方法使黑客高手能够任意指挥受害计算机的活动。该网络蠕虫用“arp风暴”(即大量的以太网数据包)来破坏局域网并到处搜寻新的受害者。在很短的时间内,红色代码Ⅱ迅速地使网络电子邮件服务商Hotmail,若干家有线及数字用户(DSL)域因特网服务商以及美联社新闻发布系统的一部分受到影响。随着时间的过去,红色代码Ⅱ感染了许多公司及高等院校的内部局域网。在8月中旬,红色代码Ⅱ使香港政府的一些内部服务器瘫痪。受害计算机中以使用专业版Windows2000的个人网络服务器最常见。这次大破坏促使incidents.org网站再次发布橙色警报。据专家估计,约有50万台内部服务器受到影响。
8月中旬,一家研究安全问题的计算机经济学公司宣称红色代码已造成约20亿美元的损失。到红色代码被彻底地清除出因特网时,它有可能跻身于有史以来造成最严重损失的计算机袭击事件之列。为对付2000年的“爱虫”病毒(Love Letter),世界各国花了将近90亿美元,而l999年的“梅丽莎病毒所造成的破坏则花了约l0亿美元的修复费用。
当然,红色代码并非唯一一种跳出来兴风作浪的网络蠕虫。某些网络蠕虫以个人电脑为攻击目标。例如,一种名叫W32/Leaves的恶意代码使远程袭击者能够以统一的方式控制受感染的个人电脑,从而发起一波又一波同步的攻击(红色代码Ⅱ也能使黑客发起同步攻击,但它缺乏实现远程控制的编码)。设在卡耐基梅隆大学的一个由联邦政府资助的网络监视机构“计算机应急反应小组”已收到了23000多个有关W32/Leaves黑机的报告。最新的统计数字尚不得而知,但随着W32/Leaves的继续蔓延,受感染的计算机数目还会显著增加。2001年7月,英国伦敦警察厅指控一名身份不明的24岁男子制造了W32/Leaves。
位于奥斯汀的得克萨斯大学商学院负责技术的副院长Larry Leibrock也是一位计算机法医学的权威研究人士,他认为,“你能买到的计算机操作系统或软件几乎全都有厂商们知道的、黑客会乘虚而入的漏洞。”他提出,在将来,“政府可以从法规上规定厂商必须主动与客户联系并协助客户将其产品升级以堵住安全漏洞。但是目前,消费者还必须自己采取行动来追查并堵死黑客及赛伯侠客们可能用来攻击他们的计算机的众多渠道。”
赛伯世界大战
国际事件可能促使电脑顶尖高手联合出击,在因特网上大打出手,这类网上冲突的危险性比恶意的黑客程序的威胁更大。2001年4月一架美国海军EP-3E间谍侦察机与一架中国战斗机相撞事件发生后所爆发的网上战争,就让人们领略到了这类冲突的危险性。
据报道,当遣返美国机组人员的谈判陷入僵局之后,中美两国黑客的针锋相对便开始了。4月9日和10日,美国攻击者首先黑掉了两个中国网站,在网页上乱涂乱画,肆意谩骂,甚至威胁要打核战争。接下来的一周里,美国黑客又攻击了数十个中国网站。中国方面的黑客也还以颜色,黑掉了美国海军的一个秘密网站。
但中国手里还有一件法宝。2001年3月下旬,美国国家基础设施保护中心警告说,一种新的蠕虫病毒“1i0nWorm”已悄然出笼。据说编写此网络蠕虫的人是创建中国黑客组织H.U.C(中国红客联盟)的Lion。与最初那种红色代码的预编程黑机不同,1i0n的黑机可以从一台中央计算机那里接受新的指令。此外,1i0n还能感染Linux计算机,这就意味着它能够冒充网上的任何一台计算机。这一特性使得人们很难跟踪受感染的服务器。(经网上搜索,有文章报道1ionworm”病毒作者为“红客联盟”站长Lion。但本刊无以考证。请读者明鉴——编者。)
与此同时,美国黑客对中国网站的袭击进一步升级。有报道说,到4月底,超过600家中国网站遭到了黑客袭击。而在同一时期内中国黑客只攻进了3家美国网站。
其后的几天里,中国黑客组织与一些黑客H.U.C.,Redcrack,ChinaNetForce,ChinaTianyu与Redhackers等猛攻十几家美国网站,在其网页上写下“打击反华嚣张气焰!”等字句。在5月1日这一天,中国黑客发动了几次DDoS袭击,其后一周里中国黑客宣称搞黑了约1000家美国网站。
5月初,《人民日报》所属的“人民网”发表了一篇《“红客“黑客”都对网络秩序构成危害》的文章,呼吁双方停止网上互攻,提出(中国黑客)应当立即停止这种无聊的破坏网络公共安全的攻击行为,而将爱国热情转化为建设祖国、维护世界和平的正义力量。
美国执法部门、白宫以及美国黑客组织从未对这场网上冲突中的美方黑客表示异议,只是联邦调查局的基础设施保护中心曾提醒人们注意“针对美国系统的黑客活动有可能增加。”
黑白两道勾结?
黑客活动异常活跃,而且很有组织性。有人怀疑有些黑客是否有政治背景,或者是受到了某些支持。如果真有政治背景的话,我们就必须睁大眼睛,考虑对策,研究该如何打一场秘密的赛伯战争。考虑到间谍机事件这一背景,某些评论家提出了这样一个疑问:美国联邦政府是否曾唆使美国黑客出面充当网上战争的打手。毕竟美国以前也曾鼓动过一些私人组织参与过网上秘密战争,正如“伊朗门”丑闻所揭露出来的那样。此外,这种黑白两遭之间的勾结已有所传闻。然而,很难确切估计黑客与政府之间的联系究竟有多密切。黑客活动带有黑道色彩,这显然让人觉得难以把握。而且由于美国国家安全局以及美国国防部各个网上战争机构的政策是对网上安全问题一概无可奉告,因此,这类奖系不可能得到证实。然而,各种蛛丝马迹至少有一些提示作用。
试看看Fred Villella的经历,他是一位独立的计算机咨询专家。据众多媒体报道和按他自己的说法,他曾在20世纪70年代参与过反恐怖活动。1996年他召来Dis Org Crew的黑客,协助他为联邦政府部门办了几期对付黑客威胁的培训班。这伙黑客也出面为世界上规模最大的黑客年会——Def Con招募工作人员。
Erik Ginorio(他在黑客界的绰号是Bronc Buster)公开承认他曾在1998年10月黑掉了中国的一个关于人权问题的政府网站。根据美国法律,这一行为是违法的。然而Ginorio非但未曾受到法律的追究,据他说,Villella还为他找了一份工作。不过目前未曾找到Villella对此事的评论。
黑客与政府勾结的另一个例子是1996年,加利福尼亚州圣何塞的安全计算公司成了Def Con的一个赞助商,根据它呈交给美国证券与交易管理委员会的“l0-K报告”,该公司是在美国国家安全局的指导下创建的。它是负责破译密码和监视工作的美国政府绝密部门。两年后该公司雇用了Def Con的所有人Jelf Moss。Villella以前的几名教员也成了Def Con的工作人员并承担管理工作。
Def Con常发生一些可疑的事情。例如,在l999年的Def Con大会上总部位于得克萨斯州卢波克的一个名为死牛崇拜(the Cult of the Dead Cow)的黑客组织上演了一出闹剧宣传Back Orifice2000闯入程序。该组织的成员大肆吹嘘“黑客逞威,改造世界”的种种好处,宣称8岁小孩也能利用这个程序创进Windows服务器。
与此同时,波士顿地区——一位黑客兼企业家、“死牛崇拜”黑客组织的成员之一Pieter Zatko也跳上台去,推销一种能增强Back Orifice2000威力的插入式软件。据该组织的网站宣称,BackOrifice2000程序在随后几周里被下载了l28776次之多。2000年2月l5日,克林顿总统邀请Zatko到白宫参加关于因特网安全问题的会议,从而肯定了Zalto的作为。会后Zatko还与一小群人留下来同总统进行了交谈。
Def Con每年都要举行一次“面见政府官员”的讨论会。在2000年的会议上,美国国防部负责指挥、控制、通信与情报的前副部长Arthur L. Money告诉这伙人说,“如果你们真是一批旷世奇才,并且正在考虑余生干点什么才好,那就请与我们合作,协助我们培训人员。”
早在1997年,Moss就发起了“恶意黑客通报会”。在黑客的行话中,而已指的是计算机罪犯。从理论上说这类会议应该是培养人们如何加强计算机安全,但实际上它们却同Def Con十分相似,只是每位与会者需付1000美元。这些会议上的演讲听起来与其说是在教育人们如何防御计算机犯罪,不如说是在教唆人们如何去从事这类犯罪。例如,在一次会议上,与会者们学习了关于“抹除证据程序”的知识,据称这类程序能够“挫败美国联邦经济情报局、海关总署及洛杉矶警察局所使用的那类法医软件。”
应当指出,美国政府的确拥有正规的手段来打一场网络战争。2000年10月1日,美国空间指挥部受美国国防部委托,承担起“计算机网络攻击”任务。此外,美国空军在圣安东尼奥的信息战中心也有一个研究小组。
既然拥有这些资源,那么美国为何还要鼓动网上民间高手出击呢?美国一位计算机与网络病毒方面的作家Mark A.Ludwig一针见血地指出,“这个问题很简单。如果你有一支非正规军,那么任何时候你都可以把责任推得一干二净。如果让正规军干这种事情,而后又让人家查了出来,那么你就要出丑了。”
红色代码的袭击不论来自何方,它只是让人们领略了一下一场协同作战的赛伯战争可能会演变成什么模样。一位独立的计算机安全问题咨询专家Harlan Carvey说,我认为我们可以认定这次袭击并非网上战争的尝试。红色代码噪声太大,太容易被检测出来,不比网上乱涂乱画与捣蛋行为高明多少,充其量也就处于概念论证的阶段而已。
但加利福尼亚州尤里卡硅保护公司总裁Stuart Staniford指出,如果黑机“有一个长长的目标清单以及一种使它能不断重新确定目标的控制机制,那么它就可能已经对一系列服务器发动了DDoS攻击,包括用来存储地址簿信息的服务器,分发补丁程序的服务器以及公司所有的那些用来分析网络病毒或发布事件响应信息的服务器等。红色代码的例子说明,网虫要控制所有这些易受攻击的系统,并不比控制其中部分系统难多少。它只需要传播得足够快就行了。”
据自封为eEye的“黑客活动总管”Marc Maiffret介绍,红色代码已经为心怀恶意、图谋不轨的程序操作员提供了致命的手段:“从红色代码编写的方式来看,它可能会让网上的不法之徒弄到一张受感染系统的清单,然后设法控制它们。”
只要纠集起足够多的黑机去攻击足够多的日标,整个因特网就可能变得毫无用处。连正常的网络恢复机制载对黑机进行清理的指令和程序。孤立网络上的坏分子——可能也会不起作用。此外,黑客们不断大肆宣传闯入计算机的新方法,而这些方法也可能被新的蠕虫所利用。铁了心要捣乱的攻击者可以把极具杀伤力的蠕虫一个接一个地扔进因特网,每当经过奋力挣扎后因特网眼看就要复原时,他又把新的蠕虫砸了下去,最终完全压倒因特网。
安全计算公司的一位研究人员Richard E.Smith说,“我们知道如何能干净利落地搞垮因特网。我觉得令人特别不安的是公众似乎对红色代码无动于衷。大众媒体在报道这一事件时都强调对白宫的袭击未能得逞,而回避了黑客对几十万台服务器的袭击均告奏效这一事实。‘哈哈,我们躲过了子弹!’。爱说俏皮话的人可能会挖苦说,这一事件证明了IIS‘忍耐’黑客人侵的本领实在是高——虽然受害网站全都遭到病毒长驱直入的侵袭,但它们的主人居然还能泰然处之,若无其事,而媒体也不愿多谈此事。我们中的其余人都在等着看另一只鞋掉下来。”
【陈兴立/译 李爱珺/校】
请 登录 发表评论
赞(-1)
