不设防的系统

 网络安全问题日益突显出安全的重要性，但是现在最危险的不是黑客，而是人们对计算机安全的观念非常淡薄，许多计算机系统几乎是“不设防”。“黑客”经常被描写成是一些天资聪明的孩子，事实并非如此，那些遭到袭击的计算机系统往往是只有极差的防御措施。侵入这些系统就如打劫一个没有关门的银行保险库那样易如反掌，这并不需要高深的技术。许多情况下，他们通过一些现成计算机程序和工具包自动找寻路径，根本不需要什么技能。比如有个叫“ROOTDIT”的程序，它可以侵入到一台计算机而隐匿所有的入侵踪迹。使用这种程序只需在提示将下输入一个单词“MAKE”。美国计算机紧急情况反应小组协作中心的专家认为，这些少年“黑客”的神童形象是假的，而制造这种假象将十分危险，因为这将误导人们忽视可能是最大的计算机安全问题——计算机系统的脆弱性。简言之，许多人并不懂得如何使用合理的安全级别来管理计算机网络。举个例子说，几个月前，Jim（吉姆）买了台预装有WindO、s95的笔记本电脑。Jim将他的电脑联上了他公司的内部网，同时他又在Internet 上下载了一个非常流行的游戏软件“DOOM”。因为他的电脑使用的软件是他的一个精通电脑的朋友给装的，他并不知道他的电脑被设置成了服务器模式。也就是说，其他电脑可以通过拨号访问到他的电脑，并在上面执行程序。这时候假设住在楼下的一个朋友正好叫他下去帮个忙。这样，Jim没法顾及他正联网的电脑了。游戏软件下载完后，电脑仍联在Internet 上。现在设想一下，一个“黑客”正用一个软件侦测Internet上的IP（Internet协议）地址。一个WEB服务器在Internet上对应有一个惟一的IP地址，通过随意侦测网上几千个一P地址，黑客就能很轻松地发现像J讪的电脑这种暂时挂在1。比mt上的服务器，一旦进入Jim的电脑，“黑客”就可以闯入Jim公司的内部网络，余下的事就可想而知了。每年，“黑客”们侵入美国五角大楼计算机系统的次数多达历万次，威胁要对其实施“灾难性的破坏”。然而，军事部门很少侦测到这些“非法入侵者”，即使侦测到了，也很少实施进一步的调查。对于美国国防部来说，这些攻击至少带来了几百万美元的损失，更为严重的是，这显然危害了国家安全。据美国军方的一份报告透露，1999年，试图闯入五角大楼计算机网络的尝试达25万次之多，其中60％的尝试达到了目的，而这些得逞的入侵中，每150起中只有1起被侦测到并被上报。可见，灾难性破坏的潜在危险是巨大的。五角大楼计算机网络的数据涉及到非常敏感的信息，如部队调动，武器的采购和维护等。那些并没有犯罪企图的年轻“黑客”当然不会带来实质性的危害，但只要有一起蓄意破坏国家安全的“入侵”，危害就是致命的。目前，有120个国家已经或正在开发计算机的攻击能力。有些恐怖分子和其他极端分子甚至可以获得对国防信息系统的控制，严重削弱一个国家对军事力量的部署和维持能力。官方将这种易受攻击的情况归咎于设计糟糕的计算机系统或缺乏固有的安全防御机制。五角大楼的发言人SusanHansen（苏珊·汉森）称，该报告中统计的情况主要是军事部门和外界间非保密资料的传输，有关武器系统和其他绝密资料的信息的安全性是得到保证的。她说：“我们对整个系统的投资巨大，为的是保证核心机密不受攻击。”佐治亚州的民主党议员SamNunn（山姆·那恩）认为，计算机犯罪给政府提出了一个全新的挑战，“黑客是个16岁的少年，一个外国间谍，一个无政府主义者，或者见者兼是，你不得而知。如果你不知道黑客的动机，你就无法确定这种威胁的性质。”去年，由于黑客的造访，全球范围内，主要的银行和大公司损失了8亿美元，美国就占4亿。大多数案例中，受害企业鉴于市场形象和因害怕长时间卷入调查而并未将受损情况透露出来。纽约花旗银行，一下子发现它的最大20家客户成了其竞争对手拉拢争夺的目标。竞争对手宣称它们的银行更为“安全”。调查显示，私人企业的计算机系统的安全状况要比政府部门糟。银行和医院的计算机系统受袭击的比率最高。在FBI（联邦调查局）调查的计算机犯罪中，有80％的案例为“黑客”通过Inter．net 非法侵入别的计算机网络系统。每年，美国政府的计算机系统遭非法侵入（虽然并非全是恶意）的次数至少有30万次之多。17％的美国公司因计算机安全性有漏洞而导致损失。每年，“黑客”犯罪百起的损失估计达15亿美元。

　　2000年2月，黑客袭击了美国8大超级网站，据美国扬基集团估计，这场由匿名黑客发动的电子攻击事件已经给美国信息产业造成了约12亿美元的巨大损失。所有遭受攻击的美国上市公司的网站在翌日的股票市场无不放量下挫，美国国际互联网络的使用量在随后的两天也下降了30％左右，美国政府对此事件也做出了强烈反应，声称对发动此次网络攻击的“网络恐怖主义”做出必要的反应，将袭击者绳之以法，美国联邦调查局着令其下属的国家基础设施保护中心组成专门调查小组对此展开全面的刑事调查。与此同时，包括德国、法国和英国在内的许多国家对此也表示了强烈关注，表示将尽全力协助美国政府侦查攻击发动者。反击战似乎开始了，事实上，电脑黑客们在攻击美国8大商务网站以后他们就遁迹隐形了，计算机安全专家分析，此次黑客采取的是分布式的D．O．S方式，简单地说，电脑黑客们首先通过常见的黑客手段潜入并控制为数众多的高宽带网站，并在这些网站安装了听命于攻击的特殊指令，当攻击者将攻击目标的血地址下达以后，这些服务器就将开始向目标计算机发送攻击指令，最终导致目标计算机的剩余带宽被占用。黑客采用相同的攻击方式，而且持续的时间也很长，从某方面讲这将有助于找到他们的可能性，但由于攻击者可以在世界任何角落发动攻击，而且可以从某个网络转移到其他网络并且迅速消除有助于找到他们的数据，所以找到攻击者并将他们绳之以法，将是极其困难的过程，有关专家认为，在找到攻击者之前，类似的攻击只可能是暂时消解，而不可能是真正停止。战争，我们似乎已经习惯了那种楚河汉界兵分将峙的传统格局，但这场未必真正具有政治目的的黑客攻击行动却让我们领略了别样的战争的风采，正如中国网络安全评估中心所说，基于类似攻击工具在全球三万多个黑客站点几乎是随处可拾，受美国8大超级商务网站遭袭消息的鼓舞，其它国家的黑客集团也可能选择相同的攻击方式对本国或者他国的知名网站发动试探攻击。果不其然，就在8大网站遭到黑客攻击的同时，其他国家有不少网站也开始遭受到了类似的攻击，虽然从参与攻击的电脑数量以及攻击散发的信息流量而言，这些攻击的规模还很难与美国超级网站所受到的攻击相比，但作为此次攻击的余波，这些零星的攻击也引起了网民的普遍关注，首先传出消息的是德国和英国的几所知名网站，但由于这些网站大多采取了低调的处理方式，人们还无从具体了解到这引起网站的受损情况。事实上，美国微软公司、联邦调查局和美国网络联合会就曾声称，他们已经探测到德国有台电脑曾被作为此次攻击行动的“母体”，而且黑客侵入其它电脑网络的入侵程式就是利用德国命名的。发动攻击的黑客很可能就在德国。

　　由于我国国内网站多属中文资讯网站，就访问量和影响力而言，恐怕目前还难入国际黑客的法限并激发他们的攻击兴趣，但国内黑客模仿国际黑客对国内网站实施适度攻击的可能性显然存在着，专家们指出，只要网络还在向纵深发展，作为网络世界的一种制衡力量，黑客以及他们的攻击行为就将长久存在下去，但美国以及我国等众多国家知名网站此次遭到的攻击却仍然给我们带来深刻教训。近年来，中国网络业务发展非常迅速。紧跟潮流的电子商务活动也有了长足的发展，此次电脑黑客对包括雅虎在内的8大网站的攻击确实给中国电脑业界带来很大震动，随着电脑网络对于市民生活的更深介入，网络安全对于我们来说也就不仅仅是电脑数据被窃或被修改的枝节问题了，网络安全将是个关系到我们生活所有方面的根本问题，没有植根网络安全概念上的网络运作，所有的东西都将如海市蜃楼般随时可能消失，虽然，短期内中文信息网站的影响力还相对较小，遭受攻击的可能性还不大，到了2002年我国的电子商务将可能达到2600亿美元左右，那时，国际黑客是不会忽视这种存在的，现在，他们主要“关心”的还是那些国际知名的如雅虎、微软等知名网站，微软公司（MICROSOry）由于其Windows操作系统在市场上居垄断地位，又把其产品IE（INTERNET，EXPLORER）捆绑销售，遭到了众多崇尚信息共享的黑客的不满，微软公司就经常遭受黑客们的攻击，黑客们还想出各种“毒辣”的办法来对付微软，比如制造专门对付Windows的黑客软件。

　　1999年8月，一个1．3M的软件被美国所有有重大影响的媒体报道，他们是：CNN、NBC、ABC新闻、福布斯、华尔街日报、FOX新闻、纽约时报、ZD新闻、连线杂志、MSNBC、CNET……除了微软的Windows200以还有谁有这么大的影响力？它不是一个商业软件，仅仅是一个黑客程序。1998年，BOI．2轰动了整个世界，所有的计算机专家，尤其是微软的计算机安全专家都不希望看到BO发放新的版本。但是，即使他们用双手蒙住眼睛，也无法回避现实。

　　1999年7月14日，黑客年会又在美国拉斯维加斯举行。这一规模庞大的例会已经持续7年，几乎每年都要爆出震撼性的新闻。这次年会吸引了2000多名来自世界各地的一流黑客，当然也有许多慕名而来的计算机安全专家，另外还有60多名双眼圆睁的IT记者。

　　BO2000（借用了微软的系统软件命名原则）一露面，就吸引了所有人的目光。BO的全称是Backoffce．（文雅一点的中文译名叫“后门”），它的命名就是为了讽刺微软的Office．在黑客的眼里，微软的产品就是漏洞百出，可以随时出人的门。

　　1998年，BOI．2出来的时候，微软“高兴”地看到，这个软件只威胁到Window。95、Windows98，尚不能威胁到它的未来主流产品WindowsNT。而BO2000却如当头律喝，它可以同时运行在Windows95。Windows98、WindowsNT和Windows2000系统，也就是说，它完全覆盖了所有微软的系统平台，只要使用微软的产品，就无法逃脱BO2000的入侵（当然，目前BO2000只能运行基于INTEL芯片的微软操作系统）。和BO］．2一样，BO2000也由两部分组成：客户端程序（CLIENT）和服务器端程序（CERVER）。

　　服务器程序用来攻击对方的计算机，一旦服务器程序在被攻击的计算机上运行，客户端程序就可以把对方的计算机完全控制。

　　客户端程序能对被控制的计算机执行很多可怕的操作：搜索和下载对方的所有软件和文档、执行被控制计算机中的任何程序、记录被控计算机上的键盘输入、启动或者锁死目标计算机并且能显示被控计算机当前用户的屏幕保护的口令，重新启动计算机、锁死系统、列出系统口令等等。另外BO2000还提供了一些增强程序功能的插件，有了这些插件，就可以对被控制计算机执行更多的操作。可以接收被控制计算机的灰度图像，能远程控制键盘及鼠标的操作，一切只有系统管理员才能使用的功能，都可以在几千公里外的世界某一个角落实现，方便得几乎像使用自己的计算机一样（当然速度可能慢了点儿）。BO2000提供一个图形化的文件测览方式，可以方便地修改注册表，一切危险的操作都简化到鼠标的轻轻一点。在WindowsNT系统下，BO2000显得尤其可怕，它会自动改变自己的进程（PROCESS）名称，以防被删除，并且能自动建立一个自身进程的副本，万一BO2000被删除后，它能够自动再生。它自己的文件名后面加上许多随机的空格及字母，所以在Windows下无法删除该文件，只能在纯DOS下删除掉。这意味着，一旦服务器感染BO2000就必须停机，才能删除，所有的人都明白，重要的服务器停机意味着多大的损失。更为可怕的是，BO2000可以自由地增加或者去掉网络目录的共享属性，包括局域网的共享目录、共享设备。这意味着，一旦BO2000进入公司内部网络服务器，那么整个公司网络上的所有文件都毫无机密可言！

　　BO2000服务器端的程序只有112K，可以很方便地在网络上传输：客户端的所有程序大约有IM左右，功能足够强大，完全的图形化界面，非常简单，稍有一些电脑基础的人，几天就可以基本掌握。BO2000可以通过E·MALL附件的方式发送，也可以通过手工的方式安装在一台计算机上。BO2000提供了一项功能，可以把自己贴附在其他的软件上，而不像老的版本，一运行就把自己删除，这样BO2000的隐蔽性就大大增加，它可以轻松地附着在一个贺卡程序里发给对方。ABC新闻就以《BO骚乱》为题报道了BO2000的出现。

　　一边是惊涛骇浪，一边是稳坐钓鱼台。ABC新闻用“微软还在观察”来评价微软的反应。微软认为“BO2000必须通过在本地执行可执行文件才能感染，有经验的人从不会在存在敏感信息的电脑上运行任何可执行文件，即使运行，他们也会先用反病毒软件扫描一遍。这足以阻止BO2000的传播”。ABC新闻用了一句很隐晦的话来评论：“即使到了这种时候，微软仍然在等待着BO2000的入侵（而置之不理）。”如果说对于普通用户使用的Window95．98，微软的这一说辞也还算说得过去。但是对于一个网络操作系统，WindowsNT、Windows2000来讲，居然能够从内存里拿到用户口令，能够攻击整个网络，实在不可原谅。

　　是的，反病毒软件经过升级可以查出BO2000，但微软不应要求所有的用户都购买反病毒软件，也不应该让用户为了微软系统本身的漏洞去追加投资。反病毒的工作应该由反病毒软件来做，微软自己的系统漏洞，又凭什么要求反病毒软件来解决呢？其实，BO2000是一种典型的特洛依木马，根本不是病毒。

　　此次，BO2000发布的同时，还按照黑客的原则，公布了全部源代码，笔者在网上的一个著名黑客评论站点看到，BO2000公布源代码不能直接编译运行。这恐怕是这次事件中，我们能听到的惟一好消息了。CDC为了防止一般的电脑爱好者随意改造程序，把一些关键程序做了技术处理，这样BO2000就不会像“美丽杀”病毒那样，方便地随意更改。即便如此，有经验的程序员还是能够很容易地把BO2000做多种多样的修改。正如我们了解的那样，任何反病毒软件都是通过特征码的搜索来确认BO2000的，但是经过修改的BO2000可以很容易地变换各种特征码，绕过反病毒软件的扫描。而且，早在80年代，就有反病毒专家从理论上论证了病毒的不可识别性，对于不是病毒的BO2000就更难从成千上万行程序中找出来。

　　不谈老套的微软垄断，如果微软的产品在internet上成了绝对主流，那么微软的漏洞就会成为整个internet的漏洞，成为计算机时代的漏洞，一个小的疏忽，就会影响整个世界。2000年问题这样的重大缺陷在多元化电脑时代会少一些，因为很少有这样的机会，大家都犯相同的错误。