驳所谓“中国网络间谍网”事件
西方喜欢炒作所谓的“中国黑客威胁论”。2009年我在美国期间,当地就有几起炒作十分热闹的这类事件。
显然,“中国威胁论”依然是很多西方人津津乐道的话题,因此也是不少西方记者和一些政客们用来牟利的好话题。中国,这个被西方欺负了百多年一度沦为半殖民地的国家,这个埋头搞自己的建设刚刚让其国民达到温饱的国家,这个人均GDP进不了前100位的发展中国家,怎么就成为让西方人恐慌的“威胁”呢? 光看这些报道,中国人自己恐怕都不认识中国了:难道中国会成为那个整天对全世界指手划脚、在全世界到处扔炸弹、军舰想往哪开就往哪开的国家?
2009年4月左右一个炒作“中国威胁论”的例子,是所谓的“中国网络间谍网”事件:西方报道铺天盖地大肆渲染“中国通过网络部署间谍网入侵了103个国家”。西方媒体和记者们又找到了兴奋点,拼命制造各种能吸引眼球的表述,什么“窥探的龙”、“中国正在进行网络战”、“中国网络间谍升级”等等。
和以往炒作不同的是,这次似乎是有“真凭实据”的:依据来自一个据称进行了10个月研究之后形成的报告。恰好这是我的专业方向,抱着学习的心态,我找来这份长达53页的报告仔细阅读,期待看到一直传说但却未曾见识过的神乎其神、世界翘楚的中国网络黑客和网络技术。结果,差点笑掉大牙,转而佩服这些分析者和报道者的“本事”了。好东西要分享,所以我写下此文和大家共享。
这个报告出自加拿大多伦多大学MUNK国际研究中心和一个名为“SecDev”的组织,发表于2009年3月29日,题目是《追踪‘鬼魂网’——一个计算机间谍网络的调查》。这个调查源于受雇达赖,追查其私人电脑以及流亡藏人组织的计算机系统受攻击的问题。和美国人交流的时候,他们经常强调研究的“独立性”,例如他们认为从政府拿了钱的组织,其研究就不能避免对政府的偏向性。但是面对这样背景的调查报告,怎么没人质疑这一点了?
按说这是一份偏技术的报告,不过里面夹杂引用了大量历史上的各种“报道”,来说明网络安全威胁的严重性。本来,让读者先认识到问题的严重性倒无可厚非,但是这个报告从一开始就把矛头指向中国,说“中国官方一贯认为网络空间是战略资源,有助于弥补中国和其他国家(尤其是美国)的军事不平衡”、“中国的网络战学说很成熟,投入大量资源”等等。给我强烈的感觉是,还没开始拿出证据,就先制造强烈的氛围,让读者已经认为中国就是“罪人”了。而且,那些众多标注了来源的所谓的历史事件的报道,可信度有多少呢?什么“俄罗斯—格鲁吉亚冲突、加沙冲突等等”,其中的网络安全事件都没有真正的定论。我本人倒是亲身经历过那些报道的真实性,曾经有一本英国杂志(好像叫Registry),发表了一篇文章说“CNCERT(国家计算机网络应急技术处理协调中心)只有一个人,而且不说英文云云”。当时,国家计算机网络应急技术处理协调中心已经是FIRST正式成员并且已经共同发起成立了APCERT,所以很多国外的朋友看到后纷纷告诉我这个极度荒谬的报道。后来联系到作者,这位记者说是在一个酒会上好像听到有人这么说过。怎么样,佩服西方记者的职业素养吧!(这些故事要都可以拿来引用的话,为什么不提“美国当年把伊拉克互联网从整个互联网中隔离”、“美国在伊拉克使用的打印机中设置后门使其特定情况下自毁”这些故事?)
不过,这份报告中所说的一件事情我还是知道一些情况的。报告提到“2001年4月中美撞机事件之后,中国黑客持续攻击美国计算机网络”。这个例子在报告中是用来支撑“在中国,官方把个人黑客和他们的网络行为当作能够用于国家力量的便利工具”这个观点的。这件事CNCERT做了全程跟踪和调查,当时中国被攻击的网站和美国被攻击的网站数量相当,而且中国被攻击的网站中多数为政府网站,美国被攻击的则是商务网站。报告对美国黑客攻击中国而且更多是攻击中国政府网站的事实讳而不谈。
回到这个报告的技术部分来看。所谓中国间谍网络入侵103个国家和地区,所依据的调查结果是:发现一种名为Gh0st RAT的恶意程序,构造了一个僵尸网络,这个僵尸网络控制了1 295个计算机,这些计算机分布在103个国家和地区,而这个僵尸网络的控制服务器大部分在中国。为了让不是专门作网络安全的人便于理解,这里对僵尸网络、控制服务器等词汇做一下简单说明。(报告的作者不知是真不懂还是怎么回事,并没有提僵尸网络,而只是说“木马”。而且也不知他们是从来没见过这类已经流行多年的威胁还是什么其他原因,居然能把这么小的一个僵尸网络说成天大的一件事。)
僵尸网络示意图
图1是一张僵尸网络示意图,从图中可以看出,控制者(黑客/攻击者)通过控制和命令服务器,能够实现对大量计算机的控制。控制和命令服务器是核心,一个僵尸网络中通常有多个(被控制的服务器),分布在世界各地;大量被控制的计算机也是分布在世界各地,它们就像“僵尸”一样听从来自控制和命令服务器的指令,在用户不知情的情况下做各种事情;控制者躲在世界上的任何一个角落,直接或者间接地通过控制和命令服务器指挥一切。而且从技术的角度来说,在控制和命令服务器上看,控制者经常和那些被控制者一样,难以区分。
通过上面这些信息,您应该很容易理解追踪真正攻击者的难度:攻击者会利用世界各地的计算机作为其控制和命令服务器的遥控器,攻击者自己也会隐藏在世界任何一个角落遥控这一切。僵尸网络的规模和其隐蔽性,使其成为攻击者喜欢的方法。攻击者通常都会选择利用其他国家和地区的计算机进行各种攻击,例如针对美国银行的网络钓鱼则把伪造网站放在美国以外,这样便于逃避追踪或司法追查。
(责任编辑:adminadmin2008)
