那么,僵尸网络的现状如何呢?僵尸网络是现在各种网络攻击的“万恶之源”:拒绝服务攻击、垃圾邮件、网络钓鱼(在线身份信息窃取)等等,凡是能想到的,通过僵尸网络都能来做,而且比原来更隐蔽、威力更大。因此,僵尸网络这些年来被当作是最主要的威胁之一而备受关注。在中国,2004年底CNCERT监测到一个僵尸网络,控制的计算机超过10万台;2005年CNCERT发现中国大陆被僵尸网络控制的计算机超过250万台,发现超过5000台计算机规模的僵尸网络143个。2005年荷兰发现一个黑客建立了一个规模接近150万台计算机的僵尸网络,其中位于中国大陆的计算机29万个。
这些僵尸网络的控制和命令服务器都在哪里呢?2007年CNCERT发现位于中国大陆以外的僵尸网络控制和指令服务器10 399个,其中位于美国、中国台湾、韩国、加拿大、日本、巴西、德国等地的数目分别超过3 300、1 300、700、500、300。 不知道看到以上这些数据,那份报告的撰写者以及西方的媒体们,该怎么修订他们的报告和报道呢?继续设法证明“中国威胁论”的可能或是目标,但是却需要更多的脑力和创造力了吧。CNCERT的这些报告都是公开的,在国际场合也都介绍过;CNCERT在亚太经合组织(APEC)还历时一年多牵头完成了题为“僵尸网络应对的技术和策略指南”的项目。可曾听说CNCERT或者其他人根据这些公开数据,来编造“某某国发动网络战争”、“某某国入侵几百个国家的计算机”之类的噱头文章?(面对荷兰那个僵尸网络,西方记者又该怎么写?恐怕没几个连通互联网的国家能从那150万个地址中幸免吧,为什么没人写过“荷兰间谍网络控制全世界”之类的文章?)
没有,是因为我们无法根据控制和指令服务器在哪里,就说这是哪个国家干的;我们无法根据一个网络上的攻击来自某个国家,就说攻击者来自这个国家,因为攻击者在网络上多次“跳转”已经是很容易的事情了。
回过头让我们再来看看这个报告的可笑之处吧:① 报告说,这个僵尸网络有4个控制服务器,6个指令服务器。其中3个控制服务器位于中国(海南、广东、四川);5个指令服务器位于中国(海南、广东、四川、江苏)。另外报告还提到,70%的控制服务器位于中国,不过也发现位于美国、瑞典、韩国和中国台湾的服务器。——第一次看见这样的说法,70%的控制服务器?攻击者建立多个控制服务器,是为了增强僵尸网络的可靠性和可扩展性,70%在这里有什么意义?被控制的计算机经常会被动态地指向某个控制服务器。按照那些“控制服务器在中国所以是中国的攻击”思维的话,有关报道是不是要改一下题目,成为:“中美等国家的间谍网络渗透103个国家”;
② 报告说,发现有一个存放供被控制计算机下载恶意程序的服务器(指令服务器),是位于中国海南省的政府服务器。——按照他们的说法,中国政府真是“聪明得很”,不但把控制服务器建在自己国内,还利用自己国内的政府网站!我被搞糊涂了,潜台词本来不是要说“中国威胁论”吗,怎么看着像“中国黑客笨”呢?中国政府网站每年有多少被黑,各种报告多得很;
③ 报告说,这些控制或指令服务器所使用的域名,其中有两个查询其注册者时显示是中国人。——根据报告提供的数据,我也查了其他6个,结果有的没结果,有的明显是乱注册的,还有注册所在城市为印度新德里的。而且,业内人都知道这种查询(whois)的准确性很低,伪造也很容易,难道他们不知道;
④ 报告也提到有一个控制服务器的IP追踪到了韩国,属于一个电视台,但是当时使用的动态域名属于中国的动态域名服务。——凡是沾上中国边的,就要往中国身上算。如果“中国制造”这么遍地都是,惨了;
⑤ 报告分析那些被控制的计算机,这1 295个地址,去掉重复的以后,对986个地址进行了定位。结果就更可笑了:这些计算机中,中国台湾最多148个,越南第二130个,美国第三113个,中国大陆自己排第四92个,加上排第五的中国香港的65个,大陆加香港占157个,排第一!报告自己的脚注却说前四名是台湾、美国、越南、印度,这样低级的自相矛盾,恐怕是为了呼应通篇“选择的入侵对象都是和中国关系敏感的国家和组织”这样的暗示吧。——谁能解释一下,中国组织的间谍网络,为什么要花那么大力气对自己下手;
⑥ 报告说,30%(查报告后面的数据发现是26.7%)的被控制计算机可以被认为是具有“高价值”的目标。——如果按照这个做法核查一下那些其他的僵尸网络,绝对数字一定比这个“间谍网络”高很多,就算按比例算,估计也有相当的比例。而且,这其他的70%在干嘛呢?这是所谓的“有目标攻击”,还真是笨哪;
⑦ 报告还列出了一些被攻击的网站域名,结果里面还有中国驻美国大使馆(embassy)!——真是让人无语;
⑧ 报告还给出一个“证据”:中招的重要目标,多数是各个国家外交领域的计算机。——不过作者忘了自己在前面介绍的时候说,攻击者通过伪造的垃圾电子邮件,欺骗计算机用户打开附件从而植入恶意程序。给出了垃圾邮件也是英文的。我自己收到的垃圾邮件也多数是英文的。请问有多少英语不是母语的国家,其除了外交领域人员之外的其他政府雇员都谙熟英文的?他们打开看都看不懂的英文垃圾邮件,进而被感染的概率有多大;
⑨ 报告提到,这个“间谍网络”使用的恶意程序,是在网上有公开源代码的。——按这么说,中国确实“强”,搞个间谍网络,还不用高级或者隐蔽的东西,非用个开放源代码!难道是在考虑国际标准?!
......
累了,打住吧。其实编报告的人自己也有点心虚,在结论的部分给自己留了退路,说什么“也不能就此就下什么什么结论、也有其他什么可能之类的”。不过已经不重要了,记者们早走了,文章都发了,热点赚足了。
这就是“中国计算机间谍网络入侵103个国家”的事件!
通过这次学习我已经学到了不少“高人的报告技巧”,而我掌握的数据比他们多很多,不过我还远达不到“人家的水平”,因为自己还有个良心在那里碍事。
驳所谓中国黑客控制美国电力系统
2009年4月,我在美国总是被美国人问到的另外一个话题,是源自《华尔街日报》的一篇报道,说中国的网络间谍已经侵入美国电网,给美国基础设施造成安全隐患。以下是摘录来的新闻:
“《华尔街日报》援引美国现任和前任国家安全官员透露的消息称,来自中国和俄罗斯的网络间谍侵入美国电网后,留下了可能用来破坏电力系统的软件程序。官员们说,这些网络间谍据信是在执行勘查美国电力系统及其控制系统的任务,入侵者尚未试图破坏电网或其他关键性基础设施,不过他们可能会在危机或战争期间试图加以破坏。报道称,一名前美国国土安全部官员说,间谍活动看起来遍及美国各地,并非针对某个特定公司或地区,但针对电力系统的入侵活动越来越多。还有安全官员称,很多网络入侵活动并不是负责基础设施的公司发现的,而是被美国情报部门发现的,情报官员担心网络攻击者会通过互联网控制电力设施、核电站或金融网络。”
一时间,美国从大学教授到社区义工都在议论纷纷,同时中国方面的有关新闻发言人也再次出面否认。这件事情可能吗?尽管不像所谓“中国入侵103个国家建立间谍网络”那件事一样我们可以找到他们的“依据”来看看,但是凭借对这个领域的一些了解,对这件事我只能感慨:美国指责无中生有,中国反驳空洞无力。
电网安全,属于SCADA(supervisory control and data acquisition)安全的范畴。SCADA系统通常涉及到重要的基础设施,因此其安全问题一直备受重视。但是以前SCADA系统的信息网络安全问题似乎并不突出,为什么近几年电网安全问题越来越热了呢?2008年我在一个国际会议上听一个美国人介绍说,因为早期SCADA系统使用专门的计算机、专门的信号和通信协议、专门的处理软件等,也就是说,那里面运行的东西和我们所使用的计算机系统完全是两个概念。但是现在情况不同了,SCADA系统也使用和我们一样的计算机、一样的操作系统、一样的通信协议等等,于是,不但系统以外的人更加容易了解SCADA系统,而且外界的恶意程序、外界发现的漏洞等,都可能成为SCADA系统的问题。更有甚者,因为信息技术应用的需要,决策和销售部门可能要求生产部门采集的数据能够直接传送到他们的会议室或者软件系统进行分析,这会导致生产系统的网络和外部网络(甚至互联网)产生连接,从而给攻击者带来通过外部渗透进入SCADA系统的可能。这,无疑将是极其严重的威胁。
那位报告人当时还预言:5年以后,SCADA系统安全问题将真正展现出来。现在看来这个预言太保守了,刚过了一年,已经有人能入侵和远程控制电网了?
(责任编辑:adminadmin2008)
