網路安全的時代變遷
來源:《中國計算機學會通訊》2018年第5期《專欄》
最近幾年,大型網路病毒攻擊事件不斷登上世界各國的媒體頭條。2016年10月,北美地區爆發的拒絕服務(DoS)攻擊事件導致音樂服務網站Spotify和社交網站推特(Twitter)癱瘓。2017年5月,WannaCry比特幣勒索病毒事件造成包括中國在內的多個國家的不同用戶的數據丟失。2018年伊始,計算機中央處理器存在的Meltdown 和Spectre漏洞成為媒體關注的焦點。這兩個漏洞可以將用戶計算機上的信息隨機暴露給黑客,給用戶造成了巨大恐慌。
儘管網路安全問題已經成為當前信息時代面臨的最大威脅,但作為一個科技物種的網路病毒出現的時間並不太長,是互聯網商業化和個人電腦發明後才開始出現的。計算機病毒的創造者不僅僅是人(黑客),社工方式1(social engineering)也是黑客能夠一次次取得突破的關鍵。現各國政府都很重視這個問題,把系統漏洞作為戰略武器儲備,為網路戰爭提供支持。
PC機之痛
很多計算機安全文獻把1986年巴基斯坦大腦病毒(Pakistan Brain virus)作為計算機病毒正式進入人類社會的標誌。編寫巴基斯坦大腦病毒的兩個程序員巴西特和阿姆賈德·阿爾維兄弟當時分別只有17歲和24歲。他們在巴基斯坦的第二大城市拉合爾運營一家計算機公司,以編寫軟體和銷售來自歐美的盜版軟體為生。
20世紀80年代中期的西方國家已經把軟體置於知識產權保護之下,但在亞洲地區,個人電腦軟體的非法拷貝和銷售是很平常的事情。為了保護自己編寫的軟體,兄弟倆在他們賣出的軟體程序上偷偷載入了一段自動執行的代碼。該代碼進駐購買者的DOS操作系統後成為常駐內存程序,自動檢查軟碟機里插入的拷貝軟盤的扇區信息。如果發現該進程有拷貝嫌疑,就會將軟盤引導區里的信息移到另一個存儲區,並標為壞扇區,然後將引導區的內容改為他們公司的產品名稱、地址和電話號碼。這一舉措催生了世界上最早的計算機病毒2。
1987年,美國特拉華大學最早爆發了該病毒,隨後英國和美國的其他大學和公司都發現了這一病毒。 巴基斯坦大腦病毒並沒有給阿爾維兄弟帶來牢獄之災,大眾和媒體對第一個計算機病毒的普遍態度是好奇。阿爾維兄弟接受了來自世界各地媒體的採訪。他們的公司也在20多年後發展成為巴基斯坦最大的網路運營商。
巴基斯坦病毒的出現催生了反病毒軟體市場。在軍工企業洛克希德公司工作的程序員約翰·邁克菲(John McAfee)接觸到巴基斯坦病毒後,發現了民眾對病毒的恐慌所帶來的商業機會,於是利用業餘時間編寫殺毒軟體,並在1987年成立了全球首家反病毒軟體公司邁克菲(McAfee Associates)。該公司通過採用共享軟體的方式很快開闢出市場。
如果說巴基斯坦大腦病毒催生了邁克菲殺毒軟體,那麼1991年的米開朗琪羅病毒則讓邁克菲公司成功上市,其殺毒軟體被1.5萬多家公司使用。巴基斯坦大腦病毒和米開朗琪羅病毒都是修改磁碟引導扇區的病毒,前者修改軟碟機里的磁碟引導區,後者能夠修改計算機硬碟引導區,威脅性遠遠超過前者。1991年2月,米開朗琪羅病毒最早在澳大利亞被發現。1992年初,邁克菲公司宣布該病毒將很快全面爆發。果然在當年的3月6日,義大利文藝復興巨匠米開朗琪羅生日這天,所有感染該病毒的IBM PC AT和PS/2型計算機及其兼容機都無法開機。潛伏在計算機中的病毒將硬碟的引導區清空,使得操作系統無法讀取硬碟上存儲的文件。邁克菲公司因為提前預報了這一病毒的爆發並提供了查殺方式而聲名鵲起,同年10月該公司成功上市。
80年代末期蘋果電腦已經佔有一定的市場份額,所以也出現了為蘋果麥金塔電腦編寫殺毒軟體的公司賽門鐵克(Symantec)3。1990年賽門鐵克收購了專門為DOS系統編寫應用程序的諾頓(Norton),將殺毒軟體與諾頓應用軟體整合到一起,推出了諾頓殺毒軟體、防火牆等一系列系統安全和維護的軟體。
90年代初的計算機領域面臨上百種以引導區病毒為主的計算機病毒的威脅,而導致這一威脅的主因是當時如日中天的微軟公司。微軟公司為第一代IBM PC提供編譯器時因為機緣巧合而不得不同時提供DOS操作系統。IBM在匆忙之間購買的操作系統埋藏了很多架構上的漏洞,比如允許用戶直接控制和調用各種系統埠。這些漏洞成為後來十幾年PC用戶和系統維護人員的夢魘。整個90年代微軟不斷升級視窗操作系統,雖然佔據了超過95%的個人電腦操作系統市場,卻不過是包裹在DOS上的一件鮮亮外衣。PC機依靠DOS啟動的安全隱患依然存在,引導區病毒藉此發展得越來越強大。不過好在前網路時代這類病毒的傳播速度和人與人之間通過磁碟等物理介質傳遞計算機文檔的速度基本相當,所以大範圍的病毒爆發並不普遍。而這一時期的殺毒軟體都是在軟盤啟動後清理內存中的病毒,取得控制權後再清理隱藏在計算機硬碟扇區或者文件中的病毒。而查找這些病毒的方式是找到它們的數字指紋,所以更新升級病毒資料庫里的病毒指紋以及提高病毒搜索引擎的搜索效率是這一時期網路安全的主要研究對象。
引導區病毒給計算機世界留下的最後重擊是台灣大同工學院學生陳盈豪編寫的CIH病毒。該病毒通過分裝方式自動隱藏到微軟的PE可執行文件中。到達預訂日期後,CIH病毒不僅像傳統引導區病毒那樣感染覆蓋硬碟驅動器的第一個兆位元組,還可以改寫配備快閃記憶體的主板BIOS。這意味著有些用戶的計算機不但硬碟數據會丟失,還可能因為BIOS被感染而無法啟動。1999年4月23日的CIH病毒大爆發,導致全球超過6000萬台電腦遭到不同程度的破壞。
CIH病毒既是引導區病毒的高潮也是這類病毒的尾聲。2000年起,視窗操作系統首次徹底脫離了DOS內核,系統所在的內存受到保護,只能通過系統訪問,用戶無法直接訪問埠或者攔截文件操作。這些安全設計使得引導區病毒失去了以前的發展平台。不過此時黑客們已經有了更好的方法,因為互聯網已經普及,藉助網路傳播的蠕蟲(worm)成為計算機系統和數據安全面臨的新威脅。
互聯網蠕蟲
傳統意義上的計算機病毒隱藏在正常程序中,並在用戶使用程序時擴散,蠕蟲病毒則以獨立的程序存在,通過網路自動地從一台計算機傳播到另一台計算機上。 1988年11月2日,康奈爾大學學生羅伯特莫里斯(Robert Morris)把他編寫的一個蠕蟲程序從麻省理工學院釋放到當時僅僅鏈接美國聯邦政府和大學科研機構的互聯網上,感染了大約10%的互聯網主機?,成為最早的計算機蠕蟲。莫里斯也因此成名,不過他沒有阿爾維兄弟那樣幸運。1986年美國國會出台的《計算機欺詐及濫用法案》使他成為被該法案懲罰的第一人。
時間一晃到了2000年,互聯網的商業化和在民間的普及把全世界連接在一起,也為計算機蠕蟲的傳播提供了更廣闊的平台。這一年的5月5日迎來了首次計算機蠕蟲大爆發,起點是菲律賓的馬尼拉。這天早晨很多計算機用戶在配備微軟視窗的電腦上查看電子郵件時,會發現一封標題為「我愛你(ILOVEYOU)」的帶VBS附件的郵件,如果用戶打開附件,附件中的愛蟲病毒就會在電腦後台自動複製,並把同樣的郵件發送給用戶通訊錄里的所有人。短短几個小時之內,中國香港、歐洲、北美的大批計算機被感染。據不完全統計,在隨後的10天內全球有超過5000萬台計算機被感染,造成的損失達55億~87億美元,消除該病毒的總耗資為150億美元。為了遏制病毒傳播,美國的五角大樓、中央情報局,英國議會以及大批跨國公司不得不臨時關閉郵件系統。
製造愛蟲病毒的是來自菲律賓的一個23歲的窮學生歐乃·古茲曼。與莫里斯優越的成長環境截然相反?,古茲曼家境貧寒,在當地計算機專科學校讀書的他因為沒有足夠的錢上網,靠自學掌握了盜用其他用戶上網密碼的黑客經驗,並根據這一經驗撰寫了題為 《木馬密碼竊取者》的畢業論文。這篇論文惹怒了校長,使他沒能獲得畢業文憑,也使他最終讓美國網路安全部門根據IP登錄地址定位找到了他,並確定他為愛蟲病毒的編寫者。
蠕蟲的泛濫仍然與微軟獨霸PC機操作系統市場有很大關係。從1995~2005年這段時間,微軟通過視窗操作系統的不斷升級來推動用戶升級相應的辦公和伺服器軟體,從而為其帶來源源不斷的現金流。這一市場策略導致每一個新款視窗系統的推出時間完全由市場驅動,沒能經受充分測試,間接導致系統隱藏了大量漏洞。
為了修復漏洞,微軟不得不在兩次大的系統升級之間推出所謂的補丁版(service pack),並且通過公告發布修復漏洞的具體信息。但事與願違,黑客是關注這些公告的主要人群。從一個漏洞被發現到用戶下載補丁來消除威脅,往往已經過去數月(盜版視窗軟體則根本無法使用補丁)。而黑客在這期間早已利用漏洞編寫出各種蠕蟲程序。後來微軟提高了補丁發布的頻率和速度,但是黑客仍可通過暗網建立更加有效率的地下交易市場來鼓勵新系統漏洞交易。
隨著時間的推移,越來越多的蠕蟲病毒開始演變為夾帶後門(backdoor)或被稱為特洛伊木馬(Trojan)的新型計算機病毒。這種蠕蟲和後門程序相結合的新病毒一改以往按照既定程序破壞用戶計算機文件的方式,而是悄悄在系統後端安裝一個客戶端程序,利用操作系統的漏洞將用戶對系統的控制權傳遞給遠程的黑客伺服器,讓後者可以遠程控制用戶的計算機。2001年的紅色代碼(Code Red)蠕蟲從第一代到第二代的演變就是這一現象的典型代表。 紅色代碼一代利用微軟伺服器IIS的緩存區溢出漏洞潛伏進系統中,在每個月的前19天通過網路感染其他伺服器,在接下來的7天對固定IP地址進行拒絕服務攻擊,最後幾天進入休眠。紅色代碼第一代出現不到一個月就有了第二代。新的蠕蟲感染計算機後,會釋放出一個後門程序,讓控制該蠕蟲的黑客可以對被感染的計算機進行全面遙控。
黑客可以遙控被感染的計算機意味著信息安全進入了一個新的階段:病毒程序開始與黑客的經濟利益聯繫起來。包括虛擬幣在內的各種網路支付手段的成熟對這一趨勢起了推波助瀾的作用。但是從另一個角度看,網路的成熟和普及也消除和切斷了很多傳統計算機病毒的傳播渠道,比如谷歌等公司通過伺服器端過濾能夠消除幾乎100%的通過電子郵件附件傳播的病毒威脅;微軟等公司在操作系統中內嵌了防火牆和程序隔離機制,並且將操作系統的升級方式轉為自動從網路下載安裝,大大降低了正版操作系統用戶被感染的概率。網路的普及還大大減少了對移動存儲的需求,使得靠存儲物理介質來傳播病毒的方式變得非常低效。這些因素的疊加使得黑客的病毒攻擊方式更加隱蔽,於是催生了殭屍網路(BotNet)這一新的威脅信息安全的病毒模式。
殭屍網路
殭屍網路出現之前,計算機病毒主要採取與宿主直接對立或者共同毀滅的攻擊模式,佔據宿主電腦屏幕空間、刪除文件、清空硬碟,導致宿主電腦無法正常使用。而殭屍網路的始作俑者們則採取了更為隱蔽的攻擊模式,為避免被發現,殭屍病毒盡量較少地佔用系統資源,避免一切與主要攻擊目的(比如散發垃圾郵件)無關的操作,盡量做到在宿主電腦中長期寄生並與其和平共存。
建立殭屍網路的黑客一般通過網路釋放蠕蟲和後門程序,暗中獲得大量個人電腦的控制權。這些病毒大多通過用戶下載和安裝感染過的聊天程序、免費軟體或者是P2P下載軟體等方式植入電腦。每一個成型的殭屍網路都包含黑客的控制中心(C&C)和它所控制的大量殭屍電腦(Zombie)。 黑客通過遠程操縱殭屍電腦進行各種盈利活動,比如發布各種垃圾郵件,對特定網站進行拒絕服務攻擊,甚至用殭屍電腦進行比特幣挖礦等。早期殭屍網路通訊藉助的是網路中繼聊天協議(IRC)?,後來隨著家庭路由安全機制的不斷完善,尤其是防火牆作為預設配置的普及,中繼聊天協議逐漸失去優勢。
同一時期通過萬維網協議形成的殭屍網路開始出現。2004年通過微軟視窗電子郵件附件傳播的蠕蟲病毒Bagle形成了第一個萬維網協議殭屍網路。它感染計算機取得後端控制權後不斷發布各種垃圾郵件。 儘管它的最初版本很快被識別並清除,但後續版本卻不斷出現,感染了大量計算機。截至2009年12月,全球有15萬~23萬台電腦被該蠕蟲的後續版本感染,形成頗具規模的殭屍網路。通過該網路發出的垃圾郵件一度佔據全球垃圾郵件總量的10.39%。2007年前後,發源於東歐地區的宙斯(Zeus)蠕蟲病毒所形成的殭屍網路以感染微軟視窗系統為主,其目標是獲取用戶密碼,尤其是銀行賬戶的密碼。2009年該蠕蟲病毒攻克並獲取了美洲銀行、美國航空航天局、思科、亞馬遜、甲骨文等單位的74000個FTP伺服器的賬戶信息。
殭屍網路大規模爆發是在2010年前後。藉助萬維網協議形成的殭屍網路開始從數量和規模上超過藉助網路中繼聊天協議形成的殭屍網路。絕大多數電腦的萬維網協議的80埠是開放的,所以能夠為黑客的客戶端控制程序提供更好的隱蔽方式和更簡單的尋找新目標的渠道。
正是因為絕大多數被殭屍網路感染的計算機用戶沒有意識到被感染,所以殭屍網路一旦形成就可以存在數年而不被徹底清除。比如以盜取用戶銀行和金融賬號信息為主的Ponmocup病毒到2015年才被媒體暴露,其已經存在了9年多,控制多達500多萬台計算機,有25個不同的感染方式和4000個不同的變種。根據殭屍網路的監控組織影子伺服器基金會的跟蹤數據,目前至少有1500個不同的殭屍網路活躍在世界各地。一個殭屍網路可以控制上百萬台計算機。從殭屍網路的數量上來看,以歐洲和北美居多,但從每個殭屍網路控制的計算機數量上來看,中國的大型殭屍網路數目偏多。
絕大多數殭屍網路通過盜取用戶身份信息然後轉售到地下市場獲利。比如Avalanche、Metuji 和Mariposa專門竊取用戶的身份信息,Methbot以控制殭屍計算機製造虛假廣告點擊獲利,ZeroAccess則利用殭屍計算機的計算資源來進行比特幣挖礦。這些殭屍網路給用戶造成的損失是每天幾萬到數百萬美元,其共同特徵就是以微軟視窗操作系統為主要感染平台。最近幾年隨著移動用戶的不斷增加,以安卓移動操作系統為主要感染對象的殭屍網路開始逐漸形成規模。
造成殭屍網路泛濫的一個重要的社會因素是黑客的分化。黑客在2000年前後分化成為多個不同的群體。這些群體中發展勢頭最快的是被稱為「腳本小孩」的生手,他們沒有開發病毒程序的經驗和實力,而是靠別人編寫的病毒程序來對網路計算機進行攻擊。病毒商業化帶來的誘惑使得少數具備編寫病毒程序能力的專業級黑客與大批腳本小孩產生了分工與合作。前者通過網路匿名方式培訓後者,通過後者購買其軟體直接獲得經濟利益。由於病毒軟體中夾帶後門,腳本小孩們在使用這些軟體獲得網路計算機控制權的同時,也將控制權在不知情的情況下轉交給了專業黑客。不難想像,隨著這一趨勢在世界各地不斷出現和加強,各類病毒軟體所控制的殭屍網路必然泛濫。
交易市場與網路戰爭
殭屍網路的產生需要利用系統漏洞,所以基於網路的系統安全漏洞交易市場逐漸發展成熟起來。最初的交易市場只存在於暗網?,是專門交易零日漏洞(zero day vulnerability)的地下黑市,交易只在黑客之間進行。據邁克菲的戰略和國際研究中心2014 年的一份報告估計,網路犯罪和網路間諜活動的成本每年大約1600億美元,其中,系統漏洞的價值佔據重要部分。
隨著系統安全影響的擴大,各國政府和大型軟體公司逐漸意識到可以通過交易市場來獲得信息,於是也開始紛紛以各種形式介入其中,形成了所謂的灰色市場(gray market)。灰市與黑市的區別在於前者只交易理論上具有合法性的標的,比如系統的漏洞信息。而參與交易的雙方,至少有一方具有公開身份,比如開發軟體的公司或者是政府機構。
最近幾年完全合法的以系統漏洞為主要交易標的的交易市場——白市(white market)——也開始出現,並佔據越來越重要的地位。比如zerodium.com以軟體公司或者政府機構直接給出買價的方式懸賞黑客發現的系統漏洞。近期數據顯示,台式機操作系統的漏洞買價最高可以達30萬美元,而移動操作系統由於受眾龐大,其漏洞買價可以達到 150萬美元。
很多業界人士認為,包括美國在內的主權政府完全有可能迫使信息領域的公司與其合作,在軟硬體系統中預留後門。即便信息公司拒絕此類合作,民間黑客、高科技公司和政府機構仍然可以通過交易市場來獲得信息。
在此市場體系中,主權政府扮演了重要角色,它們之間進行的網路戰爭所涉及到的資金和人力往往是民間黑客和高科技公司所無法匹敵的。
2014年,美國和以色列聯手通過震網(Stuxnet)蠕蟲病毒破壞了伊朗的核計劃,這是軍事網路攻擊的成功案例。據《紐約時報》等美國主流媒體報道,為了精準攻擊伊朗提純核燃料使用的西門子離心機,以色列和美國的聯合團隊購入了西門子的同類型設備,在美國專門設計了震網病毒,使其不但能夠辨認該設備,而且能夠根據設備序號只攻擊伊朗擁有的該類型設備。為了傳播該病毒,以色列特工裝扮成研究人員,混跡於伊朗核專家經常參加的國際會議中,將病毒隱藏在會議提供的用來分發論文的USB軟盤上,最終使得該病毒到達了伊朗核工業的內部計算機網路。在隨後的幾個月時間裡,通過讓這些設備過度運轉引起自毀的方式摧毀了伊朗所擁有的大部分離心機,成功遏制了伊朗核燃料提取進程。
除了軍事目的,通過網路獲取經濟和政治情報,控制或者影響目標國的社會發展也成為網路安全的重要研究對象。據美國聯邦調查局調查,2016年美國總統大選期間,俄羅斯政府通過網路釣魚方式攻擊美國民主黨總部的郵件伺服器,將偏袒希拉里的內部郵件內容公布,成功地影響了美國總統大選的結果,並使特朗普上台。
2017年,美國政府突然下令所有政府工作人員都不得使用俄羅斯網路安全公司卡巴斯基的殺毒軟體。原因是,2014年承接了美國國家安全局(NSA)一個秘密軟體開發任務的公司的一名僱員違反公司規定,把項目帶回家,結果家裡電腦上安裝的卡巴斯基殺毒軟體將該項目的信息當作惡意軟體上傳到俄羅斯總部伺服器。後者發現該項目後按圖索驥,獲得了NSA囤積的一批重要攻擊性病毒軟體,並以網路黑客的名義將其公布到互聯網上,其中的「永恆之藍(EternalBlue)」成為WannaCry病毒的前身。
上世紀70年代冷戰期間,美蘇展開了耗資無數的軍備競賽。未來幾年各國政府在網路戰爭方面投入的資金和人力估計會遵循同一軌跡。系統漏洞在可見的未來會依然存在,計算機用戶對社工方式的試探仍然缺乏免疫力,計算機病毒的感染方式仍然會不斷創新。目前人工智慧領域的突破會幫助我們更好地識別各種潛在的安全威脅,但仍然無法根除。從另一個角度來看,系統漏洞或許已經成為形形色色的利益集團獲取情報信息和控制目標的需求。
作者介紹
萬贇
?CCCF特邀專欄作家。
?美國休斯敦大學維多利亞校區教授。
?主要研究方向為電子商務、人工智慧和互聯網應用。
腳註
1 社工是社會工程學的簡稱,是指黑客通過受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行欺騙,取得對方信任,從而獲得機密情報。比如釣魚郵件就是一種社工方式。
2 頗有諷刺意味的是,阿爾維兄弟只把這種帶病毒的軟體拷貝賣給歐美學生和訪客。兩兄弟在1988年接受《時代周刊》採訪時解釋說,這樣做的原因是巴基斯坦沒有對軟體的保護法,所以盜版者不應該受到懲罰;而歐美市場有軟體保護法,來自歐美的盜版者明知故犯,所以需要被警告。
3 該公司是幾個從斯坦福研究所出來創業的人工智慧專家在1982年成立的。他們利用在自然語言處理方面的優勢為當時的IBM PC編寫資料庫和文字處理應用程序,後來為蘋果麥金塔電腦編寫殺毒軟體。
? 當時互聯網還沒有商業化,主要用戶是研究機構和各個大學,據估計當時一共有60萬台上網主機。莫里斯編寫的蠕蟲病毒感染的主機主要是安裝了UNIX系統的VAX小型機和昇陽工作站。該病毒利用UNIX里緩衝區溢出的漏洞進行複製和傳播。
? 莫里斯的父親是貝爾實驗室的密碼和計算機科學家,為早期UNIX操作系統編寫了數學程序庫。莫里斯後來擔任美國國家安全局計算機安全中心的實習科學家。古茲曼的父母來自菲律賓最窮的省份。古茲曼是家裡四個孩子中年齡最小的,也是唯一的男孩。小時候他通過玩姐姐們的計算機產生了對編程的興趣。
? 1988年出現的中繼聊天是一種與萬維網類似的網路服務協議,比萬維網(1990年)還要早兩年。90年代末的騰訊就是通過提供中繼聊天服務QQ而崛起的。由於中繼聊天服務形成的通訊網路覆蓋面廣,所以黑客可以很容易控制同一網路上的電腦。
? 由於一些媒體的渲染,大眾常常把暗網(Dark Web)與深網(Deep Web)混淆。 暗網的體量只有整個互聯網的0.01%,遠遠小於常用互聯網或者深網。2014年信息安全專家用TOR對暗網做了一次爬行搜索統計,結果只發現了1萬個左右的伺服器,遠遠小於上百萬的明網互聯網伺服器數量。
TAG:中國計算機學會 |