中新網(wǎng)1月30日電 2003年1月25日北京時(shí)間13時(shí)30分到19時(shí)30分的6個(gè)小時(shí)里,全球互聯(lián)網(wǎng)遭受歷史上從未曾有過(guò)的安全威脅,亞洲、北美和歐洲的網(wǎng)絡(luò)全都陷入了癱瘓或者半癱瘓的狀態(tài)。美國(guó)FBI一位發(fā)言人稱,他們懷疑此事與一名自稱“Lion”的中國(guó)黑客有關(guān)。
最新一期的南方周末披露了一位被FBI猜疑的中國(guó)黑客對(duì)此事的看法:“全球網(wǎng)癱不是我干的!”
——全球網(wǎng)絡(luò)驚魂6小時(shí)
1月25日中午,廣州的龍先生和同事吃完午飯,匆忙趕回雜志社。今天是他們的截稿日,下午會(huì)有很多作者通過(guò)電子郵件發(fā)來(lái)稿件,他們要趕緊處理。但當(dāng)他們打開(kāi)電腦,頓時(shí)傻眼:他們無(wú)法連上郵件服務(wù)器收取信件,甚至無(wú)法登陸任何網(wǎng)站。龍先生和同事們急得不斷打電話到為他們提供網(wǎng)絡(luò)服務(wù)的公司反映,可是他們的求助甚至沒(méi)人能給一個(gè)合理的解釋。情急之下,龍先生憤怒地說(shuō):下個(gè)月我們就轉(zhuǎn)用中國(guó)電信!
但此時(shí),中國(guó)電信用戶也正面臨同樣的難題。上海的王女士要在當(dāng)天下午將一份報(bào)價(jià)方案發(fā)給正在澳大利亞的經(jīng)理,以準(zhǔn)備下星期一開(kāi)始的商務(wù)談判。但她足足用了兩小時(shí)也沒(méi)能通過(guò)Outlook把郵件發(fā)出去。王小姐試圖改用網(wǎng)頁(yè)方式發(fā)送郵件,但僅顯示hotmail郵件的主頁(yè)面就用了差不多30分鐘,而且執(zhí)行登錄操作后,網(wǎng)站無(wú)法連接。王女士從中國(guó)電信的服務(wù)熱線中得知,上海地區(qū)的互聯(lián)網(wǎng)出口堵塞,中國(guó)電信正在全力搶修。一籌莫展的王女士只好打國(guó)際長(zhǎng)途向經(jīng)理匯報(bào),電話一接通,話筒里就傳來(lái)經(jīng)理焦急的聲音:怎么現(xiàn)在一個(gè)網(wǎng)站都連不上?!
這種焦急的情緒在國(guó)內(nèi)的網(wǎng)上蔓延。從1月25日13時(shí)30分左右開(kāi)始,國(guó)內(nèi)幾乎所有網(wǎng)站在同一時(shí)間內(nèi)無(wú)法訪問(wèn),但一些網(wǎng)上通訊軟件仍能夠正常使用,關(guān)于事件原因的種種謠言開(kāi)始通過(guò)這些通訊軟件傳播開(kāi)來(lái),僅記者一人就從QQ的好友中得到以下幾種猜測(cè):美伊爆發(fā)信息大戰(zhàn),殃及全球;中國(guó)遭受美國(guó)黑客攻擊;中國(guó)電信正在調(diào)整帶寬;中國(guó)的互聯(lián)網(wǎng)政策發(fā)生變化……
事實(shí)上,互聯(lián)網(wǎng)正遭受自上世紀(jì)90年代以來(lái)最嚴(yán)重的一次安全威脅。這是一起全球范圍的網(wǎng)絡(luò)安全事件,從北京時(shí)間13時(shí)30分到19時(shí)30分的6個(gè)小時(shí)里,亞洲、北美和歐洲的網(wǎng)絡(luò)全都陷入了癱瘓或者半癱瘓的狀態(tài)。這起網(wǎng)絡(luò)堵塞事件涉及范圍之廣,在互聯(lián)網(wǎng)歷史上從未有過(guò)先例。
面對(duì)突如其來(lái)的襲擊,互聯(lián)網(wǎng)在混亂中沉默,近6個(gè)小時(shí)中,竟沒(méi)有一家網(wǎng)絡(luò)安全公司對(duì)事件發(fā)布自己的分析。
從19時(shí)開(kāi)始,全球的互聯(lián)網(wǎng)通訊逐步恢復(fù)正常,技術(shù)專家們開(kāi)始發(fā)布自己的研究進(jìn)展。國(guó)內(nèi)對(duì)這起網(wǎng)絡(luò)堵塞事件最早的技術(shù)分析出現(xiàn)在教育科研網(wǎng)的“水木清華BBS”。一位名為“chapson”的網(wǎng)友,能夠接觸到中國(guó)互聯(lián)網(wǎng)的國(guó)際出口,他在帖子中總結(jié):“今天下午,網(wǎng)絡(luò)突然變得極度繁忙,很多地方出現(xiàn)堵塞。在國(guó)際出口上進(jìn)行抓包,發(fā)現(xiàn)大量的udp包發(fā)向目標(biāo)端口1434,并且還伴隨著一個(gè)發(fā)向1434端口的大包,大得我無(wú)法形容……估計(jì)這次又是某個(gè)病毒的大爆發(fā),但各大安全組織和機(jī)構(gòu)都還未公布其性質(zhì),此病毒的攻擊對(duì)象應(yīng)該是windows系列server版本的SQLserver,現(xiàn)在傳播途徑還未確定,請(qǐng)大家警惕!”
事件發(fā)生約7個(gè)小時(shí)后,國(guó)際著名網(wǎng)絡(luò)檢測(cè)機(jī)構(gòu)MatrixNetsystems發(fā)布消息,認(rèn)為這起事件是由一個(gè)蠕蟲病毒造成的。MatrixNetsystems還對(duì)事件進(jìn)行了初步描述:大約從格林尼治標(biāo)準(zhǔn)時(shí)間1月25日5時(shí),北京時(shí)間13時(shí)開(kāi)始從亞洲傳播,但很快就成功襲擊了美國(guó)和北歐的網(wǎng)絡(luò)服務(wù)器。
20時(shí)之后,剛剛從驚恐中緩過(guò)勁來(lái)的全球互聯(lián)網(wǎng)業(yè)界開(kāi)始清點(diǎn)損失:
在“受災(zāi)”最為嚴(yán)重的韓國(guó),當(dāng)?shù)貢r(shí)間15時(shí)左右就已經(jīng)完全失去與國(guó)際互聯(lián)網(wǎng)的聯(lián)系,成為一個(gè)信息孤島。到了16時(shí)左右,韓國(guó)國(guó)內(nèi)的互聯(lián)網(wǎng)接通率下降至不到10%,所有有線和無(wú)線互聯(lián)網(wǎng)服務(wù)實(shí)際上全部停止。
總統(tǒng)金大中說(shuō):“這是一起嚴(yán)重的事件,人民的生活受到了干擾。”
他下令各相關(guān)部門盡快拿出恢復(fù)和重建韓國(guó)互聯(lián)網(wǎng)的計(jì)劃,以避免事件再次發(fā)生。事件對(duì)韓國(guó)經(jīng)濟(jì)的影響從27日的股票市場(chǎng)上得到充分體現(xiàn):KOSPI指數(shù)下跌3.14%,成交量減半,行業(yè)巨頭三星電子的股價(jià)下跌4.15%,兩大電信公司韓國(guó)電信和SK電信的股價(jià)下跌更加厲害。
在美國(guó),25日下午,美洲銀行的13000臺(tái)自動(dòng)提款機(jī)曾一度無(wú)法進(jìn)行交易。由于自動(dòng)售票系統(tǒng)受到感染,總部位于休斯敦的大陸航空公司不得不推遲多個(gè)航班。美聯(lián)社和《費(fèi)城問(wèn)詢報(bào)》的出版系統(tǒng)一度受到影響,無(wú)法正常工作。包括農(nóng)業(yè)與商業(yè)部在內(nèi)的眾多網(wǎng)站無(wú)法正常工作。專家分析,如果事件不是發(fā)生在周末而是發(fā)生在工作日,美國(guó)將遭受數(shù)倍的損失。
——“我被FBI點(diǎn)了名”
根據(jù)全球各網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布的信息,現(xiàn)在我們已經(jīng)能夠大致確認(rèn)蠕蟲病毒發(fā)作的時(shí)間是1月25日13時(shí)到13時(shí)30分之間。但更為關(guān)鍵的問(wèn)題是,這個(gè)蠕蟲病毒源自哪里?
1月26日,包括《紐約時(shí)報(bào)》、《華盛頓郵報(bào)》在內(nèi)的眾多國(guó)外媒體,在報(bào)道1月25日的網(wǎng)絡(luò)癱瘓事件時(shí),都采用了美聯(lián)社的新聞稿件,那篇稿件中提到:
FBI正在尋找這起網(wǎng)絡(luò)攻擊事件的源頭……FBI一位發(fā)言人說(shuō):“一些網(wǎng)絡(luò)安全專家指出,引發(fā)這起攻擊事件中的程序與數(shù)星期前一個(gè)自稱‘Lion’的人在一個(gè)中國(guó)黑客網(wǎng)站上發(fā)布的電腦源代碼非常相似!钡瑫r(shí)表示無(wú)法確認(rèn)自己的說(shuō)法。
這些新聞讓“Lion”成為這次網(wǎng)絡(luò)危機(jī)中惟一的被懷疑人。在黑客這個(gè)圈子里,尤其是頂尖高手是不冒用他人名號(hào)的,因此外號(hào)也具有固定性!癓ion”上一次成為焦點(diǎn)人物是在2001年5月。當(dāng)時(shí),年僅21歲、還是在校大學(xué)生的“Lion”作為“中國(guó)紅客聯(lián)盟”的創(chuàng)始人和負(fù)責(zé)人,是那次中美民間網(wǎng)絡(luò)大戰(zhàn)的發(fā)起人之一。去年,“Lion”已經(jīng)大學(xué)畢業(yè),現(xiàn)就職于北京一間網(wǎng)絡(luò)安全公司。
“Lion”開(kāi)口第一句話就是:“那程序不是我寫的,我要是想寫,早發(fā)出來(lái)了!
“Lion”回憶,他的確公布過(guò)一個(gè)關(guān)于微軟SQL數(shù)據(jù)庫(kù)的程序代碼,但那是在2002年10月份,而且絕大部分代碼也不是他寫的,他只是修改了當(dāng)時(shí)漏洞發(fā)布者寫的代碼中的幾個(gè)錯(cuò)誤。
根據(jù)“Lion”的回憶,他當(dāng)初發(fā)布的信息發(fā)布日期是2002年10月14日。與最初的漏洞發(fā)布者發(fā)布的代碼相比,“Lion”版本的代碼改動(dòng)的確不大。
1月27日,美聯(lián)社之前的稿件中關(guān)于“Lion”的部分已經(jīng)刪除,只留下“聯(lián)邦調(diào)查局正在就事件進(jìn)行調(diào)查”的內(nèi)容。在大部分媒體的網(wǎng)站上,相關(guān)報(bào)道的內(nèi)容也已經(jīng)進(jìn)行了修改。
“Lion”稱:叫FBI帶上證據(jù)來(lái)中國(guó)抓我吧!
有史以來(lái)最大的信息垃圾場(chǎng)從1月25日20時(shí)之后,國(guó)內(nèi)外網(wǎng)絡(luò)安全機(jī)構(gòu)和公司陸續(xù)公布了研究報(bào)告,對(duì)這起事件達(dá)成了一致看法:事件由蠕蟲病毒引發(fā),這個(gè)蠕蟲病毒向目標(biāo)計(jì)算機(jī)發(fā)送376個(gè)字節(jié)大小的數(shù)據(jù)包,利用了一個(gè)微軟SQL數(shù)據(jù)庫(kù)中的安全漏洞。
從自身特性上看,這次的蠕蟲病毒算是比較溫和:它不破壞計(jì)算機(jī)的硬件設(shè)備,也不對(duì)硬盤上的資料作任何修改,它只是潛入受感染計(jì)算機(jī)的內(nèi)存。電腦關(guān)機(jī)或重啟之后,病毒就會(huì)從機(jī)器中消失,所以現(xiàn)在幾乎所有網(wǎng)絡(luò)安全機(jī)構(gòu)都將重啟機(jī)器作為后備方案向用戶推薦。
此外,有網(wǎng)絡(luò)安全專家經(jīng)過(guò)分析后發(fā)現(xiàn),這次的病毒本來(lái)能夠具有更大的破壞力,但它的編寫者并沒(méi)有將它的傳播能力發(fā)揮到最大,從這個(gè)角度上講,寫病毒的人這次還算是手下留情了,否則情況將更加不堪設(shè)想。
但就是傳播效率高和發(fā)送垃圾數(shù)據(jù)量大兩大特征,讓這只“溫和”的病毒對(duì)互聯(lián)網(wǎng)造成了前所未有的傷害。傳播效率高讓這只病毒在短短兩個(gè)半小時(shí)內(nèi)感染了全球近30萬(wàn)臺(tái)計(jì)算機(jī),而這么多機(jī)器同時(shí)發(fā)送巨大的垃圾數(shù)據(jù)包,足以拖垮曾經(jīng)讓人們無(wú)比自豪的互聯(lián)網(wǎng)!癓ion”認(rèn)為,這次肆虐的蠕蟲病毒的確與2001年流行的“紅色代碼”蠕蟲病毒有些相似,但比后者高級(jí)。這次的蠕蟲病毒之所以能夠造成這么大范圍的網(wǎng)絡(luò)阻塞,是由于傳播速度和發(fā)送數(shù)據(jù)的速度很快,“每分鐘發(fā)送幾十M數(shù)據(jù)確實(shí)沒(méi)問(wèn)題”。
根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心今年1月公布的最新調(diào)查結(jié)果,中國(guó)目前的國(guó)際出口帶寬為9380M,也就是說(shuō),只要中國(guó)受感染的機(jī)器數(shù)量超過(guò)1萬(wàn)臺(tái),就有可能耗盡中國(guó)所有的國(guó)際出口帶寬,將中國(guó)的互聯(lián)網(wǎng)與國(guó)際隔離開(kāi)來(lái)。這也就是為什么在堵塞高峰時(shí)間,國(guó)外的網(wǎng)友幾乎無(wú)法訪問(wèn)中國(guó)網(wǎng)站的原因。
而從MatrixNetsystems公布的監(jiān)測(cè)數(shù)據(jù)可以看到,在情況最惡劣的時(shí)候,互聯(lián)網(wǎng)上有四分之一的數(shù)據(jù)來(lái)自這個(gè)病毒,讓互聯(lián)網(wǎng)這個(gè)最豐富的信息庫(kù)成為最巨大的信息垃圾場(chǎng)。(風(fēng)端)