CCCF专栏：万赟 | 网络安全的时代变迁

点击上方“中国计算机学会”轻松订阅!

来源：《中国计算机学会通讯》2018年第5期《专栏》

最近几年，大型网络病毒攻击事件不断登上世界各国的媒体头条。2016年10月，北美地区爆发的拒绝服务(DoS)攻击事件导致音乐服务网站Spotify和社交网站推特(Twitter)瘫痪。2017年5月，WannaCry比特币勒索病毒事件造成包括中国在内的多个国家的不同用户的数据丢失。2018年伊始，计算机中央处理器存在的Meltdown 和Spectre漏洞成为媒体关注的焦点。这两个漏洞可以将用户计算机上的信息随机暴露给黑客，给用户造成了巨大恐慌。

尽管网络安全问题已经成为当前信息时代面临的最大威胁，但作为一个科技物种的网络病毒出现的时间并不太长，是互联网商业化和个人电脑发明后才开始出现的。计算机病毒的创造者不仅仅是人（黑客），社工方式¹(social engineering)也是黑客能够一次次取得突破的关键。现各国政府都很重视这个问题，把系统漏洞作为战略武器储备，为网络战争提供支持。

PC机之痛 

很多计算机安全文献把1986年巴基斯坦大脑病毒(Pakistan Brain virus)作为计算机病毒正式进入人类社会的标志。编写巴基斯坦大脑病毒的两个程序员巴西特和阿姆贾德·阿尔维兄弟当时分别只有17岁和24岁。他们在巴基斯坦的第二大城市拉合尔运营一家计算机公司，以编写软件和销售来自欧美的盗版软件为生。

20世纪80年代中期的西方国家已经把软件置于知识产权保护之下，但在亚洲地区，个人电脑软件的非法拷贝和销售是很平常的事情。为了保护自己编写的软件，兄弟俩在他们卖出的软件程序上偷偷加载了一段自动执行的代码。该代码进驻购买者的DOS操作系统后成为常驻内存程序，自动检查软驱里插入的拷贝软盘的扇区信息。如果发现该进程有拷贝嫌疑，就会将软盘引导区里的信息移到另一个存储区，并标为坏扇区，然后将引导区的内容改为他们公司的产品名称、地址和电话号码。这一举措催生了世界上最早的计算机病毒²。

1987年，美国特拉华大学最早爆发了该病毒，随后英国和美国的其他大学和公司都发现了这一病毒。 巴基斯坦大脑病毒并没有给阿尔维兄弟带来牢狱之灾，大众和媒体对第一个计算机病毒的普遍态度是好奇。阿尔维兄弟接受了来自世界各地媒体的采访。他们的公司也在20多年后发展成为巴基斯坦最大的网络运营商。

巴基斯坦病毒的出现催生了反病毒软件市场。在军工企业洛克希德公司工作的程序员约翰·迈克菲(John McAfee)接触到巴基斯坦病毒后，发现了民众对病毒的恐慌所带来的商业机会，于是利用业余时间编写杀毒软件，并在1987年成立了全球首家反病毒软件公司迈克菲(McAfee Associates)。该公司通过采用共享软件的方式很快开辟出市场。

如果说巴基斯坦大脑病毒催生了迈克菲杀毒软件，那么1991年的米开朗琪罗病毒则让迈克菲公司成功上市，其杀毒软件被1.5万多家公司使用。巴基斯坦大脑病毒和米开朗琪罗病毒都是修改磁盘引导扇区的病毒，前者修改软驱里的磁盘引导区，后者能够修改计算机硬盘引导区，威胁性远远超过前者。1991年2月，米开朗琪罗病毒最早在澳大利亚被发现。1992年初，迈克菲公司宣布该病毒将很快全面爆发。果然在当年的3月6日，意大利文艺复兴巨匠米开朗琪罗生日这天，所有感染该病毒的IBM PC AT和PS/2型计算机及其兼容机都无法开机。潜伏在计算机中的病毒将硬盘的引导区清空，使得操作系统无法读取硬盘上存储的文件。迈克菲公司因为提前预报了这一病毒的爆发并提供了查杀方式而声名鹊起，同年10月该公司成功上市。

80年代末期苹果电脑已经占有一定的市场份额，所以也出现了为苹果麦金塔电脑编写杀毒软件的公司赛门铁克(Symantec)³。1990年赛门铁克收购了专门为DOS系统编写应用程序的诺顿(Norton)，将杀毒软件与诺顿应用软件整合到一起，推出了诺顿杀毒软件、防火墙等一系列系统安全和维护的软件。

90年代初的计算机领域面临上百种以引导区病毒为主的计算机病毒的威胁，而导致这一威胁的主因是当时如日中天的微软公司。微软公司为第一代IBM PC提供编译器时因为机缘巧合而不得不同时提供DOS操作系统。IBM在匆忙之间购买的操作系统埋藏了很多架构上的漏洞，比如允许用户直接控制和调用各种系统端口。这些漏洞成为后来十几年PC用户和系统维护人员的梦魇。整个90年代微软不断升级视窗操作系统，虽然占据了超过95%的个人电脑操作系统市场，却不过是包裹在DOS上的一件鲜亮外衣。PC机依靠DOS启动的安全隐患依然存在，引导区病毒借此发展得越来越强大。不过好在前网络时代这类病毒的传播速度和人与人之间通过磁盘等物理介质传递计算机文档的速度基本相当，所以大范围的病毒爆发并不普遍。而这一时期的杀毒软件都是在软盘启动后清理内存中的病毒，取得控制权后再清理隐藏在计算机硬盘扇区或者文件中的病毒。而查找这些病毒的方式是找到它们的数字指纹，所以更新升级病毒数据库里的病毒指纹以及提高病毒搜索引擎的搜索效率是这一时期网络安全的主要研究对象。

引导区病毒给计算机世界留下的最后重击是台湾大同工学院学生陈盈豪编写的CIH病毒。该病毒通过分装方式自动隐藏到微软的PE可执行文件中。到达预订日期后，CIH病毒不仅像传统引导区病毒那样感染覆盖硬盘驱动器的第一个兆字节，还可以改写配备闪存的主板BIOS。这意味着有些用户的计算机不但硬盘数据会丢失，还可能因为BIOS被感染而无法启动。1999年4月23日的CIH病毒大爆发，导致全球超过6000万台电脑遭到不同程度的破坏。

CIH病毒既是引导区病毒的高潮也是这类病毒的尾声。2000年起，视窗操作系统首次彻底脱离了DOS内核，系统所在的内存受到保护，只能通过系统访问，用户无法直接访问端口或者拦截文件操作。这些安全设计使得引导区病毒失去了以前的发展平台。不过此时黑客们已经有了更好的方法，因为互联网已经普及，借助网络传播的蠕虫(worm)成为计算机系统和数据安全面临的新威胁。

互联网蠕虫 

传统意义上的计算机病毒隐藏在正常程序中，并在用户使用程序时扩散，蠕虫病毒则以独立的程序存在，通过网络自动地从一台计算机传播到另一台计算机上。 1988年11月2日，康奈尔大学学生罗伯特莫里斯(Robert Morris)把他编写的一个蠕虫程序从麻省理工学院释放到当时仅仅链接美国联邦政府和大学科研机构的互联网上，感染了大约10%的互联网主机⁴，成为最早的计算机蠕虫。莫里斯也因此成名，不过他没有阿尔维兄弟那样幸运。1986年美国国会出台的《计算机欺诈及滥用法案》使他成为被该法案惩罚的第一人。

时间一晃到了2000年，互联网的商业化和在民间的普及把全世界连接在一起，也为计算机蠕虫的传播提供了更广阔的平台。这一年的5月5日迎来了首次计算机蠕虫大爆发，起点是菲律宾的马尼拉。这天早晨很多计算机用户在配备微软视窗的电脑上查看电子邮件时，会发现一封标题为“我爱你(ILOVEYOU)”的带VBS附件的邮件，如果用户打开附件，附件中的爱虫病毒就会在电脑后台自动复制，并把同样的邮件发送给用户通讯录里的所有人。短短几个小时之内，中国香港、欧洲、北美的大批计算机被感染。据不完全统计，在随后的10天内全球有超过5000万台计算机被感染，造成的损失达55亿~87亿美元，消除该病毒的总耗资为150亿美元。为了遏制病毒传播，美国的五角大楼、中央情报局，英国议会以及大批跨国公司不得不临时关闭邮件系统。

制造爱虫病毒的是来自菲律宾的一个23岁的穷学生欧乃·古兹曼。与莫里斯优越的成长环境截然相反⁵，古兹曼家境贫寒，在当地计算机专科学校读书的他因为没有足够的钱上网，靠自学掌握了盗用其他用户上网密码的黑客经验，并根据这一经验撰写了题为 《木马密码窃取者》的毕业论文。这篇论文惹怒了校长，使他没能获得毕业文凭，也使他最终让美国网络安全部门根据IP登录地址定位找到了他，并确定他为爱虫病毒的编写者。

蠕虫的泛滥仍然与微软独霸PC机操作系统市场有很大关系。从1995~2005年这段时间，微软通过视窗操作系统的不断升级来推动用户升级相应的办公和服务器软件，从而为其带来源源不断的现金流。这一市场策略导致每一个新款视窗系统的推出时间完全由市场驱动，没能经受充分测试，间接导致系统隐藏了大量漏洞。

为了修复漏洞，微软不得不在两次大的系统升级之间推出所谓的补丁版(service pack)，并且通过公告发布修复漏洞的具体信息。但事与愿违，黑客是关注这些公告的主要人群。从一个漏洞被发现到用户下载补丁来消除威胁，往往已经过去数月（盗版视窗软件则根本无法使用补丁）。而黑客在这期间早已利用漏洞编写出各种蠕虫程序。后来微软提高了补丁发布的频率和速度，但是黑客仍可通过暗网建立更加有效率的地下交易市场来鼓励新系统漏洞交易。

随着时间的推移，越来越多的蠕虫病毒开始演变为夹带后门(backdoor)或被称为特洛伊木马(Trojan)的新型计算机病毒。这种蠕虫和后门程序相结合的新病毒一改以往按照既定程序破坏用户计算机文件的方式，而是悄悄在系统后端安装一个客户端程序，利用操作系统的漏洞将用户对系统的控制权传递给远程的黑客服务器，让后者可以远程控制用户的计算机。2001年的红色代码(Code Red)蠕虫从第一代到第二代的演变就是这一现象的典型代表。 红色代码一代利用微软服务器IIS的缓存区溢出漏洞潜伏进系统中，在每个月的前19天通过网络感染其他服务器，在接下来的7天对固定IP地址进行拒绝服务攻击，最后几天进入休眠。红色代码第一代出现不到一个月就有了第二代。新的蠕虫感染计算机后，会释放出一个后门程序，让控制该蠕虫的黑客可以对被感染的计算机进行全面遥控。

黑客可以遥控被感染的计算机意味着信息安全进入了一个新的阶段：病毒程序开始与黑客的经济利益联系起来。包括虚拟币在内的各种网络支付手段的成熟对这一趋势起了推波助澜的作用。但是从另一个角度看，网络的成熟和普及也消除和切断了很多传统计算机病毒的传播渠道，比如谷歌等公司通过服务器端过滤能够消除几乎100%的通过电子邮件附件传播的病毒威胁；微软等公司在操作系统中内嵌了防火墙和程序隔离机制，并且将操作系统的升级方式转为自动从网络下载安装，大大降低了正版操作系统用户被感染的概率。网络的普及还大大减少了对移动存储的需求，使得靠存储物理介质来传播病毒的方式变得非常低效。这些因素的叠加使得黑客的病毒攻击方式更加隐蔽，于是催生了僵尸网络(BotNet)这一新的威胁信息安全的病毒模式。

僵尸网络 

僵尸网络出现之前，计算机病毒主要采取与宿主直接对立或者共同毁灭的攻击模式，占据宿主电脑屏幕空间、删除文件、清空硬盘，导致宿主电脑无法正常使用。而僵尸网络的始作俑者们则采取了更为隐蔽的攻击模式，为避免被发现，僵尸病毒尽量较少地占用系统资源，避免一切与主要攻击目的（比如散发垃圾邮件）无关的操作，尽量做到在宿主电脑中长期寄生并与其和平共存。

建立僵尸网络的黑客一般通过网络释放蠕虫和后门程序，暗中获得大量个人电脑的控制权。这些病毒大多通过用户下载和安装感染过的聊天程序、免费软件或者是P2P下载软件等方式植入电脑。每一个成型的僵尸网络都包含黑客的控制中心(C&C)和它所控制的大量僵尸电脑(Zombie)。 黑客通过远程操纵僵尸电脑进行各种盈利活动，比如发布各种垃圾邮件，对特定网站进行拒绝服务攻击，甚至用僵尸电脑进行比特币挖矿等。早期僵尸网络通讯借助的是网络中继聊天协议(IRC)⁶，后来随着家庭路由安全机制的不断完善，尤其是防火墙作为缺省配置的普及，中继聊天协议逐渐失去优势。

同一时期通过万维网协议形成的僵尸网络开始出现。2004年通过微软视窗电子邮件附件传播的蠕虫病毒Bagle形成了第一个万维网协议僵尸网络。它感染计算机取得后端控制权后不断发布各种垃圾邮件。 尽管它的最初版本很快被识别并清除，但后续版本却不断出现，感染了大量计算机。截至2009年12月，全球有15万~23万台电脑被该蠕虫的后续版本感染，形成颇具规模的僵尸网络。通过该网络发出的垃圾邮件一度占据全球垃圾邮件总量的10.39%。2007年前后，发源于东欧地区的宙斯(Zeus)蠕虫病毒所形成的僵尸网络以感染微软视窗系统为主，其目标是获取用户密码，尤其是银行账户的密码。2009年该蠕虫病毒攻克并获取了美洲银行、美国航空航天局、思科、亚马逊、甲骨文等单位的74000个FTP服务器的账户信息。

僵尸网络大规模爆发是在2010年前后。借助万维网协议形成的僵尸网络开始从数量和规模上超过借助网络中继聊天协议形成的僵尸网络。绝大多数电脑的万维网协议的80端口是开放的，所以能够为黑客的客户端控制程序提供更好的隐蔽方式和更简单的寻找新目标的渠道。

正是因为绝大多数被僵尸网络感染的计算机用户没有意识到被感染，所以僵尸网络一旦形成就可以存在数年而不被彻底清除。比如以盗取用户银行和金融账号信息为主的Ponmocup病毒到2015年才被媒体暴露，其已经存在了9年多，控制多达500多万台计算机，有25个不同的感染方式和4000个不同的变种。根据僵尸网络的监控组织影子服务器基金会的跟踪数据，目前至少有1500个不同的僵尸网络活跃在世界各地。一个僵尸网络可以控制上百万台计算机。从僵尸网络的数量上来看，以欧洲和北美居多，但从每个僵尸网络控制的计算机数量上来看，中国的大型僵尸网络数目偏多。

绝大多数僵尸网络通过盗取用户身份信息然后转售到地下市场获利。比如Avalanche、Metuji 和Mariposa专门窃取用户的身份信息，Methbot以控制僵尸计算机制造虚假广告点击获利，ZeroAccess则利用僵尸计算机的计算资源来进行比特币挖矿。这些僵尸网络给用户造成的损失是每天几万到数百万美元，其共同特征就是以微软视窗操作系统为主要感染平台。最近几年随着移动用户的不断增加，以安卓移动操作系统为主要感染对象的僵尸网络开始逐渐形成规模。

造成僵尸网络泛滥的一个重要的社会因素是黑客的分化。黑客在2000年前后分化成为多个不同的群体。这些群体中发展势头最快的是被称为“脚本小孩”的生手，他们没有开发病毒程序的经验和实力，而是靠别人编写的病毒程序来对网络计算机进行攻击。病毒商业化带来的诱惑使得少数具备编写病毒程序能力的专业级黑客与大批脚本小孩产生了分工与合作。前者通过网络匿名方式培训后者，通过后者购买其软件直接获得经济利益。由于病毒软件中夹带后门，脚本小孩们在使用这些软件获得网络计算机控制权的同时，也将控制权在不知情的情况下转交给了专业黑客。不难想象，随着这一趋势在世界各地不断出现和加强，各类病毒软件所控制的僵尸网络必然泛滥。

交易市场与网络战争 

僵尸网络的产生需要利用系统漏洞，所以基于网络的系统安全漏洞交易市场逐渐发展成熟起来。最初的交易市场只存在于暗网⁷，是专门交易零日漏洞(zero day vulnerability)的地下黑市，交易只在黑客之间进行。据迈克菲的战略和国际研究中心2014 年的一份报告估计，网络犯罪和网络间谍活动的成本每年大约1600亿美元，其中，系统漏洞的价值占据重要部分。

随着系统安全影响的扩大，各国政府和大型软件公司逐渐意识到可以通过交易市场来获得信息，于是也开始纷纷以各种形式介入其中，形成了所谓的灰色市场(gray market)。灰市与黑市的区别在于前者只交易理论上具有合法性的标的，比如系统的漏洞信息。而参与交易的双方，至少有一方具有公开身份，比如开发软件的公司或者是政府机构。

最近几年完全合法的以系统漏洞为主要交易标的的交易市场——白市(white market)——也开始出现，并占据越来越重要的地位。比如zerodium.com以软件公司或者政府机构直接给出买价的方式悬赏黑客发现的系统漏洞。近期数据显示，台式机操作系统的漏洞买价最高可以达30万美元，而移动操作系统由于受众庞大，其漏洞买价可以达到 150万美元。

很多业界人士认为，包括美国在内的主权政府完全有可能迫使信息领域的公司与其合作，在软硬件系统中预留后门。即便信息公司拒绝此类合作，民间黑客、高科技公司和政府机构仍然可以通过交易市场来获得信息。

在此市场体系中，主权政府扮演了重要角色，它们之间进行的网络战争所涉及到的资金和人力往往是民间黑客和高科技公司所无法匹敌的。

2014年，美国和以色列联手通过震网(Stuxnet)蠕虫病毒破坏了伊朗的核计划，这是军事网络攻击的成功案例。据《纽约时报》等美国主流媒体报道，为了精准攻击伊朗提纯核燃料使用的西门子离心机，以色列和美国的联合团队购入了西门子的同类型设备，在美国专门设计了震网病毒，使其不但能够辨认该设备，而且能够根据设备序号只攻击伊朗拥有的该类型设备。为了传播该病毒，以色列特工装扮成研究人员，混迹于伊朗核专家经常参加的国际会议中，将病毒隐藏在会议提供的用来分发论文的USB软盘上，最终使得该病毒到达了伊朗核工业的内部计算机网络。在随后的几个月时间里，通过让这些设备过度运转引起自毁的方式摧毁了伊朗所拥有的大部分离心机，成功遏制了伊朗核燃料提取进程。

除了军事目的，通过网络获取经济和政治情报，控制或者影响目标国的社会发展也成为网络安全的重要研究对象。据美国联邦调查局调查，2016年美国总统大选期间，俄罗斯政府通过网络钓鱼方式攻击美国民主党总部的邮件服务器，将偏袒希拉里的内部邮件内容公布，成功地影响了美国总统大选的结果，并使特朗普上台。

2017年，美国政府突然下令所有政府工作人员都不得使用俄罗斯网络安全公司卡巴斯基的杀毒软件。原因是，2014年承接了美国国家安全局(NSA)一个秘密软件开发任务的公司的一名雇员违反公司规定，把项目带回家，结果家里电脑上安装的卡巴斯基杀毒软件将该项目的信息当作恶意软件上传到俄罗斯总部服务器。后者发现该项目后按图索骥，获得了NSA囤积的一批重要攻击性病毒软件，并以网络黑客的名义将其公布到互联网上，其中的“永恒之蓝(EternalBlue)”成为WannaCry病毒的前身。

上世纪70年代冷战期间，美苏展开了耗资无数的军备竞赛。未来几年各国政府在网络战争方面投入的资金和人力估计会遵循同一轨迹。系统漏洞在可见的未来会依然存在，计算机用户对社工方式的试探仍然缺乏免疫力，计算机病毒的感染方式仍然会不断创新。目前人工智能领域的突破会帮助我们更好地识别各种潜在的安全威胁，但仍然无法根除。从另一个角度来看，系统漏洞或许已经成为形形色色的利益集团获取情报信息和控制目标的需求。

作者介绍 

点击“阅读原文”，加入CCF。