與其說(shuō)計(jì)算機(jī)網(wǎng)絡(luò)是一項(xiàng)技術(shù)，不如說(shuō)它是另一個(gè)「世界」。雖然這個(gè)「世界」為現(xiàn)實(shí)的我們提供了前所未有的發(fā)展，但是它卻是充滿了黑暗。本文我們就來(lái)聊聊，這個(gè)網(wǎng)絡(luò)世界的黑暗是如何開始的？

黑 和 白

我們的大概都知道，互聯(lián)網(wǎng)是由學(xué)術(shù)研究機(jī)構(gòu)發(fā)明，最初只用來(lái)連接少量的大學(xué)計(jì)算機(jī)。但互聯(lián)網(wǎng)往后的發(fā)展超乎人們的預(yù)期，互聯(lián)網(wǎng)由最初的科研項(xiàng)目逐漸發(fā)展成一個(gè)全球化的基礎(chǔ)設(shè)施，所連接的對(duì)象也由幾千個(gè)科研人員猛增到數(shù)全球十幾億無(wú)任何技術(shù)背景的普通人。

但是，國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(IETF)所做的一些決策導(dǎo)致了一些問(wèn)題，正是這些問(wèn)題阻礙了今天互聯(lián)網(wǎng)的發(fā)展。IETF 是一個(gè)由研究人員組成的小組，他們采用學(xué)院派和學(xué)術(shù)式方式討論和確定互聯(lián)網(wǎng)標(biāo)準(zhǔn)。

如果網(wǎng)絡(luò)連接的是一個(gè)由志趣相投的朋友所組成的團(tuán)體或是兩所互信的大學(xué)，這沒問(wèn)題。但是隨著互聯(lián)網(wǎng)的發(fā)展，許多不同類型的團(tuán)體和擁有不同文化背景的人群也接入到互聯(lián)網(wǎng)，這種建立在互信基礎(chǔ)上的方法就不再適用了。

IETF 制定的“簡(jiǎn)單郵件傳輸協(xié)議”(SMTP)就是一個(gè)例證。該協(xié)議用來(lái)幫助用戶在互聯(lián)網(wǎng)上收發(fā)電子郵件。最初的 SMTP 協(xié)議并不檢查發(fā)送方真實(shí)的網(wǎng)絡(luò)地址與郵件包頭中指定的地址是否一致。這讓“冒名頂替”行為有機(jī)可乘，惡意用戶可以使用一個(gè)偽造的源地址或非法 IP 地址生成 IP 數(shù)據(jù)包。

這種惡劣行為被廣泛用來(lái)隱藏發(fā)動(dòng)互聯(lián)網(wǎng)攻擊的源頭，網(wǎng)絡(luò)犯罪團(tuán)伙有可能使用這種技術(shù)，比如垃圾郵件的出現(xiàn)。

垃圾郵件是一些未經(jīng)接收方同意就發(fā)送來(lái)的商業(yè)郵件，通常采用批量群發(fā)的方式，一次可以發(fā)送給幾百萬(wàn)個(gè)電子郵件用戶。對(duì)于發(fā)送者而言，發(fā)送垃圾郵件需要支付的成本很小，但是只要有接收者做出回應(yīng)，哪怕占很小比例，也能產(chǎn)生相 當(dāng)可觀的“收益”。

1978 年，一位“熱心”的 DEC 公司銷售代表向阿帕網(wǎng)社區(qū)發(fā)送垃圾郵件，它是最早的垃圾郵件之一。從此以后，垃圾郵件的數(shù)量迅速增加。

據(jù) 2003 年的一項(xiàng)研究估計(jì)，在互聯(lián)網(wǎng)上傳送的電子郵件中，超過(guò)半數(shù)的都是垃圾郵件，并且 90% 以上的垃圾郵件僅由 150 個(gè)人發(fā)出。一項(xiàng)統(tǒng)計(jì)表明，截至 2011 年，網(wǎng)絡(luò)上的垃圾郵件數(shù)量已經(jīng)超過(guò)了全體郵件數(shù)的 80%。這些垃圾郵件不再是某個(gè)特定個(gè)人的行為，而是來(lái)自僵尸計(jì)算機(jī)或僵尸網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)由大量個(gè)人計(jì)算機(jī)組成，它們雖屬于普通用戶，但被惡意軟件控制， 能夠接受指令發(fā)送垃圾郵件。然而，幸運(yùn)的是，現(xiàn)在我們有了垃圾郵件過(guò)濾器， 它可以識(shí)別出大部分垃圾郵件，并直接把它們丟進(jìn)“垃圾箱”中。

惡意軟件用來(lái)非法訪問(wèn)某些計(jì)算機(jī)，以達(dá)到某些不可告人的目的，其中有些相對(duì)無(wú)害，而有些就是明顯的犯罪。

20 世紀(jì)七八十年代，UNIX 操作系統(tǒng)在各個(gè)大學(xué)和商業(yè)機(jī)構(gòu)廣泛使用，這讓其成為黑客的主要攻擊目標(biāo)，這些黑客們使用他們所掌握的技術(shù)非法訪問(wèn)目標(biāo)計(jì)算機(jī)的文件。

如今是個(gè)人計(jì)算機(jī)的天下微軟的 Windows 操作系統(tǒng)成為黑客的首要攻擊目標(biāo)。在許多情況下，黑客能夠獲取系高級(jí)權(quán)限，而戰(zhàn)斗的另一方是“白帽”，他們大多是計(jì)算機(jī)安全專家，專門負(fù)責(zé)查找系統(tǒng)安全漏洞，防止計(jì)算機(jī)系統(tǒng)遭受網(wǎng)絡(luò)攻擊。黑客發(fā)動(dòng)攻擊時(shí)所使用的技術(shù)多種多樣。

網(wǎng)絡(luò)間諜

克利夫·斯托爾（知名電腦安全專家，他在因特網(wǎng)發(fā)展初期瓦解了黑客集團(tuán)）在其黑客經(jīng)典書籍《杜鵑蛋》中描述了追蹤和起訴一名黑客艱辛又復(fù)雜的過(guò)程：

斯托爾是勞倫斯伯克利國(guó)家實(shí)驗(yàn)室的一名天文學(xué)家兼計(jì)算機(jī)系統(tǒng)管理員。這個(gè)實(shí)驗(yàn)室的計(jì)算機(jī)運(yùn)行的是 Berkeley UNIX 系統(tǒng)，擁有兩個(gè)會(huì)計(jì)軟件系統(tǒng)追蹤這些計(jì)算機(jī)的使用情況，一個(gè)是標(biāo)準(zhǔn)的 UNIX 實(shí)用程序，另一個(gè)是伯克利系統(tǒng)自帶的程序。

1986 年，在勞倫斯伯克利國(guó)家實(shí)驗(yàn)室計(jì)算機(jī)賬戶上出現(xiàn)了 75 美分的錯(cuò)誤，斯托爾據(jù)此推斷有人正在侵入實(shí)驗(yàn)室系統(tǒng)。他在實(shí)驗(yàn)室晝夜值守，每當(dāng)有計(jì)算機(jī)連接進(jìn)來(lái)就得到通知，因此記錄下入侵發(fā)生時(shí)的擊鍵動(dòng)作，結(jié)果令人驚訝。

入侵黑客使用了一個(gè)舊的不活躍的用戶，通過(guò)猜測(cè)密碼的方式，侵入了其中一臺(tái)計(jì)算機(jī)。進(jìn)入系統(tǒng)后，黑客利用 GNU-Emacs 編輯器程序中的一個(gè)漏洞欺騙了計(jì)算機(jī)，獲取了系統(tǒng)管理員權(quán)限，即超級(jí)用戶或根用戶權(quán)限。

通過(guò)這個(gè)漏洞，黑客把一個(gè)文件從用戶區(qū)移動(dòng)到系統(tǒng)管理員專用的內(nèi)存區(qū)域中。GNU 軟件沒有檢查那片區(qū)域是否在受保護(hù)的系統(tǒng)軟件內(nèi)存空間中。在進(jìn)入這塊特權(quán)區(qū)域后，黑客運(yùn)行了一個(gè)偽造的標(biāo)準(zhǔn) UNIX 程序——atrun，它每隔一段時(shí)間就會(huì)運(yùn)行隊(duì)列中的作業(yè)。

這個(gè)非經(jīng)授權(quán)程序就是“杜鵑蛋”，之所以取這個(gè)名字，是因?yàn)槎霹N總是喜歡把自己的蛋下到其他鳥巢中，欺騙其他鳥類把它作為自己的蛋孵化出來(lái)。

在運(yùn)行偽造程序之后，黑客獲得了系統(tǒng)管理員的超級(jí)用戶權(quán)限。然后，他把偽造程序恢復(fù)成真正的 UNIX atrun 程序，從系統(tǒng)日志中擦除自己的痕跡，這樣一來(lái)，系統(tǒng)管理員就不會(huì)發(fā)現(xiàn)有任何異常。黑客還掃描了所有包含“黑客”和“安全”字樣的電子郵件，使用他獲得的權(quán)限“殺死”任何可能監(jiān)視其行為的用戶程序。

情況變得極其嚴(yán)重：黑客可以閱讀所有人的郵件，訪問(wèn)或刪除任何文件，創(chuàng)建一個(gè)新的隱藏賬戶用作后門，方便他日后再次侵入計(jì)算機(jī)?，F(xiàn)在存儲(chǔ)在計(jì)算機(jī)中的所有數(shù)據(jù)都處在危險(xiǎn)之中。

而且，黑客使用獲得的超級(jí)用戶權(quán)限不僅可以訪問(wèn)伯克利實(shí)驗(yàn)室局域網(wǎng)中的其他所有計(jì)算機(jī)，而且還可以訪問(wèn)通過(guò)阿帕網(wǎng)連接到伯克利的其他計(jì)算機(jī)系統(tǒng)。

斯托爾還發(fā)現(xiàn)，黑客通過(guò)猜測(cè)密碼和使用未受保護(hù)的來(lái)賓賬戶等方式試圖侵入幾臺(tái)軍方計(jì)算機(jī)。令人驚訝的是，竟然還有大量軍事安全站點(diǎn)仍然使用默認(rèn)的出廠密碼作為超級(jí)用戶系統(tǒng)管理員密碼。

經(jīng)過(guò)長(zhǎng)期的追捕之后，美國(guó)聯(lián)邦調(diào)查局、中央情報(bào)局、國(guó)家安全局最終追蹤到了聯(lián)邦德國(guó)。這次入侵的始作俑者是馬庫(kù)斯·赫斯(Markus Hess)，他是聯(lián)邦德國(guó)黑客集團(tuán)的一份子， 他們從美國(guó)軍事計(jì)算機(jī)系統(tǒng)竊取敏感信息，然后轉(zhuǎn)手賣給別國(guó)。

伯克利黑客使用了另外一種技術(shù)來(lái)盜取密碼，即安裝“特洛伊木馬”程序。這種程序把惡意代碼隱藏在一個(gè)表面無(wú)害的程序內(nèi)，借機(jī)獲取計(jì)算機(jī)的控制權(quán)，并進(jìn)行破壞。在伯克利，黑客自己編寫標(biāo)準(zhǔn)登錄程序，用以捕獲用戶密碼。用戶使用這種程序登錄系統(tǒng)時(shí)會(huì)出現(xiàn)如下歡迎信息，看上去和真的登錄信息一樣:

歡迎登錄 LBL UNIX-4 計(jì)算機(jī)

請(qǐng)登錄賬戶名：

當(dāng)用戶輸入賬戶名之后，程序會(huì)繼續(xù)要求用戶輸入密碼。

請(qǐng)輸入密碼:

當(dāng)用戶輸入密碼之后，用戶名和密碼就會(huì)一起被復(fù)制到黑客指定的文件中。然后程序做出如下回復(fù)。

抱歉！請(qǐng)?jiān)僭囈淮巍?/p>

請(qǐng)輸入密碼：

當(dāng)用戶再次嘗試登錄時(shí)，就會(huì)進(jìn)入真正的登錄頁(yè)面，然后正常登錄，毫無(wú)察覺自己的賬戶和密碼已經(jīng)被竊取?，F(xiàn)在，這種特洛伊木馬技術(shù)經(jīng)常被用來(lái)竊取個(gè)人隱私信息和銀行賬戶信息。

病毒、Rootkit、蠕蟲病毒

從原則上說(shuō)，特洛伊木馬程序造成的破壞僅限于單一計(jì)算機(jī)。相比之下，計(jì)算機(jī)病毒更惡劣，它們可以傳播并感染其他計(jì)算機(jī)。病毒代碼是一小段指令，它們不是一個(gè)完整、獨(dú)立的程序，而附著在一個(gè)程序之中。

最初，計(jì)算機(jī)病毒通過(guò)受感染的軟盤傳播，但是現(xiàn)在它們更多的是通過(guò)互聯(lián)網(wǎng)進(jìn)行傳播，通常采用的方式是引誘用戶點(diǎn)擊貌似無(wú)害的電子郵件附件，比如照片或文檔 等。“大腦”病毒是最早的計(jì)算機(jī)病毒之一。

1986 年， 一對(duì)巴基斯坦兄弟編寫出了 “大腦”病毒，攻擊的目標(biāo)是個(gè)人計(jì)算機(jī)運(yùn)行 MS-DOS 時(shí)所用的引導(dǎo)軟盤。引導(dǎo)軟盤有自己的操作系統(tǒng)，通常用來(lái)重啟失敗的系統(tǒng)或者安裝一個(gè)新操作系統(tǒng)。

當(dāng)個(gè)人計(jì)算機(jī)從受感染的磁盤啟動(dòng)時(shí)，在執(zhí)行 MS-DOS 代碼之前，計(jì)算機(jī)會(huì)先加載“大腦”病毒。通過(guò)把病毒在軟盤上的安裝扇區(qū)標(biāo)記為壞區(qū)，病毒將自己隱藏起來(lái)。

如果用戶實(shí)際查看磁盤的引導(dǎo)代碼，看到的將是原先未受感染的代碼，而不是包含病毒的代碼?！按竽X”病毒的危害性相對(duì)較小，其主要目的是為那對(duì)兄弟的公司打廣告，病毒會(huì)顯示公司的名稱和聯(lián)系方式，這是一個(gè)真正的“病毒式廣告”。

在“大腦”病毒之后，黑客們編寫出了數(shù)以千計(jì)的新病毒，這些病毒往往采用新型傳播技術(shù)，借以增強(qiáng)傳播效果。其中最引人注目的是 1987 年在德國(guó)出現(xiàn)的“瀑布”病毒，它會(huì)讓屏幕上的字符向屏幕底部掉落，“瀑布”病毒由此得名。這個(gè)病毒還使用了加密技術(shù)，把信息轉(zhuǎn)換成密碼，隱藏了其內(nèi)部工作細(xì)節(jié)，將病毒的復(fù)雜度推向一個(gè)新臺(tái)階。

20 世紀(jì) 90 年代，計(jì)算機(jī)病毒爆發(fā)式增長(zhǎng)催生了一個(gè)全新的行業(yè)，即反病毒行業(yè)，涌現(xiàn)了一大批反病毒公司，研發(fā)了大量反病毒軟件，以對(duì)抗計(jì)算機(jī)病毒。

第一次使用“計(jì)算機(jī)病毒”這個(gè)術(shù)語(yǔ)的人名叫萊恩·艾德曼(Len Adleman)，他是南加州大學(xué)的教授，因在密碼學(xué)方面所做的杰出貢獻(xiàn)而聲名遠(yuǎn)播。

弗雷德·科恩(Fred Cohen)是艾德曼的學(xué)生，從事計(jì)算機(jī)病毒研究工作，科恩把計(jì)算機(jī)病毒定義為“一段可以感染其他計(jì)算機(jī)程序的程序，計(jì)算機(jī)病毒會(huì)修改被感染的計(jì)算機(jī)程序，使之包含一個(gè)自身副本”。

1983 年 11 月，科恩演示了一個(gè)可以感染 UNIX 文件目錄程序的計(jì)算機(jī)病毒。在做了其他一些程序感染實(shí)驗(yàn)之后，科恩認(rèn)為，探查計(jì)算機(jī)病毒從理論上來(lái)說(shuō)是很難的。

1986 年，科恩發(fā)表了自己的博士論文，指出沒有什么辦法能夠準(zhǔn)確地探測(cè)到計(jì)算機(jī)病毒。我們所能做的最多就是綜合運(yùn)用各種技巧和信息技術(shù)(有時(shí)稱為探索法)對(duì)我們的猜測(cè)提供支持。

有很多病毒采用隱藏技術(shù)把自己隱藏起來(lái)，防止被系統(tǒng)管理員和診斷程序發(fā)現(xiàn)，“大腦”病毒就是最早運(yùn)用這項(xiàng)技術(shù)的病毒之一。

在 UNIX 系統(tǒng)中，擁有最高權(quán)限的賬戶名是 root，我們有時(shí)把可以向用戶提供 root 權(quán)限的軟件稱為 Rootkit?，F(xiàn)在，“Rootkit”這個(gè)術(shù)語(yǔ)常指那些應(yīng)用了隱藏技術(shù)的惡意軟件，對(duì)于這些惡意軟件，反病毒軟件和標(biāo)準(zhǔn)系統(tǒng)工具往往很難發(fā)現(xiàn)它們。

2005 年， Rootkit 開始走入公眾視野，索尼音樂公司把反盜版保護(hù)軟件放入 2000 萬(wàn)張音樂 CD 中。當(dāng)計(jì)算機(jī)讀取 CD 時(shí)，這個(gè)軟件就會(huì)被偷偷地安裝進(jìn)計(jì)算機(jī)系統(tǒng)，它通過(guò)修改操作系統(tǒng)來(lái)防止人們拷貝 CD。而且，這個(gè)軟件也很難被從計(jì)算機(jī)系統(tǒng)中移除，并且采用了惡意軟件中常用的隱藏技術(shù)把自己隱藏起來(lái)。

2005 年 10 月，計(jì)算機(jī)安全研究員馬克·魯西諾維奇在他的博客上發(fā)表了一篇文章，從技術(shù)上詳細(xì)介紹了索尼的這個(gè) Rootkit，這樁丑聞才被曝光。

魯西諾維奇還發(fā)現(xiàn)索尼的 Rootkit 產(chǎn)生了新的安全漏洞，并且有可能導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。最初，索尼公司對(duì)這個(gè)事件回應(yīng)說(shuō)：“大多數(shù)人根本不知道 Rootkit 為何物，既然如此，他們又何必在意呢?”

但是，索尼公司最終召回并更換了受影響的 CD，廢棄了版權(quán)保護(hù)軟件。對(duì)這次事件，芬蘭安全公司 F-Secure 的首席研究官米克·海坡倫評(píng)論道：在惡意軟件歷史上，索尼 Rootkit 事件影響深遠(yuǎn)。這次事件不僅讓人們知道了 Rootkit，還好好教訓(xùn)了一下傳媒公司，讓這些公司明白，暗地里做數(shù)字版權(quán)保護(hù)是不對(duì)的。

蠕蟲

“計(jì)算機(jī)蠕蟲”這個(gè)術(shù)語(yǔ)通常指那些可以在計(jì)算機(jī)之間進(jìn)行傳播的惡意軟件，但與計(jì)算機(jī)病毒不同的是，蠕蟲病毒是一個(gè)完整的程序，具備自我復(fù)制的能力。

1978年，在施樂帕克研究中心，約翰·肖奇嘗試設(shè)計(jì)一個(gè)程序，用來(lái)搜尋以太網(wǎng)中閑置的 Alto 計(jì)算機(jī)，啟動(dòng)它們來(lái)做一些工作，并進(jìn)行自我復(fù)制，把副本發(fā)送到網(wǎng)絡(luò)中其他空閑的機(jī)器。

在其中一次嘗試中，肖奇設(shè)計(jì)的程序出現(xiàn)了問(wèn)題，但他并沒有注意到，那個(gè)程序就那樣運(yùn)行了一個(gè)通宵，不久肖奇就被憤怒的用戶吵醒了，用戶們抱怨肖奇把他們的 Alto 計(jì)算機(jī)搞崩潰了。

事實(shí)證明，消除這個(gè)蠕蟲病毒是很難的，不過(guò)幸運(yùn)的是，肖奇事先在這個(gè)蠕蟲程序中放入了一個(gè)“自殺膠囊”，肖奇可以啟動(dòng)它來(lái)消滅蠕蟲程序。肖奇把他的這個(gè)程序稱為“蠕蟲”(worm)，靈感來(lái)自于“絳蟲”(tapeworm)這個(gè)詞，在約翰·布魯諾的科幻小說(shuō)《沖擊波騎手》中指可以自己運(yùn)行的軟件。

1988 年，“因特網(wǎng)蠕蟲”攻擊了阿帕網(wǎng)，這讓計(jì)算機(jī)“蠕蟲”走入公眾視野?？死颉に雇袪柲菚r(shí)在哈佛大學(xué)，他對(duì)因特網(wǎng)蠕蟲做了生動(dòng)詳盡的描述:

就在我“殺掉”一個(gè)蠕蟲程序的同時(shí)，另一個(gè)蠕蟲程序出現(xiàn)了。我把它們?nèi)壳宄?，但不到一分鐘，它們又回?lái)了。在 3 分鐘里，它們的數(shù)量就增至一打。

斯托爾把這次正在發(fā)生的蠕蟲攻擊事件告訴了美國(guó)國(guó)家安全局首席科學(xué)家鮑勃·莫里斯，斯托爾在伯克利黑客事件調(diào)查中結(jié)識(shí)了莫里斯。

幾個(gè)小時(shí)后，有位美國(guó)國(guó)家安全局的工作人員打電話給斯托爾，質(zhì)問(wèn)這個(gè)蠕蟲程序是否是他編寫的，斯托爾錯(cuò)愕不已而且很不高興。

正當(dāng)美國(guó)境內(nèi)其他阿帕網(wǎng)節(jié)點(diǎn)的系統(tǒng)管理員忙于解密蠕蟲程序時(shí)，斯托爾開始追蹤最初放出蠕蟲的地點(diǎn)。

最大的諷刺是，斯托爾最后追蹤到了小鮑勃·莫里斯，他是康奈爾大學(xué)的一名研究生，同時(shí)也是在 NSA 工作的鮑勃·莫里斯的兒子。

莫里斯蠕蟲不是第一個(gè)蠕蟲程序，但它是最具破壞性的蠕蟲程序之一。據(jù)斯托爾估計(jì)，莫里斯蠕蟲在短短 15 個(gè)小時(shí)內(nèi)就感染了 2000 多臺(tái)計(jì)算機(jī)。

莫里斯蠕蟲是惡意軟件的一次重大升級(jí)，原因有二：

• 第一，在嘗試入侵計(jì)算機(jī)系統(tǒng)方面，莫里斯蠕蟲幾乎應(yīng)用了所有黑客可能用到的技巧。給定攻擊目標(biāo)之后，蠕蟲首先會(huì)檢查它是否被自動(dòng)賦予在其他計(jì)算機(jī)運(yùn)行程序的權(quán)限，然 后它會(huì)嘗試一長(zhǎng)串常用密碼。如果這些嘗試均告失敗，蠕蟲就會(huì)嘗試一些系統(tǒng) 漏洞，比如 UNIX Sendmail 程序的缺陷，美國(guó)國(guó)家安全局的計(jì)算機(jī)專家對(duì)這個(gè)漏洞很熟悉。

• 第二，當(dāng)所有嘗試都失敗之后，莫里斯蠕蟲就會(huì)利用一種名為 “緩沖區(qū)溢出”的新型漏洞。UNIX 操作系統(tǒng)是使用 C 語(yǔ)言編寫的。

第一本講解 C 語(yǔ)言的圖書由貝爾實(shí)驗(yàn)室的研究員布萊恩·柯林漢和丹尼斯·里奇撰寫。在這本書中介紹了如何編寫一個(gè)程序借助一塊內(nèi)存區(qū)域（這塊區(qū)域被稱為“緩 沖區(qū)”）把一系列輸入字符讀入到計(jì)算機(jī)內(nèi)存中。

在給出的示例代碼中，雖然指定了緩沖區(qū)的大小，但是并未對(duì)輸入的實(shí)際字符數(shù)是否超過(guò)這塊緩沖區(qū)的尺寸做檢查。

小莫里斯發(fā)現(xiàn)，這些超出的字符會(huì)覆蓋掉程序的其他數(shù)據(jù)和指令。通過(guò)在這些溢出的字符中放入特定的機(jī)器指令，就可以利用這個(gè)漏洞獲取 root 權(quán)限。

小莫里斯還對(duì)病毒軟件進(jìn)行了加密，使人們很難發(fā)現(xiàn)程序都做了什么，此外還使用了幾種防檢測(cè)技術(shù)。莫里斯蠕蟲感染了幾千臺(tái)計(jì)算機(jī)，系統(tǒng)管理員需要花幾天時(shí)間才能把這種蠕蟲殺掉。1990 年 5 月，莫里斯被定罪，緩刑 3 年，被判做 400 個(gè)小時(shí)社區(qū)服務(wù)和支付?10000?美元罰款。

小鮑勃·莫里斯還在康奈爾大學(xué)讀研究生期間，編寫了第一個(gè)在阿帕網(wǎng)上傳播的蠕蟲程序。他是第一個(gè)被美國(guó)《計(jì)算機(jī)欺詐與濫用法》判定有罪的人。

對(duì)于小莫里斯而言，最終的結(jié)局還不錯(cuò)。在被定罪之后，施樂帕克研究中心邀請(qǐng)他成為實(shí)習(xí)生，現(xiàn)在他是麻省理工學(xué)院的終身教授。

然而，不幸的后果是，莫里斯蠕蟲向人們展示了一種新的計(jì)算機(jī)攻擊方法，即緩沖區(qū)溢出攻擊。

絕大多數(shù) UNIX 和 Windows 操作系統(tǒng)中存在這種未經(jīng)檢查的內(nèi)存緩沖區(qū)。1996 年，一位名叫“Aleph One”的黑客在網(wǎng)絡(luò)上貼出了詳細(xì)的“使用指南”，自此之后，緩沖區(qū)溢出攻擊就成為黑客們常用且相對(duì)簡(jiǎn)單的技術(shù)。?

據(jù)統(tǒng)計(jì)，1992 年，計(jì)算機(jī)病毒或蠕蟲數(shù)量大約有 1300 多個(gè)，1996 年超過(guò) 10000 個(gè)，2002 年突破 70000 個(gè)。到 2003 年，爆發(fā)了 Slammer 蠕蟲病毒，其傳播速度比以往的任何一種惡意軟件都快，僅僅在 10 分鐘內(nèi)就感染了 75000 臺(tái)計(jì)算機(jī)。

僵尸網(wǎng)絡(luò)

近十年來(lái)，以盈利為目的的黑客行為急劇增長(zhǎng)，這些行為大多是犯罪組織所為。僵尸網(wǎng)絡(luò)由大量被控制的計(jì)算機(jī)組成，這些計(jì)算機(jī)在所謂的 “僵尸網(wǎng)絡(luò)牧人” 的控制下做一些“非法”行為。“僵尸”(bot)是機(jī)器人程序（robot program）的縮寫，有時(shí)這些受控計(jì)算機(jī)也被稱為“僵尸計(jì)算機(jī)”。?

僵尸網(wǎng)絡(luò)能夠用來(lái)對(duì)特定網(wǎng)站發(fā)動(dòng)“拒絕服務(wù)攻擊（DoS）”，它們會(huì)對(duì)目標(biāo)站點(diǎn)發(fā)起鋪天蓋地的“請(qǐng)求”轟炸，迫使目標(biāo)系統(tǒng)關(guān)閉，拒絕為正常用戶提供服務(wù)，最終導(dǎo)致目標(biāo)站點(diǎn)處于癱瘓狀態(tài)。僵尸網(wǎng)絡(luò)還能用來(lái)發(fā)送垃圾郵件或者通過(guò)記錄鍵盤(捕獲用戶擊鍵動(dòng)作)來(lái)竊取個(gè)人信息。

Conficker 僵尸網(wǎng)絡(luò) 是一個(gè)例子，它首次出現(xiàn)在 2008 年。據(jù)估計(jì)，全世界受感染的計(jì)算機(jī)超過(guò)了 1000 萬(wàn)臺(tái)，每天可發(fā)送的垃圾郵件數(shù)大約 100 億封，數(shù)量之大令人難以置信。?

2012 年一份微軟的報(bào)告指出：

在過(guò)去兩年半的時(shí)間里，全世界檢測(cè)到的 Conficker 蠕蟲病毒大約有 2.2 億次，它成為各個(gè)公司最大的威脅之一。相關(guān)研究還顯示蠕蟲病毒仍在繼續(xù)在擴(kuò)散，這是因?yàn)橛脩羰褂昧巳蹩诹罨蛘呙艽a已經(jīng)被泄露出去，還有相當(dāng)一部分用戶未能及時(shí)對(duì)系統(tǒng)打安全補(bǔ)丁，導(dǎo)致系統(tǒng)中存在易受攻 擊的漏洞。

在另外一個(gè)例子中，微軟數(shù)字犯罪應(yīng)對(duì)小組和金融機(jī)構(gòu)、美國(guó)聯(lián)邦調(diào)查局合作，一起摧毀了 1400 多個(gè) Citadel 僵尸網(wǎng)絡(luò)，這些僵尸網(wǎng)絡(luò)給商業(yè)公司、機(jī)構(gòu)和個(gè)人用戶造成的損失超過(guò)了 5 億美元。

最后一個(gè)例子特別令人擔(dān)憂，這就是 Nitol 僵尸網(wǎng)絡(luò)。在這種網(wǎng)絡(luò)中，微軟發(fā)現(xiàn)通過(guò)非安全的供應(yīng)鏈購(gòu)買的全新個(gè)人計(jì)算機(jī)中，約有 20% 的機(jī)器已經(jīng)感染了 Nitol 惡意軟件。

介于制造商和消費(fèi)者之間的供應(yīng)鏈變得逐漸不安全，其中有些分銷商或經(jīng)銷商從未知或未經(jīng)授權(quán)的渠道進(jìn)貨或銷售產(chǎn)品。在 Operation b70 行動(dòng)中，我們發(fā)現(xiàn)零售商銷售的計(jì)算機(jī)中大都安裝了盜版 Windows 軟件， 內(nèi)置有害的惡意軟件。

Nitol 惡意軟件特別令人擔(dān)憂，因?yàn)樗梢越柚?U 盤傳播到其他人的計(jì)算機(jī)中。

網(wǎng)絡(luò)戰(zhàn)爭(zhēng)

惡意軟件的最新升級(jí)讓使用蠕蟲病毒發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)成為可能。網(wǎng)絡(luò)戰(zhàn)爭(zhēng)是一種具有政治色彩的黑客行為，目的在于竊取國(guó)家機(jī)密或進(jìn)行網(wǎng)絡(luò)破壞。

人們確信，2010 年夏天發(fā)現(xiàn)的“震網(wǎng)”蠕蟲病毒是美國(guó)和以色列的計(jì)算機(jī)專家設(shè)計(jì)的，攻擊目標(biāo)是位于伊朗納坦茲的鈾濃縮工廠的離心機(jī)。

該工廠被懷疑在制造鈾彈。鈾礦石中含有常見的 鈾-238 同位素，若想從中分離出稀少的核彈級(jí) 鈾-235 同位素，就要用到高速離心機(jī)。

西門子公司制造的工業(yè)控制系統(tǒng)管理著納坦茲工廠的離心機(jī)。這個(gè)控制系統(tǒng)使用了一個(gè)專用計(jì)算機(jī)——可編程邏輯控制器(PLC)，用戶可以使用西門子的 Step-7 軟件對(duì)其進(jìn)行編程。

“震網(wǎng)”蠕蟲病毒利用了微軟 Windows XP 操作系統(tǒng)中幾個(gè)未被披露的漏洞（零日漏洞）來(lái)幫助自己在這家工廠的計(jì)算機(jī)中進(jìn)行傳播。

以此，“震網(wǎng)”蠕蟲取得了計(jì)算機(jī)的控制權(quán)，并使用自身代碼取代了西門子的 Step-7 PLC 代碼。

這段代碼對(duì)離心機(jī)的運(yùn)行進(jìn)行了篡改，但是反饋給操作員的運(yùn)行報(bào)告卻是“一切正?！?。Step-7 惡意軟件使用了 Rootkit 技術(shù)來(lái)隱藏自身。

這個(gè)蠕蟲代碼的編寫者需要精通 Windows 和西門子工業(yè)控制系統(tǒng)，還要有納坦茲鈾濃縮廠離心機(jī)的詳細(xì)安裝信息。

“震網(wǎng)”蠕蟲病毒很可能是經(jīng)過(guò) U 盤傳播到納坦茲鈾濃縮廠的，因?yàn)檫@家工廠與互聯(lián)網(wǎng)是隔離的，其中的計(jì)算機(jī)無(wú)法連接到互聯(lián)網(wǎng)。

《紐約時(shí)報(bào)》記者戴維·桑格的著作《面對(duì)與隱藏》(Confront and Conceal)中描寫了“奧運(yùn)會(huì)行動(dòng)”（operation Olympic Games，震網(wǎng)蠕蟲病毒開發(fā)和投放代號(hào)），詳細(xì)描述了震網(wǎng)蠕蟲病毒是如何進(jìn)入互聯(lián)網(wǎng)的。

“震網(wǎng)”蠕蟲病毒造成了多大損失呢?

一份報(bào)告指出，“震網(wǎng)”蠕蟲病毒 大約感染了納坦茲工廠的 1000 臺(tái)離心機(jī)，大約有 10% 的離心機(jī)需要更換。

從長(zhǎng)遠(yuǎn)來(lái)看，發(fā)生在納坦茲鈾濃縮工廠的網(wǎng)絡(luò)攻擊具有非常重要的警示意義，那就是“震網(wǎng)”蠕蟲病毒證明了惡意軟件有能力攻擊大量工業(yè)控制系統(tǒng)，這對(duì)現(xiàn)代世界中的關(guān)鍵性基礎(chǔ)設(shè)施造成了巨大威脅。

本文節(jié)選自《計(jì)算思維史話》，計(jì)算機(jī)科學(xué)的科普讀物，以通俗易懂的方式講解計(jì)算機(jī)科學(xué)的起源與根基。

微軟研究院副總裁托尼·海依十年磨一劍

寫給大眾的計(jì)算機(jī)科普書

比爾·蓋茨傾情推薦

托尼·海依，奎利·帕佩 | 著

武傳海，陳少蕓 |?譯

如今，計(jì)算機(jī)幾乎影響著我們生活的方方面面，從社交的方式到汽車的安全性能，都離不開計(jì)算機(jī)。那這一切到底是如何在短短50 年內(nèi)發(fā)生的呢？本書帶領(lǐng)我們踏上了關(guān)于計(jì)算的旅程，從 20 世紀(jì) 30 年代早期的計(jì)算機(jī)到今天的前沿研究，均有涉獵。

在這一過(guò)程中，作者詳述了軟硬件背后的理念、算法的神奇、摩爾定律的精準(zhǔn)預(yù)測(cè)、個(gè)人計(jì)算機(jī)的誕生、互聯(lián)網(wǎng)的發(fā)展、IBM 的沃森等人工智能的興起、《我的世界》等新一代游戲、谷歌與 Facebook 的崛起以及可能改變未來(lái)的量子計(jì)算。

本書還介紹了技術(shù)領(lǐng)域的夢(mèng)想家和發(fā)明家的傳奇故事，正是他們把偉大的技術(shù)帶到了現(xiàn)代世界的每個(gè)角落。本書的故事激動(dòng)人心，文字淺顯易懂，圖文并茂，深入淺出，為任何想知道智能手機(jī)從何而來(lái)以及未來(lái)我們將走向何方的人打開了計(jì)算世界的大門。