“僵尸”电脑之谜
【“僵尸”电脑之谜】
公元2000年2月7日,对雅虎网站来说,不啻为一个黑色的日子。作为世界互联网最大的信息门户和电子商务网站之一的它,一早便突遭黑客入侵。大量信息包以及铺天盖地的无意义数据以每秒超过1000兆位的速度席卷了雅虎的主要网路,这个速度相当于每分钟接收50多万个电子邮件。它的瘫痪无异于电子商务世界的天下大乱。
随后,网路恢复正常。还没等大家缓过神来,黑客再次入侵,大量无用信息又一次垄断整个网络。这一次,雅虎失去了一个主要网络服务供应商的全部网路。网站因此被迫停顿了数小时。黑客来自何处无从追查。
令雅虎网络技术员瞠目的是,雅虎与之分享数据的几家网络服务提供商在不知情的情况下也参与了入侵行动。更不可思议的是,一条线索竟指向了雅虎网本身的计算机!这样的大型网站还是第一次遭到如此大规模的入侵。这次入侵的波及面非常广泛,大学以及政府的许多计算机都受到控制,成为所谓的“僵尸”电脑。网络专家认为这属于dos攻击,也就是拒绝服务攻击。
该攻击的厉害之处在于,攻击发生时,入侵者很容易记录或者跟踪信息;一旦攻击结束,他在被入侵网站的所有证据也都自动消失,要从中找到有关入侵者的蛛丝马迹实属不易。
出现这种现象的原因到底是什么?谁才是真正的幕后黑手?究竟意欲何为?众说纷纭,莫衷一是。最好的假设是:一群年轻的电脑黑客在测试系统;最糟糕的则是:一个国际恐怖组织对北美电子商务中的这块“宝石”图谋不轨。
雅虎系统管理员则根据这次攻击波及的范围和系统的瘫痪程度,分析认为,这绝不是单个电脑黑客发起的攻击行为,也决不是利用下载的盗版破坏软件进行攻击的业余爱好者所为,罪魁祸首很可能是一群技艺精湛、经验丰富的专业人员。此次攻击结束时,记录雅虎遭袭的数据洪流纸张,足以填满60辆卡车。
然而噩梦远没有停止。2月8日上午刚过9点,购物网,这个非常成功的在线虚拟商店开始对投资者提供它的首批货物,但是到了10点50分,黑客入侵网络系统,网络速度一落千丈,结果导致众多零售商离线。
紧接着当日下午,ebay网遭侵,网络速度缓慢,图像支离破碎,用户人群惊恐不已。就连亚马逊网,这颗电子商务皇冠上的宝石,也未能幸免;据估计,连续两天的拒绝服务攻击,让其损失了数十亿美元。更令人感到后怕的是:电脑黑客既然能够一举入侵亚马逊网,那么破解客户的信用卡号码、密码进而入侵个人电脑也并非难事。亚马逊网开始面临前所未有的信任危机。接下来的两天,尚未过瘾的攻击发动者还将黑手伸向了媒体和股票交易公司。
2月9日,cnn——美国有线新闻网——遭到攻击,一贯作为美国新闻发源地的它,竟上了各个新闻媒体的头版头条。2月10日,在线股票交易公司达特克和e-trade,这两个美国商务活动的重要机构,随着网络的运转中断而进入危机状态。
这起电脑攻击事件立即引起了政府的广泛关注,华盛顿方面甚至认为这并不是单纯的网络入侵事件,而是针对美国的恐怖袭击。政府准备还击了,可对手究竟藏身何处呢?
这次的网络遭袭事件,让互联网的安全性成为美国联邦调查局、司法部的关注对象。这些机构中有一部分拥有丰富经验、能够对付各类网络犯罪的计算机侦探。他们开始从聊天室里寻找线索。联邦调查局计算机入侵案件调查小组的警探经常会花上很长的一段时间和一些电脑黑客进行无意义的聊天,希望以此获得破案信息。
就在2月7日晚上,一个化名为“黑手党男孩”的电脑黑客突然出现在聊天室里。“黑手党男孩”吹嘘自己技艺高超,并声称当天的电脑入侵就是他的杰作,而且还扬言,还要发动一次重要攻击。
由于自称入侵雅虎网站的人层出不穷,他的话并没有引起警方的注意。当晚,有人在网络上怂恿说cnn和ebay、e-trade是不错的进攻目标。就在第二天,cnn和他旗下1200个网站果然遭袭。当天晚上,“黑手党男孩”再次出现在聊天室,称此次攻击是他的又一项杰作。调查人员将视线投向了“黑手党男孩”。
通过仔细检查,调查人员发现电脑黑客控制了大约5台强大的“僵尸”电脑,并将它们作为入侵行动的先锋。其中包括圣巴巴拉的加利福尼亚大学,还有阿尔伯达、丹麦和韩国大学的电脑。
警方首先需要弄清楚的问题是:入侵cnn、亚马逊和雅虎网站的工具到底是不是“黑手党男孩”创建的?
在聊天室里,一名电脑黑客承认工具是由他创建的,这无疑为调查工作提供了重要线索。他说,入侵工具是一种小而强大的程序——tfn。这套程序软件威力非常强大,只要保证信息准确,这套程序就足以让互联网无法正常运行,甚至陷入瘫痪。
他说,掌握这套程序的只有他和他的6个朋友,并且还解释说,这套工具的原程序中包括一个警告说明,其中指出它不适于在公共网络使用,否则后果自负。他还对使用这套程序的人分别进行了注册,“黑手党男孩”赫然在列。
调查人员来到加利福尼亚大学对一台在线操作的台式电脑进行检查。他们发现计算机被安装了拒绝服务工具,而工具的注册人就是“黑手党男孩”!现在,罪魁祸首的身份已经明了,但他们仍然无法相信如此巨大的电脑入侵事件竟然是一人所为。为了一探究竟,调查人员决定跟踪“黑手党男孩”的ip地址。
当调查正在紧张有序地展开时,另一起攻击事件发生了。2月12日,戴尔电脑公司声称它的网络系统遭到攻击,网路出现阻塞。戴尔安全程序员发现电脑黑客和加拿大东部城市蒙特利尔的网络服务提供商有关。
这次,警方将戴尔网络遇袭的消息严密地封锁了起来,但是,“黑手党男孩”却对还未公开的情况了如指掌,主动在网上聊起了戴尔被入侵的事情,并且再次吹嘘了自己的精湛技艺,洋洋自得,忘乎所以。至此,他已是作案人无疑。不过,非常狡猾的他使用了多个ip地址来逃避追查。
2000年2月13日,也就是雅虎遭袭的第7天,调查人员将搜索范围缩小到了两个网络服务提供商身上。巧合的是,两者都位于蒙特利尔。由于嫌疑犯在加拿大,这起计算机犯罪演变成了一桩国际案件。美国司法部长亲自过问这件案子,并不断给执法部门施加压力,希望快速解决问题,惩治元凶。
2000年2月14日,在最初攻击发生一周之后,美国司法部与加拿大皇家骑警队取得了联系。加拿大皇家骑警队计算机犯罪专家马克发现,1999年发生的一起计算机入侵案件涉及蒙特利尔的一位电脑黑客。他轻而易举就破解了电脑密码,径直闯入网络服务提供商的网络系统,并建立了外壳账号,控制了主要服务器,破坏了程序运行。调查发现,电脑黑客住在蒙特利尔。
1998年,连接到他家里的两个账户曾因被怀疑有不轨行为遭到关闭。虽然加拿大法律对待电脑黑客的态度和美国法律系统一样强硬,但是在1999年的案件中,马克的证据不足以获得窃听许可,所以也无从对他们进行定罪。
直觉告诉马克,该黑客很可能就是警方在蒙特利尔要找的“黑手党男孩”。为了尽快找出这只幕后黑手,警方开展了网络侦查行动。2月16日,警方安装了dnr,也就是拨号记录机,它不像窃听电话那样记录通话录音,而是保存所有进出的号码,相当于网络的一个呼叫身份识别系统,由此就能跟踪嫌疑犯打出的所有电话。
2月25日,马克获得了中途拦截所有数据的许可。此外,警方还建立了一个探测器,以便找到电脑黑客的ip地址,并跟踪他的交往情况。在网络系统中,探测器比窃听装置更具有优势,它不产生信息量,所以不易被电脑黑客察觉,而它却可以监控密码,获取用户的姓名,并进行入侵探测。
监测结果表明,马克所怀疑的居住在蒙特利尔的电脑黑客就是“黑手党男孩”!在监测过程中,警方发现“黑手党男孩”在网上频繁活动。监测期间,他非法进入了世界各地多台计算机,而这些计算机又属于不同的网络系统,其中有8个是大学的网络系统。警方对他的情况已经了如指掌,比如他的兴趣,他访问的网站类型,下载文件的类型等等。
3月16日,大量电子信息开始在“黑手党男孩”的居所进出。面对中途拦截的大量信息数据,警方担心“黑手党男孩”正在蓄谋进行另一次拒绝服务攻击。他们必须阻止另一轮计算机攻击的开始。
警方决定收网。2000年4月15日,警方逮捕了“黑手党男孩”——一个少年,并且将他的计算机一并查封带走了。当警察出现在他面前的时候,他显得很意外,因为他一直吹嘘fbi对他束手无策。
至此,接连不断发生的计算机攻击事件终于落下帷幕。调查人员在拆分“黑手党男孩”的计算机后并没有发现指控方需要的技术证据,警方怀疑他已经将硬盘驱动器和其他证据扔到了蒙特利尔区域的湖、河底部。但窃听证据、在加利福尼亚大学得到的证据,以及其他技术证据已经足以将他送上审判席。
“黑手党男孩”在少年法院承认了法庭指控。不过,虽然他承认自己和2月7、8、9、10日以及2月12日的电脑攻击事件有关,但他声称这只是他在实验设计一个更好的防火墙时发生的意外事故,而不是蓄意进行破坏。最终,“黑手党男孩”被判在青少年拘留中心监禁8个月。