下载最热门的软件、游戏;因此也经常遭遇电脑病毒。为了解决电脑屡屡〃中毒〃的烦恼;他看报纸;买了不少广告做得天花乱坠的防病毒软件;结果往往什么用也没有;于是觉得自己被欺骗了。而CIH病毒完全是他一人设计的;目的是想出一家公司在广告上吹嘘〃百分之百〃防毒软件的洋相。他一共设计了五个版本CIH病毒;其中V1。0、V1。1两个版本没有流出去;而这次危害世界各国的病毒是V1。2版。病毒发作的时间之所以定在4月26日;因为那是他的高中座号;也是他的绰号。
〃电脑天才〃:谈恋爱搞社交样样不行;玩电脑编程序绝不服输
如果说陈盈豪在台湾警察们的眼里只是〃电脑鬼才〃的话;那么他的母亲、同学、老师和左邻右舍倒觉得他是一个地道的〃电脑天才〃。
陈盈豪的母亲十分担心自己的儿子会被法院判重刑;再三强调她的儿子不是故意的;不然的话就不会把自己的姓名缩写当成病毒的名称。陈盈豪的母亲说;她的儿子是在上中学的时候就喜欢玩电脑的;经常到家境比较宽裕的同学家中或者学校玩电脑;上高中后专心研究电脑软件程序;有时候还会编一些游戏软件跟同学们一起玩。〃一口流利的台语;夏天常是一件T恤、短裤;穿着凉鞋;一副没有睡醒的样子就来上课。〃这是陈盈豪在大学同学眼中最典型的形象。除了这身打扮有些〃老土〃不起眼外;陈盈豪只要一开口就是电脑;买的全是电脑方面的书。当别人自以为是电脑通的时候;他总会找机会在那人面前露一手;让对手羞得无地自容。
陈盈豪有台湾南部人典型的好脾气;在大同工学院学习时尽管不善交际;但人缘却不差;并且有不少好朋友。他的同学们一致认为;陈盈豪在上大学前就有相当的电脑基础;进了大学后;他的电脑知识更是突飞猛进。陈盈豪对电脑课非常感兴趣;大学一年级的〃程序设计〃的成绩非常拔尖;就连平时的谈话也多半在电脑里打转。同学们谈女生;谈电影新片时;陈盈豪就显得非常地无趣;偶然插一两句话也让同学们有一种〃话接不下去〃的感觉。
在老师们的眼里;陈盈豪在学校的表现并不十分突出;只是在电脑软件方面有更深的兴趣;也有小聪明;但人很老实。要不是这次捅了个天大漏子的话;他肯定算不上〃校园风云人物〃。大同工学院多年来的表现也十分平常名气不大不小。有的老师认为;经过这么一折腾;大同工学院的〃知名度〃顿时大增;这让学校觉得啼笑皆非。
在陈盈豪一家居住的高雄市三民区;左邻右舍不但对身边竟然出了个如此一号人物表示吃惊;似乎对陈盈豪和他的家人没有什么了解。邻居们说;只知道陈盈豪大概去年从大学毕业;在家待了一阵子;很少看到他。陈盈豪和妈妈还有两个妹妹住在一起;很少看见他的父亲;平常他们家和邻居也很少打招呼;更不知道他会玩电脑;而且还制造出让人惊慌的电脑病毒;而这一切现在已成为邻居们最新的话题。
〃电脑疯子〃:家有精神病史;〃军情局〃吓得退避三舍
陈盈豪在接受〃刑事局〃的侦讯后由于情绪还不稳定;因此当天被马上送回花莲营区;由军方把他送到花莲总医院住院观察。经过医生的初步诊断;陈盈豪有烦躁不安、忧郁的倾向。医生表示;陈盈豪主动说他觉得自己的情绪不稳定;而根据院方的资料显示;陈盈豪三月份还曾经看过精神科医生。此外;陈盈豪的家族竟然有精神病病史。
此外;台湾媒体还曝光一个惊人的秘密:陈盈豪在部队服役的时候曾经向军方自夸说;他可以设计出一种导致军用电脑瘫痪的程序。台湾〃军情局〃对此万分感兴趣;准备把他收归麾下;充当电子战的专家。然而;在他们调查了陈盈豪的家史后;他们发现陈的精神状态不稳定;并且有家族精神病史。因此;台〃军情局〃不但没有将他收编;还要求他立即退役!
陈盈豪目前在花莲总医院精神科接受就诊观察。花莲总医院精神科主治医师陆承贤表示;陈盈豪曾有两次精神科门诊记录;但在诊断过程中并无明显的躁郁症症状;只是出现焦虑不安的情形;而此可能与陈盈豪在部队生活适应不良有关。
第八节 火线追踪,找到恶魔的制造者
病毒在网上肆虐使众多的站点瘫痪时,一些计算机侦探也在网上追寻它的来源;并试图到那些释放病毒的恶棍。去年某个星期五的下午,技术协调员杰德·皮克尔正在位于美国匹兹堡市的卡耐基梅隆大学CEPT协调中心工作,〃我们接到一个电话报告说有一个宏病毒正在扩散。〃他回忆说。CERT是计算机紧急反应小组(puter emergency response team)的缩写,创建于1988年,这是一个公布网络安全漏洞和修补办法的非官方信息交换所。当时,皮克尔不认为这是一个严重的问题,因为这种只使用简单的脚本语言并且通常只在诸如Word这种具备自动化功能的程序当中传播的病毒是很常见的。而且那一天作为人力调配员,皮克尔的工作就是决定如何分配小组的人力资源,于是他对此做了记录后就把报告放到了角落里。 〃但是大约过了1个小时以后,我们又接到了另外一个电话。紧接着电话就像潮水一般地涌进来,我们所有的电话机都忙个不停。〃他说。美丽莎蠕虫(一种能够自我复制的病毒)当时正在因特网上肆虐,它通过电子函件把自己的拷贝向千万个网民们传播,同时也使许多的电子函件系统陷于瘫痪。
计算机病毒已经一度不是什么严重的问题了,因为通过软盘传播的病毒虽然容易感染但是也容易被清除。然而随着因特网的壮大和诸如美丽莎这样的病毒的出现,一切都被改变了。 最近的数字攻击,比如去年2月份使雅虎、eBay网站陷入瘫痪的类似美丽莎病毒的爱虫病毒和分散式拒绝服务(DDoS)攻击,像野火一样遍布了网络上的路由器。根据美国联邦调查局的统计数字,美丽莎病毒造成了8000万美元的损失,而爱虫病毒则造成了估计约67亿美元的损失。
每当有病毒攻击因特网时,就会有某个松散的非盈利组织(比如CERT)的专家级的操作员和执法代表着手追查黑客。当皮克尔在匹兹堡守着电话并努力寻找对付美丽莎病毒的方法时,理查德·史密斯正在美国马萨诸塞州自己的计算机旁研究这个病毒,并搜寻着能够帮助他找到罪犯的蛛丝马迹。作为PharLap软件公司的创始人,史密斯是一个对因特网个人隐私安全有着浓厚兴趣的计算机专家,这份热情使他成功地跟踪了好几个计算机犯罪嫌疑犯。像史密斯这样的人就是计算机世界中的福尔摩斯,而他们的搜捕对象就是数字罪犯。通过电子邮件与在瑞典的其它业余侦探们一起努力,史密斯率先在公众面前揭开了美丽莎病毒作者留下的数字指纹…一个32位的全球唯一标识符GUID(Global Unique ID),它是病毒作者计算机的惟一标识。GUID全球惟一标识符通常会嵌入用微软Office程序生成的文件当中。美丽莎病毒的GUID引导着史密斯和他的瑞典同事搜索因特网上的其它文件,并最终发现了作者的名字…戴维·L· 史密斯,而后他被证明有罪。
〃这就像一个银行抢劫犯在他自己的存款单背面写下'抢劫'一样,〃 理查德·史密斯解释说,〃我们其中的一些人在网上搜索被爱虫病毒感染的文件。后来在菲律宾AMA计算机学院发现了一个相关文件,其中有近40个人的真实姓名。〃除了一个文件中留有真实姓名,一个文件天生具有和爱虫病毒类似的特征之外,作者还犯了另外一个错误:尽管他在病毒发作以前1个月就将病毒上传到某个网站,但是他却没有想到本地的ISP却保留有所有拨入用户的电话号码记录,凭着这个记录就可以追踪出这个电话号码。
尽管执法者们经常接受像史密斯这样的计算机程序专家的帮助,他们也有自己的力量。当史密斯正在追踪美丽莎病毒的时候,美国联邦调查局的计算机小组也已经整装待发。
〃你 依然得做那些传统犯罪调查步骤,〃美国联邦调查局驻纽约办事处的代表吉姆·马戈林解释说,〃还必须建立嫌疑犯清单。〃所以,美国联邦调查局于1998年成立了美国国家基础保护和计算机入侵小组(NIPC)。马戈林告诉我们,许多美国联邦调查局的地区性办公室现在也有了他们自己的计算机小组。大约有15人在纽约办公室的计算机犯罪小组中工作,其中包括计算机犯罪专家。作为计算机分析反应小组(CART)的审查人员,这些专家能够破译黑客留下的密码。他们也经常被借调到美国联邦调查局其它部门调查白领犯罪,比如洗钱和内幕交易。目前,追踪一名黑客需要耗时数月。在被广泛报告的分散式DDoS的攻击中陷入瘫痪的数个著名网站里,有成千上万的记录文档需要被清理。
一个DDoS攻击通常使用一个程序,这个程序被秘密地部署在几十甚至上千台计算机上,连他们的主人都不知道。一个黑客可以花费几个月的时间在网上搜寻那些易受攻击的系统,并迅速通过电子门户,然后在这台计算机中植入这种程序。之后,黑客将在某个时间激活受感染的系统引发程序开始攻击,这些攻击在外界看来就是来自那些不受怀疑的计算机系统的信息请求。而被攻击的网络立刻会被无数的数据包所吞没,使得其服务器陷入瘫痪。 一个DDoS攻击通常都要经过数个因特网服务提供商的转发,就像一个电话呼叫经过数个电话交换机一样,想要得到电话记录会变得十分困难,追踪电话的来源几乎是不可能的。许多黑客会通过几个州,甚至是几个国家的因特网服务提供商来发送信息。而且,大多数的因特网服务提供商在几周后就会删除这些登录记录,所以执法者必须及时行动才有可能得到证据。当像理查德·史密斯这样的个人和美国联邦调查局的CART审查人员致力于追踪计算机犯罪时,私人公司已经建立了他们自己的报警系统。许多有公众交易的公司(比如银行)不希望暴露自己计算机系统的弱点,所以他们往往求助于那些私人公司,诸如美国的因特网安全系统公司。该公司会在客户的计算机系统中建立起报警系统以警示非法入侵。这些早期报警系统一旦寻找到特定的签名和特征值后就会立即提示机主要对此特别注意。
〃但是我们没有什么好方法来阻止DDoS的攻击。〃因特网安全系统公司X…Force搜索程序的总监克里斯·鲁兰德说。为了阻止这种攻击,该公司经常同客户一起彻夜工作,花时间破译被加密的特洛伊木马程序(一种看起来无害、但其实有害的程序)。〃我们还有一个更高级的安全工具原型,〃 鲁兰德解释说,〃它将为你建立一个'蜜罐'陷井来诱捕那些企图闯入的黑客。〃他的公司通常每个月能为客户报告30~40个计算机系统安全漏洞。另外一个方法就是不间断地监视计算机网络,这项服务由Counterpane因特网安全公司提供。通过监视可疑活动,Counterpane公司试图在任何真正的损害造成之前阻止黑客的下一步进攻。
〃为了达到这个目的,我们建立了一个分离的安全应用系统,并且全天有人值守。〃《应用密码术》的作者、Counterpane公司的创始人布鲁斯·施奈尔解释说。位于加利福尼亚州的Counterpane操作中心的作用是击退真正的物理攻击,它拥有自己精密的监视和安全系统,包括摄像和声音监视、人工陷井和最新的生物鉴别访问控制。这个中心目前还拥有一个备份的摄像监视系统。这种方法看起来有些极端,但安全专家是有理由这么做的。每一种新病毒都会带来一种新技术和一种对因特网的新威胁。随着像移动电话这样的设备可以接入因特网以来,病毒传播变得更具广泛性和破坏性。一个通过短信息专门攻击移动电话的病毒Timofonica已经问世了,所幸它在对西班牙Telefonica公司的无线网络造成严重损害之前被截获。计算机安全的未来也许可以在美国能源部桑迪亚国家实验室中找到。那里的研究人员正在开发虚拟警察来监视网络上的可疑行为。这个尚处于试验阶段的程序能仔细地观察端口扫描(试探可能出现漏洞的后门)并且常年监视这些端口。通过使用复杂的特征值识别技术和与其它计算机上的记录进行比较,该软件能够在远远早于网络值守人员觉察到事情有什么不对劲之前就探测到黑客的入侵。毫无疑问,因特网上还会有更多的病毒和DDoS攻击出现。正像CERT的皮克尔说的那样,网络正在迅速变得像高速公路一样地普通,〃但是每天都有交通事故发生。所以我们必须知道什么样的事情会在网上发生,还要知道当这些事情真地发生时我们该如何处理。〃
第九节 现代威尼斯商人,病毒商人的故事
在电脑病毒这个神秘的世界里,除了病毒制造者、杀毒软件厂商和普通的用户以外,还存在一个人数众多的灰色团体,人们用了很多词汇来描述他们:“病毒爱好者”、“病毒收集者”,但是他们往往自称为“病毒商人”。他们和病毒制造者有密切的联系,病毒制造者在制造出新的病毒之后,往往会提供给自己熟悉的病毒商人,然后在这个小团体内部开始流传。“病毒商人”和杀毒软件厂商也有密切的合作,杀毒软件厂商通过他们可以得到从来没有实际流行起来的病毒,或者一些还没有被广泛发布的病毒。这个小团体的人数并不是很多,而且和普通的黑客社团不一样,他们的年龄相对于十几岁的黑客来说要大一些,他们从事这一行的原因基本上只有一个,就是对电脑病毒的兴趣,这个团体的人分布在世界各地,其中欧洲地区占了大部分,在美洲和中东地区也有少量的病毒爱好者。
“病毒商人”充实自己收藏,主要通过交换的方式进行,如果有机会接触到一个其他病毒爱好者没有发现或者收集到的病毒,“病毒爱好者“会有极大的成就感,这个时候,他会对病毒进行详细的分析,然后把新病毒和自己的分析报告一起进行病毒交换。这种新病毒的首次发现和首次分析,对于这个团体的成员来说是一个非常大的荣誉。“派克斯”、“病毒小鬼”等人就是因为首次提交和分析了大量的病毒,从