當今一些最重大的網(wǎng)絡(luò)安全隱患都能溯源到中國中部城市武漢���,那里一名僅有初中學歷的黑客曾把熊貓卡通形像植入數(shù)百萬臺電腦,以此來隱藏一款破壞性的間諜軟件�。
這款“熊貓燒香”電腦蠕蟲病毒由 27歲的李俊編寫�����,它在2006年和2007年曾在中國感染了數(shù)百萬臺電腦�,李俊本人最終也因此坐牢���。通過誘騙電腦用戶打開一則看似友好的電子郵件�����,“熊貓燒香”病毒得以從一臺電腦傳播到另一臺電腦��,它會將電腦游戲網(wǎng)站的用戶密碼����、財務(wù)信息和現(xiàn)金余額竊取到李俊的那些同謀者手里���,而在被感染的電腦里留下一個熊貓卡通形像作為他們自己的名片��。
當谷歌公司(Google Inc.)上個月指控說它和其他20多家公司的內(nèi)部網(wǎng)絡(luò)在一起網(wǎng)絡(luò)攻擊中被攻破時����,它說這次攻擊是從中國發(fā)起的,就復(fù)雜程度而言�����,這一被稱做“極光行動” (Aurora)的網(wǎng)絡(luò)攻擊比“熊貓燒香”要高幾個量級����。與留下“名片”且迅速����、隨機傳播的“熊貓燒香”電腦病毒不同,“極光行動”的發(fā)起者會將目標對準那些自己所襲擊公司的特定員工�����,并且會竭盡全力掩蓋自己的蹤跡�。
目前尚無證據(jù)顯示谷歌遭受的這次網(wǎng)絡(luò)攻擊與熊貓病毒事件有任何關(guān)聯(lián)。外界清楚的是����,李俊是在中國的一個黑客網(wǎng)內(nèi)學到了電腦病毒開發(fā)方法并發(fā)起網(wǎng)絡(luò)攻擊的,這一黑客網(wǎng)對全球電腦用戶來說仍然是一個實實在在且日益增大的威脅����。
人們很少能追蹤到中國黑客的身份、動機和手法。但基于對安全專家的采訪��、獨立科技公司的鑒識報告及黑客們自己的敘述����,人們能夠以“熊貓燒香”案為窗口對中國地下黑客網(wǎng)的運作情況有一個難得的了解。
據(jù)美國的技術(shù)安全公司賽門鐵克(Symantec Corp.)稱����,李俊的熊貓案是中國借助電腦病毒的互聯(lián)網(wǎng)有組織犯罪第一案。電腦一旦被“熊貓燒香”病毒感染�,電腦桌面上每個可執(zhí)行文件,比如微軟 (Microsoft Corp.)的Word文件�����,其圖標會變成一個熊貓形像�����。若點擊這個熊貓形像�,電腦會立刻開始下載互聯(lián)網(wǎng)上的一款軟件,而這款軟件則能讓李俊的電腦獲取這臺電腦存儲的財務(wù)信息����。
網(wǎng)絡(luò)專家們說�����,黑客論壇很有可能成為中國政府有力的黑客招聘場所��,中國政府正日益擔憂其自身的網(wǎng)絡(luò)安全����。事實上�����,據(jù)一名正式參與傳播“熊貓燒香”病毒的人說�����,他后來被中國警方雇傭����,從事了侵入互聯(lián)網(wǎng)用戶電腦帳戶的工作����。這一說法無法得到獨立消息來源的證實。
中國對它是黑客天堂的說法嗤之以鼻���。國務(wù)院新聞辦公室網(wǎng)絡(luò)局的官員彭波二月中旬對國有媒體說���,中國政府從未支持或參與過網(wǎng)絡(luò)攻擊�,也永遠不會這樣做��。他說�,事實上中國是遭受全球黑客攻擊最嚴重的國家。
據(jù)一位知情人士說�����,正在調(diào)查谷歌遭網(wǎng)絡(luò)攻擊的人員雖然仍不知道攻擊是從什么地方發(fā)起的���,但他們一直在調(diào)查上海交通大學和山東藍翔高級技工學校的電腦是否與此次襲擊有關(guān)����?����!都~約時報》(New York Times)上周四報導說���,此次攻擊的調(diào)查人員追蹤到了這兩所學校的電腦����。
李俊落網(wǎng)后以破壞計算機信息系統(tǒng)罪被判處四年監(jiān)禁,他去年12月在服滿三年刑期后獲釋�。李俊雖然拒絕正式接受采訪,但在一系列短暫的電話通話�、網(wǎng)上聊天以及電子郵件中,他表示自己正在尋求“新的開始”�,或許可以做一名網(wǎng)絡(luò)安全專家,即所謂的“白帽”���。李俊獲釋后�,在他父母于武漢郊區(qū)的三層樓房內(nèi)住了幾天��。他已經(jīng)用自己的宏碁 (Acer)筆記本電腦與熊貓案的其他涉案人員取得了聯(lián)系����。李俊說����,他有興趣與這些以前的同謀一起從事合法生意。
李俊的黑客生涯開始于1999年5月���,距他17歲生日還有一個月����,當時美國飛機轟炸了中國駐貝爾格萊德大使館。這次轟炸激怒了正在武漢的網(wǎng)吧里游蕩的李俊��,他不再玩電腦游戲���,開始成為一名黑客�����。
李俊是從他兒時認識的雷磊那里學習技術(shù)的���。雷磊在一次采訪中說,李俊學會了如何控制數(shù)千臺電腦使之成為“肉雞”�,從而對網(wǎng)站發(fā)起攻擊。據(jù)雷磊稱�,當北京的學生在向美國大使館投擲石塊時,兩位瘦削的年輕人在武漢一家昏暗網(wǎng)吧的二層���,發(fā)起他們自己的“對美黑客戰(zhàn)”�,擾亂了二三十家美國網(wǎng)站�����。李俊通過電子郵件說,我們當時太年輕�����,凈干些瘋事���。
雷磊回憶�����,接下來幾年里���,兩人組成團伙進行黑客攻擊,從網(wǎng)民手中盜取資金�����。他們從網(wǎng)上下載簡單的攻擊程序攻入游戲賬戶����,盜取玩家的虛擬貨幣然后賣掉�����。游戲玩家為提升級別,會購買一些特殊武器或其他物品����,這些東西是可以換成現(xiàn)金的。
現(xiàn)年27歲的雷磊因“熊貓燒香”案受到和李俊類似的指控��,在湖北省關(guān)押李俊的同一座監(jiān)獄呆了一年�,2008年釋放。雷磊目前在其父親位于武漢的制造企業(yè)工作����,計劃開辦一家網(wǎng)絡(luò)安全公司。而身穿皮衣���、喜歡美國嘻哈音樂的李俊���,仍然蔑視權(quán)威,在一次采訪中����,為了避開交通擁堵,開著他的豪華豐田(Toyota)汽車在武漢的街道上逆向而行�。
兩位黑客說,他們加入一家網(wǎng)上黑客聯(lián)盟“小刀會”之后�,技術(shù)日益提高����。“小刀會”的名字來自于清朝的一個起義團體�。李俊使用了網(wǎng)名“WHboy”(武漢男生)。
網(wǎng)絡(luò)安全專家說���,中國黑客從總體上并不像好萊塢影片中的那種固定模式:美國地下室里精通電腦的孤獨天才���,或把電腦玩得出神入化的俄羅斯犯罪團伙成員,他們設(shè)計并執(zhí)行攻擊��,獲取各種各樣的利益�。相反,中國的黑客團體是一個廣泛分布和結(jié)構(gòu)松散的數(shù)字技工群體�。
李俊通過電子郵件回答《華爾街日報》提問時說,至于中國黑客�����,他們的整體技術(shù)水平趕不上美國或俄羅斯的黑客����,但中國擁有世界上最大的黑客群體�。他還提到自己與外國黑客的交流�����,他說���,我經(jīng)常從他們的網(wǎng)站上下載黑客軟件,拿來跟我或其他中國黑客寫的程序作比較����。
網(wǎng)絡(luò)安全專家說,在中國的黑客圈里��,人人都有具體分工��,而且是按件出售自己的作品來獲取報酬���,而不是為了較高的績效評分而工作��。惡意程序的編寫人員常常是利用從其他人手中買到的代碼拼湊成自己的程序���,李俊也不例外。整個操作過程就像是流水線一樣:編寫人員編好程序后就賣給其他人��,買到這些程序的人會發(fā)動更大范圍的攻擊,傳播惡意軟件��,啟動它�,并分享回報。
一家美國大型科技公司駐上海的中國安全研究專家說�����,這種鏈條模式是中國獨有的�。他說,中國黑客活動的組織架構(gòu)像是多層次直銷甚至是傳銷���,而不是結(jié)成一體的犯罪團伙��,從無到有地編寫“技術(shù)干凈” 的代碼�����。
李俊說�����,和中國多數(shù)黑客一樣����,他也是在那些謀劃技術(shù)攻擊的聊天室網(wǎng)絡(luò)里成長的,這種網(wǎng)絡(luò)不正式��,但很活躍�����。黑客和網(wǎng)絡(luò)安全人士表示��,這些論壇跟犯罪培訓學校加硬件商店沒有什么區(qū)別�,形成了一個網(wǎng)絡(luò)地下世界���,在這里����,網(wǎng)絡(luò)游戲���、銀行網(wǎng)站和蘋果(Apple Inc.)iPhone技術(shù)秘密的門鎖承受著來自世界最大網(wǎng)民群體的嚴酷壓力測試����。
黑客們說�,為了規(guī)避禁止銷售惡意軟件的法律,編程人員把他們的黑客行為變相地宣揚成“培訓”或“輔導”�����。想成為經(jīng)銷商的人在拉顧客時,把自己叫做“送信員”�,而急于在地下世界樹立聲譽的“腳本小子”則會購買黑客工具并啟動攻擊。
舉例來說����,在傳播過程中,任何人都可以利用一種病毒��,讓它攻擊另外一個目標或是竊取不同的數(shù)據(jù)��。附贈的所謂“信封” 也有售:模仿現(xiàn)有網(wǎng)站的源代碼價格為人民幣50元(約合7美元)�����,網(wǎng)站用戶數(shù)據(jù)要價500元����。論壇所有者和參與者掩蓋了自己的身份。參與其中的主要障礙在于中文�。
網(wǎng)絡(luò)安全專家說,黑客“眾包”的做法(crowd sourcing���,即很多人共同編寫和執(zhí)行代碼)降低了個人面臨的風險�����,而且即使有人被抓或論壇被關(guān)閉��,網(wǎng)絡(luò)本身也不會受損����。李俊在發(fā)給《華爾街日報》的電子郵件中回憶道��,2006年10月�����,他曾經(jīng)求助于這些論壇��,想從幾種網(wǎng)絡(luò)帳戶竊取資金�����,買一輛路虎(Land Rover)�����。
在武漢市中心租來的公寓里���,李俊用一臺戴爾(Dell)電腦設(shè)計了“熊貓燒香”病毒(現(xiàn)在的正式名稱為W32.Fujacks)��,該病毒會向網(wǎng)絡(luò)用戶發(fā)送一個軟件包���,從游戲網(wǎng)站等10種不同途徑竊取虛擬貨幣點數(shù)和其他項目����。這個軟件利用保護不力的防火�����,幾乎可影響任何連接互聯(lián)網(wǎng)的電腦����。
李俊在這些黑客論壇尋找可用的代碼,最后選中了一個名為“Nimaya”的病毒腳本��。雷磊說�,作為反饋,在黑客界的“同行評審”中�,李俊將自己編寫的東西的樣本發(fā)到了大富翁編程網(wǎng)站(delphibbs.com)之類的論壇上。李俊在電子郵件中說���,如果沒有科技的創(chuàng)新�����、分享和交換�,黑客技術(shù)不可能這么快發(fā)展到今天的地步。
幾周后�����,李俊用一個竊取自QQ聊天的圖標作為他長達數(shù)萬行的代碼的標志:舉著三根香的熊貓�。他將從網(wǎng)站竊取資金的工具拿去出售,最初找了10個分銷下線�����,向每個下線收取了約120美元�。
賽門鐵克(Symantec)說���,“熊貓燒香”以驚人的�����、數(shù)百萬倍的頻率復(fù)制����。它令一些收到者想起了六年前源自菲律賓的“我愛你”(ILOVEYOU)病毒。但“熊貓燒香”還有一個惡意功能:黑客可以利用其“后門”從流行的網(wǎng)絡(luò)游戲中竊取虛擬貨幣���,包括騰訊公司(Tencent Inc.)運營的那些游戲�����。騰訊發(fā)言人說�����,許多公司都受到了影響�����,并拒絕就“熊貓燒香”事件置評�。
雷磊回想起兩個人沒日沒夜地試圖轉(zhuǎn)賣他們竊取的虛擬財產(chǎn)���。他們以面值10%的折扣向網(wǎng)絡(luò)買家出售�,“就像Ebay一樣”���,雷磊說���。這種伎倆賺了多少無法確知�,不過雷磊說有時他們一天可以賺1,200美元����。他們一起狂歡,李俊還買了臺2,000美元的電腦�,不過雷磊說除此而外他們并沒花掉太多。
不久�,中國網(wǎng)民以及政府機構(gòu)紛紛譴責“影響極壞的熊貓燒香”。“熊貓燒香”的改進版或復(fù)制版開始造成其他損害:導致電腦藍屏����、運行速度變慢、系統(tǒng)崩潰�����、程序被清除�。2007年初���,兩人意識到“熊貓燒香”已經(jīng)失控����,計劃逃往中國西部����。當時警方已經(jīng)跟蹤到“熊貓燒香”的源頭是李俊和雷磊在武漢租住的月租合72美元的公寓����。警方2月3日突襲這間公寓時只有李俊一個人在家����。
剃了光頭的李俊戴著手銬出現(xiàn)在法庭,被判犯有破壞計算機信息系統(tǒng)罪及盜竊 18,000美元����。
雷磊后來被捕。警方在浙江���、云南和山東省逮捕了其他參與“熊貓燒香”攻擊者����,其中一些也被判刑���。許多人的身份沒有公布����,包括促使“熊貓燒香”傳播及從中獲利者。
在李俊開始為期四年的刑期時��,國有媒體拍攝了身穿黃色上衣的他在監(jiān)獄里用電腦清除“熊貓燒香”病毒的照片�。(不過沒有效果。去年11月�,網(wǎng)絡(luò)安全公司McAfee Inc.警告說“熊貓燒香”病毒的新變種正在傳播。)
去年12 月�,李俊因表現(xiàn)良好提前獲釋。他第一個電話就打給了雷磊�����。
在類似Twitter的新浪微博上�,李俊的關(guān)注者迅速擴大到17,000萬,他發(fā)布了一條有關(guān)未來計劃的意義含糊的信息:“牛奶會有的����,面包也會有的,一切重新開始�。”
