“黑客”之祸 张明伟(译) 1997-01-01   直到最近,在电脑业界,“黑客”仍然是个褒扬之词,它指的是那些非常聪明、富有独创意识的编程人员。就像莫里斯,他搞出“蠕虫”程序一半是为了技术实践,一半是为了开个玩笑(仅仅是因为他的编码中有一个错误使得该程序变成了危险之作)。不过,不久计算机专家就碰到了那些他们称为“击破者”的人,通常是一些通过计算机侵入到那些不属于他们的地方的少年男孩,当这些沉溺于战争游戏的男孩成功地侵入到属于军事或电话系统的计算机时,新闻媒介往往把他们称为“黑客”,导致了今天对“黑客”一词的语言概念上的混乱。   实际上,CERT-CC(美国计算机紧急情况反应小组协作中心)的专家们对新闻媒介颇有怨言,这倒不仅仅因为计算机的术语被不恰当使用。他们认为,“黑客”或“击破者”经常被描写成是些天资聪明的孩子,事实并非如此。那些遭到袭击的计算机系统往往具有极差的防御措施,侵入这些系统就如打劫一个没有关门的银行保管库那样易如反掌。这并不需要高深的技术。   许多情况下,他们通过一些现成计算机程序和工具包自动找寻路径,根本不需要什么技能。比如有个叫《ROOTKIT》的程序,它可以侵入到一台计算机而隐匿所有的入侵踪迹。使用这种程序只需在提示符下输入一个单词“MAKE”。CERT-CC的专家认为,这些少年“黑客”的神童形象是假的,而制造这种假象将十分危险,因为这将误导人们忽视可能是最大的计算机安全问题──计算机系统的脆弱性。简言之,许多人并不懂得如何使用合理的安全级别来管理计算机网络。   举个例子说,几个月前,Jim(吉姆)买了台预装有Windows 95的笔记本电脑。Jim将他的电脑联上了他公司的内部网,同时他又在Internet上下载了一个非常流行的游戏软件《DOOM》。因为他的电脑使用的软件是他的一个精通电脑的朋友给装的,他并不知道他的电脑被设置成了服务器模式。也就是说,其他电脑可以通过拨号访问到他的电脑,并在上面执行程序。这时候,假设住在楼下的一个朋友正好叫他下去帮个忙。这样,Jim没法顾及他正联网的电脑了。游戏软件下载完后,电脑仍联在Internet上。现在设想一下,一个“黑客”正用一个软件侦测Internet上的IP(Internet协议)地址。每个WEB服务器在Internet上对应有一个唯一的IP地址。通过随意侦测网上几千个IP地址,黑客就能很轻松地发现象Jim的电脑那种暂时挂在Internet上的服务器。一旦进入Jim的电脑,“黑客”就可以闯入Jim公司的内部网络,余下的事就可想而知了。   每年,“黑客”们侵入美国五角大楼的计算机系统的次数多达16万次,威胁要对其实施“灾难性的破坏”。然而,军事部门很少侦测到这些“非法入侵者”,即使侦测到了,也很少实施进一步的调查。对于美国国防部来说,这些攻击至少带来了几百万美元的损失,更为严重的是,这显然危害了国家安全。据美国军方的一份报告透露,去年,试图闯入五角大楼计算机网络的尝试达25万次之多,其中60%的尝试达到了目的,而这些得逞的入侵中,每150起中只有1起被侦测到并被上报。可见,灾难性破坏的潜在危险是巨大的。五角大楼计算机网络的数据涉及到非常敏感的信息,如部队调动,武器的采购和维护等。那些并没有犯罪企图的年轻“黑客”当然不会带来实质性的危害,但只要有一起蓄意破坏国家安全的“入侵”,危害就是致命的。   目前,有120个国家已经或正在开发计算机的攻击能力。有些恐怖分子和其他极端分子甚至可以获得对国防信息系统的控制,严重削弱一个国家对军事力量的部署和维持能力。官方将这种易受攻击的情况归咎于设计糟糕的计算机系统或缺乏固有的安全防御机制。五角大楼的发言人SUSAN HANSEN(苏姗·汉森)称,该报告中统计的情况主要是军事部门和外界间非保密资料的传输,有关武器系统和其他绝密资料的信息的安全性是得到保证的。她说:“我们对整个系统的投资巨大,为的是保证核心机密不受攻击。”佐治亚州的民主党议员SAM NUNN(山姆·那恩)认为,计算机犯罪给政府提出了一个全新的挑战,“黑客是个16岁的少年,一个外国间谍,一个无政府主义者,或者几者兼是,你不得而知。如果你不知道黑客的动机,你就无法确定这种威胁的性质”。   去年,由于“黑客”的“造访”,全球范围内,主要的银行和大公司损失了大约8亿美元,美国就占4亿。大多数案例中,受害企业鉴于市场形象和因害怕长时间卷入调查而并未将受损情况向法律部门报告。唯一一家报告了受“黑客”攻击损失情况的纽约花旗银行,一下子发现它的最大20家客户成了其竞争对手拉拢争夺的目标。竞争对手宣称它们的银行更为“安全”。调查显示,私人企业的计算机系统的安全状况要比政府部门糟。银行和医院的计算机系统受攻击的比率最高。   ·在FBI(联邦调查局)调查的计算机犯罪中,有80%的案例为“黑客”通过Internet非法侵入别人的计算机网络系统。   ·每年,美国政府的计算机系统遭非法侵入(虽然并非全是恶意)的次数至少有30万次之多。   ·17%的美国公司因计算机安全性有漏洞而导致损失。   ·每年,“黑客”犯罪引起的损失估计达15亿美元。