微软的噩梦 信海光 2000年 第44期 可以假设事情是这样发生的……   某个星期一的早晨,微软公司Microsoft.NET战略研发部的员工(假设他叫BILL)照例去上班,打开电脑,他发现短短一个周末时间里已经积攒了不少的电子邮件。其中有一封是来自俄罗斯的电子邮件——这没什么可疑的,作为跨国公司,微软的业务遍及世界各地——他打开看了看,内容很简单,是一个俄国大学生在讨教技术问题。此事BILL没太在意,只是耸耸肩,顺手把邮件删除到垃圾箱里。BILL不知道,就在查看邮件的同时,他已经在无意中打开了某种“特洛伊木马”黑客程序。接下来,这个黑客程序在微软企业网络中向其他电脑传播,并开始搜寻包含有“密码”这个单词的电子邮件。黑客程序轻易找到一个微软员工向同事发出过的这样的电子邮件:“嘿,我正在度假。你暂时接受我的工作吧,如果你想要了解更多,这里是所需的密码‘123456’。”在窃取了密码之后,程序自动把这些密码发送到了一个俄罗斯的电子邮件地址。   躲在俄罗斯圣彼得堡的黑客(假设他叫普钦)通过电子邮件得到密码后欣喜若狂。他立即伪装成一个在外地工作的微软员工,接入微软位于华盛顿州雷蒙德市的总部电脑网络。在轻易通过微软设置的安全防火墙之后,黑客尽情游荡在密码所允许进入的微软内部网络中…… #1 黑客的入侵   2000年10月14日,美国微软公司总部的高级网络管理员向微软安全部门报告说,他们突然发现在几天之内一下子出现了20多个新的内部账号。可疑的是,新加入的账号都在试图超越自己的权限,查看更多的公司机密!   微软公司的计算机安全小组接到报告后迅速介入调查,对各个账号进行了监视。他们发现真的遭到了黑客的入侵,黑客们想获取一种微软未来产品的源代码。在微软随后对侵入者的跟踪中,安全专家们并未能找到入侵者的确切方位,因为黑客是利用以前被他们入侵的计算机在网上展开的活动,以迷惑跟踪者。安全专家们只能找到被黑客操纵的计算机的地址。据说,此次黑客是通过一名在办公室之外(很有可能是在家中)工作的微软雇员的电脑入侵公司网络系统的。   微软公司用了一个星期的时间对网络进行电子搜索,但公司的计算机专家还是无法对入侵者进行跟踪。微软最后被迫关闭了所有可疑的账号并暂时停止了外界(包括39000名员工)的远程进入,以防止黑客窃取更机密的数据。   微软公司发言人米勒说黑客入侵网络的时间可能会长于12天,但是黑客真正进入高级系统的时间是在10月14至25日。即使是低级入侵,黑客也能窃取电子邮件和其它机密信息,微软公司至今也没有确定入侵最初是如何发生的。   10月26日,微软求助于美国联邦调查局追查黑客行踪。微软怀疑,这次入侵微软公司网络的事件是一伙藏在俄罗斯圣彼得堡的电脑黑客所为。 #1 微软的损失   对于外界来说很难确切知道微软公司在此次被入侵过程中所受到的损失有多大。   一开始,人们怀疑黑客可能已经窃取了微软一些最重要软件产品的源代码或设计蓝图,这些软件产品包括Office、Windows Me、Windows2000和Microsoft.NET。但微软公司在10月27日公布说,闯入网络系统的黑客只是看到了一些未完成的源代码,而并没有看到现有产品的源代码。因为绝大多数入侵行动都仅仅局限在单独的一台电脑上。   微软公司总裁及CEO巴尔默称,侵入该公司电脑系统的黑客并没有获取任何重要的程序。他说:“黑客并没有登录任何程序,同时也没有能够获取任何重要程序的源代码。”   但也有外界猜测此次黑客入侵事件实际上使微软损失惨重,因为最初微软公司并不希望执法机构介入,而希望自行调查此事,但他们还是在26日与美国联邦调查局取得了联系。是不是因为微软认识到事态的严重性出乎其意料?据《华尔街日报》援引知情人士消息宣称,黑客已经窃取了微软公司最新旗舰产品,Windows操作系统(源代码)以及Office软件包的设计图。源代码是微软最具价值的资产之一,有专家称,一旦源代码被盗,“对微软来说,将是知识产权的重大损失,也是微软竞争筹码的一个重要的损失。也许我们能在互联网上发现这些源代码,也许这些源代码已经被黑客以高价卖给了海外的某个公司。”世界软件业的一些同行对微软的源代码可称垂涎已久,一旦获得这些源代码,竞争者就可编写程序,并开发出具有相当竞争力的产品。黑客也可能利用这些源代码去寻找软件的漏洞。通过这些漏洞,黑客就能更容易入侵用户的电脑或编写病毒程序。   微软更愿意称这次攻击是“行业间的间谍行为”。也就是说是同行之间为了窃取商业机密而搞的鬼,这是微软提请联邦调查局参与调查的原因之一。   如果入侵行动不是行业间谍行为的话,对于那些真正的黑客来说,微软的秘密也有极高的价值,在黑客世界里,偷源代码并且相互交流的现象并不少见,通过所窃取的源代码,黑客们能编写出新的致命病毒,从而造成机密暴露或者侵入其它电脑,满足黑客的成就感。   近年来,微软公司遭黑客袭击例子数不胜数,但像此次一样造成全球性关注的却是首次。作为市值最大的公司之一,微软树敌甚多。在商业竞争中的强势表现使微软招致了从同行到政府的诸多反对。在黑客们的眼里,微软公司从来都是神密而不友好,是最大的软件垄断者,在互联网上有无数人在呼吁微软应像LINUX一样公布其Windows操作系统源代码,因此攻击微软是许多黑客的终极目标。 #1 网络安全的警钟   微软公司被黑客入侵不但是微软的噩梦,同时也给全世界的网络用户们再次敲响了警钟,表明解决网络安全问题实在已是刻不容缓。   以微软的实力,竟然阻挡不住黑客的进攻,这叫人听了实在有点难以置信。在此次被黑事件中,黑客所用的程序Qaz的病毒设计和编程过程并不复杂,而且Qaz病毒居然也是用微软的VC++程序来写的。所有最新的反病毒软件都防得住Qaz,然而黑客却是用它进入了微软网络。这中间微软内部员工的疏忽大意应该负有一定责任,在问题没有查清以前至少有两种可能,一是微软的员工无意间把反病毒软件关了,二是员工随便在邮件中泄露了网络安全密码。   任何一个访病毒专家都会告诉你:软件只是手段,网络安全的主要对手是人,有时候是敌人的狡猾,有时候是自己人的粗心。   认真听了又注意做的人有几个?   国内网络安全专家许榕生说:“中国最缺的不是网络防护措施,而是有素质的网络管理员,更缺的则是网络使用者们的安全意识。”   在网络安全方面,中国的问题就多了。中国95%的与国际互联网相接的网络管理中心都遭到过境内外黑客攻击或入侵,其中网站、银行、金融和证券机构是黑客攻击的重点,某些国家机关及新闻单位亦曾被祸及。中国90%的网络设施还存在安全隐患。在中国,网站数量的增长曾经比美国还快,“网站的出生率比新生儿还要高”。在许榕生看来,国内现在对网站的资金投入动辄上百万、上千万美元,相比之下,对于网络安全的教育及投入太少太少了。   中国科学院研究生院信息安全国家重点实验室赵战生教授说:“美国有信息技术研究人员40万,而在中国,这个数字是三千!中国从未拥有过‘制网权’。” 微软的噩梦,应该把国人惊醒了。 #1 小知识   网络安全专家认为,此次黑客入侵微软,使用的是称为“Qaz.Trojan”的蠕虫(Worm)病毒进行的。   黑客是通过发送电子邮件附件的方式将病毒输入微软的计算机网络,但Qaz.Trojan不是通过电子邮件感染,而是利用网络的共享驱动器在电脑之间传播。它通常伪装成Windows应用软件“Notepad”。一旦有用户打开该附件,那么病毒就会自行复制,取代用户电脑中的Notepad,入侵者可以利用潜入的Qaz.Trojan远程操作电脑,于是用户的机密文件及密码等重要信息就有可能被盗。据称这种病毒最早是于今年7月在中国发现,其设计和编程过程并不复杂,也很容易被发现。