驳所谓“中国网络间谍网”事件

显然，“中国威胁论”依然是很多西方人津津乐道的话题，因此也是不少西方记者和一些政客们用来牟利的好话题。中国，这个被西方欺负了百多年一度沦为半殖民地的国家，这个埋头搞自己的建设刚刚让其国民达到温饱的国家，这个人均GDP进不了前100位的发展中国家，怎么就成为让西方人恐慌的“威胁”呢？（光看这些报道的话，中国人自己恐怕都不认识中国了：难道中国就是那个整天对全世界指手划脚、在全世界到处扔炸弹、军舰想往哪开就往哪开的国家？）

近期的一个炒作“中国威胁论”的例子，是所谓的“中国网络间谍网”事件：西方报道铺天盖地大肆渲染“中国通过网络部署间谍网入侵了103个国家”。媒体和记者们又找到了兴奋点，拼命制造各种能吸引眼球的表述，什么“窥探的龙”、什么“中国正在进行网络战”、什么“中国网络间谍升级”等等。

和以往的炒作不同的是，这次似乎是有“真凭实据”的：依据来自一个据称进行了10个月研究之后形成的研究报告。恰好这是我的专业方向啊，抱着学习的心态，我找来这份长达53页的报告仔细阅读，期待着看到一直传说但却未曾见识过的神乎其神世界翘楚的中国网络黑客和网络技术。结果呢，差点笑掉大牙，转而佩服这些分析者和报道者的“能耐”了。“好东西要分享”一贯是我的原则，所以我写下此文和大家共享。

这个报告出自加拿大多伦多大学MUNK国际研究中心和一个名为“SecDev”的组织，发表于2009年3月29日，题目是“追踪‘鬼魂网’-一个计算机间谍网络的调查”。（国内的同行们，首先要学学人家这文笔，题目就这么吸引人，而且一写就是53页----到后来才发现其实就屁大点事，这么写的话，我们每年发现的网络攻击可以写出几百本上千本53页！自叹弗如，自叹弗如啊！）这个调查源于受雇达赖，追查其私人电脑以及流亡藏人组织的计算机系统受攻击的问题。（和美国人交流的时候，他们经常强调研究的“独立性”，例如他们认为从政府拿了钱的组织，其研究就不能避免对政府的偏向性。但是面对这样背景的调查报告，怎么没人质疑这一点了？他们不知道其雇主和中国政府不合？）

按说这是一份偏技术的报告，不过里面夹杂引用了大量历史上的各种“报道”，来说明网络安全威胁的严重性。本来，让读者先认识到问题的严重性倒无可厚非，但是这个报告从一开始就把矛头对向中国，说“中国官方一贯认为网络空间是战略资源，有助于弥补中国和其他国家（尤其是美国）的军事不平衡”、“中国的网络战学说很成熟，投入大量资源”等等。给我强烈的感觉是，还没开始拿出证据，就先制造强烈的氛围，让读者已经认为中国就是“罪人”了。
而且，那些众多的标注了来源的所谓的历史事件的报道，可信度有多少呢？什么俄罗斯-格鲁吉亚冲突、加沙冲突、等等，其中的网络安全事件都没有真正的定论。我本人倒是亲身经历过那些报道的真实性：曾经有一个英国的杂志（好像叫Registry），发表了一篇文章说CNCERT只有一个人而且不说英文云云。当时我们已经都是FIRST正式成员并且已经共同发起成立APCERT了，所以很多国外的朋友看到报道纷纷告诉我这个极度荒谬的报道。后来联系到作者，说是在一个酒会上好像听到有人这么说过。怎么样，佩服西方记着的职业素养吧！（这些故事要都可以拿来引用的话，为什么不提“美国当年把伊拉克互联网从整个互联网中隔离”、“美国在伊拉克使用的打印机中设置后门使其特定情况下自毁”这些故事？）
不过这个报告中所说的一件事情我还真的知道：报告提到“2001年4月中美撞机事件之后，中国黑客持续攻击美国计算机网络”。这个例子在报告中是用来支撑“在中国，官方把个人黑客和他们的网络行为当作能够用于国家力量的便利工具”这个观点的。这件事情我们是做了全程跟踪和调查的：当时中国因此被攻击的网站和美国被攻击的网站数量相当，而且中国被攻击的网站中多数为政府网站，美国被攻击的则是商务网站。报告对美国黑客攻击中国而且更多是政府网站的事实怎么看不见呢？更不要说当时中国官方刚发现苗头就在媒体上呼吁网民不要实施网络攻击，这件事美国人就更看不见了。

我们回到这个报告的技术部分来看看吧。

所谓中国间谍网络入侵103国家，所依据的调查结果是：发现一种名为Gh0st RAT的恶意程序，构造了一个僵尸网络，这个僵尸网络控制了1295个计算机，这些计算机分布在103个国家和地区，而这个僵尸网络的控制服务器大部分在中国。为了让不是专门作网络安全这一行的人便于理解，这里我得对僵尸网络、控制服务器等词汇做一下简单说明。（报告的作者不知道是真不懂还是什么，并没有提僵尸网络，而只是说‘木马’。而且也不知道他们是从来没见过这类已经流行多年的威胁还是什么，把这么小的一个僵尸网络说成天大的事一样）


这张图是我用了好几年的一张僵尸网络示意图，而且最早就是在国际会议上用的，现在加了几个中文说明框。从图上可以看出来，控制者（黑客/攻击者）通过控制和命令服务器，能够实现对大量计算机的控制。控制和命令服务器是核心，一个僵尸网络中通常有多个，分布在世界各地；大量被控制的计算机也是分布在世界各地，它们就像“僵尸”一样听从来自控制和命令服务器的指令，在用户不知情的情况下做各种事情；控制者躲在世界上的任何一个角落，直接或者间接通过控制和命令服务器指挥一切，而且从技术的角度上来说，在控制和命令服务器上看，控制者经常就和那些被控制者一样，难以区分。
通过上面这些信息，您应该很容易理解追踪真正攻击者的难度：攻击者会利用世界各地的计算机作为其控制和命令服务器，攻击者自己也会隐藏在世界任何一个角落遥控这一切。僵尸网络的规模和其隐蔽性，使其成为攻击者喜欢的方法。攻击者通常都会选择利用其他国家和地区的计算机进行各种攻击，例如针对美国银行的网络钓鱼则把伪造网站放在美国以外，这样便于逃避追踪或司法追查。

那么，僵尸网络的现状如何呢？
僵尸网络是现在各种网络攻击的“万恶之源”：拒绝服务攻击、垃圾邮件、网络钓鱼（在线身份信息窃取）、等等，凡是你能想到的，通过僵尸网络都能来做，而且比原来更隐蔽、威力更大。因此僵尸网络这些年来被当作最主要的威胁之一被加以关注。在中国，2004年底CNCERT监测到一个僵尸网络，控制的计算机超过10万个；2005年CNCERT发现中国大陆被僵尸网络控制的计算机超过250万个，发现规模超过5000个计算机的僵尸网络143个；2005年荷兰发现一个黑客建立了一个规模接近150万台计算机的僵尸网络，其中位于中国大陆的计算机29万个。

这些僵尸网络的控制和命令服务器都在哪里呢？
2007年CNCERT发现位于中国大陆以外的僵尸网络控制和指令服务器10399个，其中位于美国、中国台湾、韩国、加拿大、日本、巴西、德国等地的数目分别超过3300、1300、700、500、300等。

不知道看到以上这些数据，那份报告的撰写者以及西方的媒体们，该则么修订他们的报告和报道呢？继续设法证明“中国威胁论”可能还是目标，但是却需要更多的脑力和创造力了吧。CNCERT的这些报告都是公开的，在国际场合也都介绍过；CNCERT在亚太经合组织(APEC)还历时一年多牵头完成了题为“僵尸网络应对的技术和策略指南”的项目。可曾听说CNCERT或者其他人根据这些公开数据，来编造“某某国发动网络战争”、“某某国入侵几百个国家的计算机”之类的噱头文章？（荷兰那个僵尸网络，西方记者该怎么写？恐怕没几个连通互联网的国家能从那150万个地址中幸免吧，为什么没人写过“荷兰间谍网络控制全世界”之类的文章？）
没有，是因为我们无法根据控制和指令服务器在哪里，就说这是那个国家干的；我们无法根据一个网络上的攻击来自某个国家，就说攻击者来自这个国家，因为攻击者在网络上多次“跳转”已经是很容易的事情了。

回头再来看看这个报告的可笑之处吧：

• 报告说，这个僵尸网络有4个控制服务器，6个指令服务器。其中3个控制服务器位于中国（海南、广东、四川）；5个指令服务器位于中国（海南、广东、四川、江苏）。另外提到，70%的控制服务器位于中国，不过也发现位于美国、瑞典、韩国和中国台湾的服务器。——头一次看见这样的说法，70%的控制服务器？攻击者建立多个控制服务器，是为了增强僵尸网络的可靠性和可扩展性，70%在这里有什么意义？被控制的计算机经常会被动态地指向某个控制服务器。按照那些“控制服务器在中国所以是中国的攻击”思维的话，有关报道是不是要改一下题目，成为：“中美等国家的间谍网络渗透103个国家”？
• 报告说，发现有一个存放供被控制计算机下载恶意程序的服务器（指令服务器），是一个位于中国海南省的政府服务器。——中国政府真是聪明的要紧，不但把控制服务器建在自己国内，还利用自己国内的政府网站！我被搞糊涂了，潜台词不是要说“中国威胁论”吗，怎么看着像“中国黑客笨”呢？中国政府网站每年有多少被黑，各种报告多得很。
  
• 报告说，这些控制或指令服务器所使用的域名，其中有两个查询其注册者时显示是中国人。——根据报告提供的数据，我也查了其他6个，结果有的没结果，有的明显是乱注册的，还有注册所在城市为印度新德里的。而且，业内人都知道这种查询(whois)的准确性很低，伪造也很容易，难道他们不知道？
• 报告也提到有一个控制服务器的IP追踪到了韩国，属于一个电视台，但是当时使用的动态域名属于中国的动态域名服务。——凡是沾上中国的边，就要往上算。“中国制造”遍地都是，惨了！
• 报告分析那些被控制的计算机。这1295个地址，去掉重复的以后，对986个地址进行了定位。结果就更可笑了：这些计算机中，中国台湾最多148个，越南第二130个，美国第三113个，中国大陆自己排第四92个，加上排第五的中国香港的65个，大陆加香港占157个，排第一！报告自己的脚注却说前四名是台湾、美国、越南、印度，这样自相矛盾，恐怕是为了呼应通篇“选择的入侵对象都是和中国关系敏感的国家和组织”这样的暗示吧。——谁能解释一下，中国组织的间谍网络，为什么要花那么大力气对自己下手？
  
• 报告说，30%（查他后面的数据发现是26.7%）的被控制计算机可以被认为是具有“高价值”的目标。——如果按照这个做法核查一下那些其他的僵尸网络，绝对数字一定比这个“间谍网络”高很多，就算按比例算，估计也有相当的。而且，另外70%干嘛呢？所谓“有目标攻击”，还真是笨哪！
• 报告还列出了一些被攻击的网站域名，结果里面还有中国驻美国大使馆（embassy）！——无语了都！
• 报告还给出一个“证据”：中招的重要目标，多数是各个国家外交领域的计算机。——不过作者忘了自己在前面介绍的时候说，攻击者通过伪造的垃圾电子邮件，欺骗计算机用户打开附件从而植入恶意程序。给出了垃圾邮件也是英文的。我自己收到的垃圾邮件也多数是英文的。请问有多少英语不是母语的国家，其除了外交领域人员之外的其他政府雇员都谙熟英文的？他们会打开看都看不懂的英文垃圾邮件，进而被感染的概率有多大？
• 报告提到，这个“间谍网络”使用的恶意程序，是在网上有公开源代码的。——由此可知，中国确实强，搞个间谍网络，还不说使点高级或者隐蔽的东西，整个开放源代码！考虑国际标准呢？！
• ......
  

累了，打住吧。其实编报告的人自己也有点心虚，在结论的部分给自己留了退路，说什么也不能就此就下什么什么结论、也有其他的什么什么可能之类的。不过已经不重要了，记者们早走了，文章都发了，热点赚足了。

这就是“中国计算机间谍网络入侵103个国家”事件！

在这里顺便给自己做个广告：还有哪个记者或者杂志对这类题材感兴趣的，可以和我联系。通过这次学习我已经学到了不少高人的报告技巧，而我掌握的数据比他们多很多，可以做到指哪打哪、指谁打谁！不过我还远达不到人家的水平，因为自己还有个良心在那里碍事。