一、 黑客向主流挺进
去年7月31日, 赌城拉斯维加斯再次成为全球IT关注
的焦点。一年一度的黑客大会在此隆重举行。世界各地的
黑客明星云集而来,济济一堂,共度这网络、病毒、赌博、
美酒加咖啡紧张的三天三夜。除了每天有十多个正式发言
外,更多的交流是在旅馆或酒吧中进行。
虽然这个名为“DEF CON”的黑客盛会 “热诚欢迎所
有的黑客、飞客、电脑朋客、技术迷、程序员、作家、社
会活动家、律师、哲学家、政治家、安全专家及所有网络
管理员和用户参加”,但它综合了主流文化、非主流文化
甚至地下文化,极具复杂性和争议性。
会议的高潮出现在8月1日下午,一个名为“死牛祭礼”
(CDC)的黑客组织发表并演示了Back Orifice(简称BO)
和DirectXPloit等黑客工具, 引起与会者极大的震动。
尤其是BO,成为本届大会最走红的明星产品。有人评价说
“IBM使大型机走进了公司, 苹果使PC和图形界面走向大
众,而CDC的BO将使黑客活动走向每一个家庭。”
二、 视窗后洞大开
BO不是病毒,而是货真价实的应用程序。 CDC美其名
曰为“Windows远程管理工具”, 这个工具能以各种隐秘
的方式非法传入他人计算机, 运行后, 使任何一台运行
Windows95/98且以TCP/IP协议联网的机器完全洞开(Back
Orifice的意思就是“后孔、后洞”),允许恶意的用户长
驱直入,任意攻击。可以说:“有了BO,任何一个12岁以
上的计算机用户都可以成为极其优秀的黑客。”
BO本质上属于客户机/服务器应用程序。它通过一个
极其简单的图形用户界面和控制面板,可以对感染了BO(
即运行了BO服务器)的机器操作Windows 本身具备的所有
功能。这个大小仅有123K的程序,水平一流,令那些复杂
而庞大的商用远程管理软件相形见绌。而真正可怕的是:
BO没有利用系统和软件的任何漏洞或Bug, 也没有利用任
何微软未公开的内部API,而完全是利用Windows系统的基
本设计缺陷。甚至连普通的局域网防火墙和代理服务器也
难以有效抵挡。
BO可通过网上下载、电子邮件、盗版光盘、人为投放
等途径传播,并且可极其隐藏地粘贴在其他应用程序。一
旦激活,就可以自动安装,创建Windll.dll,然后删除自
安装程序,埋名隐姓,潜伏在机器中。外人就可通过BO客
户机程序,方便地搜索到世界上任何一台被BO感染并上网
的计算机IP地址。通过IP地址就可对其轻易实现网络和系
统控制功能。可获取包括网址口令、拨号上网口令、用户
口令、磁盘、CPU、软件版本等详细的系统信息; 可删除、
复制、检查、查看文件;可运行机内任何一个程序;可捕
捉屏幕信息;可上传各种文件;可以查阅、创建、删除和
修改系统注册表;甚至可以使计算机重新启动或锁死机器。
而所有这些功能的实现,均可在菜单中轻松完成。
BO的出现,使无所不在的微软Windows 忽地出现一个
巨大的“后洞”,使Windows用户置于极其危险的境地。
三、 微软受到最大威胁
CDC是最早的黑客组织之一,自1984 年以来发表过数
百篇反主流文化的文章,拥有数十名活跃分子。BO的破坏
性显而易见,但它公开发布,又表明了它的善意。BO作者
Sir Dystic是CDC的骨干。 以前自称是微软的最大敌人,
而今改称是比尔-盖茨的头号崇拜者。 他对记者说:“隐
私将是互联网最大的问题。BO的目的是要向大家指出:实
际上,隐私并没有我们想象的那样便宜。”
BO表明了微软Windows 设计存在基本缺陷。 比如Win
dows95/98 总把口令等重要信息以文本形式直接缓存在内
存中,BO就可利用这一点,方便地获取各种系统信息。BO
的危险性其实就是微软产品的不安全性。
微软对此建议Windows95/98的用户:1.计算机不与外
界联网;2.计算机通过能够动态分配IP地址的ISP联网;
3.网络设置防火墙或代理服务器……
CDC逐条反驳如下: 首先无论是用户有意或无意,BO
都能伪装或依附在其他软件中,通过各种途径随时传播;
其次,BO能够自动搜索被感染PC的IP地址;而且一般的动
态IP地址分配也能被BO扫描追踪。再者,只要防火墙允许
任何用户数据协议(UDP) 信息包通过,BO就能穿透防火
墙。一个局域网中只要有一台机器被BO感染,就可攻击整
个网络。
当然,机器不联网,BO就不会有任何作为。而且目前
BO还无法攻击WindowsNT。但CDC表示,他们针对NT的BO版
本开发已进入倒计时。
分析家指出:“微软说,BO本身并不是一个威胁。实
际上微软迟迟不向公众作出坦率诚恳的说明,无法尽快解
决问题才是真正的最大威胁。”
四、用户是牺牲品?
BO不是真正的病毒,而是特洛伊木马程序。虽然很隐
秘,但还是有蛛丝马迹,普通用户就可识别出来。感染BO
的计算机,在Windows的System子目录下有两个文件:WIN
DLL.DLL以及.EXE(空格.EXE)。 第一个文件容易找到,
第二个文件可能经过重新配置,改变了名字,不易逮住。
一般用户设法删除这两个文件,BO也就失效。但为防
止程序故障,最好还要修改注册表。目前最新版本的瑞星、
KV300等杀毒软件均可有效清除BO。
BO原本属于操作系统的安全问题,现由杀毒软件来解
决也是迫不得已的下下之策。目前发现的黑客程序有BO、
NetSpy、NetBus、backdoor、manager 等几大类近三十种
版本,感染特征也各不相同,但能耐都相同:就是将你的
计算机和你的隐私和机器置于危险境地。因此,只要微软
不根本解决这一问题,全球Windows95/98用户都只能在“
前窗后洞”的威胁下工作。
令人吃惊的是,目前国内有些网站已经堂而皇之放上
黑客程序,供人自由下载。而且有的黑客程序已有中文版。
随着Windows 的普及,全球的商业、政治、经济、军
事和生活等越来越依赖微软的产品,微软的产品质量和社
会责任感也应随着提升。否则后果无法设想。黑客程序在
考验广大用户,更在考验微软公司。
方兴东
|