境外對(duì)華網(wǎng)絡(luò)攻擊報(bào)告

盡管故意炒作的“中國(guó)黑客威脅論”甚囂塵上，但數(shù)字表明，中國(guó)恰恰是網(wǎng)絡(luò)攻擊的最大受害國(guó)之一。

來(lái)自中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/ CC）的報(bào)告顯示，在中國(guó)遭受的境外網(wǎng)絡(luò)攻擊中，無(wú)論木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制境內(nèi)主機(jī)數(shù)量，還是網(wǎng)站后門(mén)、網(wǎng)絡(luò)釣魚(yú)等，來(lái)自美國(guó)地址的攻擊均名列第一。

作為國(guó)家公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系的核心技術(shù)協(xié)調(diào)機(jī)構(gòu)，CNCERT/ CC最近發(fā)布的《2012年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》認(rèn)為，針對(duì)中國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測(cè)、滲透和攻擊事件時(shí)有發(fā)生，雖尚未造成大規(guī)模嚴(yán)重危害，但高水平、有組織的網(wǎng)絡(luò)攻擊，給中國(guó)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全保障帶來(lái)嚴(yán)峻挑戰(zhàn)。

僅2013年上半年，CNCERT/ CC共向國(guó)際網(wǎng)絡(luò)安全應(yīng)急組織和其他相關(guān)組織投訴1760起，其中向美國(guó)相關(guān)組織投訴1110起。

CNCERT/ CC運(yùn)行部主任、《2012年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》編委會(huì)執(zhí)行委員王明華在接受《瞭望東方周刊》采訪(fǎng)時(shí)表示，互信是進(jìn)一步推進(jìn)國(guó)際網(wǎng)絡(luò)安全合作的關(guān)鍵環(huán)節(jié)。避免用“有色眼鏡”看待網(wǎng)絡(luò)安全問(wèn)題，是促進(jìn)國(guó)際合作、緩解各國(guó)網(wǎng)絡(luò)安全威脅的前提。

千萬(wàn)臺(tái)境內(nèi)電腦“失陷”

根據(jù)《2012年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》，2012年中國(guó)境內(nèi)有1419. 7萬(wàn)余臺(tái)主機(jī)受到境外木馬或僵尸網(wǎng)絡(luò)控制，較2011年增長(zhǎng)59. 6%。

其中，被來(lái)自美國(guó)IP地址的木馬或僵尸網(wǎng)絡(luò)控制的服務(wù)器和主機(jī)數(shù)量，占全部的17. 6%和74%，均名列第一。

僵尸網(wǎng)絡(luò)是指攻擊者通過(guò)各種途徑傳播“僵尸”程序，感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過(guò)接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。

如果從中國(guó)境內(nèi)服務(wù)器被控制的比例來(lái)看，來(lái)自日本和中國(guó)臺(tái)灣的IP地址緊隨美國(guó)之后，分列第二、三位，分別占9. 6%和7. 6%；從控制的中國(guó)境內(nèi)主機(jī)數(shù)量來(lái)看，來(lái)自韓國(guó)和德國(guó)的IP地址分列第二、三位，分別控制78. 5萬(wàn)和77. 8萬(wàn)臺(tái)主機(jī)。

在網(wǎng)站后門(mén)攻擊方面，境外有3. 2萬(wàn)臺(tái)主機(jī)通過(guò)植入后門(mén)，對(duì)境內(nèi)3. 8萬(wàn)個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制，美國(guó)、韓國(guó)和中國(guó)香港位于前三位。

在網(wǎng)絡(luò)釣魚(yú)攻擊方面，針對(duì)中國(guó)的釣魚(yú)站點(diǎn)有96. 2%位于境外。其中位于美國(guó)的占83. 2%，仍然位居第一。

王明華告訴本刊記者，截至2013年6月30日的數(shù)據(jù)表明，從控制服務(wù)器所占比例來(lái)看，美國(guó)繼續(xù)排名第一，中國(guó)香港變成了第二位，韓國(guó)位列第三；從所控制的中國(guó)境內(nèi)主機(jī)數(shù)量來(lái)看，美國(guó)第一，葡萄牙和中國(guó)香港分列第二、三位。

中國(guó)香港雖然IP地址、主機(jī)、人口數(shù)量都不多，但是“現(xiàn)在互聯(lián)網(wǎng)跳板非常多，香港的排列次序變化，只能說(shuō)與其網(wǎng)絡(luò)安全形勢(shì)、政策、策略、防護(hù)機(jī)制等有一定關(guān)系”。他解釋說(shuō)，國(guó)家和地區(qū)次序的變化，與當(dāng)?shù)鼗ヂ?lián)網(wǎng)管理的策略有多種關(guān)系。

比如韓國(guó)互聯(lián)網(wǎng)比較發(fā)達(dá)，人均帶寬位居世界第一，并且存在互聯(lián)網(wǎng)近鄰效應(yīng)。它與中國(guó)的交流多、流量大，網(wǎng)絡(luò)安全事件就可能多一些。

“美國(guó)IP地址最多、機(jī)器也多，排第一位，我們不感到意外?！彼J(rèn)為。

根據(jù)CNCERT/ CC數(shù)據(jù)，自2010年以來(lái)，來(lái)自美國(guó)、日本、韓國(guó)的攻擊始終對(duì)中國(guó)境內(nèi)的網(wǎng)絡(luò)安全造成較大威脅，印度、土耳其等也成為重要的攻擊源頭。3年來(lái)，對(duì)中國(guó)境內(nèi)實(shí)施網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)釣魚(yú)等不法行為，所利用的惡意域名半數(shù)以上在境外注冊(cè)，而且境外注冊(cè)比例不斷提高。

CNCERT/ CC工程師、《2012年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》編委會(huì)委員徐原對(duì)《瞭望東方周刊》說(shuō)，CNCERT/ CC只能監(jiān)測(cè)到大部分發(fā)起攻擊的IP地址位于美國(guó)，但并不能確認(rèn)其來(lái)自政府還是民間。同時(shí)，發(fā)起攻擊的IP地址可能受別人控制。而追究這些根源，都需要外國(guó)政府和相關(guān)機(jī)構(gòu)、企業(yè)的配合。

“冷戰(zhàn)思維”的國(guó)際黑客

雖然確定攻擊源頭存在一定難度，但“匿名者”、“反共黑客”、“阿爾及利亞BarbarosDZ”等境外黑客組織已經(jīng)浮出水面。

徐原向本刊詳細(xì)介紹說(shuō)，CNCERT/ CC從2010年就開(kāi)始重點(diǎn)關(guān)注“匿名者”。這是一個(gè)比較松散的黑客組織，理念是“互聯(lián)網(wǎng)自由”，只要認(rèn)可這一理念的黑客，都可以“匿名者”的名義從事黑客活動(dòng)。

由于這種組織架構(gòu)，據(jù)稱(chēng)其成員高達(dá)數(shù)百萬(wàn)人，遍及世界各地。他們主要在網(wǎng)上論壇集結(jié)，經(jīng)常對(duì)各個(gè)國(guó)家政府網(wǎng)站發(fā)動(dòng)攻擊，篡改網(wǎng)頁(yè)內(nèi)容。

也有信息顯示，“匿名者”目前已成為全球最大的黑客組織。它于2003年成立，由一個(gè)網(wǎng)絡(luò)信息論壇里喜歡惡作劇的黑客和游戲玩家發(fā)展而成。

自2008年開(kāi)始，“匿名者”表現(xiàn)出比較明顯的政治傾向，對(duì)“自由之?dāng)场遍_(kāi)戰(zhàn)：參與中東動(dòng)蕩、“占領(lǐng)華爾街”、“維基解密”、阿桑奇等事件。甚至當(dāng)網(wǎng)絡(luò)支付平臺(tái)PayPal拒絕為“維基解密”提供轉(zhuǎn)賬服務(wù)時(shí)，也受到了“匿名者”的攻擊。

“匿名者”明顯表現(xiàn)出西方精英階層某部分人慣有的歧視和偏見(jiàn)。目前被美國(guó)聯(lián)邦調(diào)查局逮捕的“匿名者”負(fù)責(zé)人也都符合西方黑客的典型特征：年輕、白人、男性。

“匿名者”在政治事件上最著名的案例是，他們對(duì)2011年突尼斯的國(guó)內(nèi)政治動(dòng)蕩起到一定助推作用?！澳涿摺碑?dāng)時(shí)不僅攻破了突尼斯證券交易所和眾多政府網(wǎng)站，而且還教授不同政見(jiàn)者如何擺脫政府的網(wǎng)絡(luò)管理。

CNCERT/ CC發(fā)現(xiàn)，“匿名者”針對(duì)中國(guó)的攻擊者主要來(lái)自自稱(chēng)為“Anonymous China”的ID。

它主要關(guān)注中國(guó)境內(nèi)政府網(wǎng)站以及一些存儲(chǔ)有大量用戶(hù)信息的重要行業(yè)網(wǎng)站，通常利用文件上傳等漏洞進(jìn)行滲透，竊取大量網(wǎng)站用戶(hù)賬號(hào)和私密信息。據(jù)不完全統(tǒng)計(jì)，其關(guān)注的中國(guó)境內(nèi)目標(biāo)網(wǎng)站超過(guò)600個(gè)，其中包括上百個(gè)政府部門(mén)網(wǎng)站。

根據(jù)“匿名者”的傳統(tǒng)，在攻擊中國(guó)境內(nèi)網(wǎng)站成功后，該組織成員會(huì)通過(guò)網(wǎng)絡(luò)社交工具、網(wǎng)絡(luò)聊天室等網(wǎng)絡(luò)媒介展示其攻擊成果。

2012年3月、4月、11月，“匿名者”多次宣稱(chēng)攻擊了中國(guó)政府和大型企業(yè)網(wǎng)站。4月至7月，CNCERT/ CC監(jiān)測(cè)發(fā)現(xiàn)并報(bào)告了“匿名者”對(duì)最高人民法院、國(guó)家自然科學(xué)基金委、水利部、商務(wù)部等網(wǎng)站的攻擊事件。

另一個(gè)經(jīng)常對(duì)中國(guó)境內(nèi)網(wǎng)絡(luò)進(jìn)行攻擊的典型組織是“反共黑客”，它具有很強(qiáng)的意識(shí)形態(tài)色彩和“冷戰(zhàn)思維”。

王明華說(shuō)，該組織的攻擊主要針對(duì)黨務(wù)系統(tǒng)的網(wǎng)站，以及部分高校與社會(huì)組織網(wǎng)站。攻擊成功后，它篡改網(wǎng)頁(yè)，在網(wǎng)頁(yè)上顯示一些反共口號(hào)，發(fā)布的言論經(jīng)常與當(dāng)前一些時(shí)事熱點(diǎn)結(jié)合，有較強(qiáng)的煽動(dòng)性。同時(shí)，它也會(huì)在谷歌地圖上做標(biāo)記，注明攻陷網(wǎng)站名稱(chēng)和具體時(shí)間，然后通過(guò)網(wǎng)絡(luò)媒介迅速擴(kuò)大影響。

截至2012年12月31日，CNCERT/ CC共監(jiān)測(cè)到涉及90個(gè)部門(mén)的142個(gè)網(wǎng)站被該組織篡改。

王明華進(jìn)一步介紹，“反共黑客”的活動(dòng)很有周期性，每周都要攻擊兩三個(gè)網(wǎng)站。根據(jù)初步研判，“反共黑客”能持續(xù)發(fā)布攻擊案例，說(shuō)明其已經(jīng)掌握了中國(guó)境內(nèi)大量網(wǎng)站的漏洞，可能采用了預(yù)先植入后門(mén)等手段，控制了一些網(wǎng)站服務(wù)器以備使用。

而自2012年3月到12月31日，中國(guó)境內(nèi)超過(guò)1250個(gè)政府網(wǎng)站頁(yè)面被“阿爾及利亞Barbaros- DZ”篡改。

王明華說(shuō)，至2013年三四月，他們通過(guò)搜集“阿爾及利亞Barbaros- DZ”在網(wǎng)絡(luò)上建立的賬號(hào)、帖子、博客，以及在各處的留言，分析出他其實(shí)就是具有較強(qiáng)宗教傾向的個(gè)人。

“是一個(gè)黑客，而不是一個(gè)組織?！毙煸f(shuō)，CNCERT/ CC還找到了他的照片。

背景復(fù)雜的APT攻擊

2013年1月1日至6月30日，CNCERT/ CC共接收并協(xié)調(diào)處置國(guó)際應(yīng)急組織和其他網(wǎng)絡(luò)安全組織投訴拒絕服務(wù)攻擊、惡意程序、網(wǎng)絡(luò)釣魚(yú)等事件339起，其中來(lái)自美國(guó)的組織投訴事件191起，來(lái)自歐洲的組織投訴事件62起。

同期， CNCERT/ CC共向國(guó)際網(wǎng)絡(luò)安全應(yīng)急組織和其他相關(guān)組織投訴達(dá)1760起，其中向美國(guó)相關(guān)組織投訴1110起。

在此期間，CNCERT/ CC還組織開(kāi)展了3次木馬和僵尸網(wǎng)絡(luò)專(zhuān)項(xiàng)打擊行動(dòng)，成功處置了899個(gè)控制規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端與惡意程序傳播源，切斷了黑客對(duì)近152萬(wàn)臺(tái)感染主機(jī)的遠(yuǎn)程操控。

對(duì)于網(wǎng)絡(luò)攻擊的“工具”- - -病毒，中國(guó)受到攻擊較多的是能夠?qū)嵤〢PT攻擊的“火焰”病毒、“高斯”病毒、“紅色十月”病毒等。

APT即高級(jí)持續(xù)性威脅，是黑客以竊取核心資料為目的發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，通常是一種蓄謀已久的網(wǎng)絡(luò)攻擊。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性。

上述幾種APT病毒非常復(fù)雜，幕后操作者目的性極強(qiáng)，需要進(jìn)行前期數(shù)據(jù)收集，有很長(zhǎng)的潛伏期?！坝行┎《疽恢睗摲诓粩嘣黾铀母腥玖?，版本也在持續(xù)更新?！毙煸f(shuō)。

據(jù)CNCERT/ CC監(jiān)測(cè)，2012年中國(guó)境內(nèi)至少有4. 1萬(wàn)余臺(tái)主機(jī)感染具有APT特征的木馬程序，涉及多個(gè)政府機(jī)構(gòu)、重要信息系統(tǒng)部門(mén)以及高新技術(shù)企事業(yè)單位，這類(lèi)木馬的控制服務(wù)器絕大多數(shù)位于境外。

至于以APT為主的病毒，“需要很大的精力和財(cái)力，一般黑客不會(huì)做這件事情，可能會(huì)有政府在幕后操作。做這類(lèi)病毒的人都很專(zhuān)業(yè)，并且堅(jiān)持不懈，防范是個(gè)很大的難題?！蓖趺魅A說(shuō)，國(guó)際上通常認(rèn)為發(fā)起這種攻擊的源頭具有更高、更復(fù)雜的背景。

他建議，個(gè)人必須具有防范意識(shí)，收到未知郵件、鏈接、程序不要隨便點(diǎn)擊。而從企業(yè)、網(wǎng)管的角度，要加強(qiáng)安全防護(hù)，配置好合適的防火墻。

對(duì)國(guó)家層面來(lái)說(shuō)，政府的網(wǎng)絡(luò)安全管理部門(mén)要提高高危病毒的重視程度，要加大宣傳力度，對(duì)國(guó)家重點(diǎn)企業(yè)、重要信息系統(tǒng)進(jìn)行重點(diǎn)防護(hù)。

就最近爆發(fā)的“棱鏡門(mén)”事件，王明華認(rèn)為，國(guó)家重要的信息系統(tǒng)盡量不要使用國(guó)外廠(chǎng)商的服務(wù)器產(chǎn)品。譬如現(xiàn)在中國(guó)的骨干網(wǎng)絡(luò)上，還有一些思科的產(chǎn)品。而斯諾登首先曝光的就是思科與美國(guó)政府有相關(guān)合作。

“可以遠(yuǎn)程改變路由器配置，獲知一些信息。這是很容易做到的?！蓖趺魅A說(shuō)。

在2012年，中國(guó)境內(nèi)政府網(wǎng)站被篡改數(shù)量為1802個(gè)，較2011年的1484個(gè)增長(zhǎng)21. 4%。王明華認(rèn)為，省部級(jí)層面對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)比較到位，但地市級(jí)及以下網(wǎng)站安全防護(hù)確實(shí)不理想。

通常情況下，地方政府只是側(cè)重于建立一個(gè)網(wǎng)站，對(duì)網(wǎng)站的維護(hù)重視程度遠(yuǎn)遠(yuǎn)不夠?！昂诳凸粽W(wǎng)站，主要是針對(duì)應(yīng)用系統(tǒng)本身的缺陷。網(wǎng)管發(fā)現(xiàn)漏洞，要及時(shí)修復(fù)，如果反應(yīng)不夠快，網(wǎng)站承載的信息就可能很快被黑客竊取。”他說(shuō)。

另一方面，對(duì)于個(gè)人用戶(hù)而言，移動(dòng)互聯(lián)網(wǎng)的安全威脅日益嚴(yán)重，而安卓手機(jī)平臺(tái)逐漸成為安全重災(zāi)區(qū)。

王明華解釋說(shuō)，安卓系統(tǒng)代碼是開(kāi)放的。另外，安卓系統(tǒng)的用戶(hù)基數(shù)較大，導(dǎo)致受災(zāi)較為嚴(yán)重。

合作消除誤解

隨著境外對(duì)華網(wǎng)絡(luò)攻擊日益嚴(yán)重，推進(jìn)國(guó)際合作成為當(dāng)務(wù)之急。在這方面，中韓兩國(guó)的網(wǎng)絡(luò)安全合作可以作為案例。2013年，為了共同維護(hù)雙方的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全，中韓兩國(guó)還簽訂了新的合作協(xié)議。

2012年，來(lái)自韓國(guó)的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制中國(guó)境內(nèi)78. 5萬(wàn)臺(tái)主機(jī)，緊隨美國(guó)之后，位列第二。在網(wǎng)站后門(mén)攻擊方面，韓國(guó)遠(yuǎn)程控制中國(guó)大陸7931個(gè)網(wǎng)站，同樣位于第二位。

2012年2月7日下午，CNCERT/ CC接到境內(nèi)“烏云”網(wǎng)站的求助電話(huà)，稱(chēng)其網(wǎng)站正在遭受網(wǎng)絡(luò)攻擊，已不能提供正常的訪(fǎng)問(wèn)服務(wù)。

CNCERT/ CC立即對(duì)攻擊事件進(jìn)行技術(shù)驗(yàn)證和數(shù)據(jù)分析，發(fā)現(xiàn)該網(wǎng)站位于吉林省的網(wǎng)站服務(wù)器從當(dāng)日早7時(shí)開(kāi)始遭受?chē)?yán)重攻擊。

進(jìn)一步分析發(fā)現(xiàn)，在1800多個(gè)攻擊源IP地址中有1400多個(gè)位于韓國(guó)。為此，按照與韓國(guó)方面建立的工作機(jī)制，CNCERT/ CC于7日下午緊急聯(lián)系了韓國(guó)互聯(lián)網(wǎng)應(yīng)急中心（KrCERT），請(qǐng)其協(xié)助處理此次攻擊事件。

KrCERT迅速完成了攻擊源IP定位驗(yàn)證、惡意程序分析、攻擊源IP處理和防病毒軟件病毒庫(kù)升級(jí)等工作。7日晚，“烏云”恢復(fù)正常。

王明華解釋說(shuō)，根據(jù)分析，這起事件的源頭是：韓國(guó)有一個(gè)網(wǎng)站wuyun. com，該國(guó)黑客可能本來(lái)要攻擊這個(gè)網(wǎng)站，在輸入域名時(shí)出現(xiàn)錯(cuò)誤，把com輸入成了org，轉(zhuǎn)而錯(cuò)誤地對(duì)“烏云”網(wǎng)站展開(kāi)攻擊。

最近一次涉及兩國(guó)互聯(lián)網(wǎng)安全的事件發(fā)生在2013年3月20日，韓國(guó)主要廣播電臺(tái)KBS、MBC、YTN，以及韓國(guó)新韓銀行、農(nóng)協(xié)銀行等部分金融機(jī)構(gòu)遭受大規(guī)模網(wǎng)絡(luò)攻擊。

黑客通過(guò)向這些機(jī)構(gòu)所使用的殺毒軟件管理服務(wù)器植入惡意程序，使3. 2萬(wàn)臺(tái)電腦出現(xiàn)故障，導(dǎo)致自動(dòng)取款機(jī)無(wú)法取款、電視節(jié)目無(wú)法制作，相關(guān)網(wǎng)絡(luò)與信息系統(tǒng)完全陷入癱瘓。為此，KrCERT上級(jí)領(lǐng)導(dǎo)部門(mén)、韓國(guó)廣播電臺(tái)主管部門(mén)、韓國(guó)軍方聯(lián)合成立了“民官軍聯(lián)合應(yīng)對(duì)小組”。

徐原對(duì)本刊記者說(shuō)，事件發(fā)生后，韓國(guó)媒體稱(chēng)發(fā)起攻擊的IP來(lái)自中國(guó)，而且在文中特別說(shuō)，“由于朝鮮多次通過(guò)中國(guó)的互聯(lián)網(wǎng)對(duì)韓國(guó)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)攻擊，故此次事件有可能是朝鮮所為?！?/p>

CNCERT/ CC看到這條新聞后，主動(dòng)聯(lián)系韓國(guó)的KrCERT，獲知攻擊韓國(guó)的IP地址。

CNCERT/ CC隨后從境內(nèi)運(yùn)營(yíng)商了解到，此IP自2012年8月就已經(jīng)停止使用。CNCERT/ CC在22日中午向KrCERT反饋了這個(gè)情況，并要求韓國(guó)進(jìn)一步提供分析報(bào)告及相關(guān)證據(jù)線(xiàn)索。

隨著韓國(guó)“民官軍聯(lián)合應(yīng)對(duì)小組”進(jìn)一步調(diào)查，發(fā)現(xiàn)是韓國(guó)農(nóng)協(xié)銀行的網(wǎng)管沒(méi)有使用預(yù)留的標(biāo)準(zhǔn)私有IP，導(dǎo)致其IP地址落入中國(guó)的網(wǎng)址范圍。

到25日，韓國(guó)發(fā)布消息說(shuō)，據(jù)韓國(guó)警察廳調(diào)查發(fā)現(xiàn)，導(dǎo)致此次網(wǎng)絡(luò)癱瘓的惡意代碼來(lái)自美國(guó)和歐洲地區(qū)的4個(gè)國(guó)家。

與美合作清除僵尸網(wǎng)絡(luò)

中國(guó)境內(nèi)互聯(lián)網(wǎng)遭受美國(guó)攻擊最多，雙方最近一次重要合作發(fā)生在2013年6月24日。當(dāng)時(shí)CNCERT/ CC接到美國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（US- CERT）投訴，稱(chēng)來(lái)自中國(guó)境內(nèi)的8個(gè)IP地址對(duì)美國(guó)實(shí)施了APT攻擊。

CNCERT/ CC對(duì)美國(guó)提供的IP地址進(jìn)行技術(shù)分析，結(jié)果顯示這些IP地址沒(méi)有對(duì)外發(fā)起攻擊的跡象，但會(huì)定期鏈接22個(gè)境外IP地址。這22個(gè)境外IP中有10個(gè)IP地址位于美國(guó)，它們疑似被其他人控制。

CNCERT/ CC將技術(shù)分析結(jié)果反饋給US- CERT，請(qǐng)他們對(duì)這10個(gè)可疑IP地址進(jìn)一步核查。截至目前，還沒(méi)有收到USCERT的進(jìn)一步反饋。

US- CERT隸屬于美國(guó)國(guó)土安全部。除了和美國(guó)政府的下屬組織合作，CNCERT/ CC與美國(guó)公司、歐美網(wǎng)絡(luò)安全機(jī)構(gòu)也有緊密協(xié)作。

2013年6月，CNCERT/ CC接到微軟公司舉報(bào)，請(qǐng)求協(xié)助聯(lián)合打擊名為Citadel的全球大型僵尸網(wǎng)絡(luò)。

Citadel惡意程序會(huì)監(jiān)視并記錄受害者的信息，并將信息發(fā)給黑客，后者可直接登錄受害者的銀行賬戶(hù)或其他網(wǎng)上賬戶(hù)，輕松盜取資金、竊取個(gè)人身份信息。

據(jù)監(jiān)測(cè)，全球至少有500萬(wàn)臺(tái)個(gè)人電腦受到Citadel感染。它問(wèn)世以來(lái)，超過(guò)90個(gè)國(guó)家和地區(qū)遭受了攻擊，共損失了5億多美元的財(cái)富。

微軟公司請(qǐng)求CNCERT/ CC協(xié)助清理該僵尸網(wǎng)絡(luò)在中國(guó)境內(nèi)的IP地址，以及在中國(guó)注冊(cè)的域名。CNCERT/ CC協(xié)調(diào)國(guó)內(nèi)相關(guān)企業(yè)和域名注冊(cè)機(jī)構(gòu)，快速處置了微軟提供的全部惡意IP地址和域名。

自2011年以來(lái)，CNCERT/ CC與微軟公司還聯(lián)手清除了Rustock、Nitol等多個(gè)大型僵尸網(wǎng)絡(luò)。2010年2月底，CNCERT/ CC還參與了中美歐網(wǎng)絡(luò)安全組織清除Waledac大型僵尸網(wǎng)絡(luò)的行動(dòng)。

而在官方合作方面，2011年，CNCERT/ CC圓滿(mǎn)完成了與美國(guó)東西方研究所（EWI）開(kāi)展的為期兩年的中美網(wǎng)絡(luò)安全對(duì)話(huà)機(jī)制反垃圾郵件專(zhuān)題研討，并在英國(guó)倫敦和中國(guó)大連舉辦的國(guó)際會(huì)議上正式發(fā)布了其成果報(bào)告“抵御垃圾郵件 建立互信機(jī)制”中英兩版，增進(jìn)了中美雙方在網(wǎng)絡(luò)安全問(wèn)題上的相互了解，為進(jìn)一步合作打下基礎(chǔ)。

2012年起，CNCERT/ CC正在與美國(guó)東西方研究所就“反黑客攻擊”專(zhuān)題開(kāi)展對(duì)話(huà)，中美雙方專(zhuān)家就研究黑客定義、攻擊方式、最佳實(shí)踐、應(yīng)對(duì)措施等問(wèn)題交流了意見(jiàn)。

“通過(guò)網(wǎng)絡(luò)安全事件處理機(jī)制，中國(guó)發(fā)現(xiàn)來(lái)自美國(guó)IP的攻擊，可以向US- CERT投訴，他們會(huì)協(xié)助處理。他們把來(lái)自中國(guó)的攻擊投訴給CNCERT/ CC，我們也會(huì)協(xié)助處理?！毙煸f(shuō)。

信任至關(guān)重要

徐原介紹，CNCERT/ CC的主要工作是對(duì)中國(guó)互聯(lián)網(wǎng)進(jìn)行整體監(jiān)測(cè)。比如，哪里的流量發(fā)生異常、哪里的木馬或僵尸數(shù)量變多、哪里的網(wǎng)頁(yè)被惡意篡改，等等?！霸趯?duì)黑客的監(jiān)測(cè)方面，他們?cè)趯?duì)某個(gè)網(wǎng)站發(fā)起攻擊之前我們是不知道的。在我們監(jiān)測(cè)到網(wǎng)頁(yè)篡改等攻擊后，我們會(huì)馬上協(xié)調(diào)網(wǎng)站管理員，或者網(wǎng)站所屬的運(yùn)營(yíng)商，及時(shí)彌補(bǔ)漏洞，把影響減至最小?！?/p>

上世紀(jì)80年代末，美國(guó)出現(xiàn)了全球最早的互聯(lián)網(wǎng)應(yīng)急機(jī)構(gòu)。后來(lái)，全世界幾十個(gè)國(guó)家和地區(qū)都成立了CERT或類(lèi)似的組織。

1990年11月，一些國(guó)家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安全工作組論壇”，即FIRST，其亞太地區(qū)應(yīng)急響應(yīng)工作組稱(chēng)為APCERT。

CNCERT/ CC是FIRST正式成員，也是APCERT的發(fā)起人之一。

作為中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對(duì)外合作窗口，CNCERT/ CC目前也正在繼續(xù)實(shí)施“國(guó)際合作伙伴計(jì)劃”。

到2012年底，CNCERT/ CC已與51個(gè)國(guó)家和地區(qū)的91個(gè)組織建立聯(lián)系機(jī)制，與其中的12個(gè)組織正式簽訂網(wǎng)絡(luò)安全合作備忘錄或達(dá)成一致，進(jìn)一步完善和加強(qiáng)跨境網(wǎng)絡(luò)安全事件處置的協(xié)作機(jī)制。

這樣，在2012年，CNCERT/ CC全年共協(xié)調(diào)境外安全組織處理涉及境內(nèi)的網(wǎng)絡(luò)安全事件4063起，較2011年增長(zhǎng)近3倍；協(xié)助境外機(jī)構(gòu)處理跨境事件961起，較2011年增長(zhǎng)69. 2%。

王明華說(shuō)，跨國(guó)合作是CNCERT/ CC這幾年最主要工作內(nèi)容。其中，重點(diǎn)是增強(qiáng)雙邊互信，在共同構(gòu)建互信的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)安全合作。

然而，一些國(guó)家卻總愿意用非“技術(shù)”視角來(lái)看待這些問(wèn)題。他說(shuō)，比如美國(guó)總是指責(zé)中國(guó)，總想在政治上確立一種影響中國(guó)的方式，而不是尋找一種力求解決問(wèn)題的途徑，“指責(zé)、謾罵，無(wú)助于問(wèn)題的解決。”

在王明華看來(lái)，國(guó)際間共同應(yīng)對(duì)網(wǎng)絡(luò)安全的問(wèn)題依然面臨很大挑戰(zhàn)，其中信任問(wèn)題至關(guān)重要，“建立互信就需要交流，即便發(fā)郵件、打電話(huà)，這種信任還是非常脆弱。主要途徑還是雙方的見(jiàn)面交談。尤其是在雙邊和多邊的組織里面進(jìn)行交流合作。”

另外，還要借助日常事件的處理來(lái)加強(qiáng)雙方關(guān)系，多進(jìn)行技術(shù)上的溝通、保持暢通的聯(lián)系。“關(guān)于事件處置，我們?cè)趪?guó)內(nèi)、國(guó)際上有三句比較通俗的話(huà)：找得到人、說(shuō)得上話(huà)、辦得成事?！彼f(shuō)。

對(duì)于未來(lái)國(guó)際合作的方向，王明華建議，首先要有一個(gè)明確的機(jī)制，由政府牽頭、在明確的框架下，落實(shí)到具體的單位，這樣，在處理網(wǎng)絡(luò)安全問(wèn)題時(shí)會(huì)更加暢通。