2013年03月26日09:38 來源:人民網-財經頻道
【相關新聞】
韓國3月20日發生大規模網絡攻擊事件。此次攻擊帶有同時多發的性質,因此最合理的解釋是,這是一次使用惡意軟件的網絡恐怖活動(網絡戰爭)。
筆者推測,此次事件問題出在韓國存在的非正版Windows上。下面就來解釋一下為何如此判斷。
首先,筆者想說一下2003年流行的SQL Server 2000感染的SQL Slammer病毒。當時,與美國一樣,該病毒在韓國也造成了很大混亂,導致網絡一時無法使用。其重要原因是,韓國有大量盜版Windows,有很多服務器未得以合理運用並打上補丁,導致病毒感染在韓國迅速擴大,最終造成韓國國內的互聯網陷入癱瘓。
從這一事件中反省的韓國此后開始推進普及正版Windows。事實上,通過這一舉措,韓國長期再未發生過類似事件。
目前或尚存非正版授權的Windows服務器
但是,這項舉措最多只是到了客戶端層級,在被稱為Windows Server Update Services(WSUS)的公司內部的補丁管理服務器層級上,很可能還存在著非正版Windows。這些非正版的WSUS不能按照正版的流程下載安全補丁。
當微軟發布安全補丁時,各企業內部的WSUS服務器就會將自己保存的列表與微軟提供的列表進行對照,以SSL加密的形式下載應下載文件的一覽表。這時,在實際下載開始前,WSUS系統會通過檢查來確認是否為正版。如果查出是非正版的WSUS服務器,就隻能獲得應下載文件的列表,而不會下載補丁本身。
由於這些WSUS是由非正版的Windows構筑的,因此實際上會通過與微軟毫無關系的網站下載與微軟提供的補丁基本相同的數據包。不過,這些網站並不是微軟的管理對象,因此發布的補丁中就會摻有病毒。微軟發布的安全補丁往往被認為其本身是用SSL加過密的,但其實只是通信路徑做了SSL加密。實際上,文件是通過Akamai的網絡提供的。
因此,運用非正版WSUS的管理者及企業很可能不會注意到問題(深信是正版Windows)而繼續使用。這樣,非微軟提供的安全補丁就會進入WSUS,正版的客戶端Windows在定期升級時也會用這些安全補丁來更新。
筆者以研究為目的安裝了從中國購買的盜版Windows XP,對其Windows Update機制進行了調查。結果發現了與上述情況十分相似的結果(不同的是客戶端直接去獲取文件)。調查顯示,盜版系統在執行Windows Update時,雖然也會向微軟征詢下載列表,但實際的補丁文件卻是從非正規的網站上下載來的。對下載的文件實施分析后証實,其中除了正常的補丁之外,還植入了多個病毒。從這些情況來看,韓國發生的網絡恐怖活動估計也存在著同樣的情況。
在此次攻擊事件中,向非正版WSUS提供信息的服務器隻有接收到來自目標企業的訪問時才會發生下載行為,這表明很可能是事先植入了目標型病毒。因此筆者推測,這些目標型病毒是在企業管理者深信WSUS管理的情況下誤使其進入客戶端Windows的,隨后病毒便於某天(3月20日)發動了破壞主引導區(MBR)的行動。(日經技術在線! 供稿)
