“冲击波”冲击现有安全观

http://www.sina.com.cn 2003年08月25日12:33 扬子晚报

　　“冲击波”突袭全球

　　8月11日晚8点左右，南京长城宽带网络服务公司网络技术工程师侯先华突然接到两个用户报修电话，对方声称自己的电脑在上网过程中，会弹出一个窗口提示“RPC服务终止，需要重新启动计算机”，但在重启一两分钟后又会再次重启。当时他还没有意识到，这是一种网络病毒并已开始在全球蔓延。直到第二天，从国内外各大杀毒软件客户服务中心发布的紧急通知中他才得知，全球范围内许多使用Win2000和WinXP操作系统上网的电脑都出现了类似的症状：用户的WORD、EXCEL、Powerpoint等文件无法正常运行，还会弹出找不到链接文件的对话框，一些功能如“粘贴”等无法正常使用，控制面板出现异常，系统文件无法正常显示，Windows界面下的功能无法正常使用，机器不断重启等。受到攻击的网站会因收到的服务请求太多消耗大量的带宽，致使正常的请求不能被接收和处理。据8月19日NetworkAssociates(NA)公司统计的资料显示，已有超过1200000的IP地址被攻击，并以每小时感染30000台电脑的速率扩散。

　　这就是被国家公安部统一命名为“冲击波”的蠕虫病毒，该病毒英文名称为“Worm.MSBlaster”，据说这仅是一个6KB大小的程序，但由于其疯狂传播，目前可计算的破坏性已不亚于前两年在我国爆发的恶性病毒“红色代码”，它还被认为是国内出现的第一个针对WindowsRPC服务漏洞进行攻击的病毒。通俗地说：RPC（remoteprocedurecall）就是Windows系统上一种让远程计算机执行本地程序的机制，由于RPC在通过TCP／IP进行数据交换时存在问题，远程攻击者就可以利用这个漏洞进入计算机随意执行各种指令。侯工程师对记者开玩笑说，“一旦中毒，就等于把自己电脑的操纵权交给那个破坏者啦！”

　　关门防盗，还是提前修门

　　由于“冲击波”病毒主要针对Windows操作系统，据说“冲击波”代码中还包括这样一段内容：“Bill Gates，whydoyou make this possible？Stop making money and fixyoursoftware．”（比尔·盖茨，为什么你要使这种攻击成为可能？不要再挣更多的钱了，修正你发行的软件吧。）微软一时又成为众人关注的焦点，许多“中毒”的网民都在网络上声讨微软，有的声称还要微软赔偿他们的损失。但从微软中国公司在其网站上发布的信息来看，微软试图尽力表现出“冲击波”的流行应该与微软干系不大，因为早在7月中旬微软就已发布了需要为其RPC漏洞下载补丁的公告。他们还用了一个形象的比喻，已经通知大家要关门了，但有的人家因门没有关而遭遇小偷，这些也要怪他们吗？

　　但微软的言论出来没多久，网络上就有了争论的声音。“目前的问题不是在于是不是通知用户关门，而是既然微软发现有门坏了却仅仅只是通知用户关门，而不去主动修门？”之后，微软方又传出声音“这么大的门没有漏洞是不可能的，通知用户关门其实就是开始着手修门的表现，而且微软一直努力不断完善。”网络上，伴随着“冲击波”的蔓延，曾一度出现关于是用户“关门防盗”还是微软“提前修门”的争论。

　　电脑病毒何以屡屡发威

　　自从12日“冲击波”病毒大面积爆发以来，中国境内的部分政府、企业等也没有幸免，更多的政府、企业则是风声鹤唳、人心惶惶，这给政府和企业的正常运行带来了不小的威胁。据统计，到目前为止已超过30万台电脑遭攻击，由于统计过程中可能将拥有数百台、甚至数千台计算机的公司网络仅算作一例受害者，若按单个计算机计算，整个受害计算机的数量将远不止这个数字。

　　其实，仔细分析此次“冲击波”事件可以发现，用户本身也需要承担一定责任。东南大学电子工程系ASIC中心网络负责人江巍认为：“网络安全就像空气，有它的时候，人们漫不经心；一旦失去了，其后果却谁都承受不起。面对网络安全，人们最需要的是一种正确、严谨的安全意识。”他还补充说，在这次“冲击波”事件中，他所负责的局域网没有受到任何影响，一方面他们的网关使用的是linux系统，而针对微软的“冲击波”却无法感染其它的操作系统；为了减小病毒入侵的可能性，他们平时只打开几个知名网站的端口。但即使对于使用微软操作系统的用户来说，只要下载了补丁程序，也就可以避过此次灾难。但遗憾的是，太多用户没有很强的安全意识。

　　“世界上没有绝对安全的网络系统，这是所有人的共识。黑客编出的程序虽是病毒的根源，但黑客更多是利用了众多企业在安全方面这样那样的漏洞。”南京一家新闻网站的负责人赵兴逸在谈到网络安全时认为，“安全是一个长期的过程，不是随便安装一些防病毒软件就能解决的。但眼下的电脑病毒防治似乎进入了这样一个怪圈：病毒爆发—企业求救—各大杀毒厂家救火。网络安全既需要多层次的防护，更需要一些安全的预警。”他还认为，对于一些企事业网络使用大户而言，系统所建立的安全架构并非是反病毒软件、防火墙设备和入侵检测系统的简单相加，因为这仅仅代表安全防护这一层。一套完善的安全体系应该包括安全预警、安全防护、安全响应和?踩芾硭母霾愦巍?

　　能否建立防毒“预警系统”

　　从2001年9月份的“尼姆达”到2002年4月份的“求职信”，到最近的“冲击波”，每一次恶性病毒蔓延之后总有人提出这样的设想：能不能建立一整套“预警系统”，在病毒没有发作之前就将其控制？“这只能是个美好的愿望，计算机病毒是一些技术精通人士为了自己的目的而凭借其对软硬件的深入了解，编制出来的特殊程序。这些程序通过载体传播出去后，在一定条件下被触发。一旦条件出现就发作，条件不具备就潜伏着，计算机病毒防不胜防。”南京大学计算机科学与技术系黄皓教授指出，“现在我们需要研究的问题是，怎样在第一时间里发现病毒，最大程度减少损失。”黄教授认为目前一个比较切实可行的办法是，切实加强信息安全机构的功能。“它绝不能只依靠杀毒软件，也不能只依靠防火墙、入侵检测等各种设备。信息安全机构要有能力提供最迅速的紧急应对措施，在最短的时间内进行灾难警报和软件升级。灾难来临时，信息安全机构必须具备完成大量技术服务工作的能力，为用户提供安全策略、网络漏洞检测和修补、紧急情况应对措施、版本升级、技术支持以及灾难后的恢复等作用。”

　　就如何在第一时间内发现病毒以及如何减少病发损失的问题上，资深网友、南京大学政治学博士李永刚认为，应该充分发挥大众媒体的作用，“而不能像现在一样，只对病发后果感兴趣，对于一些操作系统、软件供应商的补丁和声明不感兴趣。”最好能够实现“三方互动”即：软件系统提供商、反病毒机构和媒体相互协作，在系统、软件新的漏洞被发现后，提供商应及时提供修改意见，反病毒机构研究应尽可能快地针对该漏洞的病毒提前升级杀毒软件，最后由提供商提供修改信息和反病毒机构的最新病毒库通过大众媒体发布给广大计算机用户。同时，还应在网络中加强网民的自律意识和必要的法律手段。朱莉　薛文强　杨岗

【推荐】【大中小字】【打印】【关闭】

　　投票！赢超酷腕表式手机！
　　注册新浪9M全免费邮箱
　　说一口流利英语，其实不难？ MBA联考培训特惠
　　无数人梦寐以求的境界，亲密接触，激烈搏杀，包你爽上“天堂”
　　第53届世界小姐中国总决赛报名开始