【相關(guān)新聞】
【圍攻蘋(píng)果】(二)“第三勢(shì)力”吹響集結(jié)號(hào)角
谷歌或?qū)⑼瞥鲈诰(xiàn)筆記服務(wù)“Google Keep”
IDC:Q1全球個(gè)人電腦出貨量可出現(xiàn)兩位數(shù)下滑
英特爾:智能手機(jī)版Atom的賣(mài)點(diǎn)是強(qiáng)大的攝影功能
【圍攻蘋(píng)果】(一)產(chǎn)業(yè)大變局����,蘋(píng)果是否就此枯萎�?
韓國(guó)3月20日發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊事件�����。此次攻擊帶有同時(shí)多發(fā)的性質(zhì)�,因此最合理的解釋是,這是一次使用惡意軟件的網(wǎng)絡(luò)恐怖活動(dòng)(網(wǎng)絡(luò)戰(zhàn)爭(zhēng))��。
筆者推測(cè)����,此次事件問(wèn)題出在韓國(guó)存在的非正版Windows上���。下面就來(lái)解釋一下為何如此判斷。
首先�,筆者想說(shuō)一下2003年流行的SQL Server 2000感染的SQL Slammer病毒。當(dāng)時(shí)��,與美國(guó)一樣����,該病毒在韓國(guó)也造成了很大混亂,導(dǎo)致網(wǎng)絡(luò)一時(shí)無(wú)法使用����。其重要原因是,韓國(guó)有大量盜版Windows�,有很多服務(wù)器未得以合理運(yùn)用并打上補(bǔ)丁,導(dǎo)致病毒感染在韓國(guó)迅速擴(kuò)大�����,最終造成韓國(guó)國(guó)內(nèi)的互聯(lián)網(wǎng)陷入癱瘓����。
從這一事件中反省的韓國(guó)此后開(kāi)始推進(jìn)普及正版Windows�����。事實(shí)上�����,通過(guò)這一舉措,韓國(guó)長(zhǎng)期再未發(fā)生過(guò)類(lèi)似事件�。
目前或尚存非正版授權(quán)的Windows服務(wù)器
但是,這項(xiàng)舉措最多只是到了客戶(hù)端層級(jí)���,在被稱(chēng)為Windows Server Update Services(WSUS)的公司內(nèi)部的補(bǔ)丁管理服務(wù)器層級(jí)上��,很可能還存在著非正版Windows��。這些非正版的WSUS不能按照正版的流程下載安全補(bǔ)丁�。
當(dāng)微軟發(fā)布安全補(bǔ)丁時(shí)�,各企業(yè)內(nèi)部的WSUS服務(wù)器就會(huì)將自己保存的列表與微軟提供的列表進(jìn)行對(duì)照,以SSL加密的形式下載應(yīng)下載文件的一覽表�。這時(shí),在實(shí)際下載開(kāi)始前��,WSUS系統(tǒng)會(huì)通過(guò)檢查來(lái)確認(rèn)是否為正版����。如果查出是非正版的WSUS服務(wù)器�����,就只能獲得應(yīng)下載文件的列表��,而不會(huì)下載補(bǔ)丁本身���。
由于這些WSUS是由非正版的Windows構(gòu)筑的,因此實(shí)際上會(huì)通過(guò)與微軟毫無(wú)關(guān)系的網(wǎng)站下載與微軟提供的補(bǔ)丁基本相同的數(shù)據(jù)包�����。不過(guò)���,這些網(wǎng)站并不是微軟的管理對(duì)象���,因此發(fā)布的補(bǔ)丁中就會(huì)摻有病毒。微軟發(fā)布的安全補(bǔ)丁往往被認(rèn)為其本身是用SSL加過(guò)密的�,但其實(shí)只是通信路徑做了SSL加密。實(shí)際上�����,文件是通過(guò)Akamai的網(wǎng)絡(luò)提供的。
因此��,運(yùn)用非正版WSUS的管理者及企業(yè)很可能不會(huì)注意到問(wèn)題(深信是正版Windows)而繼續(xù)使用�。這樣,非微軟提供的安全補(bǔ)丁就會(huì)進(jìn)入WSUS���,正版的客戶(hù)端Windows在定期升級(jí)時(shí)也會(huì)用這些安全補(bǔ)丁來(lái)更新���。
筆者以研究為目的安裝了從中國(guó)購(gòu)買(mǎi)的盜版Windows XP�����,對(duì)其Windows Update機(jī)制進(jìn)行了調(diào)查���。結(jié)果發(fā)現(xiàn)了與上述情況十分相似的結(jié)果(不同的是客戶(hù)端直接去獲取文件)��。調(diào)查顯示�,盜版系統(tǒng)在執(zhí)行Windows Update時(shí)��,雖然也會(huì)向微軟征詢(xún)下載列表�,但實(shí)際的補(bǔ)丁文件卻是從非正規(guī)的網(wǎng)站上下載來(lái)的。對(duì)下載的文件實(shí)施分析后證實(shí),其中除了正常的補(bǔ)丁之外�,還植入了多個(gè)病毒。從這些情況來(lái)看��,韓國(guó)發(fā)生的網(wǎng)絡(luò)恐怖活動(dòng)估計(jì)也存在著同樣的情況����。
在此次攻擊事件中,向非正版WSUS提供信息的服務(wù)器只有接收到來(lái)自目標(biāo)企業(yè)的訪問(wèn)時(shí)才會(huì)發(fā)生下載行為����,這表明很可能是事先植入了目標(biāo)型病毒。因此筆者推測(cè)���,這些目標(biāo)型病毒是在企業(yè)管理者深信WSUS管理的情況下誤使其進(jìn)入客戶(hù)端Windows的�,隨后病毒便于某天(3月20日)發(fā)動(dòng)了破壞主引導(dǎo)區(qū)(MBR)的行動(dòng)�。(日經(jīng)技術(shù)在線(xiàn)! 供稿)
