Saturday, 20 May 2017

勒索病毒肆虐的背后深水: 美国和微软谋求进一步控制中国

勒索病毒肆虐的背后深水:
美国和微软谋求进一步控制中国

作者 / 来源: 刘枫  /  察网


勒索病毒肆虐,揭开了美国军方、情报机构、微软合谋渗透、控制全球的事实。诡异的是,媒体却借此大肆鼓吹微软。中国学者认为,今日,在事关民族网络安全的生死节点上,如果全面引进win10,美国军方、情报机构和微软就可以更好地利用大量零日漏洞渗透中国,从事大量间谍活动,破坏中国的工业进程,另一方面,还可以打断中国自主操作系统的研发过程。

近日,勒索病毒肆虐,利用的是美国军方所储备的微软系统漏洞,美国军方与微软合谋控制全球的战略昭然若揭。微软忽视广大用户安全,甚至利用广大用户安全进行交易,原本应该成为众矢之的,反而成为吹捧的对象。十分诡异的是,在攻击发生的同时,国际资本市场对微软win10大加吹捧,美国军方也予以配合授信。在中国,媒体、精英则利用勒索病毒事件,大肆炒作,为win10进入中国带路。


一、勒索病毒肆虐全球,微软早先毫不知情?

5月12日起,名为“WannaCry” (“想哭”)的电脑病毒席卷全球,入侵约150个国家的超过30万台电脑。勒索病毒利用的是微软系统中的MS17-010漏洞进行攻击。MS17-010所对应的漏洞原本是由美国国家安全局(NSA)所掌握,是NSA旗下“方程式组织”发现和御用的零日漏洞。

零日漏洞是黑客世界最有力的武器:他们通过寻找软件弱点,生产厂商和反病毒厂商都不知道的缺陷,意味着根本没有补丁。如果一个黑客拥有一个微软的零日漏洞,这意味着它可以几乎入侵全世界所有的使用windows系统的电脑,而NSA手中储备着大量的“zero-day”零日漏洞。每年超过1千2百万的恶意程序被反病毒公司发现,只有不到10个使用零日漏洞。零日漏洞在黑市中价格极高,甚至超过百万美元,NSA利用其开发了网络武器,可以入侵包括中国政府系统全世界几乎所有微软系统,轻则进行情报窃取,导致被攻击方机密信息大规模泄露,重则进行病毒植入与网络攻击,甚至通过网络和计算机系统对石油、金融、教育、医疗、交通运输等方面的基础设施产生物理破坏,网络战一打起来,其危害不亚于核战,因为windows系统在美国手上,零日漏洞在NSA手中。

勒索病毒攻击发生后,微软迅速撇清关系,中国媒体也称:“微软自己也不知道漏洞存在”。梳理勒索病毒的历史可以发现,微软这个解释很难说得通。


“零日漏洞”是黑客们的数字黄金,一般情况下,黑客获得零日漏洞后,首先会进行熟人交易,其次会通过暗网(dark web)交易。在黑市交易尚有利可图时,黑客们绝不会将这批漏洞公开。过去十几年间,零日漏洞秘密交易市场蓬勃发展,交易方包括政府情报机构、防务承包商、网络罪犯和商业间谍,他们把价格炒的很高,一个顶级的零日漏洞连同相应的漏洞利用程序,可以在黑市上卖到5万美元以上,价格高者可以达到50万美元、百万美元以上。直到黑客在私人、暗网交易中无法获利时,才会考虑公开出售。

我们注意到,“影子经纪人”是在2016年8月13日才出现在推特上,此前在公开渠道中没有关于这个黑客组织的任何信息。在2016年8月13日当天,影子经纪人一出现即声称要公开拍卖一批网络武器,要价高达5.65亿美元。“影子经纪人”最初在GitHub上免费公开约60%的黑客工具,并表示,余下的将归竞拍最终赢家所有。根据黑客们对于泄露工具的研究,这些工具的代码和攻击目标看起来都是三年以前的设备。“影子经纪人”很可能早在三年前(2013年)就得到了这批网络武器。作为合理的推测,2013年至2016年间,“影子经纪人”已经在熟人交易与暗网交易中出售这批网络武器获利。

顶尖网络安全公司赛门铁克(Symantec)安全响应总监奥拉•考克斯(Orla Cox)表示:“如果说是出于财务动机,这样的事你是不会去做的。”考克斯指出,网络武器通常是在“暗网(dark web)”上销售,或者由希望保持匿名的黑客使用。它们肯定不会在新闻门户网站上打广告。而且即使是最好的网络武器,也不会打包标5亿美元的价格。

一位不愿透露姓名的前NSA黑客说:

“从我的角度,这可真是太诡异的举动了。大多数组织要么发现,要么交易漏洞。兄弟们会在漏洞市场进行交易。低调售卖。这么公开的拍卖是我生平仅见。其中的意图是什么还不好说。”

过高的市场价格,公开拍卖的方式,在专业人士看来,都是反常行为。在这些反常行为背后,可以解读出“影子经纪人”最可能的真相:这批网络武器,早已在秘密市场中充分交易,到2016年8月在黑市中几乎已经无利可图,于是,它们想要把这批漏洞公开了。由于出价过高,在公开市场中没有人愿意出这么高的价钱,2016年10月,影子经纪人停止了销售,并开通了类似众筹的活动,把价格降到10000比特币(大约640万美元),但是这次众筹也没有成功。此后,影子经纪人在公开市场中小批量出售黑客工具。

2017年3月,微软针对这批漏洞发布了修复补丁。4月8日,影子经纪人在medium.com博客网站上发表博文,公开了曾经多次拍卖失败的“方程式组织”的黑客工具包。


仔细梳理这段历史,我们能够看到四个疑点。

第一,微软是一家聚集了全球顶级技术团队与黑客团队的跨国公司,在自己的系统安全方面投入大量的人力与资金,美国NSA早在2013年以前就发现了这批漏洞,而微软竟然到2017年3月才打补丁。微软的技术团队与美国NSA团队的差距,有这么大吗?

前白宫网络安全协调官、微软前高管霍华德·施密特(Howard Schmidt)指出:

“当你发现一个新的零日漏洞时,如果认为自己是世界上唯一一个发现它的人,那就太天真了。”

“你可能把‘独家发现权’保持几个小时或几天,但不可能保持很长时间。因为,外国政府、其他机构的网络安全研究人员以及那些以兜售零日漏洞利用程序为业的人,一直在和你做着同样的事情。”

2007年,一家名为免疫力(Immunity)的佛罗里达安全公司发布了一项研究报告,称一个零日漏洞利用程序从被制作出来到被发现,平均寿命为348天。生存时间最长的零日漏洞为将近3年。如今,形势又有了新变化,零日漏洞的平均寿命已缩短至10个月,生存时间最长的为2年半

“方程式组织”在2013年甚至更早就发现的一批零日漏洞并制作数字武器,微软宣称自己直到2017年3月前后才知道,这是难以想象的。


第二,2013年至2016年,“影子经纪人”很可能将这批网络武器通过熟人市场、暗网进行交易,2016年8月13日,“影子经纪人”决定公开这批网络武器时,预示这批网络武器已经在秘密市场进行了充分的交易,其内部市场已经接近饱和,因此才进行公开的拍卖和众筹——这意味着在2016年8月顶级黑客们都拥有了这些零日漏洞。众所周知,微软安全团队存在大量的顶级黑客,微软在此时也应该知道了这些零日漏洞的存在。但微软直到2017年3月才给这批漏洞打上补丁,假如微软是2017年3月前才知道此漏洞存在的,这意味着微软不仅落后于美国国家安全局旗下黑客组织4年以上,甚至落后参与暗网交易的黑客数年以上,这同样是难以想象的。

第三,在美国国家安全局充分利用这批零日漏洞、黑市充分交易这批零日漏洞、甚至影子经纪人已经公开叫卖这批零日漏洞之后,微软才在几乎最后的时刻打补丁,这不符合微软团队的实际能力。2017年3月12日,微软发布补丁修复漏洞,可称之为“最迟补丁”。在补丁发出不久,2017年4月,“影子经纪人”公开了多个黑客武器和漏洞。

第四,勒索病毒利用MS17-010漏洞攻击微软系统,从Windows XP到Windows Server 2012都为其攻击对象,而Windows 10和Windows Server 2016,则并不在其利用范围。Windows 10上线时间是2015年7月29日。Win10是在2015年上线时就已经修复了这个漏洞,这说明微软此时很可能已经知道这个方面存在安全问题甚至知道这个漏洞的存在,但是微软直到2017年3月所有的高级黑客们都掌握了此漏洞后才发布补丁。这也说明微软是NSA的帮凶。

二、勒索病毒背后:美国军方、情报机构、微软控制全球的战略浮出水面


病毒攻击事件发生后,微软迅速撇清自己的关系,微软公司总裁、首席法务官史密斯抨击美国国家安全局称:

“如果这些政府部门继续躲在暗处挖掘全球电脑系统的漏洞,然后制成所谓的’武器库’用来攻击别国或是‘买卖’,那么你们就是网络犯罪的帮凶!”

微软总裁的这段话,本意是想为自己洗白,但毕竟引出了一个被媒体刻意掩盖的问题:美国军方和情报机构为什么要大量储备“零日漏洞”和漏洞利用程序?

这个问题的进一步是,微软在美国网络战中扮演了怎样的角色?


事实上,首先,美国NSA之所以能够储备大量“零日漏洞”,首先得益于微软的密切配合。

K2Share公司网络安全顾问安迪·潘宁顿(Andy Pennington)在2011年一次研讨会上提到,国防部与微软等软件供应商和控制系统制造商有着“非常密切的合作”,微软会及时向他们透露新发现的漏洞:

“但我必须再次强调,必须实现对零日漏洞的绝对掌控……只有这样,我们才能保证发动网络作战的能力。”

潘宁顿1999年以前曾担任美国空军武器系统官员,退休后转而为空军研究运用网络技术的下一代武器。

解读“震网”最权威读物《零日漏洞:震网病毒全揭秘》一书披露,微软会向美国军方通风报信:

据报道,微软在发现新漏洞时,也会首先向政府部门和合作伙伴通报情况,让他们在补丁制作完成之前预先采取防护措施。同时,微软等供应商的这个举动,也起到了为NSA通风报信的作用,让他们可以在微软公开发布补丁之前,就把所有基于该漏洞的漏洞利用程序下架、报废,或者,抓紧时间利用这个漏洞完成侦察或攻击任务。


其次,美国NSA能够很好地对外进行网络攻击,也得益于微软的密切配合。

举世闻名的“震网”病毒攻击,能够很好地说明美国军方与微软存在高度的合作。2006年,美国布什幕僚提出使用数字武器,对伊朗核设备进行隐蔽渗透核不可逆的物理破坏,NSA负责开发任务。2010年,震网病毒利用了4个微软零日漏洞,对应微软的4个不同操作系统,对伊朗核设施进行攻击,如此以确保攻击万无一失。事实上,震网所利用的LNK漏洞、打印缓冲漏洞等,有些之前已经被揭示过,但微软均有意识地无视了,从未打过补丁,而了解这个漏洞的也只是极少数人:早在2008年11月就发生过使用LNK漏洞攻击事件,2009年4月,打印缓冲漏洞被发现,在一本波兰的安全杂志上刊登了该缺陷的细节甚至提供一段远程攻击用的源代码。

显然,如果微软在2008年、2009年对上述零日漏洞打补丁,美国军方和情报部门攻击伊朗核设施的计划就会受到严重干扰。以上事实证明,微软等信息产业巨头在有意配合美国政府及军队的活动。那些属于美国政府、军方、情报部门正在使用的漏洞,微软一般都不会主动打补丁。即便是有人已经发现这些漏洞,微软也会一直视而不见。


在微软等巨头公司的紧密配合下,美国NSA储备了大量零日漏洞,并以此制造顶级数字武器,窃取其他国家的情报机密,从事间谍活动,甚至发动网络攻击,对其他国家的核心工业研发与生产造成破坏。

“网络战”的概念在90年代横空出世。2000年,美国五角大楼的网络防御特遣队突然被告知,将承担起网络攻击任务。2003年,美军首次将信息战列为与空战、陆战、海战和特种作战并列的核心军事能力,网络空间军事化大幕拉开。2005年,基思•亚历山大将军出任美国国家安全局(NSA)局长,美国开始将研发进攻性网络战武器作为重中之重。闻名天下、破坏伊朗核设施的“震网”病毒,就是在2005年左右开始研发。2010年5月,震网病毒在全世界疯狂传播,五角大楼组建了“美军网络司令部”,3个月后,五角大楼正式宣布,网络空间已经成为继空、地、海、太空之后的“第五作战域”。


在美国军方、情报机构与微软等跨国公司密切合的岁月里,美国NSA制造出各种顶级数字武器,搭建起一个由间谍工具和破坏性武器组成的网络武器库,“震网”病毒仅仅是冰山一角。2012年,在攻击伊朗石油公司中被发现的“火焰”病毒,所有组件加起来至少有20M,其中包括超过65万行代码,并具有与其规模相称的复杂度,成为世界上规模最大的病毒。在“火焰”中,充满了无数种收集情报的方法、组件和技巧,简直称得上是一部间谍工具百科全书。“火焰”中包括一段针对Windows更新机制的攻击,其水准之高,只有世界级密码专家才能企及,卡巴斯基的研究员听说此事后,将其称为“上帝制作的漏洞利用程序”。早在曝光之前,火焰已经实施了至少5年的持续攻击而未被发现。据《华盛顿邮报》报道,火焰是国家安全局、中情局和以色列军方发起的联合作战行动。

相关文件显示,2011年,NSA共对其他国家发动了231次攻击性网络作战,其中四分之三的作战行动针对伊朗、俄罗斯、中国和朝鲜等“最高优先级目标”。在代号为“精灵”、预算高达6.52亿美元的项目中,NSA、CIA和特种作战部队将秘密的数字后门植入到全球范围内数以万计的计算机、路由器和防火墙中,以便能很容易的对其实施网络刺探。有些植入是远程进行的,更多的则是一种通过被称为“阻断”的操作,以物理接触的方式植入后门。具体流程是,CIA或FBI从制造商和零售商那里拦截正在运输途中的硬件,然后植入恶意代码或安装修改过的芯片,之后再将其放回原处,流向市场。这些后门像定时炸弹一样,植入者可以根据自己的需要对它们进行远程控制,使用时开启、不用时潜伏。

三、勒索病毒舆论战:媒体为win10进入中国带路

媒体借助勒索病毒炒作win10,表面原因是此次攻击对win10无效,深层原因则为win10进入中国带路。

5月14日凌晨,微软就发出了最新声明称,如果用户使用的是全新版本的Windows 10系统,并开启Windows Defender的话,那么就会免疫这些勒索病毒。

资本市场对微软进行高度评价。近日,瑞士信贷向投资者发布了一份备忘录,这其中提到他们非常看好微软能够借助这一次的勒索病毒事件提升自己的装机量,同时推高微软的股价。

美国军方也进行天衣无缝的配合。据美国媒体报道,美国国防部代理首席信息官John Zangardi再次确认,整个国防部的电脑系统都会升级成为Windows 10,预计升级工作将在年底前完成。

此前,win10进入中国遇到中国科学界爱国力量的抵制。

2012年,微软推出Win8企图替代“过时软件”迫使中方接受。2013年12月,倪光南、沈昌祥等中国工程院26位院士向习近平总书记报告,呼吁政府不能采购Win8。倪光南等专家指出,Win8采用了不安全技术架构,比如捆绑微软的杀毒软件,无时无刻都在检查用户电脑,随时可以给用户电脑下载补丁,这一切用户都无从知道、无法干预,考虑到微软是棱镜门事件中的“八大金刚”之一,政府和重要行业不宜采用Win8。

2014年5月16日,中央国家机关政府采购中心发布通知:“所有计算机类产品不允许安装Windows 8操作系统。”显然,有关部门认识到Win8在安全方面的严重问题。


Win8被禁止后,微软迅速推出Win10,继续想方设法打进中国,事实上,Win10是Win8改头换面而来,本质上没有区别。Win10和Win7相比也没有根本的区别。Win7使用多年,存在的漏洞已经逐步被打上补丁,NSA手中关于Win7的零日漏洞和致命网络武器会越来越少并逐渐没有,这是美国为何要在全世界推广Win10的根本原因,因为对于新的系统Win10,NSA掌握的大量的新零日漏洞将使美国可以继续在很长时间内对中国进行情报搜集,只要中国的政府和企业都换成Win10,NSA可以在未来10年内全面窥探中国的情报并保持摧毁中国网络的能力。

2015年,微软宣布在中国成立一家合资公司,为中国的政府机构和关键基础设施领域的国企用户提供Win10。这几年来,微软一直致力于开发中国“政府定制版Windows 10”操作系统软件,试图在中国推进大规模部署win10。

微软从来不是一家独立于美国政府之外的公司。前微软顾问、中国移动通信联合会国际战略研究中心主任牟承晋披露:

“十余年前,微软在中国市场大举推进“正版化”,然而,微软始终不能提交全部源代码,也不能保证所提供软件的安全。其理由主要是:

1、美国法律规定,所有软件必须将部分源代码提交给美国政府指定的机构,其中包括白宫、五角大楼、CIA、FBI、NSA等,这部分源代码不能提交给中国;
2、微软不能对无法提交的源代码是否被植入木马等导致的不安全问题承担责任。

也就是说,微软在不断施加压力和笼络手段要求中国政府购买‘正版软件’的同时,不得不承认其所有软件都按照美国政府的要求给美国国防部、中央情报局、联邦调查局和国家安全局等留有‘后门’,掌握美国软件后门的这些部门因此可以任意监控用户,可以任意设置侵害用户利益的木马等病毒。

那么,勒索病毒的攻击、后续对win10的炒作,是否是美国自导自演?

勒索病毒背后的“影子经纪人”的身份十分可疑。

首先,要想黑掉“方程式组织”,这需要世界顶级的技术团队。西方媒体指责它们是俄罗斯情报机构,矛盾的是,在此次勒索病毒攻击事件中,俄罗斯是受害最深的国家之一。“方程式组织”隶属于NSA,被称为NSA的网络“武器库”,是全球最顶尖的黑客团队,这个团队的加密程度无人能及,在网上活跃近20年,是网络间谍中的“王冠制造者”,这个团队设计了震惊世界的震网病毒和火焰病毒,而来历不明的“影子经纪人”是否有如此的能力?


其次,“影子经纪人”高调公开,不仅不符合自己的经济利益,也不符合自己的安全需求。如果“影子经纪人”掌握了NSA的命令与控制服务器,做个安静的观察者与潜伏者,继续盗取NSA 的其他零日漏洞与网络武器,再卖到黑市上,不是更好的选择吗?另外,美国情报机构可是势力庞大又记仇的,如果没有特别好的理由,应该没人会想站到他们的对立面。“影子经纪人”公开声明,不怕遭到报复?

有专业人士指出,“影子经纪人”很可能来自美国国家安全局内部。从前NSA雇员内线得来的消息显示,情报机构的黑客小组是不会把漏洞利用程序和工具包放到很可能被盗的网络服务器上的。这些数据更有可能的渗漏场景,很有可能是某内部人士下载到U盘上,再带出来的

美国知名作家兼记者詹姆斯·班福德(James Bamford)分析指出,影子经纪人有可能来自美国安全部门的内部人士。一份言语学分析报告显示,“影子经纪人”在运用英语时有明显错误,显然是为了迷惑别人,让人误以为这一黑客组织成员并非以英语为母语。英俄双语翻译阿列克谢·科瓦列夫也赞同这种观点:“有太多破绽暴露了作者的母语是英语。”


在这场疑似美国自导自演的网络攻击与网络炒作的背后,指向美国军方、情报机构与微软控制全球的疯狂战略目标。当一个操作系统运行得越久,在各黑客组织的挑战与各主权国家的自我维护与研发下,其零日漏洞就会越来越少,这样的操作系统,对美国和微软而言,就变得毫无价值。从信息战角度而言,给全世界提供安全可靠的服务,并不是美国军方与微软的最核心目标,其最核心目标,是方便窥探、窃取、渗透、控制、攻击、破坏各主权国家的经济政治和军事活动,加大各主权国家和民众对资本寡头的依附。基于这个目标,向中国强行推行win10,是美国的核心战略目标之一。

可见,媒体借勒索病毒大肆炒作引进win10的惊人背景是,其一,我国科学界在使用、研究win7过程中,已经开发出许多针对win7的安全产品,win7系统可资美国利用的零日漏洞越来越少,其二,中国自主开发的操作系统还需要一段时间的测试与试验,一旦成功,就可以马上置换win7系统,实现操作系统的独立自主,撕开美国网络霸权的一角。在这个事关民族网络安全的生死节点上,如果引进win10,其后果一目了然,美国军方、情报机构和微软就可以更好地利用大量零日漏洞渗透中国,从事大量间谍活动,破坏中国的工业进程,另一方面,还可以打断我国自主操作系统的研发过程,我国自主研发的操作系统为了置换win10,起码又需要5-10年的时间。而那个时候,美国和微软肯定又会推出充满另一批零日漏洞的win15、win20等。中国实现网络自主安全便会一拖再拖,乃至遥遥无期。

面对此次勒索病毒肆虐,中国工程院院士倪光南称:

“大量使用国外的IT产品和服务,使得我国信息安全存在巨大的系统性风险,对个人隐私、经济安全和国防安全等造成了威胁。”

“最有效的保障网络安全的措施,还是要用我们自己的技术来构建网络系统,而不是等着外国人给我们补丁包。”

“我们一定要通过自己的创新,来发展我们的技术和产业。就像云宏打破国际垄断,也像龙芯中科这样,能够自主设计国产CPU,核心技术既然买不到,我们就必须靠自主创新!”

诚哉斯言!

0 comments:

通告 Notification (New!!)

“认清斗争敌友,埋葬巫统霸权”论坛

人民之友走过了15个年头的风雨路程。我们于2011年9月9日举行10周年纪念时,发表了一篇《人民之友10年风雨路程(2001-2011)》的总结性文章。在经历了另一个5年的工作实践之后,工委会在今年(2016年)再作另一次总结,在今年9月陆续以中文、英文和马来文发表了一篇题为《在过去5年的实践中,提高了4点政治认识》的人民之友(2011—2016)工作总结,作为人民之友举行15周年纪念的一份献礼,接受我国民主党团和民主人士的检阅和批评。

此外,我们也将在新山举办一场主题为“认清斗争敌友,埋葬巫统霸权”的论坛。详情如下:

日期: 2016年9月25日(星期天)
时间: 下午2点
地点: 柔佛新山晶冠酒店(Crystal Crown Hotel)
受邀主讲人: 林德宜博士、邹宇晖、阿鲁哲文、蔡添强


“Differentiate between enemy and ally, bury UMNO hegemony” forum

Sahabat Rakyat has been through 15 years of wind and rain. On 9 September 2011, we released a work report entitled “Ten storming years of Sahabat Rakyat (2001-2011)” in commemoration of the 10th anniversary of Sahabat Rakyat. After going through another 5 years of practice, in September this year, our working committee released another work report entitled “Deepening 4 points of political understandings through the practice over the past 5 years” in Chinese, English and Malay languages consecutively. This also serves as a gift from Sahabat Rakyat in conjunction with its 15th anniversary. We welcome the inspection and criticism from the democratic parties and organisations and democrats in our country.

Apart from that, we will be holding a forum entitled “Differentiate between enemy and ally, bury UMNO hegemony” in Johore Bahru. Details as below:

Date: 25 September 2016 (Sunday)
Time: 2pm
Venue: Crystal Crown Hotel, JB
Invited speakers: Chow Yu Hui, S. Arutchelvan, Dr. Lim Teck Ghee, Chua Tian Chang



Malaysia Time (GMT+8)