【科普系列-12】

略谈“网武”——病毒起源、危害与对策

多年来，美军把计算机病毒作为“网络武器”（简称“网武”），也就是“数字制导导弹”,投入了网络战中，例如在海湾战争、伊拉克和阿富汗战争中，屡见不鲜。在海湾战争中，信息武器首次进入实战，伊拉克的指挥系统吃尽了美国的大亏：仅仅是在购买的智能打印机上当受骗。美军更是频繁使用特殊病毒作为“网武”，如为了阻挠伊拉克的核开发进程，2009年7月至2010年12月间，美国和以色列屡用“震网”病毒攻击伊朗核设施。首先，位于伊朗纳坦兹的浓缩铀工厂遭到了攻击，严重破坏了浓缩铀（U-235）核燃料的千台离心机，约20%的离心机因此报废，浓缩铀产量下降了30%。随后，伊朗的布舍尔核电站也遭到病毒感染，迫使核电站被延缓了启用时间，至少使伊朗的核计划倒退了两年或数年。“震网”病毒还成功攻击了伊朗工业系统。“震网”成为世界上首个实际应用的“数字制导导弹”。

一．计算机病毒的起源说

关于计算机病毒的起源众说纷纭。计算机之父冯诺伊曼在1949年通过《复杂自动机组织论》提出了计算机病毒的基本概念：“一部事实上足够复杂的机器能够复制自身”。这种说法在当时让人感到比较离谱，但一些黑客（Hacker）却心领神会，他们对此非常敏感，在暗地里悄悄开始了程序“自我复制”的研究，计算机病毒发展史也从此揭开了序幕。1983年l1月3日美国计算机专家弗莱德·科恩(Fred Cohen)在美国国家计算机安全会议上，演示了他研制的一种在运行过程中可以复制自身的破坏性程序，沦.艾德勒曼(Len Adlemn)将它命名为计算机病毒，并在每周召开一次的计算机安全讨论会上正式提出来，8小时后专家们在VAXII/750计算机系统上运行，第一个病毒实验成功。一周后获准进行实验演示，从而在实验上证实了计算机病毒的存在，这就是世界上第一例被证实的计算机病毒。计算机发展史贯穿着病毒制造者与反病毒专家之间的对抗史，从发展过程看，先有计算机病毒，然后才有解决计算机病毒的方法。但是，制造计算机病毒的罪魁祸首到底是谁？迄今依然众说纷纭。比较流行的有四种“起源说”，即“科学幻想”、“游戏程序起源说”、“恶作剧论”和“加密陷阱论”。

1.1 科学幻想说:人类社会有许多现行的科学技术，都是在先有幻想之后才成为现实的。1977年一位美国科普作家托马斯·丁·雷恩推出歪动一时的《青少年时期的 p 1》。作者构思了一种能够自我复制、利用信息通道传播的计算机程序，并称之为计算机病毒。这是世界上第一个幻想出来的计算机病毒。仅仅在10年之后，这种幻想的计算机病毒在世界各地大规模泛滥。这本书的问世对计算机病毒的产生不能否认作用。

1.2 游戏程序说:

十几年前，计算机在社会上还没有得到广泛的普及应用，美国贝尔实验室的程序员，为了娱乐，而在自己实验室的计算机上编制了吃掉对方程序的程序，看谁先把对方的程序吃光。有人猜想这是世界上第一个计算机病毒。

1.3 恶作剧说:

恶作剧者大都是那些对计算机知识和技术均有兴趣的人，并且特别热衷于那些别人认为是不可能做成的事情，因为他们认为世上没有做不成的事。这些人或是要显示一下自己在计算机知识方面的天资，或是要报夏别人或公司。前者是无恶意的，为了炫耀自己的才能和开个玩笑。后者则是恶意的报复，以泄私愤，以损失一方的痛苦为乐。确有实例，有人被公司辞退后，对公司进行报复，离开前在公司计算机系统“埋伏”一个病毒程序，这个病毒潜伏了5年多才发作，给公司造成了巨大损失。许多计算机病毒大多数是对于计算机语言及操作系统有深入了解的一些恶作剧者。

1.4加密陷阱说：

病毒起源于软件加密技术。软件产品是一种知识密集的高科技产品。软件产品的研制耗资巨大，且生产效率很低，但复制软件却异常地简单。由于各种原因社会未能对软件产品提供有力的保护，大量存在非法拷贝和非法使用的情况，因而严重地损害了软件产业的利益。早期的加密技术是自卫的，它可使程序锁死，使非法用户无法使用，或使磁盘“自杀”，防止非法用户重复破译。后来随着加密与破译技术的激烈对抗，软件加密由自卫性转化为攻击性，于是就产生了计算机病毒。著名的巴基斯坦病毒C—Brain，是世界上惟一的给出病毒制造者姓名和地址的病毒，其目的就是跟踪软件的非法用户。

当然，计算机病毒的产生也并非上述几种。但是计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给我们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。

二、世界上首枚实用的“网武”对伊朗的攻击

最引人注目的是，世界上第一枚实用的“网络武器”:“震网”病毒怎么产生和攻击伊朗的？美国科学与国际安全所的研究报告透露，美国与以色列联合研制的“震网”，于2009年经网络传至伊朗纳坦兹离心浓缩厂人员的个人计算机，再由移动存储介质侵入纳坦兹离心浓缩厂的控制系统。病毒发作的过程是：首先使伊朗的离心机运转速度失控，直至瘫痪，在15分钟内使离心机的转速提高30%，达到离心机材料的极限强度并造成材料内伤，然后回到正常转速 27天后，在50分钟内又以每分钟2赫兹的降速使频率下降100赫兹，造成离心机因震动变形而损伤。如此，每月重复一次，离心机伤而不炸，直到最终永久性损坏。此病毒发作过程中，让电脑程序秘密录制浓缩厂离心机正常运转时的状况，当离心机失控后，程序会自动播放录像带，向监控设备发送“正常数据”，制造正常运作的假象。这种“频率变而不显，机器损而不炸”的“诡异”绝招致使伊朗在发现异常、面对问题的严重性时，纳坦兹离心浓缩厂的安全控制与警报系统从未报警，等到发现异常时千台离心机己报废，束手无策。同时，美以利用“震网”对布什尔核电站进行了类似的攻击。

“震网”病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，它能利用Windows系统和西门子SIMATIC WinCC系统的漏洞来攻击控制系统的数据采集与监视控制系统(SCADA)，该系统广泛应用于能源、交通、水利、石油化工等领域，实现生产过程控制与调度的自动化。“震网”侵入系统后，对可编程逻辑控制器进行重新编程，以达到破坏目的。在发起攻击破坏离心机成功后，按一名计算机专家的说法，整个过程谍影憧憧，如同好莱坞大片场景：入侵装有监控头的银行等建筑物，同时设法让监控屏幕播放先前录像，显示一切正常，以蒙骗保安。为最大限度达到破坏效果，病毒同时向监控设备发送那些“正常数据”，令监控人员无法及时察觉。

“震网”针对性很强，仅对事先设定的目标进行攻击，堪称“网络空间的精确制导武器”。在此次病毒攻击中， “震网”首先是锁定纳坦兹浓缩铀工厂的离心机的变频器。尔后“震网”攻击了布舍尔核电站，汽轮机的控制器被锁定为攻击目标。该核电站采用的是西门子S7-400(417)系统，“震网”利用该系统的漏洞篡改控制代码，使汽轮机控制器输出错误的控制命令，干扰汽轮机的正常运行。其后“震网”扩散至全球，席卷全球工业界。仅2010年以来，全球就有45000多个网络被感染，其中60%都发生在伊朗。其造成的严重后果决不能低估。值得注意的是，2012年12月伊朗南部工业场址的计算机再次受到了 “网武”秘密攻击。

四、关注“网武”（病毒）的攻击群

除了臭名昭著的“震网”外，还发现了新的病毒“毒区”（Duqu）它是获取“震网”病毒的源代码，专门来收集数据。显示基本上是未来‘震网’式袭击的预兆，使未来发动网络袭击变得更加容易。2012年5月28日卡巴斯基实验室宣布，又发现了破坏力巨大的全新蠕虫病毒“火焰”（Flame），它在中东地区大范围传播，而伊朗受病毒影响最严重,推测“火焰”病毒已在中东各国传播了至少5年时间。“火焰”比过去发现的“毒区”（DuQu）和“震网”病毒结构更复杂，破坏力更强。上述3种病毒形成了“网武”的攻击群，并对多国能源设施进行攻击，因此今后的网络安全问题面对更加严重的挑战。

据估计，目前美军已开发的病毒作为“网络武器”的多达2000种，是世界上头号“网络武器”大国。美国于2006年和2008年先后举行了两次代号为“网络风暴”的大规模网络作战演习。2010年和2012年，伊朗在其核设施先后遭到网络病毒攻击后，一口咬定幕后黑手就包括美国,铁证如山。中国国家互联网应急中心此前的报告显示，仅2012年，就有7.3万个境外IP地址参与控制中国境内1400余万台电脑主机的网络攻击事件；有3.2万个境外IP地址通过植入后门程序，参与对中国境内近3.8万个网站进行远程控制的事件。在这些网络攻击事件中，源自美国的攻击数量高居榜首。

五、如何防范“网武”的入侵？

由于美国实施亚太再平衡，在加强亚太地区军事存在的战略转移下，中国已成为美国头号假想敌。这意味着，作为美军一部分的网络部队，必然把中国视为最主要的对手之一。因而从某种程度上讲，美国网络部队的所有网络入侵手段，都不可避免会用来对付中国。

为了防范“网武”攻击，包括防止网络恐怖活动，抵抗计算机病毒入侵，必须加强维护各个层次的计算机网络的正常安全运行。

首先，大家必须安装相应的防火墙、身份认证系统和网络管理系统。必须安装有效的防病毒软件，并且定期更新升级。这样才能有效地防止病毒、“黑客”程序侵入我们的电脑。

其次，经常变换自己的网络密码、收到邮件首先用杀毒软件进行查杀，然后再打开阅读、不轻易在网上发送自己的信用卡资料、不在不稳定的网站下载软件等等。这些都是有效保护自己计算机信息安全的可行办法。实际上，平时还要使用简单的小窍门，例如：加强自己的DNS域名系统：改写DNS数据欺诈的病毒类型，应该及时检查自己的DNS服务器是否存在漏洞，修改TTL值以及禁用DNS缓存都能够有效的降低病毒感染率； 小心硬盘一刀毙命：听说过“硬盘杀手”这个病毒吗？它能够有效地在你第一次重启之后彻底摧毁你的全部数据，干净利落，不留余地。2014年8月我在某大学宾馆第一也就遇到，我仅仅自己笔记本上网检查电子邮件，第二天报告时才发现我的硬盘就崩溃了，数据被摧毁了，还好我的报告有准份。为此，计算机专家花了一天才修复部分数据，最后回京后花了高价请中关村高手才恢复了数据，付出沉重教训！后来才获悉，应该采取两个关键防护措施：按时更新系统补丁及重视局域网络防火墙，如果发现中招，第一时间拔掉电脑电源防止破坏加深。必须重视优盘病毒：杀毒软件可以很好的隔离优盘中常出现的病毒，提前查杀是最有效的办法。不要轻易怀疑自己的优盘内存在病毒，勿要双击优盘进入，选择右键打开的方式委托，避免直接触发病毒。最有效的控制办法是安装杀毒软件以及浏览正规的网页。

  第三，从国家层面，我们支持，我国加强“网武”攻防技术的综合研究。伊朗的前车之鉴，令人震惊，发人三思，加强防范。“网武”的危害性日益严重，迫在眉睫。我国必须吸收伊朗核设施屡遭美国和以色列联合研制的“高精度数字导弹”—“震网”攻击的严重教训。特别国家层面从长远的战略高度，充分高度认识网络安全第一。高度重视伊朗核安全危机给我国核网络安全的启迪和警示，对于我国核电站和重要核装置周围必须采取可靠的网络安全措施，尤其是严防无线“网武”注入而陷于瘫痪；因此，我国必须加强“网武”攻防技术的综合研究，提高网络空间安全的技术和手段；同时要警惕和严防从国外引进装备和技术可能的陷阱。

  第四，大家自觉提高网络安全防范意识，一旦发现，及时通报，采取有效措施，克敌制胜。网络空间的安全及互联网管控能力将关系到未来国家的生死存亡，关系到信息时代的我国荣辱兴衰。

总之，在互联网时代，必然面对国际上网络安全的各种各样的挑战。网络安全，人人有责，必须从我做起。特别是，我们既要关心青少年，又要让他们从小做起，进一步加强网络安全知识的学习和训练。在实践中不断增强自身防范意识和提高防范能力。无论从国家还是个人都绝不能等闲视之！