2.1.1　经典安全事件

2003年8月11日爆发的W32.Blaster.Worm蠕虫病毒很好地例证了软件中的安全缺陷是如何让我们变得易受攻击的。Blaster可以在毫无用户参与的情况下感染任何一台连接到互联网上未打补丁的计算机系统。微软提供的数据显示,至少有800万个Windows系统被该蠕虫病毒感染,Blaster的主要破坏力在于使用户无法正常使用自己的机器,并且能够渗透整个局域网,感染的用户必须设法删除该蠕虫并且升级系统才能正常工作。

Blaster蠕虫病毒作恶前后的一系列事件揭示了软件厂商、安全研究人员、发布漏洞利用代码者以及恶意攻击者之间错综复杂的关系。

首先,LSD(Last Stage of Delirium)研究小组发现了RPC(可用于通过TCP/IP交换信息)中存在一个缓冲区溢出漏洞,成因在于对“畸形”信息的错误处理。该漏洞影响监听RPC端口的一个分布式组件对象模型(DCOM)接口,后者处理客户机发送给服务器的对象激活请求,对该漏洞的成功利用允许攻击者在受感染的系统上以本地权限执行任意的代码。

在这种情况下,LSD小组遵循了负责任的披露原则,在公开该漏洞前与软件厂商进行了合作,寻求解决问题的办法。2003年7月16日,微软发布了微软安全公告MS03-026,LSD发布了一个特别报告,CERT/CC则发布了一个漏洞说明VU#568148,详细描述了该漏洞,并提供相应的补丁和应急方案的信息。第二天,CERT/CC还发布了名为“Buffer Overflow in Microsoft RPC”(微软RPC缓冲区溢出)的CERT公告CA-2003-16。

9天后,也就是7月25日,一个名为Xfocus的安全研究小组发布了该漏洞的利用代码。Xfocus自称是“一个在1998年创立于中国的非营利和自由技术组织,致力于研究和展示网络服务和通信安全方面的弱点”。实质上,Xfocus对微软提供的补丁程序进行了逆向工程,研究了该漏洞的原理,并且开发了相应的攻击该漏洞的方法,并将其公之于众。

HD Moore(Metasploit项目的创始人)改进了Xfocus的代码,使其可以对更多版本的操作系统生效。很快就有漏洞利用工具发布了,使得黑客可以通过IRC网络发送命令。8月2日就已经发现了这些攻击的蛛丝马迹。

由于DefCon黑客大会将于8月2日至3日召开,因此大家普遍预计将会有针对该漏洞的蠕虫病毒发布(并不是说参加Def Con的人会这么做,而是由于该大会会引起人们对黑客技术的关注)。美国国土安全部(Department of Homeland Security,DHS)于8月1日发布了一个预警,联邦计算机事故响应中心(Federal Computer Incident Response Center,FedCIRC)、美国国家通信系统(National Communications System,NCS)以及美国国家基础设施保护中心(National Infrastructure Protection Center,NIPC)也在对漏洞利用行为积极进行监测。8月11日,也就是补丁程序发布后的第26天,Blaster蠕虫病毒首次被发现在互联网上传播。24小时后,Blaster感染了336 000台计算机。截至8月14日,Blaster已经感染了超过100万台计算机,在高峰期,它每小时感染100 000个系统。

Blaster的爆发并不令人惊讶。在Blaster利用的漏洞被公布前的一个月,CERT/CC的主管Richard Pethia于2003年6月25日在主题为“网络安全、科学、研究和发展”的美国国土安全小组委员会的特委会会议上明确表示:

当今理应关注互联网的安全问题。与互联网有关的漏洞将用户置于危险的境地。适应于组织内部的大型机和小型的、规划良好的网络的安全措施,对互联网不再有效,因为这是一个复杂的、动态的互联网络世界,没有明确的边界,没有中央控制。安全问题通常没有得到很好地理解,在许多开发者、厂商、网络管理者乃至消费者心目中,这个问题很少得到足够的重视。

根据评估,Blaster蠕虫病毒所造成的经济损失至少达5.25亿美元。这个数字是综合了生产效率的损失、浪费的工时、损失的销售额以及额外消耗的网络带宽等统计出来的。看上去Blaster的危害已经非常大了,可实际上它很容易造成更大的破坏——例如,它删除被感染计算机上的文件。基于一个使用了简单破坏模型的参数化“最坏”分析,Weaver和Paxsonl估计一个攻击被广泛使用的微软Windows服务并且携带某种髙破坏性功能(例如,破坏主硬盘控制器、覆写CMOS RAM或擦除闪存等)的最可怕的蠕虫病毒,可能造成多达500亿美元乃至更大的直接经济损失!