BO 2000谁与争锋
本报记者 李学凌
在短短一个月时间内一个1.3M的小软件获得了美国所有有重大影响的媒体报道,它不是WINDOWS 2000,不是价值千万的商业软件,这个小巧玲珑的只有1.3M大小的软件,仅仅是一个黑客程序。去年,BO 1.2轰动了整个世界,所有的计算机专家,尤其是微软的计算机安全专家都不希望看到BO发放新的版本,但是,即使他们用双手蒙住眼睛,也无法回避cDc(死牛祭祀者小组) BO2000的可怕光芒。现实无法逃避。
1999年7月,“该死的”黑客年会,又在美国拉斯维加斯举行。这一规模庞大的黑客年会已经持续7年,几乎每年都要爆出震撼性的新闻,去年是BO 1.2。今年,cDc还是没有闲着。今年的拉斯维加斯黑客聚会吸引了2000多名来自世界各地的一流黑客,当然也有许多慕名而来的计算机安全专家,另外一些目光游移的家伙当然是血目圆睁的60多位IT记者。
黑客们分成了两组,玩起了“夺旗”游戏,一组黑客拼命保护服务器免遭攻击,另一组在笔记本电脑上拼命敲键,力图闯过层层安全防范,得到最高的荣誉。黑客们玩的很开心,因为他们只是作着每日必修的功课,可计算机安全专家和记者们却没有这么怡然自得,因为这些黑客决不可能只是为了一个夺旗游戏,千里迢迢跑到这里。这些穿着满缀铁钉皮衣的黑客带来了比他们的长相还要可怕的软件。
BO 2000(借用了微软的系统软件命名原则)一露面,就吸引了所有人的目光。BO的全称是BACK ORIFICE(文雅一点的中文译名应该叫:后门),有许多人发现,这个名字和微软公司的BACK OFFICE 很像,的确,它的命名就是为了讽刺微软的BACK OFFICE。在黑客的眼里,微软的产品就是漏洞百出,可以随时出入的门。
去年,BO 1.2出来的时候,微软“高兴”地看到,这个软件只威胁到WINDOWS95、WINDOS 98不能威胁到他的未来主流产品WINDOWS NT,这样,许多政府部门和网站管理者就可以高枕无忧了,微软也可以轻松地喘口气,微软甚至很快就把BO的安全通报从网站里删除。 而BO 2000却是当头棒喝,他则可以同时运行在WINDOWS95、WINDOWS98、WINDOWS NT和WINDOWS 2000系统,也就是说,它完全覆盖了所有微软的系统平台,只要使用微软的产品,就无法逃脱BO 2000的入侵(当然,目前BO 2000只能运行基于INTEL芯片的微软操作系统)。
和BO 1.2一样,BO 2000也由两部分组成:客户端程序(client)和服务器端程序(server)。服务器程序用来攻击对方的计算机,一旦服务器程序在被攻击的计算机上运行,客户端程序就可以把对方的计算机完全控制,不管对方是办公室里的电脑还是网络中心的服务器,都完全报漏在黑客的视野。客户端程序能对被控制的计算机执行很多操作:搜索和下载对方的所有软件和文档、执行被控制计算机中的任何程序、记录被控计算机上的键盘输入、启动或者锁死目标计算机并且能显示被控计算机当前用户的屏幕保护的口令,重新启动计算机、锁死系统、列出系统口令等等可怕的操作。另外BO 2000还提供了一些增强程序功能的插件,有了这些插件,就可以对被控制计算机执行更多的操作。可以接收被控制计算机的灰度图象,能远程控制键盘及鼠标的操作,一切只有系统管理员才能使用的功能,都可以在几千公里外的世界某一个角落实现,方便的几乎像使用自己的计算机一样(当然速度可能慢了点儿)。BO 2000提供一个图形化的文件流览方式,可以方便地修改注册表,一切危险的操作都简化到鼠标的轻轻一点。在WINDOWS NT系统下,BO 2000显得尤其可怕,它会自动改变自己的进程(PROCESS)名称,以防被删除,)并且能自动建立一个自身进程的副本,万一BO 2000被删除后,它能够自动再生。它自己的文件名后面加上许多随机的空格及字母,所以在WINDOWS下无法删除该文件,只能在纯DOS下删除掉,这就意味着,一旦服务器感染BO 2000就必须停机,才能删除,所有的人都明白,重要的服务器停机意味着多大的损失。更为可怕的是,BO 2000可以自由地增加或者去掉网络目录的共享属性,包括局域网的共享目录,共享设备。这意味着,一旦BO 2000进入公司内部网络服务器,那么整个公司网络上的所有文件都毫无秘密可言!
BO 2000服务器端的程序只有112K,足够小,可以很方便地在网络上传输;客户端的所有程序大约有1M左右,功能足够强大,完全的图形化界面,非常简单,稍有一些电脑基础的人,几天就可以基本掌握。BO 2000可以通过EMAIL附件的方式发送,也可以通过手工的方式安装在一台计算机上。BO 2000提供了一项功能,可以把自己帖付在其他的软件上,而不像老的版本,一运行就把自己删除,这样BO 2000的隐秘性就大大增加,它可以轻松地付着在一个贺卡程序里发给对方。cDc预言,今年下半年,BO 2000将在全球引起一场网络安全风暴。ABC 新闻就以“BO 骚乱”为题报道了BO 2000的出现。
一边是惊涛骇浪,一边是稳坐钓鱼台。微软还是保持了一贯的“风度”和“沉稳”ABC新闻用“微软还在观察”(Microsoft Awaiting View)来评价微软的反映。微软认为“BO 2000必须通过在本地执行可执行文件才能感染,有经验的人从来不会在存有敏感信息的电脑上运行任何可执行文件,即使运行,他们也会先用反病毒软件扫描一遍。这足以阻止BO 2000的传播”ABC新闻用了一句很难翻译(因为批评的比较隐晦)的话来评论微软: Microsoft, in the meantime, is still waiting for access to the program.。大约可以翻译为:即使到了这种时候,微软仍然在等待着BO 2000的入侵(而置之不理)。微软的这一老套说辞,早在BO 1.2时,就被用滥了,如果说对于普通用户使用的WINDOWS 95/98这一说辞也还算说得过去,但是对于一个网络操作系统,WINDOWS NT、WINDOWS 2000来讲,居然能够从内存里拿到用户口令,能够攻击整个网络,实在不可原谅。微软把BO 2000进入系统的责任归结为“有经验的人从来不会在存有敏感信息的电脑上运行任何可执行文件”,把防范BO 2000的责任全都推给反病毒公司,是一种向用户推卸责任的行为。是的,反病毒软件经过升级可以查出BO 2000,经过笔者试用,国内的杀毒软件KILL和KV300都能成功地发现BO 2000,但其他反病毒软件还没有进一步的消息传来,微软不能要求所有的用户都购买反病毒软件,也不应该让用户为了微软系统本身的漏洞去追加投资。即使是买了反病毒软件,用户也不能保证,他们所购买的反病毒软件能够很快解决BO 2000问题,而且没有INTERNET地区的用户升级反病毒软件还需要很长的时间。反病毒的工作应该由反病毒软件来做,微软自己的系统漏洞,又凭什么要求反病毒软件来解决呢?其实BO 2000是一种典型的特洛依木马,根本不是病毒。
此次,BO 2000发布的同时,还按照黑客的原则,公布了全部源代码。笔者在网上的一个著名黑客评论站点看到,BO 2000公布源代码不能直接编译运行。这恐怕是这次事件中,我们能听到的唯一好消息了。cDc为了防止一般的电脑爱好者随意改造程序,把一些关键程序作了技术处理,这样BO 2000就不会像“美丽杀”病毒那样,方便地随意更改。即便如此,有经验的程序员还是能够很容易地把BO 2000做多种多样的修改。正如我们了解的那样,任何反病毒软件都是通过特征码的搜索来确认BO 2000的,但是经过修改的BO 2000可以很容易地变换各种特征码,绕过反病毒软件的扫描,而且早在80年代,就有反病毒专家从理论上论证了病毒的不可识别性,对于不是病毒的BO 2000就更难从成千上万行程序中找出来。这样的情况下,微软还要把责任推给谁呢?
近一段时间,微软在全球受到了抵制。维纳斯计划在中国抄的沸沸扬扬,有人说是方兴东阻挡了微软入侵中国的一个新产业,明眼的人都能立刻看出来,如果全球反微软浪潮没有内在“精确的”合理性,单凭方兴东一个人,无论如何不能阻挡一个1000亿美元市值的大猩猩。其实“美丽杀病毒”事件已经反映出了微软很严重的问题。且不谈老套的微软垄断,如果微软的产品在INTERNET上站到了绝对主流,那么微软的漏洞就会成为整个INTERNT的漏洞,成为计算时代的漏洞,一个小的疏忽,就会影响整个世界。2000年问题这样的重大缺陷在多元化电脑时代会少一些,因为很少有这样的机会,大家都犯相同的错误。