酷玩實驗室原創(chuàng)作品
7月19日��������,啥年代了全世界約850萬臺安裝了Windows系統(tǒng)的電腦電腦����,集體陷入藍(lán)屏死機(jī)�������。藍(lán)屏
事出突然�������,死機(jī)美國加拿大澳大利亞英國日本等多個國家的啥年代了航班停飛手術(shù)中斷物流卡頓����,亂成了一鍋粥���。電腦
恰逢周五����,藍(lán)屏打工人們面對突然罷工的死機(jī)生產(chǎn)力工具�������,空氣中都彌漫著悲傷的啥年代了氣氛���。
事故的死機(jī)原因很簡單�����,總部位于美國的啥年代了云端安全服務(wù)供應(yīng)商CrowdStrike更新了自家的防病毒軟件�����,結(jié)果和Windows系統(tǒng)發(fā)生了沖突�������,電腦導(dǎo)致了這一波大規(guī)模的藍(lán)屏藍(lán)屏重啟��。
朋友問我�������,為什么國內(nèi)的微軟系統(tǒng)沒事啊���������,難不成我們真是天選打工人���?
很簡單������,咱們有自己的安全殺毒軟件����。
可能現(xiàn)在很多人都不知道殺毒軟件為何物了���,但在21世紀(jì)初�������,電腦病毒還是非常普遍的存在�����。
你在深夜偷偷打開的小網(wǎng)站���,郵箱里莫名其妙的中獎鏈接�����,以及看起來綠色無害的軟件下載網(wǎng)頁�����,都可能暗藏端倪��。
ILOVEYOU病毒蠕蟲病毒熊貓燒香沖擊波木馬……幾乎每種病毒都感染了數(shù)以百萬計的電腦������,在全球造成大規(guī)模破壞��������。
但某一天�����,肆虐全球互聯(lián)網(wǎng)的病毒�,突然就銷聲匿跡了�������。
2004年��,中國計算機(jī)用戶病毒感染率為87.9%���,按當(dāng)時我國5299萬臺的PC總量來算��,就是4600多萬臺電腦中毒���。
到2016年�������,獵豹移動安全實驗室的報告顯示�������,全年捕獲病毒樣本總量為3952萬個����,相比起2015年的1.046億個��,直接減少62.2%��;360公司也得出了類似的結(jié)論�������,他們攔截的病毒攻擊同比2015年下降26.7%�����。
而《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》的數(shù)據(jù)顯示����,當(dāng)年我國中毒電腦總數(shù)為534萬臺�����,不管是絕對數(shù)量還是比例��������,都大幅下降����。
電腦病毒����,到底是如何出現(xiàn)的������?又為什么消亡了��?
01��:炫技
1982年�������,《時代》雜志的“年度風(fēng)云人物”榜上�����,出現(xiàn)了一個新鮮玩意兒����:
個人電腦�����。
這一年�����,微型計算機(jī)開始進(jìn)入美國家庭�����,技術(shù)浪潮之下�����,英特爾IBM微軟索尼一派勃勃生機(jī)萬物競發(fā)�������,而15歲的高中生里奇·斯克倫塔(Rich Skrenta)也閑來無事�,編寫了一段針對蘋果計算機(jī)的病毒程序Elk Cloner�����。
說是病毒�����,Elk Cloner其實更像一種熊孩子的惡作劇����。
當(dāng)時�����,很多人都習(xí)慣共用軟盤安裝系統(tǒng)程序������,斯克倫塔將Elk Cloner存在軟盤上����,一旦計算機(jī)啟動������,程序會自動拷貝到其它未感染的軟盤中������,像病毒一般傳播���。
被感染的電腦每啟動50次��,屏幕就會突然跳出一段綠瑩瑩的話�:
警告�,此處Cloner出沒�����,它會像膠水一樣粘著你������。
好比千禧年流行過一段時間的那種“不要打開這個郵件�,里面有你想象不到的內(nèi)容�����?���!?/p>
等你打開想一探究竟����,屏幕那頭冷不丁會會冒出一個眼睛冒血披頭散發(fā)的貞子�������,伴隨著恐怖的音效躥到跟前����,嚇人一跳����。
斯克倫塔拿著Elk Cloner到處霍霍同學(xué)老師�����,本質(zhì)上就是炫技��,殺傷性不大���,煩人性極強�����。
但當(dāng)惡作劇觸及到利益���,利害便開始升級����。
1987年�����,一對巴基斯坦兄弟開了一家公司��,主要是賣電腦和軟件。
本來是好事一樁����,奈何當(dāng)時盜版軟件橫行����,倆人吭哧哼哧編寫的程序�,老是被人白嫖����������,一氣之下����,干脆搞了個「大腦病毒」��,植入自己原創(chuàng)的軟件��。
一旦有人盜版����,病毒就會發(fā)作������,占據(jù)磁盤的剩余空間�������,導(dǎo)致電腦運行速度嚴(yán)重拖慢��。
怎么辦呢��������?
兄弟倆貼心地在病毒彈窗中放上了自己的電話號碼���,小樣������,來求我啊�����。
盜拷軟件的人沒辦法�������,只能付費請兩人修電腦�������,并乖乖安裝正版軟件���������。
有病毒�������,自然就有殺毒����。
站在廠商的角度�������,我賣電腦程序的����,高科技產(chǎn)品�������,動輒被病毒干擾������,我不要面子的嗎�?
于是計算機(jī)在“出廠設(shè)置”階段就加入了防御措施�������,拿Windows 3.0來說��������,微軟開啟了保護(hù)模式和保護(hù)環(huán)的概念�������,讓自己的系統(tǒng)內(nèi)核以及設(shè)備驅(qū)動擁有比應(yīng)用程序更高的權(quán)限��������。
每當(dāng)病毒發(fā)作�������,官方系統(tǒng)就可以憑借更高權(quán)限������,來個“官大一級壓死人”����,直接給你滅了����。
這又激起了技術(shù)自由主義的勝負(fù)欲——人寫的代碼��������,肯定有漏洞�����,我就專門找這些系統(tǒng)漏洞繞過防御����,發(fā)動攻擊��。
1999年爆發(fā)的CIH病毒�����,就利用了Windows95/98系統(tǒng)中的檢測漏洞������。
它非常狡猾地將病毒本體分成了好幾個部分������,然后隱藏到不同的運行程序下�����。由于拆分的數(shù)據(jù)過小����,系統(tǒng)感知不到內(nèi)存變大�����,就會當(dāng)作統(tǒng)計誤差給忽略掉��,自然無法阻止病毒發(fā)作�������。
CIH病毒感染之后��������,會直接覆蓋掉磁盤上的關(guān)鍵信息造成藍(lán)屏��,甚至?xí)茐腂IOS�����,重裝都不好使�����,還可能直接損壞硬件���。
據(jù)統(tǒng)計����,CIH病毒感染了全球數(shù)百萬臺電腦���,造成的損失超過10億美元���。
感染CIH后的藍(lán)屏界面
2006年末��������,熊貓燒香病毒又席卷中國������,感染了幾百萬臺電腦���。
它利用Windows的漏洞跟exe程序捆綁在一起����,只要運行就會釋放病毒������,不僅會破壞所有的exe程序���,將圖標(biāo)變成熊貓��������,還會刪除掉后綴為gho的備份文件����,讓電腦無法還原����。
當(dāng)時的Windows還存在一個共享漏洞�����,局域網(wǎng)中的計算機(jī)缺乏隔離��。
熊貓燒香也利用了這個漏洞�����,很多網(wǎng)吧計算機(jī)教室企業(yè)機(jī)房����,只要有一臺電腦感染�����,其余的電腦全部在劫難逃����。
02��:貓鼠游戲
廠商這邊肯定不能坐以待斃���。
這邊黑客們發(fā)現(xiàn)漏洞制造病毒����,那邊廠商就打起補丁補上窟窿������。
90年代末��,計算機(jī)巨頭相繼建立了專門的安全部門����,每天高強度盯著全球各地爆發(fā)的病毒���,分析這個病毒利用了哪個漏洞��,然后光速推出相應(yīng)的系統(tǒng)補丁��������。
你來我往���,修修補補�������,宛如一場貓鼠游戲��。
只不過����,這個補丁有個巨大的bug——得花錢�����。
用戶需要自己購買對應(yīng)的軟盤或者光盤來安裝���,要么就得去官網(wǎng)下載安裝��������,比較麻煩����,很多人都不愿意折騰���������。
像是熊貓燒香��,在安全專家眼中根本沒什么技術(shù)含量������,它利用的漏洞�����,微軟早在一年前就發(fā)布了修復(fù)補丁������。
但就像你會選擇性忽視系統(tǒng)更新一樣�����,不到不能用��������,誰會去管那個更新提示啊����������。
中國信息協(xié)會
等到真的不能用了�������,用戶的第一反應(yīng)也是找官方解決——呼叫人工客服��������,我要投訴��。
在吃癟無數(shù)次之后��,巨頭們終于想到了���,還是給用戶老爺們現(xiàn)成的吧�������。
直接在系統(tǒng)里推送更新包���,自動解壓自動安裝��,只要連了網(wǎng)就可以快速打補丁�������,這種思路的典型代表產(chǎn)物就是Windows Update���。
Windows Update上線后������,微軟固定每星期二向用戶推送補丁��,修復(fù)最新發(fā)現(xiàn)的安全漏洞���,如果出現(xiàn)重大威脅���,則補丁制作完成就立即推送���,Adobe甲骨文等也紛紛效仿這種制度����,因此業(yè)內(nèi)出現(xiàn)了一個?!把a丁星期二”�����。
線上推送補丁的出現(xiàn)�������,讓病毒泛濫的時間窗口大大縮短了�������,很多新病毒剛剛開始傳播����,還沒來得及出現(xiàn)在我們眼前����,就在下個星期二灰飛煙滅�。
與此同時������,廠商對于權(quán)限的控制��,也越來越嚴(yán)格��������。
喜歡搗鼓手機(jī)的人都知道������,要玩透iPhone��,必須得越獄���,而安卓機(jī)則需要root�����,其原因在于������,iOS和安卓有大量的高級權(quán)限不對應(yīng)用程序開放����,必須要破解系統(tǒng)才能繞開限制�����。
PC端也是同樣的道理������。早年的Windows主要采用黑名單機(jī)制����,拒絕一些特定惡意程序的使用權(quán)限�������。
不過隨著貓鼠游戲升級����,威脅增加�����,Windows逐步改為了白名單機(jī)制������,白名單內(nèi)就是值得信任的homie������。
而對于不受信任的來源發(fā)布者未知的程序��,全部一刀切������,在用戶手動確認(rèn)前�,系統(tǒng)不會給予任何權(quán)限��������。
這樣一來���,只要用戶還沒有莽到一路開綠燈�������,病毒基本上就沒機(jī)會作亂���。
廠商的補丁和黑名單��������,多數(shù)時候是為了抵御已知的病毒�����,還有一些漏網(wǎng)之魚該怎么辦�����?
這就需要殺毒軟件了����。
早在1989年����,世界上就誕生了首個殺毒軟件「邁克菲」������,歷史幾乎跟電腦病毒一樣悠久����。
今天的網(wǎng)絡(luò)紅人雷軍�����,90年代初期也是靠編寫殺毒軟件�������,賺到了人生的第一桶金�。后來知名的金山毒霸��������,同樣出自雷軍之手����。
與金山毒霸齊名的殺毒軟件������,還有小紅傘諾頓瑞星江民360殺毒……
其中必須提一嘴的��,就是這個江民殺毒軟件�����。
早期殺毒軟件的基本原理�����,是收集病毒最有特征的部分代碼�����。如果掃描到某個程序或者文件中包含這些代碼�������,就清除或者隔離開�����。
這種模式就是所謂的“特征碼”���。
“特征碼”就像給系統(tǒng)打補丁一樣��������,需要預(yù)先“認(rèn)識”病毒特征���������,對新冒出來的病毒下不了手����,時效性比較差����。
而江民科技采用了一種名叫廣譜特征碼的方法�������。因為他們發(fā)現(xiàn)�����,網(wǎng)絡(luò)上流行的海量病毒�������,大多是某幾種病毒的變體����,只要提取這些病毒共有的那部分特征碼�����,也就是廣譜碼�������,拿一個碼通殺一個大類電腦病毒����。
如果未來出現(xiàn)新的變體���������,不用更新數(shù)據(jù)庫就能查出病毒�������。
(江民科技創(chuàng)始人王江民)
那這些海量病毒從哪里來呢���������?
瑞星金山360等殺毒軟件���,搞了一個實時更新的病毒數(shù)據(jù)庫����������,不同病毒的特征碼能快速到達(dá)每個終端�����,聯(lián)合擊殺���。
要是特征碼越攢越多���,占用過多內(nèi)存怎么辦����?
大伙兒又搞了個云查殺功能������。殺毒軟件會把可疑文件的特征和行為模式��������,匯報到云端的服務(wù)器��,讓服務(wù)器分配更多資源調(diào)用更多特征庫進(jìn)一步確認(rèn)��������,或者檢索下中同樣的文件是否破壞了其它用戶的電腦����,避免錯殺或者錯放���������。
此后�������,殺毒軟件又相繼引入了沙盒機(jī)制�������,它會創(chuàng)造一個模擬的系統(tǒng)������,把可疑的程序放進(jìn)去運行���,看看它會干什么����。很多傻乎乎的病毒就這么信以為真������,在模擬的環(huán)境中大搞破壞����,然后就原形畢露了�。
貓都學(xué)會騙耗子了�����,這還怎么玩�����?
03����:根本問題
實際上���,不管是早期的炫技��,還是后來的貓鼠游戲�����,病毒的出現(xiàn)�����,本質(zhì)上還是背后的人在操縱����。
而伴隨著電腦的普及������,病毒帶來的影響�������,也在日趨嚴(yán)重�����。
所以������,要解決病毒���,更高效的方法是解決制作病毒的人����。
CIH病毒爆發(fā)僅僅四天之后�����,它的編寫者��,中國臺灣黑客陳盈豪���������,就被警方逮捕��������。由于當(dāng)時臺灣省法規(guī)中不存在關(guān)于制作電腦病毒的處罰���,陳盈豪沒有被起訴�������。
不過發(fā)布熊貓燒香的李俊就沒有這么幸運了�����,他因為熊貓燒香病毒非法獲利10萬多����,喜提破壞計算機(jī)信息系統(tǒng)罪�����,被判處有期徒刑四年������。
進(jìn)入21世紀(jì)后�����,世界各國普遍加大了對電腦病毒制作散播者的打擊力度������,沒有法條可依���,那就立法�����,沒有執(zhí)法部門管這事������,就創(chuàng)建一個新的部門���������。
在中國�����,這個部門就是公安部網(wǎng)絡(luò)安全保衛(wèi)局�����。在2018年的凈網(wǎng)行動中���������,他們組織偵破網(wǎng)絡(luò)犯罪案件5.7萬起,抓獲犯罪嫌疑人8.3萬多人��������。
(人民公安報)
互聯(lián)網(wǎng)不是法外之地����������,瞎搞病毒是要牢底坐穿的����。
不是��,你當(dāng)黑客的���,都沒法隱藏自己的身份嗎���������?
可以是可以��������,但黑客總是想收錢的吧�����,錢能追查到吧��。
而且����,財大氣粗的巨頭廠商們���������,也開始向黑客們“招安”了���。
系統(tǒng)上線之前������,廣請?zhí)煜掠⑿蹃聿檎衣┒?�,發(fā)現(xiàn)一個��,真金白銀地打賞����。
好比梁山好漢招安������,一邊是膽戰(zhàn)心驚地犯罪����,一邊是光明正大地賺錢�����,就問你干不干�����。
僅2021年一年����,微軟就給46個國家的335名黑客���������,發(fā)放了1370萬美元的漏洞賞金���,其中最大的一筆獎勵高達(dá)20萬美元�����,算成人民幣都超百萬了�����。同一時間���,蘋果也給出了總共100萬美元的賞金�����,而谷歌現(xiàn)在已經(jīng)把單個漏洞的賞金提高到了15萬美元�����。
很多原本潛藏在暗處的黑客������,因為發(fā)現(xiàn)關(guān)鍵漏洞�����,得到了巨頭的賞識����,甚至跳過寒窗苦讀艱難求職階段���,當(dāng)場入職世界五百強企業(yè)��,成為安全團(tuán)隊的一員�������,靠本事賺錢������,還有了個更酷的Title——白客�������。
2017年騰訊安全團(tuán)隊中的白客攻破特斯拉的防御������,震驚全球
左手大棒右手胡蘿之下���,針對個人的電腦病毒日漸式微��,進(jìn)一步導(dǎo)致了殺毒軟件的凋零������。
十幾年前��������,一套殺毒軟件要價兩三百元�,有些殺軟訂閱數(shù)據(jù)庫更新還需要持續(xù)付費���������,否則就不能防御最新的病毒���。
在針對個人計算機(jī)的攻擊逐漸減少后���,殺毒軟件市場迅速萎縮������。
大家紛紛調(diào)整戰(zhàn)略�,360率先推出了免費模式���,個人用戶不需要付一分錢就可以享受保護(hù)�������,2010年���,金山也宣布免費������,半年之后�,瑞星跟進(jìn)���,對個人用戶免費���。
2014年������,微軟又親自下場�������,在新推出的Windows10操作系統(tǒng)中�������,內(nèi)置了免費的殺毒功能Windows Defender��������,用戶實際上不用再額外安裝殺毒軟件�������,就能抵御大部分威脅�������。
在殘酷的競爭中���,大批殺毒軟件走向沒落�������,江民金山毒霸從火遍全國到無人問津����,連瑞星這個曾經(jīng)的行業(yè)龍頭都已經(jīng)銷聲匿跡��������,桌面角落打瞌睡的小獅子�������,留在了大家的回憶里����。
幸存下來的企業(yè)�������,也走上了曲線賺錢的路�。
像360����������,就是通過各種彈窗廣告捆綁安裝軟件修改用戶首頁搜索頁面……等來收取廣告費和渠道費���,填上利潤的窟窿��������。
這些收入����,占了360總營收的一半以上�������。
曾經(jīng)的勇士似乎變成了“惡龍”��������,所謂“一切早已暗中標(biāo)好了價格”��,可能就是如此吧�������。
尾聲���:威脅消失了嗎�������?
隨著監(jiān)管下場��������,廠商與殺毒軟件的三方合力�,針對個人電腦的攻擊��,變成了一樁沒有“性價比”的生意����。
你費勁吧啦黑了一臺電腦����,發(fā)現(xiàn)對方賬戶里錢還不夠喝杯奶茶������,圖啥呢������。
于是�������,黑客們不再對低價值的個人電腦大開殺戒��������,而是用病毒集中攻擊高價值的企業(yè)機(jī)構(gòu)電腦������,鎖死其中的寶貴的數(shù)據(jù)������,進(jìn)而勒索企業(yè)����,贖金也用比特幣支付,難以追蹤去向������,執(zhí)法者束手無策������。
其中典型���,就是WannaCry����。
在WannaCry第一波攻擊中��������,英格蘭/蘇格蘭的醫(yī)療系統(tǒng)癱瘓����,不久之后����,日產(chǎn)和雷諾的歐洲工廠也被WannaCry擊潰����,再接著就是西班牙聯(lián)邦快遞德國鐵路波音公司臺積電……
相比起感染百萬電腦的CIH和熊貓燒香��������,“僅僅”癱瘓了20萬電腦的WannaCry�,卻造成了40億美元的損失������,這還沒有算上各大企業(yè)機(jī)構(gòu)支付的贖金��,畢竟他們要么急于恢復(fù)系統(tǒng)������,要么就是保存了珍貴的商機(jī)機(jī)密����,被撕票就麻煩大了��。
并且病毒爆發(fā)后���,半個世界的執(zhí)法力量都在尋找攻擊的發(fā)起者����,但這么多年過去������,幕后真兇依然成謎����,WannaCry��������,想哭����,確實令人想哭���。
根據(jù)國家計算機(jī)病毒應(yīng)急處理中心的說法����:
“2023年�����,針對我國個人用戶的計算機(jī)病毒攻擊事件數(shù)量呈現(xiàn)進(jìn)一步下降趨勢��;
與此同時����,針對組織機(jī)構(gòu)的計算機(jī)病毒攻擊與去年同期相比則呈現(xiàn)上升趨勢��。
這反映出攻擊者在對攻擊目標(biāo)的選擇上具有明顯的趨利性���,相對于個人用戶������,攻擊組織機(jī)構(gòu)明顯具有更高的潛在收益���。教育金融衛(wèi)健等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施由于承載了大量公民敏感個人信息����,成為2023年黑客攻擊竊取數(shù)據(jù)的重點目標(biāo)��������?!?/p>
現(xiàn)如今���,在暗網(wǎng)黑市上������,一個可以用于制作病毒的Windows系統(tǒng)漏洞������,依然可以賣到十幾萬乃至幾十萬美元��������,就在今年四月份�����,暗網(wǎng)上還有人掛出了iOS系統(tǒng)的重大漏洞����,要價200萬美元���。
所以���,電腦病毒從未真正消失�������,它們只是轉(zhuǎn)移了攻擊目標(biāo)�,我們的電腦榨不出什么油水������,不值得黑客們冒著坐牢風(fēng)險攻破重重防御����,襲擊企業(yè)的電腦才是劃算的買賣�������。
貓和老鼠的游戲�������,還在繼續(xù)上演����,只是轉(zhuǎn)移到了普通人看不見的地方����。
酷玩實驗室整理編
