解濱

沸沸揚揚的谷歌風波終於平息下來。 美國的IT專家們卻忙起來了。 忙什麼？ 忙着對付Aurora。 Aurora是什麼？ 是谷歌事件中來自中國的那個惡意代碼，其相對的計算機漏洞標準序列號為CVE-2009-4324 和CVE-2010-0249。 美國政府已經就谷歌事件照會中國政府。 但那並非談關谷歌撤出中國的問題，而談是有關谷歌等32個美國公司被來自中國的黑客攻擊一事。

誰都知道，高科技公司被黑客攻擊早已不是什麼大驚小怪了。 谷歌本身每一天遭到的網絡攻擊恐怕至少也有幾千次。 那谷歌為什麼非要拿這一次黑客攻擊說事，甚至要動用美國政府出面呢？ 九年前中美兩國南海撞機後，中國的黑客向美國政府和民間的各大網站發動過公開挑釁和超大規模攻擊，目標甚至包括白宮網站。 美國政府根本就沒有吱聲。 那為何美國政府這一次大動干戈？

這裡的秘密就在於，和往常不一樣，網絡安全專家普遍同意，這一次黑客攻擊是中國政府幹的。 這個，包括很多親GCD的網民都不否認。 問題就在這裡。

世界上黑客成千上萬，多數是民間的，少數是官方的。 兩者區別在以下三個方面：（1）民間的黑客基本上是小打小鬧，“各自為戰”，缺乏相互協調和支持，打不贏就走，打贏了趕快去黑客社區報功，風光無限。 政府豢養的黑客則有高度的組織性和多方面協調性，工具共享，責任分工明確，不達目的決不罷休，事成之後保持沉默，無名英雄。 （2） 民間黑客多為錢財所驅 – 偷信用卡，盜竊銀行賬戶，騙財為普遍行為。 官方黑客則不為錢財所動， 政治動機突出，專攻企業或政府機密。 （3） 民間黑客多為業餘愛好者，技藝良莠不齊，且頻頻出錯，常露出馬腳。 官方黑客是專業的，技藝精良，整體水平高超，且招法特殊，來無影去無蹤，極難捕捉。

你家裡門被撬開，你太太的珍貴首飾和你的幾百萬現款不翼而飛，那應該是小偷干的。 假如你家周圍有一伙人發生激烈槍戰，那是有組織犯罪團伙干的。 假如一顆人肉炸彈在鬧市區爆炸，那是恐怖主義者所為。 但如果你居住的村莊被飛機投射的精確制導炸彈夷平，那就是政府幹的了。 只有政府才有那種能力。 民間和政府的區別就是這麼大。

前幾天百度遭到“伊朗網軍”的攻擊，那一看便知道不過是業餘級的下三濫在賣噱頭。 這次攻擊谷歌的黑客卻是專業級，具有官方黑客的所有特徵，穩准狠，所以才引起谷歌乃至於美國政府的憤怒。 除了政治考量外，這種憤怒的背後暴露出一個驚人的信息： 中國的網軍（Cyber Warrior）已經遠超前於美國。  

十幾年前中國軍方就發展出“非對稱”戰爭理論，網絡戰是其中一個重要領域。“網軍”一詞最早出現在1999年 《解放軍報》的一篇報導中，該報當時呼籲，應該在陸、海、空軍之外，另新增一軍種，來負責網路防衛，及攻擊任務。 中國網軍最早隸屬於“國家信息安全工作領導小組”，有嚴密指揮系統，組織相當龐大。 今天中國網軍歸屬哪個部門無人知曉，但其殺傷力之大，從這一次谷歌事件就可以看出來。

作為世界一流的網絡服務公司，谷歌人才濟濟，高手如雲，一般的 Cyber Attack，他們根本就不放在心上。 誰都可以攻擊谷歌。 比如說，您在谷歌網頁上多次試圖用他人的賬戶進入， 您就在攻擊谷歌了。 這種事情谷歌是LOG下來的，不過不會去找你麻煩。 您大概要在某個專業訓練班裡苦學若干年您才有可能做出一點讓谷歌吃驚的事情。那樣的話您就是高手了。 這一次谷歌被打得找不着北，自己都已經搞不定了，要到外面尋求高手諮詢，又要政府出面幫忙，可見他們的對手絕對不是江湖藝人之流，完全是那一支訓練有素、紀律嚴明、“武藝”高強的網絡大軍。

這一次攻擊谷歌事件，是中國的強大網軍在亮劍。 這一劍是亮給誰看的，為什麼偏偏要選這個時候亮劍，也許很多年後才有精確的答案。 但這一劍確實刺醒了美國。 今天（1月19日）早上進入securityfocus.com，裡面全都在說中國網軍的那個惡意代碼。 微軟件的補丁要在2月9日後才可以發出。 Mcafee 說他們的防毒軟件已經可以去除Aurora了，但問題在於，不是所有計算機都裝了Mcafee。 今後20天內還會有一些好戲看。 今天看到了一則國內消息，中國的一些地方政府的網站這幾天也遭遇了強大的攻擊。 是不是Aurora干的還不清楚。 假入是，那可是大水沖了龍王廟，自家人毀了自家人。

中國最近在頻頻亮劍，先是反導系統，後是北斗，最新的一劍是中國網軍。 前兩劍倒是恰到好處，但中國網軍這一“劍”未必亮的是時候。 或者，這一“劍”根本就不該亮。

幾年前敝人在《斷網》一文中就預言，中美之間必有一場網絡大戰。 但那場大戰的日期應該是2014年後的某一天，而不是2010年的某一天。 最重要的是，網戰最好不要打，打起來中國一定是處於不利的地位。 因為假如中美兩國在網上開戰的話，中國的網軍只有第一次打擊的能力。 美國反擊過來，中國絕對沒有還手之力。 別看中國有3億多網民，但中國網絡的“七寸”卻攥在美國的手裡。

不信的話，你可以做一個小小的試驗： 用你的計算機 trace route中國國內的任何網站，例如百度。 你如果使用的是XP，在你的command line 打以下指令：

tracert www.baidu.com

然後你的計算機要顯示出一連串IP。 到arin.net 那裡查一下每一個IP的所在國家。 你會發現，不管你在海外哪個國家，你到達中國前的最後一個IP (HOP) 十之八九是美國某個公司的。 這說明了什麼呢？ 說明中國通往外國的網絡線路基本上被美國公司給包下來了。 兩國一旦發生網戰，美國政府只需通知那幾個公司切斷通往中國的數據線，中國就只有Intranet而沒有Internet了。

即便不用截斷中國的國際線路，美國也可以關閉中國的網絡。 前幾天百度被黑客攻擊，實際上黑客是攻擊美國的一個域名註冊網站。 為什麼中國的網站卻黑掉呢？ 因為.com的域名註冊是美國管的。 沒有辦法，中國的百度還得受制於美國人，中國的所有.com 名下的網站也是一個命運。 甚至中國的.cn 域名也掌握在美國政府的手中。 因為全世界那13台頂級域名服務器都由美國商業部下屬的一個組織管理。 只要把.cn從頂級域名服務器中刪去，幾天之後中國多數網站就基本上玩完了。 加上國際線路的中斷，那中國可就不是方舟子說的“信息孤島”了，而是信息地獄。

所以，中國的網軍對美國作戰只有第一次打擊的能力。 美國反擊的辦法很簡單，既可中斷國際線路又可剔除域名，那就足夠了。 這樣看來，中國的網軍不到民族危急的萬不得已的時刻絕對不能使用。 這一次為了攻破幾個民運人士的谷歌賬戶就動用這個利器，暴露了自己卻又收穫寥寥，得不償失啊。 這不等於在提醒人家早早防備自己嗎？ 中宣部和國安部糊塗啊。

何況，這一“劍”既可以用來刺人，反過來也可以刺到自己身上。 今天（1月19日）外交部發言人在回答有關中國是否向印度的網站發動攻擊的問題時說，中國是網絡攻擊的最大受害者。 此話語重心長啊。Aurora又不長眼睛，既可以拿來打美國的網絡，反過來也可以打中國的網絡。 損人未必利己的事情還是少做為好。

後記：

寫完了這個帖子，我又去查看了一些資料。 本文一開頭說的“CVE-2009-4324”安全漏洞是去年12月14日才被發現和報告的（http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324）。 就在同一天，發生了利用這個安全漏洞攻擊谷歌的事件，全世界網絡安全界為之震驚，稱之為“Zero Day Exploit”。 我查看了安全專家們對那個惡意代碼的評論，那可是一片驚服啊！ 能在不到一天的時間裡寫出那麼滴水不漏的高超代碼，實在是人類的偉大傑作。 一個字：美！

很快那個代碼就會被編入網絡安全專家和黑客的教程。 那個案子將在一代人中傳頌。

假如那個Aurora的Project Manager不幸先本人死去，本人一定去他（她)的墓碑前獻上一束鮮花。 這不是因為他（她）的傑作創造了許多高科技就業機會，而是因為我對這位偉大的無名英雄的無比讚嘆。

參考文獻

1. Chinese authorities behind Google attack, researcher claims

http://www.computerworld.com/s/article/9145279/Chinese_authorities_behind_Google_attack_researcher_claims

2. Dealing With “Operation Aurora” Related Attacks

http://siblog.mcafee.com/cto/dealing-with-%E2%80%9Coperation-aurora%E2%80%9D-related-attacks/

3. Attack on IE 0-day refined by researchers

http://www.securityfocus.com/brief/1064

4. China：We are biggest victim of cyber attacks

http://www.infoworld.com/d/security-central/china-we-are-biggest-victim-cyber-attacks-396

5. Inside The Aurora (Google Attack) Malware

http://threatpost.com/en_us/blogs/inside-aurora-malware-011910

6. Google Attack source code

http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js

7. An Insight into the Aurora Communication Protocol

http://www.avertlabs.com/research/blog/index.php/2010/01/18/an-insight-into-the-aurora-communication-protocol/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+McafeeAvertLabsBlog+%28McAfee+Avert+Labs+Blog%29&utm_content=Google+Reader

8. Google Hack Attack Was Ultra Sophisticated, New Details Show

http://www.wired.com/threatlevel/2010/01/operation-aurora/