解滨

沸沸扬扬的谷歌风波终于平息下来。 美国的IT专家们却忙起来了。 忙什么？ 忙着对付Aurora。 Aurora是什么？ 是谷歌事件中来自中国的那个恶意代码，其相对的计算机漏洞标准序列号为CVE-2009-4324 和CVE-2010-0249。 美国政府已经就谷歌事件照会中国政府。 但那并非谈关谷歌撤出中国的问题，而谈是有关谷歌等32个美国公司被来自中国的黑客攻击一事。

谁都知道，高科技公司被黑客攻击早已不是什么大惊小怪了。 谷歌本身每一天遭到的网络攻击恐怕至少也有几千次。 那谷歌为什么非要拿这一次黑客攻击说事，甚至要动用美国政府出面呢？ 九年前中美两国南海撞机后，中国的黑客向美国政府和民间的各大网站发动过公开挑衅和超大规模攻击，目标甚至包括白宫网站。 美国政府根本就没有吱声。 那为何美国政府这一次大动干戈？

这里的秘密就在于，和往常不一样，网络安全专家普遍同意，这一次黑客攻击是中国政府干的。 这个，包括很多亲GCD的网民都不否认。 问题就在这里。

世界上黑客成千上万，多数是民间的，少数是官方的。 两者区别在以下三个方面：（1）民间的黑客基本上是小打小闹，“各自为战”，缺乏相互协调和支持，打不赢就走，打赢了赶快去黑客社区报功，风光无限。 政府豢养的黑客则有高度的组织性和多方面协调性，工具共享，责任分工明确，不达目的决不罢休，事成之后保持沉默，无名英雄。 （2） 民间黑客多为钱财所驱 – 偷信用卡，盗窃银行账户，骗财为普遍行为。 官方黑客则不为钱财所动， 政治动机突出，专攻企业或政府机密。 （3） 民间黑客多为业余爱好者，技艺良莠不齐，且频频出错，常露出马脚。 官方黑客是专业的，技艺精良，整体水平高超，且招法特殊，来无影去无踪，极难捕捉。

你家里门被撬开，你太太的珍贵首饰和你的几百万现款不翼而飞，那应该是小偷干的。 假如你家周围有一伙人发生激烈枪战，那是有组织犯罪团伙干的。 假如一颗人肉炸弹在闹市区爆炸，那是恐怖主义者所为。 但如果你居住的村庄被飞机投射的精确制导炸弹夷平，那就是政府干的了。 只有政府才有那种能力。 民间和政府的区别就是这么大。

前几天百度遭到“伊朗网军”的攻击，那一看便知道不过是业余级的下三滥在卖噱头。 这次攻击谷歌的黑客却是专业级，具有官方黑客的所有特征，稳准狠，所以才引起谷歌乃至于美国政府的愤怒。 除了政治考量外，这种愤怒的背后暴露出一个惊人的信息： 中国的网军（Cyber Warrior）已经远超前于美国。  

十几年前中国军方就发展出“非对称”战争理论，网络战是其中一个重要领域。“网军”一词最早出现在1999年 《解放军报》的一篇报导中，该报当时呼吁，应该在陆、海、空军之外，另新增一军种，来负责网路防卫，及攻击任务。 中国网军最早隶属于“国家信息安全工作领导小组”，有严密指挥系统，组织相当庞大。 今天中国网军归属哪个部门无人知晓，但其杀伤力之大，从这一次谷歌事件就可以看出来。

作为世界一流的网络服务公司，谷歌人才济济，高手如云，一般的 Cyber Attack，他们根本就不放在心上。 谁都可以攻击谷歌。 比如说，您在谷歌网页上多次试图用他人的账户进入， 您就在攻击谷歌了。 这种事情谷歌是LOG下来的，不过不会去找你麻烦。 您大概要在某个专业训练班里苦学若干年您才有可能做出一点让谷歌吃惊的事情。那样的话您就是高手了。 这一次谷歌被打得找不着北，自己都已经搞不定了，要到外面寻求高手咨询，又要政府出面帮忙，可见他们的对手绝对不是江湖艺人之流，完全是那一支训练有素、纪律严明、“武艺”高强的网络大军。

这一次攻击谷歌事件，是中国的强大网军在亮剑。 这一剑是亮给谁看的，为什么偏偏要选这个时候亮剑，也许很多年后才有精确的答案。 但这一剑确实刺醒了美国。 今天（1月19日）早上进入securityfocus.com，里面全都在说中国网军的那个恶意代码。 微软件的补丁要在2月9日后才可以发出。 Mcafee 说他们的防毒软件已经可以去除Aurora了，但问题在于，不是所有计算机都装了Mcafee。 今后20天内还会有一些好戏看。 今天看到了一则国内消息，中国的一些地方政府的网站这几天也遭遇了强大的攻击。 是不是Aurora干的还不清楚。 假入是，那可是大水冲了龙王庙，自家人毁了自家人。

中国最近在频频亮剑，先是反导系统，后是北斗，最新的一剑是中国网军。 前两剑倒是恰到好处，但中国网军这一“剑”未必亮的是时候。 或者，这一“剑”根本就不该亮。

几年前敝人在《断网》一文中就预言，中美之间必有一场网络大战。 但那场大战的日期应该是2014年后的某一天，而不是2010年的某一天。 最重要的是，网战最好不要打，打起来中国一定是处于不利的地位。 因为假如中美两国在网上开战的话，中国的网军只有第一次打击的能力。 美国反击过来，中国绝对没有还手之力。 别看中国有3亿多网民，但中国网络的“七寸”却攥在美国的手里。

不信的话，你可以做一个小小的试验： 用你的计算机 trace route中国国内的任何网站，例如百度。 你如果使用的是XP，在你的command line 打以下指令：

tracert www.baidu.com

然后你的计算机要显示出一连串IP。 到arin.net 那里查一下每一个IP的所在国家。 你会发现，不管你在海外哪个国家，你到达中国前的最后一个IP (HOP) 十之八九是美国某个公司的。 这说明了什么呢？ 说明中国通往外国的网络线路基本上被美国公司给包下来了。 两国一旦发生网战，美国政府只需通知那几个公司切断通往中国的数据线，中国就只有Intranet而没有Internet了。

即便不用截断中国的国际线路，美国也可以关闭中国的网络。 前几天百度被黑客攻击，实际上黑客是攻击美国的一个域名注册网站。 为什么中国的网站却黑掉呢？ 因为.com的域名注册是美国管的。 没有办法，中国的百度还得受制于美国人，中国的所有.com 名下的网站也是一个命运。 甚至中国的.cn 域名也掌握在美国政府的手中。 因为全世界那13台顶级域名服务器都由美国商业部下属的一个组织管理。 只要把.cn从顶级域名服务器中删去，几天之后中国多数网站就基本上玩完了。 加上国际线路的中断，那中国可就不是方舟子说的“信息孤岛”了，而是信息地狱。

所以，中国的网军对美国作战只有第一次打击的能力。 美国反击的办法很简单，既可中断国际线路又可剔除域名，那就足够了。 这样看来，中国的网军不到民族危急的万不得已的时刻绝对不能使用。 这一次为了攻破几个民运人士的谷歌账户就动用这个利器，暴露了自己却又收获寥寥，得不偿失啊。 这不等于在提醒人家早早防备自己吗？ 中宣部和国安部糊涂啊。

何况，这一“剑”既可以用来刺人，反过来也可以刺到自己身上。 今天（1月19日）外交部发言人在回答有关中国是否向印度的网站发动攻击的问题时说，中国是网络攻击的最大受害者。 此话语重心长啊。Aurora又不长眼睛，既可以拿来打美国的网络，反过来也可以打中国的网络。 损人未必利己的事情还是少做为好。

后记：

写完了这个帖子，我又去查看了一些资料。 本文一开头说的“CVE-2009-4324”安全漏洞是去年12月14日才被发现和报告的（http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324）。 就在同一天，发生了利用这个安全漏洞攻击谷歌的事件，全世界网络安全界为之震惊，称之为“Zero Day Exploit”。 我查看了安全专家们对那个恶意代码的评论，那可是一片惊服啊！ 能在不到一天的时间里写出那么滴水不漏的高超代码，实在是人类的伟大杰作。 一个字：美！

很快那个代码就会被编入网络安全专家和黑客的教程。 那个案子将在一代人中传颂。

假如那个Aurora的Project Manager不幸先本人死去，本人一定去他（她)的墓碑前献上一束鲜花。 这不是因为他（她）的杰作创造了许多高科技就业机会，而是因为我对这位伟大的无名英雄的无比赞叹。

参考文献

1. Chinese authorities behind Google attack, researcher claims

http://www.computerworld.com/s/article/9145279/Chinese_authorities_behind_Google_attack_researcher_claims

2. Dealing With “Operation Aurora” Related Attacks

http://siblog.mcafee.com/cto/dealing-with-%E2%80%9Coperation-aurora%E2%80%9D-related-attacks/

3. Attack on IE 0-day refined by researchers

http://www.securityfocus.com/brief/1064

4. China：We are biggest victim of cyber attacks

http://www.infoworld.com/d/security-central/china-we-are-biggest-victim-cyber-attacks-396

5. Inside The Aurora (Google Attack) Malware

http://threatpost.com/en_us/blogs/inside-aurora-malware-011910

6. Google Attack source code

http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js

7. An Insight into the Aurora Communication Protocol

http://www.avertlabs.com/research/blog/index.php/2010/01/18/an-insight-into-the-aurora-communication-protocol/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+McafeeAvertLabsBlog+%28McAfee+Avert+Labs+Blog%29&utm_content=Google+Reader

8. Google Hack Attack Was Ultra Sophisticated, New Details Show

http://www.wired.com/threatlevel/2010/01/operation-aurora/