與美合作清除僵尸網(wǎng)絡(luò)
中國(guó)境內(nèi)互聯(lián)網(wǎng)遭受美國(guó)攻擊最多����,雙方最近一次重要合作發(fā)生在2013年6月24日��。當(dāng)時(shí)CNCERT/CC接到美國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(US-CERT)投訴����,稱來(lái)自中國(guó)境內(nèi)的8個(gè)IP地址對(duì)美國(guó)實(shí)施了APT攻擊��。
CNCERT/CC對(duì)美國(guó)提供的IP地址進(jìn)行技術(shù)分析���,結(jié)果顯示這些IP地址沒(méi)有對(duì)外發(fā)起攻擊的跡象,但會(huì)定期鏈接22個(gè)境外IP地址����。這22個(gè)境外IP中有10個(gè)IP地址位于美國(guó),它們疑似被其他人控制�����。
CNCERT/CC將技術(shù)分析結(jié)果反饋給US-CERT�����,請(qǐng)他們對(duì)這10個(gè)可疑IP地址進(jìn)一步核查��。截至目前�,還沒(méi)有收到US-CERT的進(jìn)一步反饋。
US-CERT隸屬于美國(guó)國(guó)土安全部�。除了和美國(guó)政府的下屬組織合作,CNCERT/CC與美國(guó)公司�、歐美網(wǎng)絡(luò)安全機(jī)構(gòu)也有緊密協(xié)作。
2013年6月���,CNCERT/CC接到微軟公司舉報(bào)����,請(qǐng)求協(xié)助聯(lián)合打擊名為Citadel的全球大型僵尸網(wǎng)絡(luò)�����。
Citadel惡意程序會(huì)監(jiān)視并記錄受害者的信息�,并將信息發(fā)給黑客,后者可直接登錄受害者的銀行賬戶或其他網(wǎng)上賬戶�,輕松盜取資金、竊取個(gè)人身份信息�����。
據(jù)監(jiān)測(cè)��,全球至少有500萬(wàn)臺(tái)個(gè)人電腦受到Citadel感染��。它問(wèn)世以來(lái)�����,超過(guò)90個(gè)國(guó)家和地區(qū)遭受了攻擊�,共損失了5億多美元的財(cái)富�����。
微軟公司請(qǐng)求CNCERT/CC協(xié)助清理該僵尸網(wǎng)絡(luò)在中國(guó)境內(nèi)的IP地址����,以及在中國(guó)注冊(cè)的域名�����。CNCERT/CC協(xié)調(diào)國(guó)內(nèi)相關(guān)企業(yè)和域名注冊(cè)機(jī)構(gòu)�,快速處置了微軟提供的全部惡意IP地址和域名。
自2011年以來(lái)��,CNCERT/CC與微軟公司還聯(lián)手清除了Rustock����、Nitol等多個(gè)大型僵尸網(wǎng)絡(luò)。2010年2月底��,CNCERT/CC還參與了中美歐網(wǎng)絡(luò)安全組織清除Waledac大型僵尸網(wǎng)絡(luò)的行動(dòng)�。
而在官方合作方面,2011年����,CNCERT/CC圓滿完成了與美國(guó)東西方研究所(EWI)開(kāi)展的為期兩年的中美網(wǎng)絡(luò)安全對(duì)話機(jī)制反垃圾郵件專題研討��,并在英國(guó)倫敦和中國(guó)大連舉辦的國(guó)際會(huì)議上正式發(fā)布了其成果報(bào)告“抵御垃圾郵件 建立互信機(jī)制”中英兩版����,增進(jìn)了中美雙方在網(wǎng)絡(luò)安全問(wèn)題上的相互了解����,為進(jìn)一步合作打下基礎(chǔ)����。
2012年起,CNCERT/CC正在與美國(guó)東西方研究所就“反黑客攻擊”專題開(kāi)展對(duì)話�,中美雙方專家就研究黑客定義、攻擊方式��、最佳實(shí)踐�、應(yīng)對(duì)措施等問(wèn)題交流了意見(jiàn)。
“通過(guò)網(wǎng)絡(luò)安全事件處理機(jī)制��,中國(guó)發(fā)現(xiàn)來(lái)自美國(guó)IP的攻擊��,可以向US-CERT投訴�����,他們會(huì)協(xié)助處理。他們把來(lái)自中國(guó)的攻擊投訴給CNCERT/CC�,我們也會(huì)協(xié)助處理?�!毙煸f(shuō)����。
信任至關(guān)重要
徐原介紹,CNCERT/CC的主要工作是對(duì)中國(guó)互聯(lián)網(wǎng)進(jìn)行整體監(jiān)測(cè)����。比如,哪里的流量發(fā)生異常�、哪里的木馬或僵尸數(shù)量變多、哪里的網(wǎng)頁(yè)被惡意篡改��,等等�����?���!霸趯?duì)黑客的監(jiān)測(cè)方面���,他們?cè)趯?duì)某個(gè)網(wǎng)站發(fā)起攻擊之前我們是不知道的。在我們監(jiān)測(cè)到網(wǎng)頁(yè)篡改等攻擊后����,我們會(huì)馬上協(xié)調(diào)網(wǎng)站管理員,或者網(wǎng)站所屬的運(yùn)營(yíng)商����,及時(shí)彌補(bǔ)漏洞,把影響減至最小����?����!?/p>
上世紀(jì)80年代末�,美國(guó)出現(xiàn)了全球最早的互聯(lián)網(wǎng)應(yīng)急機(jī)構(gòu)。后來(lái)���,全世界幾十個(gè)國(guó)家和地區(qū)都成立了CERT或類似的組織�。
1990年11月�,一些國(guó)家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安全工作組論壇”,即FIRST,其亞太地區(qū)應(yīng)急響應(yīng)工作組稱為APCERT�����。
CNCERT/CC是FIRST正式成員�,也是APCERT的發(fā)起人之一。
作為中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對(duì)外合作窗口�,CNCERT/CC目前也正在繼續(xù)實(shí)施“國(guó)際合作伙伴計(jì)劃”。
到2012年底����,CNCERT/CC已與51個(gè)國(guó)家和地區(qū)的91個(gè)組織建立聯(lián)系機(jī)制,與其中的12個(gè)組織正式簽訂網(wǎng)絡(luò)安全合作備忘錄或達(dá)成一致���,進(jìn)一步完善和加強(qiáng)跨境網(wǎng)絡(luò)安全事件處置的協(xié)作機(jī)制����。
這樣��,在2012年��,CNCERT/CC全年共協(xié)調(diào)境外安全組織處理涉及境內(nèi)的網(wǎng)絡(luò)安全事件4063起����,較2011年增長(zhǎng)近3倍�;協(xié)助境外機(jī)構(gòu)處理跨境事件961起�����,較2011年增長(zhǎng)69.2%�。
王明華說(shuō),跨國(guó)合作是CNCERT/CC這幾年最主要工作內(nèi)容����。其中,重點(diǎn)是增強(qiáng)雙邊互信���,在共同構(gòu)建互信的基礎(chǔ)上�,進(jìn)行網(wǎng)絡(luò)安全合作��。
然而���,一些國(guó)家卻總愿意用非“技術(shù)”視角來(lái)看待這些問(wèn)題。他說(shuō)�,比如美國(guó)總是指責(zé)中國(guó),總想在政治上確立一種影響中國(guó)的方式�����,而不是尋找一種力求解決問(wèn)題的途徑,“指責(zé)����、謾罵,無(wú)助于問(wèn)題的解決�。”
在王明華看來(lái)�����,國(guó)際間共同應(yīng)對(duì)網(wǎng)絡(luò)安全的問(wèn)題依然面臨很大挑戰(zhàn)��,其中信任問(wèn)題至關(guān)重要�,“建立互信就需要交流,即便發(fā)郵件�、打電話,這種信任還是非常脆弱�����。主要途徑還是雙方的見(jiàn)面交談�。尤其是在雙邊和多邊的組織里面進(jìn)行交流合作?!?/p>
另外,還要借助日常事件的處理來(lái)加強(qiáng)雙方關(guān)系��,多進(jìn)行技術(shù)上的溝通、保持暢通的聯(lián)系�。“關(guān)于事件處置����,我們?cè)趪?guó)內(nèi)、國(guó)際上有三句比較通俗的話:找得到人�����、說(shuō)得上話�、辦得成事?��!彼f(shuō)�����。
對(duì)于未來(lái)國(guó)際合作的方向,王明華建議��,首先要有一個(gè)明確的機(jī)制���,由政府牽頭�、在明確的框架下,落實(shí)到具體的單位�,這樣,在處理網(wǎng)絡(luò)安全問(wèn)題時(shí)會(huì)更加暢通�。
《瞭望東方周刊》記者吳銘 | 北京報(bào)道
