航通社首發原創文章,未經授權禁止轉載。微信搜一搜:航通社
書航 4 月 29 日發于北京
剛剛過去的 4 月 26 日是什麽日子,你還記得嗎?
這一天是“世界知識産權日”。清華大學慶祝了 109 周年校慶。切爾諾貝利核電站事故過去 34 年,如今遺址附近正遭遇一場森林大火,威脅到本就脆弱不堪的防輻射“石棺”。
讓更多 80 後記憶猶新的,恐怕不是切爾諾貝利,而是“切爾諾貝利病毒”。
歐美和日本都這麽稱呼這個電腦病毒,因爲它在核事故的紀念日那天爆發。在中國,更多人熟悉病毒的本名,三個英文字母:CIH。
CIH 具備空前的破壞力,讓它在電腦病毒編年史上青史留名。除了摧毀硬盤數據,它是曆史上第一款能導致硬件損壞的病毒。以下就是有關這個病毒的故事。
1999 年,6000 萬台電腦中招
1999 年春節前後,在深圳“瀛海威時空”機房值班的林興陸,聽說有款國內開發的聊天軟件叫 OICQ,跟以色列人開發的 ICQ 很像,不同的是它支持很多可愛的卡通頭像。
林興陸下載到一個程序包,但殺毒軟件當即發現攜帶了當時頗爲流行的 CIH 電腦病毒,他二話不說就刪除了。這次遭遇讓他比朋友們晚了將近一年,才開始使用 QQ。
那個春節過後兩個多月,CIH 病毒迎來了第一次全球大規模爆發。
CIH 是病毒作者,台灣青年陳盈豪姓名的威妥瑪拼音首字母,而將病毒定在 4.26 觸發也不是爲了紀念切爾諾貝利事故,僅僅因爲那是 1.0 版完工的日子:1998 年 4 月 26 日。
在 1998 年剩下來的日子裏,CIH 病毒以各種意想不到的方式傳播到世界各地。
1998 年 9 月,日本雅馬哈公司生産的電腦光驅 CD-R400 被發現驅動程序帶有 CIH 病毒。10 月,還沒跟暴雪合並的動視(Activision)發現其第一人稱射擊遊戲《原罪》(SiN)一個在網上傳播的版本帶有 CIH。
1999 年 3 月,IBM 個人電腦品牌 Activa 宣布,它們在美國銷售的幾千台電腦一出廠就帶有 CIH。此時距離 26 日的發作日只有一個月。無人知曉購買這些電腦的用戶是否遭受了損失。
這些消息預示著即將到來的爆發是一場巨大的災難。
事發後第二天的 4 月 27 日,韓國科學技術信息通信部估計該國 800 萬台電腦中有 2-3% 感染,即 24 萬台電腦。但當地反病毒軟件開發商估計中毒電腦多達 60 萬台,位于大約 1000 家私企、200 個公共事業單位以及 300 所大學。
新華社稱,中國大陸有超過 10 萬台電腦受到影響,其中 5% 以上嚴重受損。中國最大的殺毒軟件制造商瑞星總經理、總工程師劉旭說,“從昨天開始,我們所有的電話都忙得不可開交。”報道稱國內發現的病毒有三個變種,分別在 4 月 26 日、6 月 26 日和每月 26 日發作。
此外,安防公司 Data Fellow Inc. 初步統計,香港有 100 台機器,新加坡有 200 台,印度有 10 家”大公司”,另有英國、瑞典、日本、馬耳他、芬蘭和新西蘭的客戶受到感染。
與亞洲相比,CIH 在歐美造成的破壞總體上不大;但你不要對波士頓學院(Boston College)的學生們這麽說,因爲他們損失的是期末論文的手稿。
波士頓學院的學生顯然沒有理會該校 IT 部門幾周前發出的警告。爆發是如此糟糕,以至于學校敦促學生在 27 日之前不要打開電腦。一位波士頓學院計算機實驗室的員工說,
“午夜剛過,人們開始打電話說‘我的電腦不再知道它是一台電腦了’。誰說這沒什麽大不了的,我真希望他們過來看看。”
最終統計顯示,CIH 病毒造成全球 6000 多萬台電腦被破壞,其中包括中國大陸 36 萬台計算機和數萬台服務器癱瘓,直接經濟損失爲:事業單位 1.6 億元、企業損失超過 10 億元,個人損失 2000 萬元(以購買力計算,當時的人民幣金額放到現在要乘上 4-7 倍)。
土耳其、孟加拉、新加坡、馬來西亞、俄羅斯等地均有不少電腦受損,而損失最爲嚴重的是韓國,有 25 萬台電腦中毒,損失超過當時的 2.5 億美元。
全球 6000 萬台,境內 36 萬台是什麽概念?CNNIC 互聯網調查顯示,截止 1999 年 7 月,中國大陸全境只有 146 萬台聯網的電腦。
CIH 的工作原理
CIH 中毒發作時的症狀就是突然死機或無法開機,而問題的成因卻比其它當時已知的電腦病毒都要複雜。它的破壞目標除了硬盤數據,還有主板 BIOS 固件。
不要說當時了,就算現在看來,如何讓一小段代碼破壞硬件,也是聽來很神奇的一件事。所以社長想花點篇幅,盡可能通俗地講一下病毒的工作原理。
(1)怎樣破壞
BIOS 是在我們熟知的 Windows 等操作系統更下面一層,控制電腦基本輸入 / 輸出的一段程序,存儲在主板上的一個小芯片裏。它在開機時最先運行,只有它檢測到鍵盤、顯示器等正常工作,你接下來才能正常使用電腦。近幾年,BIOS 已經逐漸被更高級的 UEFI 替代,正是這一點讓大多數近幾年生産的電腦只能安裝 Windows 10,而無法降級到 Win7 或者 XP。
90 年代後期,絕大多數電腦采用英特爾“奔騰”處理器(CPU)和 Windows 95/98/ME 系統。在這樣的電腦中,一些主板廠商允許在 Windows 裏下載和更新 BIOS,這被稱爲“固件升級”。固件升級存在風險,一旦失敗或中途斷電,電腦將不能啓動。
CIH 病毒發作時,會調用 CPU 的最高權限,嘗試將垃圾信息寫入硬盤和 BIOS。一旦 BIOS 遇襲就相當于“固件升級失敗”,通常就只能更換 BIOS 芯片或者整個主板了。
病毒要想“買通”CPU 必須先經過操作系統的“允許”。CIH 病毒在 Win9X 系統裏橫行無阻,但 Windows NT/2000/XP 及以後的系統,提供了針對性的保護機制,所以對 CIH 天然“免疫”。
現在裝個微信會吃掉至少 500MB 硬盤空間,但林興陸那時下載的 OICQ 程序,只有區區 200KB。CIH 通過感染 .exe 結尾的應用程序來傳播,所以它更小,只有 800 多個字節。
當它感染程序文件時,甚至會把不到 1KB 的程序代碼分割成幾個部分,分別寫入程序中各段尚未填滿的地方。這樣一來,帶毒的程序跟未染毒時相比,看不出大小的變化。它只能用殺毒軟件檢測到。因爲這個特性,CIH 又有一個綽號叫“空間填充者(Spacefiller)”。
因爲殺毒廠商早已第一時間跟進,所以林興陸可以發現並處理它。但當時的殺毒軟件都是收費的,而且運行時會讓系統變得很卡頓,很多用戶嫌麻煩並不想安裝,就讓電腦那麽“裸奔”著。更不用說,當時盜版的操作系統和軟件也廣泛流傳。
肉眼無法分辨的隱蔽性,加上大多數用戶使用 Win9X 系統,缺乏安全意識,共同造成了病毒在 1999 年的大爆發。
(2)如何修複
我們現在知道,CIH 感染電腦的機理並沒有那麽難以理解,運氣好的話,甚至可以恢複絕大部分硬盤數據。但在大爆發剛開始時,人們對它的認識不充分,很多人恐慌性格式化硬盤,造成了進一步損失。
CIH 病毒會在硬盤的第一個分區中從第 0 扇區開始,寫入 1MB 字節的空數據。而這最初的 1MB 包含了分區表(MBR)、文件分配表(FAT)、啓動扇區等部分。它們介紹了這塊硬盤上的空間被如何劃分,單個文件又是如何被分配存儲在不同的空間裏。
如果一塊硬盤被分成多個區(即 C、D、E……盤),恢複驅動器的分區表將立即恢複各個分區。雖然 CIH 病毒對第一個分區造成廣泛損壞,但後續分區完全完好無損。
在采用更新的 FAT32 文件系統時,其分區表大小比當時流行的 FAT16 大很多,所以在 FAT32 的硬盤分區感染 CIH 還有一定機率會保住第一個分區的數據。
因此,安全專家史蒂夫·吉布森(Steve Gibson)編寫了完全免費的硬盤數據恢複工具。他收到了網上雪片一般的感謝信。
但是,病毒侵入 BIOS 芯片會造成永久和不可修複的損壞。好在 BIOS 和硬盤上的數據是相互區隔的。對病毒“易感”的 BIOS 芯片屬于英特爾一種特定芯片組的主板,且沒有加裝阻止隨意“刷機”的保護措施。
CIH 事件後,新出的主板一般都加入了硬件跳線,用戶要對 BIOS 下手之前必須拆開機箱。技嘉還推出了一款有兩塊 BIOS 芯片的主板,其中一片純粹是備用,成爲那個時代的特殊記憶。
2000 年之後,CIH 還繼續有傳播和小規模發作,但總體上,隨著專殺工具的普及,FAT32 文件系統和 Windows XP 的流行,病毒走向了自然消亡。
21 年間,公衆沒怎麽吸取教訓
要不是衆多用戶使用舊版、盜版系統,沒有殺毒軟件,缺乏安全意識,CIH 在 1999 年造成的慘劇是完全可以避免的。
公衆對電腦安全的重視可以說是“一陣一陣的”,更多受到他們獲取信息的影響。
同一時期,正值“千年蟲”(Y2K)問題鬧得沸沸揚揚,給媒體渲染得像是世界末日來臨。所以當時的電腦大多數都爲“千年蟲”做了排查。諷刺的是,有些電腦卻因爲沒那麽顯眼的 CIH 倒在了“黎明前的黑暗”中。
令人遺憾的是,20 多年過去了,人們並沒有吸取教訓,導致這種漏洞本已被修補,卻仍然中招的情況,又重演了多次。
2001 年 7 月,紅色代碼(Code Red)病毒在不到一周感染了近 40 萬台網絡服務器,傳到多達 100 萬台普通電腦上。在發作前一個多月,微軟已經針對性地打過補丁。
大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月出現,幾天之內就感染了 150 個地區超過 20 萬台電腦,黑客索要價值 300 美元的比特幣,解鎖用戶電腦上的文件。
WannaCry 基于 Windows XP 系統的“永恒之藍”漏洞。當時 Windows XP 已經停止技術支持三年之久,但大多數中招電腦出于種種原因,堅持使用 XP。微軟不得不打破慣例,爲早已“入土”的 XP 系統打補丁。
發現此漏洞的是美國的情報機構,他們並沒有及時告知公衆,而是以此爲基礎開發了一些“電子戰”武器。萬萬沒想到,還沒等投入實戰,同樣的漏洞卻被野生黑客圈子捕獲,並第一時間用作對平民的襲擊。
在 WannaCry 的廣大受害者當中,包括美國的盟友英國,該國公立醫院系統 NHS 損失慘重。《好奇心日報》總結說:“只要漏洞存在就有危險,不管它當初是爲誰留的。”
病毒的演進:從炫技到斂財
普通電腦用戶的安全意識一如既往地差,但 WannaCry 體現出現代計算機安全威脅和古典病毒時代的巨大差異。
2006 年是計算機病毒發現 20 周年。InformationWeek 做的曆史上 10 大最具破壞力的病毒排行中,CIH 名列前茅。同樣上榜的“愛蟲”(I Love You)、紅色代碼、沖擊波(Blaster)和震蕩波(Sasser)都說明蠕蟲和宏病毒是當時電腦病毒的絕對主流。
2018 年,英國《每日電訊報》又做了一次十大病毒評選。此時,勒索病毒與挖礦病毒成爲了新的關注焦點。新時代的病毒不再著眼于純粹的惡作劇或文件破壞,而是盜取用戶隱私,偷竊賬戶密碼,最終都以賺錢斂財爲目的。
如今病毒還進化出更爲險惡的新形式:感染供應鏈。
Xcode 是開發蘋果 Mac 和 iOS 軟件的必備工具。2015 年 9 月,一些開發者發現其使用的 Xcode 攜帶惡意代碼。經被汙染的 Xcode 編譯出的 App 將向指定網址回傳用戶信息,並有彈窗攻擊和遠程控制的危險。
Xcode 本可通過 Mac 應用商店等官方渠道下載。然而因爲衆所周知的原因,中國大陸訪問蘋果官網速度很慢,大小爲 8GB 的 Xcode 安裝包幾乎不可能直接下載,給了不懷好意的國內鏡像站以可乘之機。
著名的遊戲開發工具 Unity 3D、Cocos 2d-x 也被發現有供應鏈汙染,一周之內累計發現共 692 種手機 App 的 858 個版本曾受到汙染,包括了微信、滴滴、網易雲音樂、鐵路 12306 等著名應用。
2018 年,另一款“微信支付”勒索病毒首先植入被大量開發者使用的“易語言”編程工具,進而進入編寫出來的各種軟件産品,使用這些軟件的 10 多萬台終端電腦被感染。該病毒活躍的染毒軟件超過 50 款,其中多數是“薅羊毛”類“灰色”軟件。
告別草莽英雄,世上再無“善意”病毒作者
1998 年 4 月 30 日,CIH 病毒作者陳盈豪被台北警方帶走問話。他時年 23 歲,在服兵役。面對記者的閃光燈包圍,他差點癱倒在地。當時的新聞報道說,辦案人員打開了審訊室的電腦讓他上網,而他看到電腦就精神煥發,恢複了常態,跟幾分鍾前判若兩人。
陳盈豪日後回憶說,作爲實驗程序,CIH 被存儲在校內自用的主機上,並加上了“病毒”的警告。他的本意並不是爲了造成破壞,但在他不知情的狀況下,他的同學用了那台電腦,將病毒帶出。“不然誰會用自己的名字,去命名一個病毒?”
世紀之交的電腦網絡是大人們完全不了解的世界,社會擔心孩子沉入電腦世界,與現實生活脫節。報紙上寫著《電腦遊戲——瞄准孩子的“電子海洛因”》。能上網的孩子,就被家長一直念叨網上有很多壞人,玩 ICQ 聊天室交友要小心。
這種情況下的陳盈豪,被警方認爲是:
“通常個性非常偏激,他們不善于人際交往,對社會現狀往往也不滿意,但一旦進入電腦世界,他們就反應敏捷,表現出超出常人一等的天分。陳盈豪就是這種電腦人,俗稱‘電腦自閉症’。這種人如果不能善加輔導,而被不法組織利用的話,那麽對社會將會造成巨大的危害。”
2006 年底,另一款造成了大規模破壞的惡性病毒“熊貓燒香”以中國大陸爲震中輻射開來。病毒作者李俊也是年輕人,最高學曆只有中專。他曾寫信給筆友,說最遺憾的事情是“沒有上大學”。
李俊去過北京和廣州找工作,因爲學曆被瑞星和金山等許多公司拒之門外。李俊覺得用病毒攻擊別人電腦沒什麽意思,他就是“想打公司的臉”。最初的原版病毒只是惡作劇,並不會破壞數據,病毒是在之後的變異傳播過程中變得惡性的。
和陳盈豪類似,李俊在電腦世界也獲得了很大的成就感。他曾參加國內黑客組織“中國紅客聯盟”,在 2001 年中美撞機事件、日本前首相參拜靖國神社期間,與中國其他網絡高手聯合攻擊美國和日本的網站。但李俊在現實世界中並不如意,月收入不足千元。
當時的社會輿論對李俊遭遇的學曆歧視感到同情。《中國青年報》評論說:“我們的社會不缺少李俊這樣的人才,但我們不希望他們被稱爲人才的代價是給社會帶來危害。”
當年,我們能相信陳盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因爲找不到工作不甘心,最重要的是,能相信他們的本意不是壞的。
時光荏苒,公衆的安全意識仍然一塌糊塗,但公衆的心態卻發生了滄海桑田的變化。沒有人再會“傻”到去相信一個造成巨大損失的人“不是故意的”。
——啊,還有,你敢同情罪犯?“如果同情了罪犯,誰來同情受害者?”
社交網絡基本上實現了把所有人連接在一起的宏願,但人們的心也被磨得粗粝,失去了對細微情緒的感知和共情。對網上爆出的很多事情,很多“瓜”,我們不再單純就事論事,而是一定要立場堅定,訴諸動機。你的“屁股”,一定不能是歪的。
對安全事件的當事人,我們現在一定先入爲主地認爲他有金主、有後台,動機不純。我們已經無法想象有人會單純的不爲錢不爲利,做什麽驚天動地的事情。
社長不得不承認,這種不可逆轉的心態改變,也是因爲其它幾個鐵一般的事實,教育了原本還單純的我們。
在陳盈豪被捕的 1999 年,台灣全省甚至找不出有人因爲經濟損失要起訴的苦主,再加上也沒有法律規管這一新生事物,所以他就這麽被釋放了。2003 年 6 月 25 日,台灣省通過“妨害電腦使用罪”的地方法規,立法過程還參考了陳盈豪本人的意見。
到了 2007 年“熊貓燒香”肆虐時,情況就不一樣了。李俊出于炫技和圈子內交流的本意,將病毒原件挂上網出售。買到的人則植入木馬,將中毒電腦變爲可隨意控制的“肉雞”,其中遊戲賬號、虛擬物品、貨幣等被盜取並提現。因爲造成重大的經濟損失,李俊被判處有期徒刑 4 年。
陳盈豪和李俊在事發後都得到電腦安全廠商的錄用邀請,但陳盈豪此後走上人生正道,李俊卻沒能擺脫賺快錢和一夜暴富的誘惑。出獄後,他又參與開發了一款有詐騙性質的網絡賭博遊戲,2013 年再次入獄,2015 年出獄後,在公衆視野消失。
對難以通過正規渠道大顯身手的民間安全人士而言,像梁山好漢一樣做草莽英雄,以非官方之力影響社會的大門,已經關閉。
2016 年 7 月,當時中國最大的計算機漏洞民間提交平台烏雲(WooYun)停業,創始人方小頓等“多名高管被抓”。此前,有用戶在烏雲網提交了關于婚戀網站“世紀佳緣”的漏洞,世紀佳緣站方曾認領漏洞並向平台致謝。但出乎意料的是,世紀佳緣一轉頭,就報了警。
像烏雲、漏洞盒子這樣的民間安全平台,其上活躍的人士被稱爲“白帽子”,與一心搞破壞的“黑帽子”相對。有些時候,“白帽子”選擇事先在安全圈內小範圍公開漏洞,而不是第一時間聯系企業,這會被企業認爲是在敲詐。如果“白帽子”驗證漏洞時有進入數據庫複制信息等擦邊球行爲,則其行爲的“黑白”則更不好界定。
一番爭議過後,業界接受了“白帽子”沒有存在余地的現實。本來應該活躍在烏雲等地的安全專家,大部分被 360、奇安信、騰訊、阿裏等廠家“招安”。在大廠的羽翼下,他們把自己的舞台界定爲一場場國內外的網絡安全大賽,爲國爭光。
故事的最後,要說一下那個 1999 年在深圳當網管,與 CIH 偶遇的小夥子。
林興陸加入瀛海威時只有 17 歲,此後他又去了那個“呼機、手機、商務通,一個都不能少”的恒基偉業,再後來跟劉韌等人一起發起了 DoNews。2007 年,他的下一個創業項目 265 導航網址賣給了谷歌。