【赛迪网-IT技术报道】2008北京奥运会结束后,党和政府各级部门召开了多种不同层次的表彰大会,表彰为奥运做出贡献的人们,许多关于奥运安全保卫方面的精彩故事也被人们津津乐道。而在奥运安保的另一个战场——互联网安全保卫方面,却很少有消息披露,一切看起来是那么平静。奥运会期间,我国网络安全部门以及专家们做了什么?互联网到底发生了什么?近日,第29届奥运会组委会技术部特聘的信息网络安全专家,北京网络行业协会信息安全应急响应与处置中心主任王江民首次向媒体批露了奥运会网络安全保卫中鲜为人知的内幕。
追杀“磁碟机”!奥运网络安保首场攻坚战
王江民介绍,2008年1月22日江民科技首家成立了奥运会网络安全保卫小组,王江民任总指挥。3月4日,江民科技奥运网络安保小组发现,早在去年就被截获的“磁碟机”开始频繁变种,最多的一天之内竟然出现三个变种!这种病毒会配合和激发具有网络攻击的ARP病毒,增强病毒的网络攻击性,会造成大面积的网络瘫痪,后果十分严重。江民奥运网络安保小组副组长、公安部奥运信息安保应急响应指挥部特聘专家何公道立即安排反病毒组成员紧急采取措施,连夜升级了反病毒软件,并配合北京市网络行业协会,发布了病毒警报,公布了病毒求助热线。然而,由于“磁碟机”采用了新的技术,疯狂破坏杀毒软件,许多自我保护能力不够强壮的杀毒软件纷纷被破坏失效,病毒疫情开始逐步扩大。
虽然江民早在3月6日就采取了措施,并向上级主管部门进行了汇报,然而,到了3月14日,“磁碟机”的疫情仍然在局部爆发,上千家企业局域网、数万台电脑被病毒感染,被感染的电脑分布在政府、企事业等众多单位和部门,网络严重堵塞、甚至陷入瘫痪,病毒造成的危害及损失十倍于“熊猫烧香”。如果此事发生在奥运期间,那该多么可怕!
疫情就是命令!王江民当即拍板,虽然江民科技杀毒软件独有坚强的“金钟罩”自我保护技术,能抵抗病毒的破坏,但不能等其它杀毒软件都加强自身保护技术再来抵卸“磁碟机”了!我们应立即发布“磁碟机”病毒专杀软件,在互联网上免费提供给所有电脑用户下载;奥运网络安保小组成员24小时轮班监控“磁碟机”,一发现有新的变种出现,立即升级专杀软件;搜集病毒作者留下的所有蛛丝马迹,随时向公安部门报告;向全国发布“磁碟机”病毒追杀令,号召所有的电脑用户合力围剿“磁碟机”。一张抓捕“磁碟机”的大网已经向病毒作者和传播者的头上罩去!
“磁碟机”病毒作者并不想轻易善罢甘休。3月14日江民奥运安保小组的专家刚刚发布“磁碟机”专杀工具第一版,晚上,“磁碟机”病毒作者就升级了病毒。病毒先是在自己身上加密了一层伪装的“壳”,让杀毒软件无法识别,再尝试关闭杀毒软件进程,并通过计算机系统深层的“钩子”程序修改SSDT表,让杀毒软件监控失效。可惜病毒的这些伎俩对付一般的杀毒软件还可以,在江民杀毒软件面前毫无用武之地。病毒的这层“壳”在江民杀毒软件“虚拟机脱壳”技术之下原形毕露,而且江民杀毒软件早已经不用修改SSDT表的方式保护自身进程了,江民杀毒软件独有的“金钟罩”自我保护已经深入到系统内核的第三层,即内核中的内核,一般病毒根本无法进入这个层级,就连最专业的进程分析工具也只是在内核中的第二层,也终止不了江民杀毒软件进程。
第二天,病毒作者一看一计不成,又施一计。这次,病毒不单加了一层更怪的生僻壳,而且还试图突破杀毒软件的主动防御技术。病毒对杀毒软件实施了监控,当病毒监控到杀毒软件主动防御弹出警报,提示用户发现可疑操作,是“允许”还是“禁止”这个程序的时候,病毒竟然发出指令,模拟人工操作鼠标点击“允许”。江民反病毒专家一看,马上在杀毒软件引擎里加了一组“对抗代码”,禁止病毒模拟人工操作鼠标,而且把弹出窗口的文字隐藏,让病毒无法监控到报警动作,这样一来,病毒的第二计又以失败告终。
就这样你来我往,这场猎人与狐狸的斗争一直交替持续到3月19日,江民安保小组的专家经过多次研究反复实验,研究出了一组“变幻广谱特征代码”,他们坚信“磁碟机”再变,也无法突破这组代码。果然,从3月19日晚上10点后,“磁碟机”再也没有出现过新的变种。
从奥运安保小组成立到6月份,江民奥运安保小组共截获并处理新病毒20万余种,为净化奥运网络空间,避免奥运期间病毒大规模爆发打下了坚实的基础。
与国应中心联手 织就捉“马”天网
正如公安部张新枫副部长在奥运会、残奥会结束后表彰大会中所讲,互联网四通八达,如何才能守护好网络安全,这是比地面的安保更为复杂的问题。要确保奥运期间网络安全,必须把事前的安全预防工作做的严丝密缝,不给病毒传播留下任何机会。奥运进入倒计时的前三个月,所有网络安保单位开始紧张起来,一场攻坚战开始打响。
王江民介绍,当时公安部出台了一系列强有力的措施,比如所有网站经营者或所有者自查网站,杜绝网站被挂马和传播病毒,一旦发现立即拨掉服务器网线,整个奥运期间不得再接入互联网;要求集中抓捕一批病毒作者和传播者,震慑试图在奥运期间以身试法的黑客和网络犯罪分子。
而江民奥运网络安保小组接到的重要任务是:与公安部以及国家计算机病毒应急中心共同研发一套网络安全软件,要求该软件能从数以亿万计的网站里,筛选出被挂病毒木马的网页,每日汇总上报给公安和主管机关;在从技术上分析病毒代码的同时,重点关注病毒作者和传播者留下的线索,汇总提交给公安部门,由公安部门根据实际情况对病毒作者实施法律手段,达到从根源上切断病毒源头的目的。



