周鸿祎:西工大遭美国攻击,我们抓住NSA的“手”已经不是第一次了
文/夏宾
近日,中国西北工业大学遭遇网络攻击引发国内外关注,相关部门已经披露,此次攻击的“真凶”是美国国家安全局(NSA)特定入侵行动办公室(TAO)。
我们现在掌握了哪些确凿证据能锁定背后的“黑手”?国家层面的网络攻击带来了哪些警示?这样的网络攻击对普通老百姓有什么影响?
作为对此案进行全面技术分析的参与方之一,360公司创始人周鸿祎近日接受中新社国是直通车等媒体采访。
抓住NSA不是第一次,准确固定证据链
“目前国家级攻击是网络战的最高水平,而最大的挑战是‘看不见’。”周鸿祎称,第一个层次是要解决“看见”的问题,被攻击了要能知道,再进行迅速阻断,再深一步那就是“看见”攻击后还能知道是谁在攻击,这个难度是最高的。
对于此次西工大遭遇的网络攻击,周鸿祎直言:“我们抓住NSA的‘手’已经不是第一次了,在过去两年里,已经两次在其他攻击里都发现了NSA,NSA里的网络攻击窃密活动战术实施单位叫TAO,它是全世界网络攻击水平最高的单位,手段非常厉害。”
周鸿祎介绍,此次攻击中,NSA对西工大用了十几种网络武器,每一种武器针对不同的平台、不同的用途,甚至每一种武器都用了不同的漏洞。
在此情况下,如何能锁定到NSA?
周鸿祎解释道,在过去十年里,360捕获了大量的攻击样本,攻击样本有点类似病毒样本一样,对其进行分析后会发现各家的攻击武器的基因不一样,包括代码习惯、技战术等模块,就像新冠病毒不管怎么演化,都能把它的族系排列出来,360专门为了跟踪NSA的网络战武器,将其历史上很多技战法、代码样本都进行了分析。
“所以这次通过代码习惯的验证,包括攻击模块的组成,还有内部一些代码命名的习惯,基本上能够比较准确地把这个证据链固定下来,证明是NSA。”周鸿祎说。
他说,就像人类为了对付新冠病毒一样,要建立各种生物样本基因库,这些年360收集了全球300亿个攻击样本,这意味着所有的攻击者是怎么攻击的、用什么攻击手法都能清楚知道。“将来应该协助国家建立一个国家级的攻击基因库和样本库,有了这个东西之后,不管谁来打你,你在发现攻击和溯源时,就会越来越精准。”
网络战不分平时、战时,暗流涌动是巨大威胁
事实上,不仅仅是NSA,近年来360公司帮助国家捕获了50个境外国家级黑客组织对我国发动的数千次网络攻击。对此,周鸿祎说:“这证明了我一个断言,即网络战不分平时、战时。”
他表示,传统意义上的战争可能要等到宣战才会爆发战斗,但网络战越是在友好的时候、越是在和平的时候,他们才要用网络攻击的方法把一些攻击软件、间谍软件潜伏或渗透到重要系统里,或者预留后门、预留木马。
为什么要这么做?周鸿祎说,一是现在获取情报的大部分手段是通过在线攻击;二是若对方希望通过网络攻击来瘫痪我们的基础设施,不会等到要发起攻击时再去“入驻”,会提前做准备工作,这是我们遭遇网络攻击后最大的警示。
以此次西工大遭遇的攻击为例,周鸿祎表示,NSA之所以能神不知鬼不觉进来,就是因为它利用了很多隐秘漏洞,最厉害的漏洞称为“零日(Zero Day)”。在今天的数字化时代,几乎所有的东西里面都有软件,而软件的漏洞不可避免,漏洞又不可穷尽,就是因为漏洞的存在,导致了系统一定会被人攻进来。
“有一个概念叫‘敌已在我’,就是在我们很多系统里别人不仅已经进来了,而且潜伏了一段时间。”由此,周鸿祎认为,不要谋求建立“马奇诺防线”,而应是基于自身系统情况,能够把系统里已经进来的“敌人”及时发现并清理出去。
周鸿祎提到,看得见的都不是巨大的威胁,真正巨大的威胁是在岁月静好的表面下暗潮涌动,以一种非常隐秘的手法,对中国的关键单位等进行“看不见”的渗透和潜伏,这才是最大的攻击。
攻击范围分布广,对普通人亦有影响
