中新社北京9月14日电 (记者 夏宾)近日,中国西北工业大学(下称“西工大”)遭遇网络攻击引发国内外关注,相关部门已披露,此次攻击的“真凶”是美国国家安全局(NSA)特定入侵行动办公室(TAO)。
(资料图片)
哪些确凿证据能锁定背后“黑手”?国家层面的网络攻击带来了什么警示?对此攻击案进行全面技术分析的参与方包括360公司,其创始人周鸿祎近日在接受中新社等媒体采访时对上述问题进行了解答。
“目前国家级攻击是网络战的最高水平,而最大的挑战是‘看不见’。”周鸿祎称,先要解决“看见”的问题,被攻击了要能知道,再进行迅速阻断,继续深一步就是“看见”攻击后还能知道是谁在攻击,这个难度是最高的。
对于此次西工大遭遇的网络攻击,周鸿祎直言:“我们抓住NSA的‘手’已经不是第一次了,过去两年,已经两次在其他攻击里都发现了NSA,NSA里的网络攻击窃密活动战术实施单位叫TAO,它是全世界网络攻击水平最高的,手段非常厉害。”
据其介绍,此次攻击中,NSA对西工大用了十几种网络武器,每一个武器针对不同的平台、不同的用途,甚至每一种武器都用了不同的漏洞。
在此情况下,如何能锁定到NSA?周鸿祎解释道,在过去十年里,360捕获了大量的攻击样本,攻击样本有点类似病毒样本,对其进行分析后会发现各家攻击武器的基因不一样,包括代码习惯、技战术等,就像新冠病毒不管怎么演化,都能把族系排列出来,360专门为了跟踪NSA的网络战武器,将其历史上很多技战法、代码样本都进行了分析。
“所以这次通过代码习惯的验证,包括攻击模块的组成,还有内部一些代码命名的习惯,基本上能够比较准确地把这个证据链固定下来,证明是NSA。”周鸿祎说。
他进一步表示,就像人类为了对付新冠病毒一样,要建立各种生物样本基因库,这些年360收集了全球300亿个攻击样本,这意味着所有的攻击者是怎么攻击的、用什么攻击手法都能清楚知道。“将来应该协助国家建立一个国家级的攻击基因库和样本库,有了这个东西之后,在发现攻击和溯源时,就会越来越精准。”
事实上,不仅仅是NSA,近年来360公司帮助国家捕获了50个境外国家级黑客组织对中国发动的数千次网络攻击。对此,周鸿祎说:“这证明了我一个断言,即网络战不分平时、战时。”
他表示,传统意义上的战争可能要等到宣战才会爆发战斗,但网络战却往往发生在友好的时候、和平的时候。对方可能会用网络攻击的方法把一些攻击软件、间谍软件潜伏或渗透到重要系统里,或者预留后门、预留木马。
为什么要这么做?周鸿祎说,一是现在获取情报的大部分手段是通过在线攻击;二是若对方希望通过网络攻击来瘫痪我们的基础设施,不会等到要发起攻击时再去“入驻”,这是我们遭遇网络攻击最大的警示。
他指出,在今天的数字化时代,几乎所有的东西里都有软件,而软件漏洞不可避免,漏洞又不可穷尽,正是因为漏洞的存在,导致了系统一定会被人攻进来,甚至在很多系统里别人不仅已经进来,而且潜伏了一段时间。
由此,周鸿祎认为,不要谋求建立“马奇诺防线”,而应是基于自身系统情况,及时发现系统里已经进来的“敌人”并将其清理出去。
“真正巨大的威胁是在岁月静好表面下的暗潮涌动,以一种非常隐秘的手法,对中国关键单位等进行‘看不见’的渗透和潜伏,这才是最大的攻击。”周鸿祎说。
他还强调,数字化是把双刃剑,一方面带来更加美好、先进、自动化的工作和生活方式,另一方面也让国家治理、社会运转、城市运行甚至百姓的衣食住行都架构在网络、数据和软件之上。“这个数字化底座一旦遭到攻击,后果不堪设想。所以我们这些年做的工作就是协助国家把数字化安全变成整个数字化的安全底座,来给数字化战略保驾护航。”(完)