菲律宾首都马尼拉奎松市,身穿条纹衬衫、戴着“黑客帝国式”墨镜的 Onel de Guzman 低着头,穿过一群记者摄影师,走进一场匆忙安排的新闻发布会。
他骨瘦如柴,一头蓬乱的黑发一直垂到眉梢,几乎没有注意到记者们的大声提问,他唯一的动作是偶尔用白毛巾抹去脸上的汗水。坐在右边的是他的律师 Rolando Quimbo。律师听着这位 23 岁的年轻人含含不清的回答,然后用英语向记者们重复一遍。
律师说:“他并不知道这些事情会归因于他,所以如果你们问我他是否知道事情的后果,我会说他并不知情”。
这是 2000 年 5 月 11 号的一场新闻发布会,Guzman 被指控制作并发布了一个破坏世界各地企业和政府机构的全球性计算机病毒,从福特和美林到美国五角大楼和英国议会全都遭殃,并造成近 100 亿美元的损失——所有这些都是以“爱”的名义。
20 年过去了,ILOVEYOU 病毒仍然是影响最为深远的病毒之一。全球数千万台电脑受影响。反病毒和追踪病毒制造者的斗争成了全球性的头条新闻,唤醒了公众对恶意网络攻击行为的对抗意识。暴露出来的一些漏洞我们至今仍在想方设法修复,尽管计算机的安全技术在过去 20 年已经取得了长足的进步。
上述的这段关于病毒的描述是基于对最初参与案件调查的执法人员和调查人员的采访、当时 CNN 的报道,以及美国联邦调查局、菲律宾警方和五角大楼的报告。
为撰写本文,记者多次试图通过他的家人和前律师联系 Onel de Guzman,但均未成功。从 2000 年开始,Guzman 一直没有公开发表过任何言论。直到最近,作家 Geoff White 找到了他在马尼拉经营的一家手机维修店,他承认了自己是病毒的始作俑者。
疯狂的“情书”
2000 年 5 月 4 日下午,Michael Gazeley 在星空电脑城(Star Computer City,这里聚集了众多 IT 公司和销售电子产品的商店)的办公室里俯瞰着香港维多利亚港。
几个月前,Gazeley 和他的长期商业合作伙伴 Mark Webb-Johnson 成立了自己的信息安全公司 Network Box,为用户提供免受在线威胁的服务。两人都有几十年的行业经验,刚刚完成应对千年虫的准备工作。
尽管今天的人们大多还存有对千年虫的记忆,但令人感到懊恼的是,这是一种过度反应,或者说是一场恶作剧,但千年虫是真实存在的,其潜在的影响也非常巨大。多亏了世界各地程序员的共同努力,才得以幸免于难。这是一个征兆,当时还处于相对婴儿期的互联网正在孕育着一种新的连接。
然而,就像那天下午 Gazeley 意识到的那样,这种连接是一把双刃剑。
他办公室里所有的电话突然响了起来。先是他的客户,然后是非客户,他们都疯狂地打进电话,希望 Network Box 能够帮忙阻止一种病毒,它在他们的系统中肆虐扩散,不断破坏他们的数据。
他们都讲述了同样的故事:办公室里有人收到了一封电子邮件,主题是“ILOVEYOU”,内容是“请查收附件中的情书”。当他们打开一个看起来像是文本的文件——实际上是一个伪装成文本文件的可执行程序,病毒就迅速夺取了电脑控制权,并把副本发送给地址簿里的联系人。其他的收件人认为这封邮件要么是开玩笑,要么真的是一个严肃的爱情宣言,于是打开了附件,病毒进一步传播开来。
这张截屏显示的是 2000 年 5 月在全球肆虐传播的“ILOVEYOU”病毒邮件副本
办公室的电子邮件服务器很快就被塞满了,成千上万的情书飞来飞去,将病毒传播给更多的人。结果证明,这比一封可以自我连锁推销的邮件更加麻烦。在复制自己的同时,ILOVEYOU 病毒还摧毁了受害者的硬盘,重命名并删除了大量文件。
很多惊慌失措的来电者没有给文件做备份,Gazeley 只能尴尬地向他们解释说,他们的很多文件——电子表格、财务记录、照片和 MP3——很可能会永久丢失。
Gazeley 说:“人们还不习惯这种概念,他们没有意识到电子邮件会如此危险”。
在 2000 年,互联网还相对较为年轻。根据联合国国际电信联盟的统计,当时只有 28% 的香港人能够上网,英国 27%,法国 15%。即使在这项技术的发源地美国,也只有 43% 的人可以上网。
在 ILOVEYOU 病毒诞生之前两年,好莱坞影星 Meg Ryan 在电影“You’ve Got Mail”中演绎了网恋的概念,提出了“如果你和某人通过电子邮件联系算不算对另一半不忠”的问题。在枯燥的工作之外,电子邮件有了新用途。
Network Box 联合创始人 Michael Gazeley 是首批对付 ILOVEYOU 病毒的网络安全专家之一
混乱时刻
在香港,病毒破坏了投资银行、公关公司和道琼斯通讯社的通讯系统和文件系统。5 月 4 号工作日开始,病毒又向西方国家蔓延。
当病毒袭击欧洲时,Graham Cluley 正在参加瑞典斯德哥尔摩的一个安全会议。他刚刚介绍完另一种不相干的病毒,该病毒的目标是一个现已不在使用中的操作系统。它劫持用户账户,向他们的同事发送信息,比如“周五我恋爱了”。Cluley 开玩笑说,这可能会让大多数人感到尴尬,但也可能会催生办公室恋情。
在会议中场休息时间,参会者的手机和呼机开始疯狂地响个不停。几位参会者走到 Cluley 身边,问他刚刚介绍的病毒会不会通过电子邮件传播。他向他们保证不会——而且,不管怎样,这个病毒只会在一个大多数人都不使用的小众操作系统中传播。
Cluley 在英国家中接受采访时说:“他们当时觉得很奇怪,因为突然收到很多主题是‘我爱你’的电子邮件”。
Cluley 打开自己的手机,看到很多未接来电、语音邮件和短信通知,而他的公司也接到了大量客户求助电话,记者们也在试图搞清楚到底发生了什么。
Cluley 奔向机场,去赶一趟飞往伦敦的航班,还与一位慷慨的出租车司机交换了手机电池,因为源源不断的信息耗尽了他的诺基亚手机的电量。当他在英国降落时,一辆车正等着把他送到电视演播室,讨论这个已经轰动世界的科技故事。
在 5 个小时内,ILOVEYOU 病毒就传播到了亚洲、欧洲和北美,比一年前感染了 100 多万台电脑的梅丽莎(Melissa)病毒的传播速度快了 15 倍。
5 月 4 日开始上班后不久,英国下议院就不得不关闭已经超载的电子邮件服务器,福特汽车公司甚至是微软也遭遇了同样的情况。微软的 Outlook 是病毒传播的主要手段。
当时,Windows 占据个人电脑市场 95% 以上的份额,Outlook 是与微软 Office 捆绑在一起销售的,是当时使用电脑做生意的人的必备软件。对于大多数人来说,Outlook 就是电子邮件。
现如今的很多电子邮件服务都运行在集中式的服务器上,比如 Outlook.com 或 Gmail,而在 2000 年,企业通常将邮件服务器与网站服务部署在一起。这可能不安全,速度也慢。
Cluley 说:“当时,很多公司还没有在电子邮件网关上安装过滤器来阻止垃圾邮件,更不用说阻止病毒了”。
尽管美国提前发出了警告,但病毒在美国传播得同样快——几乎所有人似乎都忍不住打开了“情书”。在五角大楼内部,当该病毒攻击美国陆军司令部邮件组(这个邮件组有 5 万名订阅用户)时,引起了恐慌。
从那时起,几乎美国所有的主要军事基地——除了少数几个不使用 Outlook 的基地——都眼睁睁地看着自己的电子邮件服务瘫痪,在问题得到解决之前被迫离线数小时。
追查始作俑者
穿过波托马克河,在联邦调查局华盛顿特区总部,Michael Vatis 正手忙脚乱地处理这场危机。
美国国家基础设施保护中心是一个相对较年轻的政府机构,主要职责是应对网络威胁。NIPC 很快发出了一个警告,称“一种新型蠕虫病毒正通过电子邮件在全球传播”,但为时已晚,已经无法阻止美国政府和军队的大多数部门以及数十家私人企业被感染。
随着反病毒公司开始逐步推出病毒补丁,阻止危害进一步扩散,并让企业重新上线,FBI 内部的注意力开始转向追查相关责任人。调查由纽约外勤处牵头,他们很快发现了证据,并把矛头指向了香港之外的菲律宾。
现在已是纽约律师事务所 Steptoe 合伙人的 Vatis 说:“在很短的时间内,我们就锁定了身在菲律宾的嫌疑人,并寻求菲律宾执法部门的帮助。在那之后很短的时间里,菲律宾当局最终对嫌疑人实施了逮捕”。
无论是技术上的修复,还是案件的侦破,都来得如此之快,因为尽管 ILOVEYOU 病毒在全球传播迅速,但它的编码却十分笨拙,而且异常简单。它只是把几个已有的恶意软件捆绑在一起,几乎没有隐藏其工作原理。
Sophos 公司的分析师 Cluley 说:“每一个病毒受害者都收到了一份病毒代码,也就是它的源代码,所以要得到解药也很简单。它并不会比我们当时看到的其他成千上万种病毒更复杂,只是这个病毒的传播比其他病毒更为成功”。
病毒文件中除了包含如何打败病毒本身的线索之外,还有一些指向作者身份的信息。它包含了两个电子邮件地址:spyder@super.net.ph 和 mailme@super.net.ph,这两个地址都位于菲律宾。代码还提到了 GRAMMERSoft,总部位于菲律宾首都。
尽管调查人员担心这些线索可能是烟雾弹,但该病毒还与总部位于马尼拉的 Sky Internet 公司的服务器进行了通信,并向服务器发送从受害者电脑中窃取的密码。Sky Internet 公司很快让服务器下线,这至少阻止了部分的病毒传播。
没了可以接受信息的服务器——病毒作者似乎永远也无法访问到发送给服务器的内容,或者至少无法对其采取行动——ILOVEYOU 病毒就变成了一个纯粹的破坏引擎。它在世界各地的电子邮件收件箱中翻腾,删除文件,但实际上并没有达到窃取用户密码的目的。
受害者收到一封请求他们打开 LOVE-LETTER-FOR-YOU.TXT.vbs 附件的电子邮件。
病毒进行自我拷贝,并将副本发给受害者电子邮件地址簿中的收件人。
病毒搜索所有的 JPG 图像和 MP3 文件,并将其替换成病毒副本。
最后,病毒爬取 Windows 密码,并把它们发到位于菲律宾的一台服务器上。
嫌疑人浮出水面
在病毒传播四天后,菲律宾警方搜查了马尼拉的一间公寓,没收了公寓里的电脑杂志、电话、磁盘、电线和磁带,逮捕了其中的一名居住者 Reomel Ramones。
27 岁的 Ramones 有一头卷曲的头发,在当地的一家银行工作。他看起来不像是个电脑黑客,调查人员怀疑他们抓错了人。于是,警方的注意力转向了公寓里的另外两名住户:Ramones 的女朋友 Irene de Guzman 和她的弟弟 Onel。
Onel de Guzman 是美国 AMA 计算机学院的一名学生,在抓捕时他不在住所里。AMA 计算机学院是黑客组织 GRAMMERSoft 的总部,该组织专门帮助学生应付家庭作业,不过现已不复存在。警方最初无法证明 Guzman 是该组织的成员,不过校方向警方提供了一份由 Guzman 提交但最终被否决的论文,其中包含了一段代码,与 ILOVEYOU 病毒代码惊人的相似。
Guzman 在论文中写道,他所提议的程序的目标是“获取 Windows 密码”,并“从受害者的电脑中窃取互联网账户”。当时,菲律宾的拨号上网是按分钟计费的,而欧洲和美国的大部分地区则是按月计费。Guzman 的想法是,发展中国家的用户可以利用富裕国家用户的连接,“花更多的时间在互联网上而不用付费”。
在了解了他的想法后,Guzman 的老师勃然大怒,在页边空白处写了“我们不生产窃贼”、“这是非法的”。这篇论文有可能让 Guzman 丢了学位,不过他的老师的论点也将被证明是不对的。
Onel de Guzman,2000 年 5 月被指控制作并发布 ILOVEYOU 病毒
法律的空子
离开公众视线几天后,Guzman 出现在奎松的新闻发布会上,他的律师和妹妹分别坐在他的两边。当被问及他是否应该对该病毒负责时,他通过律师回答说:“有可能”。
他的律师说:“他甚至不知道自己的行为会带来这样的后果”。在与 Guzman 进行了一番交谈后,律师补充说:“互联网应该是有教育意义的,所以应该是免费的”。这番话引起了记者们的一阵哄堂大笑。
当被问及对病毒造成的损害有何看法时,Guzman 表示“没什么可说的”。
尽管菲律宾警方收集了大量证据,而且菲律宾国家调查局、美国联邦调查局和私人安全调查人员也一致认为 Guzman 是罪魁祸首,但最终还是没能给予他任何惩罚。
问题不在于缺乏证据,而在于缺乏起诉他的法律。与其他很多国家一样,菲律宾当时也没有立法禁止计算机犯罪。后来,以欺诈罪起诉 Guzman 的企图也被放弃了。虽然菲律宾与美国签署了引渡条约,但该条约只适用于两国均可起诉的罪行。一旦案件被撤销,把 Guzman 引渡到美国的机会就微乎其微。
尽管菲律宾立法者在发生 ILOVEYOU 事件后不久就匆忙通过了一项法律,将电脑黑客行为定为犯罪,但该法律不能追溯既往发生的案件。
多年后,参议员 Edgardo J. Angara 表示:“我们无法将一个对全世界数百万人和公司造成伤害的人绳之以法”,而这也正是很多菲律宾政客和执法官员感到尴尬的地方。
对于这个国家的其他人来说,Guzman 是一个英雄。一位报纸专栏作家写道:“这位菲律宾天才让菲律宾登上了世界地图。这件事证明了菲律宾人的创造力和独创性可以把世界翻个底朝天,不管这种变化是好是坏”。它甚至还催生了一部叫作“Subject: I love you”的电影,电影把病毒制造者描绘成一个失恋的男人,试图与“他曾经唯一爱过的女人”重新建立联系。
在 Guzman 的学校,一位同学告诉《纽约时报》,这种病毒“让我们感到骄傲”。有些学生则陶醉于菲律宾黑客“渗透五角大楼……即使菲律宾是第三世界国家,即使在技术上落后,他们也能做得到”。
二十年过去了,人们的反应仍然困扰着 Cluley。他说:“这种事情会让你沮丧到用头撞墙。那时候,恶意软件刚刚开始变得有点可怕,有点恶意,而且黑客更有经济方面的动机”。
“这不是我们想要传达给年轻人的,我们不希望他们认为这没什么大不了”。
类似 ILOVEYOU 这样的攻击风险并没有消失,2017 年针对众多企业的勒索软件攻击,其原理与 ILOVEYOU 一样
长尾影响
在菲律宾以外的地方有一些 Guzman 崇拜者。在 ILOVEYOU 病毒传播后的几个小时,模仿病毒如雨后春笋般冒了出来,这些邮件的标题林林总总,比如“非常有趣”、“笑话”、“母亲节”,最有讽刺意味的是“病毒警报!!!”。但令人感到惊讶的是,尽管当时媒体对 ILOVEYOU 病毒进行了铺天盖地的报道,但并没有阻止人们打开这些可疑附件。
FBI 后来估计,在更新杀毒软件和电子邮件客户端之前,ILOVEYOU 病毒及其变种造成约 100 亿美元的损失。直到今天,ILOVEYOU 病毒仍然是传播范围最广的病毒之一,袭击了世界各国数百万台计算机。
Vatis 说:“它的影响是巨大的,至少有那么几天,它成了全球的头条新闻。过去的计算机攻击史上从未出现过类似的事件”。
虽然以前的攻击造成了更为直接的损害,以及后来的一些攻击在目标方面会更为复杂和有效,但它们的影响范围都是有限的。其他的一些病毒针对的是特定的地点、企业或政府,而 ILOVEYOU 可以影响任何运行 Windows Outlook 的电脑。
Vatis 说:“它的攻击方式是前所未有的。它让人们意识到,它的攻击对象不仅仅是国防机构或网站,还包括任何一台家用或办公电脑。它真的会让你崩溃,让你什么都干不了”。
尽管电子邮件客户端在过滤恶意软件方面做得越来越好,但 ILOVEYOU 所利用的主要漏洞仍然无法完全修复。
Cluley 说:“你可以更新操作系统,你可以使用世界上最好的电子邮件过滤器,但是你无法修补人类的大脑”。
迄今为止,一些最成功的网络攻击——无论是与民族国家行为者、犯罪组织还是独自作战的黑客有关——都将社会工程作为其主要武器。2016 年,从民主党全国委员会窃取电子邮件的黑客通过欺骗 Hillary Clinton 的竞选主席 John Podesta,让他把密码发到自己的谷歌账户。2003 年,以谷歌为攻击目标的人通过即时消息跟踪公司员工。勒索软件攻击(Ransomware Attack)是一种越来越常见的诈骗形式,受害者的电脑和账户被冻结,直到他们付钱解锁,这类攻击总是通过让人们点击一个不可靠的链接来触发。
尽管一些黑客利用 0day 漏洞、软件中未被披露的漏洞或特制的间谍工具来跟踪受害者,但很多黑客所使用的代码并不会比 ILOVEYOU 代码复杂多少,因为他们不需要。
Vatis 说:“人才是最薄弱的环节。通过某种社会工程策略来利用人比破解某种技术防御措施要容易得多”。
自从 ILOVEYOU 病毒事件之后,有一件事发生了一些变化,那就是大多数公司对此类事件做了更为充足的准备。大多数公司至少采取了某种反病毒保护措施,并进行数据备份。但所有在 20 年前研究过 ILOVEYOU 病毒的专家都认为,人们对潜在的破坏性网络攻击仍然心存侥幸。
Gazeley 说:“令人感到恐惧的是,20 年后,仍有很多组织没有认真对待这个问题,直到它们遭到攻击。很多人仍然没有提前制定应对计划”。
大多数公司和个人将运行电子邮件服务器的工作外包给那些知道如何做得最好的人——主要是微软和谷歌——并依赖他们来过滤恶意消息、删除垃圾邮件和提醒潜在的攻击,这在很大程度上防止了此类攻击。
如果像 ILOVEYOU 这类蠕虫病毒能够找到一种方法绕过这些过滤器,并以足够快传播速度防止病毒公司推出补丁,那么它造成重大损害的可能性仍然存在。我们不能指望普通用户时时刻刻提高警惕,因为电子邮件供应商在发现可疑信息方面做了大部分工作,普通用户实际上可能会更加松懈。
Vatis 说,这种蠕虫病毒对在线通信的潜在影响可能是“毁灭性的”,就像企业溃败或发生突发性业务停滞会对全球经济造成冲击一样。他将这种情况与那些每年都不接种流感疫苗的人进行了比较。
他说:“在疫苗接种率下降到一定百分比之前,这对整个社会来说可能不是问题。但问题是,真的有很多人已经生病了”。
英文原文
https://edition.cnn.com/2020/05/01/tech/iloveyou-virus-computer-security-intl-hnk/index.html
评论