揭秘“网络战”——之末日卡扎菲

　　2003年03月，卡扎菲之子赛义夫·伊斯兰·卡扎菲开始和英国谈判弃核事宜。
　　2003年10月，美国中央情报局特工和意大利情报人员采取联合行动，拦截了一艘开往利比亚的货轮，上面装载了大量用于制造离心机的部件。
　　2003年12月，卡扎菲听从了儿子的建议和西方和解，全面终止了自己的核计划、化学武器计划。
　　2004年02月，卡迪尔·汗承认向伊朗和利比亚等国非法转让核机密。
　　2006年05月，美国花了两年多时间，把利比亚的核研究机构中的离心机设备运到了美国。具体在美国什么地方呢，美国能源部在田纳西州的橡树岭国家实验室。
　　2006年08月，正在利比亚访问的美国常驻国际原子能机构代表舒尔特30日希望利比亚说服伊朗停止核计划。
　　2007年03月，卡扎菲在接受英国媒体采访时说，抱怨美国并没有信守承诺，没有给与之前答应的补偿。这无法让伊朗和朝鲜进行仿效。
　　2009年01月，在宣誓就职的几天前，奥巴马与小布什“交班”，后者希望保留绝密的“奥运会”计划。
　　2010年06月，震网病毒首次被检测出来。
　　2010年09月，伊朗工业和矿业部信息技术部门负责人马哈茂德·利亚伊表示，伊朗境内约3万个互联网终端感染了“震网”。
　　2011年02月，利比亚战争爆发。
　　2011年10月20日成了69岁的卡扎菲的死期。


　　卡扎菲与西方合作->利比亚铀离心机运走了->美国能源部->奥运会计划->美国国家安全局->震网->以色列摩萨德->伊朗铀离心机后面被捅了->卡扎菲后面被捅了。
　　应证了这句话啊：不怕神一般的对手，就怕猪一般的队友。美国网络战专家，在利比亚离心机上，大量练习，寻找到正确的攻击方法，连累了伊朗离心机的后门也被捅了啊。

　　2012年6月1日的美国《纽约时报》报道，揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。奥巴马上任后下令加速该计划，对伊朗发动更为复杂的网络攻击。可能一般人看不出这个“奥运会计划”有多重要，那我们再列举一下历史上的美国几个重要计划：
　　1940年代-曼哈顿计划-原子弹
　　1960年代-阿波罗计划-登月球
　　1980年代-星球大战计划-太空战
　　2000年代-奥运会计划-网络战
　　很明显，上述的前三个计划，都可以算上整个人类世界的创举，都是动用整个美国的力量，集合各类研究机构、各种公司、各个个人的能力和智慧，来实现一个具体的系统工程。按照我们通俗的话说，就是“集中力量办大事”。2006年开始的“奥运会计划”也是集合了国家安全机构、军队、各类安全公司、黑客等，如果“奥运会计划”是上述的第4个计划，那么过程也将是人类的创举，对世界的影响将是空前的。
　　实际上，已经不能简单的看“震网”病毒，它已经超脱了传统意义上的病毒、木马、蠕虫、黑客工具，它是集各类恶意程序的精华，是真正的武器，是网络战武器的开端，是网络战时代的开端，而且这只是开端，后续好戏还没上场。
　　为什么这样说呢，因为从“震网网络武器”(下面不再称呼为病毒)的设计上，已经是结构化、模块化的设计，颇有点现代软件工程学的味道。其中最重要的“攻击模块”和“传播模块”极具特点。

结构分析.jpg (25.71 KB, 下载次数: 10)

下载附件 保存到相册

2013-3-25 18:14 上传

　　首先，攻击模块是专门攻击西门子的一种工业控制其系统(伊朗铀浓缩离心机用的控制系统)，这是一种专用系统，专门为攻击某个专用系统设计攻击软件在历史上还真不多见，这个攻击模块就相当于导弹的弹头，攻击不同的系统，还可以更换弹头。有些人轻视了震网网络病毒，认为他只是个攻击工控系统的病毒，殊不知，按照模块化设计的网络战武器，弹头可以按需更换的，攻击电力控制系统、攻击防空指挥系统、攻击金融系统、窃取机密系统，只要换弹头就行了，切不可小视。
　　其实，难度最高的，还是“传播模块”，对于网络武器来说，如何攻入对方的网络系统并传播这才是最难的。从上图我们可以看出，设计者采用了3种传播方式，第1种是.LNK漏洞，第2种是Print Spool漏洞，第3种是RPC漏洞，这三种传播方式各不同，说明设计者综合考虑了多种传播方式、各种途径，以确保传播的有效性。更重要的是，第1,2种漏洞在国外称之为“零时”漏洞(第2种实际上是准“零时”漏洞)，何为“零时”漏洞，也就是说操作系统的开发者都不知道这个漏洞的存在，等到发现该漏洞时，该漏洞已经被使用。所以这类漏洞一旦使用非常厉害，无可防御，等到用户发现系统存在异常，向操作系统开发商或者网络安全公司反映时，操作系统开发商或者网络安全公司再去查找问题，查到问题后再推出补丁或升级，病毒可能已经大规模传播了。
　　实际上，上述软件结构只是震网网络武器2010版的结构，在震网网络武器2009版中，后2种漏洞相同，第1种漏洞使用的是Autorun.inf漏洞，而autorun.inf漏洞(可以算autorun.inf毛病，还算不上严重漏洞)，所以传播效果并不好，所以在2009年对伊朗离心机的攻击效果不明显。直到.LNK漏洞的使用。而在2009年之前，还有没有震网网络武器的更早版，那就不可考证了。而且，网络武器的开发者，在开发之前，还必须自己建构一套网络武器的开发平台，光是这个平台的建设，就得花很多时间。所以2006年奥林匹亚计划开始时，震网的研制工作就开始了，甚至一些准备工作要在2006年之前。

漏洞分类.JPG (25.96 KB, 下载次数: 12)

下载附件 保存到相册

2013-3-25 18:15 上传

　　上面的图上已经可以看出，RPC漏洞属于上述的黄色区域，这个漏洞2008年微软已经推出了更新进行修补，为何设计者在2009年还要使用这个漏洞，就是考虑可能被攻击者有不少计算机并没有打补丁，打这个时间差。为何开发者要在众多已经过期的漏洞中选择RPC漏洞啊，因为RPC是最接近2009年的，并且是RPC网络漏洞最容易使用成功的。所以，这一切都是精心考虑的。
　　上面的图上已经可以看出，处于红色区域的漏洞，系统无法防范。因为操作系统的开发商都不知道这个漏洞，更不可能推出相应的补丁。
　　也就是说，除了开发平台的建设，还有一个红色漏洞库(或漏洞包、漏洞集)的建设。很明显震网网络工具的开发者，已经建成一个漏洞库，并且这个漏洞库还在不断补充和更新。在真正需要建成网络武器时，只需要从这个漏洞库中，精心挑选几个最强的“零时”漏洞，一件网络战武器就诞生了。所以网络战武器设计最重要也是最难的地方，就是这个漏洞库的建设，而且要零时漏洞库(红色漏洞库)。
　　在西方国家，一条新的产业链已经形成：网络漏洞从左往右移动，高水平黑客->网络安全公司->政府、军方->网络武器开发团队->网络战武器，一个很重要的零时漏洞如果被高水平黑客发现，那么可以从网络安全公司拿到数万美元至几十万美元；从网络安全公司卖给政府，可能要卖几百万美元甚至上千万美元。也即是说，一个漏洞的价格就是一辆M1主战坦克，甚至一辆F15的价格。而一个漏洞最终的价值，是无法估量的，就看怎么使用的了。
　　我们有理由相信，在美国的网络战部队，他们的漏洞库中除了.LNK漏洞，还有其他的漏洞，一旦这些漏洞从库中提出来并组装成网络武器使用，其结果，不能想象。

传播方式.jpg (14.09 KB, 下载次数: 10)

下载附件 保存到相册

2013-3-25 18:15 上传

　　从上面的讨论，我们可以得出一个结论：一个内部网络，即使能做到三点(与外部网络物理隔绝、系统全部安装了最新补丁、账号密码权限设置合理)，仍然是挡不住上述网络战武器攻击的。原因很简单，只要使用红色区域的漏洞(零时漏洞或负时漏洞)组装成网络武器，然后找一个网络节点进行“样本注入”，样本的注入可以是一个间谍只要在内部网上任意一台电脑上插一下U盘；即使U盘封了，还有软件和光盘；软盘和光盘封了，还有串口和并口；串口和并口封了，甚至只要拿一个网线往间谍带的小电脑上插一秒钟。如果没有间谍，那么在增加新电脑时，修理故障设备时，设备上如果不小心带有隐含内容。只要任意一个节点的提供一个接触机会，整个网络就破。
　　那网络安全软件、网络杀毒软件能否防止上述攻击呢？可以说，很难。因为只要上述网络武器使用高水平的零时漏洞、以及高水平的伪造数字证书，其他的部分自身就能做到和普通软件“很类似的模样”，网络安全公司一般需要先知道有这个病毒，然后拿到病毒实体，分析样本，找出对策，升级网络安全软件才能防住网络战武器的攻击。除非是有极高水平的专家，能从细微的注册表、系统文件目录、临时文件、系统服务中发现细微而且看似正常的变化，而这类专家不可能时刻监控网络中的所有节点。通常是用户发现报告异常时，专家才拿到病毒实体，这时候网络战武器早已攻入，或者已经传播开去，甚至已经完成任务了。而且从震网网络武器中，还有自我消灭模块，虽然还不是很完善。一旦将来的发展，甚至网络武器已经完成任务，自主消失时，你尚未发现系统已经受到攻击。
　　靠不断的加强防御，是防止不了网络战争的。就是深挖洞，不管你的防空洞挖得再深，也防止不了别人用核弹轰炸你。只有自己也有了核弹，才能阻止核战争，才能有世界和平。同样的道理，只能是你有有了相应的网络武器，对方才会住手。
　　那我们再看看我们国家是否有了网络战的开发工具，是否有了漏洞库的集合？每个红色的漏洞就是一个核弹，有的是原子弹，有的是氢弹。如果你的库中为零，结果会是如何？大家自己可以考虑。
　　有人提一个有趣的建议，既然上面提到国外网络安全公司可以卖漏洞，我们(不差钱)可以向他们买些漏洞回来啊，我们漏洞库就不为零了，别人就就不敢打我们了。实际上，这个建议是不可行的，西方这类网络安全公司有条“潜规则”：美国公司发现的漏洞只卖给美国的买主，其他西方国家的网络安全公司只卖给北约成员国的。
　　题外话：在冷兵器时代，需要几十万人的冲锋才能打赢一场战争；在现代战争时代，几百名空军的优秀飞行员就可以打赢一场战争；在二十一世界，是网络战争的世纪，可能一个优秀的网络人才，就能保卫一个国家，制止一场战争，前提是你真的非常非常优秀。
　　所以，我们倡议建立“网络战”或“网军版”版块，独立于“空军版”、“陆军版”、“海军版”、“二炮版”之外。你不需要做任何事，只需要回一个贴，就是对该倡议的最大支持。


　　2003年03月，卡扎菲之子赛义夫·伊斯兰·卡扎菲开始和英国谈判弃核事宜。
　　2003年10月，美国中央情报局特工和意大利情报人员采取联合行动，拦截了一艘开往利比亚的货轮，上面装载了大量用于制造离心机的部件。
　　2003年12月，卡扎菲听从了儿子的建议和西方和解，全面终止了自己的核计划、化学武器计划。
　　2004年02月，卡迪尔·汗承认向伊朗和利比亚等国非法转让核机密。
　　2006年05月，美国花了两年多时间，把利比亚的核研究机构中的离心机设备运到了美国。具体在美国什么地方呢，美国能源部在田纳西州的橡树岭国家实验室。
　　2006年08月，正在利比亚访问的美国常驻国际原子能机构代表舒尔特30日希望利比亚说服伊朗停止核计划。
　　2007年03月，卡扎菲在接受英国媒体采访时说，抱怨美国并没有信守承诺，没有给与之前答应的补偿。这无法让伊朗和朝鲜进行仿效。
　　2009年01月，在宣誓就职的几天前，奥巴马与小布什“交班”，后者希望保留绝密的“奥运会”计划。
　　2010年06月，震网病毒首次被检测出来。
　　2010年09月，伊朗工业和矿业部信息技术部门负责人马哈茂德·利亚伊表示，伊朗境内约3万个互联网终端感染了“震网”。
　　2011年02月，利比亚战争爆发。
　　2011年10月20日成了69岁的卡扎菲的死期。


　　卡扎菲与西方合作->利比亚铀离心机运走了->美国能源部->奥运会计划->美国国家安全局->震网->以色列摩萨德->伊朗铀离心机后面被捅了->卡扎菲后面被捅了。
　　应证了这句话啊：不怕神一般的对手，就怕猪一般的队友。美国网络战专家，在利比亚离心机上，大量练习，寻找到正确的攻击方法，连累了伊朗离心机的后门也被捅了啊。

　　2012年6月1日的美国《纽约时报》报道，揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。奥巴马上任后下令加速该计划，对伊朗发动更为复杂的网络攻击。可能一般人看不出这个“奥运会计划”有多重要，那我们再列举一下历史上的美国几个重要计划：
　　1940年代-曼哈顿计划-原子弹
　　1960年代-阿波罗计划-登月球
　　1980年代-星球大战计划-太空战
　　2000年代-奥运会计划-网络战
　　很明显，上述的前三个计划，都可以算上整个人类世界的创举，都是动用整个美国的力量，集合各类研究机构、各种公司、各个个人的能力和智慧，来实现一个具体的系统工程。按照我们通俗的话说，就是“集中力量办大事”。2006年开始的“奥运会计划”也是集合了国家安全机构、军队、各类安全公司、黑客等，如果“奥运会计划”是上述的第4个计划，那么过程也将是人类的创举，对世界的影响将是空前的。
　　实际上，已经不能简单的看“震网”病毒，它已经超脱了传统意义上的病毒、木马、蠕虫、黑客工具，它是集各类恶意程序的精华，是真正的武器，是网络战武器的开端，是网络战时代的开端，而且这只是开端，后续好戏还没上场。
　　为什么这样说呢，因为从“震网网络武器”(下面不再称呼为病毒)的设计上，已经是结构化、模块化的设计，颇有点现代软件工程学的味道。其中最重要的“攻击模块”和“传播模块”极具特点。

结构分析.jpg (25.71 KB, 下载次数: 10)

下载附件 保存到相册

2013-3-25 18:14 上传

　　首先，攻击模块是专门攻击西门子的一种工业控制其系统(伊朗铀浓缩离心机用的控制系统)，这是一种专用系统，专门为攻击某个专用系统设计攻击软件在历史上还真不多见，这个攻击模块就相当于导弹的弹头，攻击不同的系统，还可以更换弹头。有些人轻视了震网网络病毒，认为他只是个攻击工控系统的病毒，殊不知，按照模块化设计的网络战武器，弹头可以按需更换的，攻击电力控制系统、攻击防空指挥系统、攻击金融系统、窃取机密系统，只要换弹头就行了，切不可小视。
　　其实，难度最高的，还是“传播模块”，对于网络武器来说，如何攻入对方的网络系统并传播这才是最难的。从上图我们可以看出，设计者采用了3种传播方式，第1种是.LNK漏洞，第2种是Print Spool漏洞，第3种是RPC漏洞，这三种传播方式各不同，说明设计者综合考虑了多种传播方式、各种途径，以确保传播的有效性。更重要的是，第1,2种漏洞在国外称之为“零时”漏洞(第2种实际上是准“零时”漏洞)，何为“零时”漏洞，也就是说操作系统的开发者都不知道这个漏洞的存在，等到发现该漏洞时，该漏洞已经被使用。所以这类漏洞一旦使用非常厉害，无可防御，等到用户发现系统存在异常，向操作系统开发商或者网络安全公司反映时，操作系统开发商或者网络安全公司再去查找问题，查到问题后再推出补丁或升级，病毒可能已经大规模传播了。
　　实际上，上述软件结构只是震网网络武器2010版的结构，在震网网络武器2009版中，后2种漏洞相同，第1种漏洞使用的是Autorun.inf漏洞，而autorun.inf漏洞(可以算autorun.inf毛病，还算不上严重漏洞)，所以传播效果并不好，所以在2009年对伊朗离心机的攻击效果不明显。直到.LNK漏洞的使用。而在2009年之前，还有没有震网网络武器的更早版，那就不可考证了。而且，网络武器的开发者，在开发之前，还必须自己建构一套网络武器的开发平台，光是这个平台的建设，就得花很多时间。所以2006年奥林匹亚计划开始时，震网的研制工作就开始了，甚至一些准备工作要在2006年之前。

漏洞分类.JPG (25.96 KB, 下载次数: 12)

下载附件 保存到相册

2013-3-25 18:15 上传

　　上面的图上已经可以看出，RPC漏洞属于上述的黄色区域，这个漏洞2008年微软已经推出了更新进行修补，为何设计者在2009年还要使用这个漏洞，就是考虑可能被攻击者有不少计算机并没有打补丁，打这个时间差。为何开发者要在众多已经过期的漏洞中选择RPC漏洞啊，因为RPC是最接近2009年的，并且是RPC网络漏洞最容易使用成功的。所以，这一切都是精心考虑的。
　　上面的图上已经可以看出，处于红色区域的漏洞，系统无法防范。因为操作系统的开发商都不知道这个漏洞，更不可能推出相应的补丁。
　　也就是说，除了开发平台的建设，还有一个红色漏洞库(或漏洞包、漏洞集)的建设。很明显震网网络工具的开发者，已经建成一个漏洞库，并且这个漏洞库还在不断补充和更新。在真正需要建成网络武器时，只需要从这个漏洞库中，精心挑选几个最强的“零时”漏洞，一件网络战武器就诞生了。所以网络战武器设计最重要也是最难的地方，就是这个漏洞库的建设，而且要零时漏洞库(红色漏洞库)。
　　在西方国家，一条新的产业链已经形成：网络漏洞从左往右移动，高水平黑客->网络安全公司->政府、军方->网络武器开发团队->网络战武器，一个很重要的零时漏洞如果被高水平黑客发现，那么可以从网络安全公司拿到数万美元至几十万美元；从网络安全公司卖给政府，可能要卖几百万美元甚至上千万美元。也即是说，一个漏洞的价格就是一辆M1主战坦克，甚至一辆F15的价格。而一个漏洞最终的价值，是无法估量的，就看怎么使用的了。
　　我们有理由相信，在美国的网络战部队，他们的漏洞库中除了.LNK漏洞，还有其他的漏洞，一旦这些漏洞从库中提出来并组装成网络武器使用，其结果，不能想象。

传播方式.jpg (14.09 KB, 下载次数: 10)

下载附件 保存到相册

2013-3-25 18:15 上传

　　从上面的讨论，我们可以得出一个结论：一个内部网络，即使能做到三点(与外部网络物理隔绝、系统全部安装了最新补丁、账号密码权限设置合理)，仍然是挡不住上述网络战武器攻击的。原因很简单，只要使用红色区域的漏洞(零时漏洞或负时漏洞)组装成网络武器，然后找一个网络节点进行“样本注入”，样本的注入可以是一个间谍只要在内部网上任意一台电脑上插一下U盘；即使U盘封了，还有软件和光盘；软盘和光盘封了，还有串口和并口；串口和并口封了，甚至只要拿一个网线往间谍带的小电脑上插一秒钟。如果没有间谍，那么在增加新电脑时，修理故障设备时，设备上如果不小心带有隐含内容。只要任意一个节点的提供一个接触机会，整个网络就破。
　　那网络安全软件、网络杀毒软件能否防止上述攻击呢？可以说，很难。因为只要上述网络武器使用高水平的零时漏洞、以及高水平的伪造数字证书，其他的部分自身就能做到和普通软件“很类似的模样”，网络安全公司一般需要先知道有这个病毒，然后拿到病毒实体，分析样本，找出对策，升级网络安全软件才能防住网络战武器的攻击。除非是有极高水平的专家，能从细微的注册表、系统文件目录、临时文件、系统服务中发现细微而且看似正常的变化，而这类专家不可能时刻监控网络中的所有节点。通常是用户发现报告异常时，专家才拿到病毒实体，这时候网络战武器早已攻入，或者已经传播开去，甚至已经完成任务了。而且从震网网络武器中，还有自我消灭模块，虽然还不是很完善。一旦将来的发展，甚至网络武器已经完成任务，自主消失时，你尚未发现系统已经受到攻击。
　　靠不断的加强防御，是防止不了网络战争的。就是深挖洞，不管你的防空洞挖得再深，也防止不了别人用核弹轰炸你。只有自己也有了核弹，才能阻止核战争，才能有世界和平。同样的道理，只能是你有有了相应的网络武器，对方才会住手。
　　那我们再看看我们国家是否有了网络战的开发工具，是否有了漏洞库的集合？每个红色的漏洞就是一个核弹，有的是原子弹，有的是氢弹。如果你的库中为零，结果会是如何？大家自己可以考虑。
　　有人提一个有趣的建议，既然上面提到国外网络安全公司可以卖漏洞，我们(不差钱)可以向他们买些漏洞回来啊，我们漏洞库就不为零了，别人就就不敢打我们了。实际上，这个建议是不可行的，西方这类网络安全公司有条“潜规则”：美国公司发现的漏洞只卖给美国的买主，其他西方国家的网络安全公司只卖给北约成员国的。
　　题外话：在冷兵器时代，需要几十万人的冲锋才能打赢一场战争；在现代战争时代，几百名空军的优秀飞行员就可以打赢一场战争；在二十一世界，是网络战争的世纪，可能一个优秀的网络人才，就能保卫一个国家，制止一场战争，前提是你真的非常非常优秀。
　　所以，我们倡议建立“网络战”或“网军版”版块，独立于“空军版”、“陆军版”、“海军版”、“二炮版”之外。你不需要做任何事，只需要回一个贴，就是对该倡议的最大支持。