江南水乡缘何一夜之间成为中国黑客聚集地？

维泽特

江南水乡缘何一夜之间成为中国黑客聚集地？
当地时间3月25日，美国赛门铁克公司发布了3月份MessageLabs Intelligence研究报告，指在当月全球有针对性的恶意电子邮件攻击中，有21.3%源自中国绍兴市。很快，英国《星期日泰晤士报》等外媒援引此报告，称“中国东部的一座城市，已经被确认为网络间谍的世界中心。黑客的主要目标是亚洲防务政策的专家和**活动人士。”此前的2月18日，美国《纽约时报》曾报道说，谷歌及数家美国公司遭遇的“黑客袭击”事件与山东蓝翔高级技工学校和上海交通大学有关。一个多月之后，“中国黑客代言人”这顶帽子被传到了绍兴头上。消息很快在小城掀起了一场波澜。在绍兴当地颇具人气的“绍兴E网”论坛上，绍兴人对此事讨论热烈，但多称之为笑话——“绍兴盛产师爷，不产黑客。”“难道蓝翔技校在绍兴开了分校？”“黑客之都？被黑客操纵的‘肉鸡(被黑客入侵种植木马病毒的电脑)’之都更合适。”“我的第一反应是觉得很无聊。”朱伟健在绍兴市人民医院从事信息化工作10多年，他对《财经国家周刊》记者表示，绍兴是一座夹在杭州和宁波中间的小城市，整体计算机网络水平并不高，“更像是一个安居的城市。”也有猜测认为，恶意邮件攻击事件可能与绍兴市发达的纺织外贸业有关——位于绍兴市内的中国轻纺城市场，是亚洲规模最大的纺织品专业批发市场。但这种说法被中国轻纺城集团股份有限公司信息化部门负责人否定了：“我身边做外贸的朋友非常多，从未听他们说过发垃圾邮件做生意，或是经常受到攻击什么的。”“纺织面料行业不太可能做这样的事情。一是商户信息化层次普遍不够，且规模有限。另外，纺织品的推销需要看得见摸得着才行，通常借助博览会而不是垃圾邮件来推广产品。” 该负责人说。此事亦引起绍兴当地城市管理者的重视。绍兴市公安局已在3月29日就此事开过专题会议，并与市级主管部门进行了协商，同时向公安部汇报了情况。但疑问并未得到解答，“这里的信息化水平不至于那么发达吧？”一位当地官员电话里的声音充满困惑。发布这份研究报告的MessageLabs公司成立于1999年，主要提供电子邮件安全和管理服务。2008年10月，MessageLabs被赛门铁克公司以近7亿美元现金的价格收购。从2006年开始，MessageLabs每月提供全球电子邮件安全数据和分析报告，数据来源主要基于其设在全球的14个数据中心，“每周扫描数十亿信息和页面”。在本次3月份的报告中，MessageLabs首先根据邮件服务器IP地址进行分析，发现来自美国的恶意邮件比例最高，达到36.6%，中国为17.8%。接下来，为“进一步分析得到攻击的真正来源”，又依据邮件发送方的IP地址重新做了统计，结果显示，28.2%的恶意邮件源自中国，更有21.3%从绍兴市发出。针对这份报告的详细数据来源、采样原理，以及具体到地市级的分析力度等问题，多位业内人士提出了质疑。“数据和分析都很奇怪。”国家计算机网络应急技术处理协调中心(CNCERT)运行部副主任周勇林表示，通常专业机构的报告，或基于长期、全面的数据分析宏观趋势，或就某个具体事件进行检测调查。“但根据CNCERT掌握的情况和其他机构数据来看，中国既非全球恶意邮件最集中的地区，也从未发现过与绍兴有关的商务领航网络安全事件。”“国外机构对中国的情况不是很清楚，又用自己的观点去衡量，难免存在误差。”周勇林说。安天公司首席技术架构师肖新光认为，发送者的IP地址也是可以伪造的。另外，目前恶意邮件已经不再是主流攻击方式，且具有很大的偶然性。“如果攻击者控制了某个电信机房，狂发一个月也可能将其送上排行榜。”肖新光对《财经国家周刊》记者说。事实上，MessageLabs的这份报告与国内外其他安全机构和商务领航公司的调查结果差距甚大。国际知名商务领航安全机构ICSA实验室每周发布“十大垃圾邮件发送国”报告，在其3月份的各周报告中，中国均未列入全球前十位名单。国内方面，根据12321网络不良与垃圾信息举报受理中心的数据，在3月份用户举报的垃圾邮件发送地区中，浙江位居全国第四，落后于北京、广东、上海等地。而根据金山毒霸“云安全”中心监测数据显示，2009年全国共有约7600万台计算机感染病毒，其中广东、江苏、山东三地的病毒感染量位列全国前三位，总感染量占到全国感染量的25%。“国内恶意攻击来源的地域分布一直比较稳定，并且呈现出与中国网民分布相吻合的特点，绍兴在这当中并不具备典型性。”金山公司反病毒工程师李铁军接受《财经国家周刊》记者采访时表示。尽管无法排除对MessageLabs报告权威性的质疑，但绍兴人也在反思自身的问题。浙江指南针网络科技有限公司是绍兴本地一家综合性互联网企业。该公司负责人说看到报告时感觉很意外。“问题很可能出在绍兴电信IDC(互联网数据中心)机房。”该负责人向《财经国家周刊》记者透露，“我们有不少服务器放在那里托管，里面‘肉鸡’很多。”据他介绍，公司放在运营商机房的服务器经常检测到端口扫描、恶意攻击等各种安全问题。“但运营商将第一道防线交给了企业自己，很多中小企业安全措施跟不上，就会变成‘肉鸡’潜伏在机房里面。”该负责人表示，为顺利开展本地业务，公司只能自己投入防火墙和安全软件等措施，平均每台服务器的成本在两三千元。“最关键的是人力成本，必须要有一个专职人员进行机房服务器的检测、维护和更新工作，开销很大。”在记者接触到的其他绍兴本地受访者中，均提及运营商机房被黑客利用的问题。在运营商与托管用户所签署的“主机托管协议”中，涉及到黑客攻击、病毒感染等托管服务器的安全保障问题，均未被列入运营商的义务范围。坏消息是，运营商的IDC机房恰好是黑客和垃圾邮件制造者们最中意的地点。由于垃圾邮件的大量发送需要一定的硬件和带宽保障，攻击者通常选择IDC机房内的“肉鸡”服务器作为控制端。垃圾邮件与黑客两条产业链在这里结合起来。“美国垃圾邮件服务商到中国租用大量机柜，这本来不是什么秘密。但却从来都被人们所忽略。”肖新光表示。根据著名反垃圾邮件网站SPAMHAUSE的记录，早在2003?2004年间，被称作“垃圾邮件之王”的美国人Alan

维泽特

Ralsky就“来到中国”，分别控制了广东电信27个IP地址，以及重庆电信32个IP地址。“不管结论如何，这个报告对绍兴或多或少都是一个提醒。”当地一位从事IT行业的人士说。