中国网军

Solidot | 中国特色的职业黑客

虽然中国外交部和国防部坚决否认中国军方情报机构是一系列网络攻击的幕后操作者,但他们的辩护理论仅仅是“中国也是黑客攻击受害者”。据美联社报导,中国职业黑客具有一些绝无仅有的特色。兰德的网络安全专家Martin Libicki专家说,来自中国的黑客袭击不但肆无忌惮,而且坚持不懈,“中国的黑客攻击比其它国家多出一个数量级。黑客周末停止攻击行动,显示他们可能是受雇于人,而不是个人行为。”中国黑客攻击遵循周一至周五工作周末休息的行为模式,黑客团队通常从北京时间早上8点开始工作,持续一个标准工作日,不过有时也工作至午夜。偶尔黑客攻击会暂停2周,原因不明。据美国政府委托进行的研究,解放军总参三部拥有丰富资源,有12个局,3个研究所,估计约13000名语言学家、技术和研究人员。此外还拥有七大军区、解放军信息工程大学和军事科学院的技术支持。安全专家Greg Walton指出,除了上海的61398部队外,总参三部位于成都的部门非常活跃,该部门任务是窃取印度政府安全机构、智库以及位于印度的西藏流亡政府机密。

阅读更多

纽约时报 | 中美面临网络冷战

华盛顿——奥巴马政府上周将一份机密名单发给美国的互联网服务供应商,名单中罗列了一长串与一个黑客组织相关的计算机地址,这一组织已经从美国公司窃取了大量数据。但是报告漏掉了一个重要的事实:几乎每一个数字地址都可以追踪到上海的一个街区,那里是中国军队网络司令部的大本营。 如何就黑客问题直接与中国未经考验的新领导集体对质,这种有意为之的遗漏,凸显出了奥巴马政府对这一问题的高度敏感,与此同时,奥巴马政府进一步要求中国停止国家支持的攻击行为,但中国政府一直坚持称这并非它所为。 Carlos Barria/Reuters 上海郊外的一座建筑里驻扎着一支中国部队,据信这里是许多黑客攻击的源头。 这一问题显示了在世界上两个最大的经济体之间,日趋恶化的网络冷战,与过往几十年发生的我们更为熟悉的超级大国冲突有多么不同。从某些方面来说,网络冷战不那么危险,但从另一些方面来说,它却更加复杂、破坏性更强。 美国政府官员称,他们如今比以前更愿意直接向中方挑战,正如司法部长小埃里克·H·霍尔德(Eric H. Holder Jr.)上周所做的,他宣布了一项打击知识产权盗窃的新战略。奥巴马总统在国情咨文演讲中说“我们知道外国政府和企业会染指美国企业的机密”,但他并未直接提及中国,也未提及奥巴马最为担心的另两个国家,俄罗斯、伊朗。奥巴马在演讲中还说:“现在我们的敌人也在追求破坏我们的电网、金融机构、空中交通管制系统的能力。” 在此种情况下定义“敌人”一词并不总是那么容易。中国和前苏联不同,与其说它是美国一个彻底的敌人,不如说中国既是美国经济上的竞争对手,又是重要的供应商和客户。去年,两国的贸易额达4250亿美元(约合2.65万亿元人民币)。尽管在外交方面有诸多摩擦,但中国依然是美国债务的重要投资人。正如希拉里·罗德姆·克林顿(Hillary Rodham Clinton)在作为国务卿首次访华的途中对澳大利亚总理所说的,“面对你的债权人,你如何强硬得起来?” 在美国情报机构跟踪的约20个黑客组织中,“注释组”(Comment Crew)是最大的一个,而有证据显示人民解放军可能是“注释组”背后的支持者,面对这些证据,美国表现出了高度的谨慎。政府官员非常高兴私营安全公司Mandiant发布报告,将网络攻击追踪到逼近中国网络司令部的地点;美国官员私下里说,他们对Mandiant的结论没有异议,但是他们不愿意具名这么说。 这就解释了为什么在向网络服务供应商提出的警示中,没有在列出可疑服务器地址时,提及中国的名字。一位情报官员说,“我们被告知,直接羞辱中国会带来严重后果。那样做只会让他们更迫切地维护自己,采取更民族主义的态度。” 不过这种观点正在发生改变。ABC新闻频道(ABC News)周日的《本周》节目(This Week)中,密歇根州众议员、众议院情报委员会(House Intelligence Committee)主席麦克·罗杰斯(Mike Rogers)被问道,他是否认为中国政府和军队是网络经济间谍活动的幕后黑手,他回答道,“这是毫无疑问的。” 美国官员说,接下来几个月,华盛顿将对包括习近平在内的中国领导人私下提出警告。习近平即将就任中国国家主席一职。国家安全顾问汤姆·多尼隆(Tom Donilon)和克林顿的继任者约翰·克里(John Kerry)都计划在近期访华。人们期待,这些私下的交流能够阐明,过去数年攻击的规模之大和专业性之高,可能会威胁到中国在华盛顿最大的同盟对它的支持——美国的商业界。 库尔特·M·坎贝尔(Kurt M. Campbell)最近辞去了负责东亚事务的助理国务卿职务,成立了一家名为亚洲集团(Asia Group)的咨询公司,来协调令人头痛的美中商务关系。他说,“美国最大的全球性企业一直在美中关系中起着稳定作用。如今,恰恰是他们在告诉中国人,这些具有破坏性的攻击可能会损害几十年来建立起来的合作关系。” 这样以中国自身利益出发进行沟通,是否能被中方所接受,现在判断还为时过早。美方之前也曾尝试过类似的论述,然而2011年4月,一名中国最高级别军方领导人来到五角大楼,拜访参谋长联席会议(Joint Chiefs of Staff)时,称自己不太了解网络武器,并称解放军并不使用网络武器。在这一方面,他听上去和奥巴马政府的口吻差不多,后者也从不谈论美国自身的网络武器库。 然而解放军的攻击以商业目标为主。它对于诸如航空航天设计,以及风能产品简图这类商业秘密很感兴趣。因为解放军在中国工业领域有很多投资,并且一直在寻求取得竞争优势。而且到目前为止,这些攻击也没有造成损失。 美国官员称这一局面必须改变。但应当采取何种应对方法,意见有很大分歧,从冷静谈判到经济制裁,还有人提出要由美国军方的网络战司令部(Cyber Command)发起反击。该司令部曾深入参与了美国和以色列对伊朗核燃料浓缩计划发动的网络攻击。 克里斯·约翰逊(Chris Johnson)曾在中央情报局(CIA)负责分析中国领导层的团队工作过20年。他说,“到目前为止的问题在于,我们能做出的反应,一方面是作出表态,另一方面是靠网络战司令部反击。但在两者之间,却没有多少其他手段。这就让应对变得如此困难。中国想要否认攻击行为、想要归咎于别人都非常容易,而且没人希望美国政府实施反击。” 这体现出了与美苏核对抗态势的另一个主要区别。在冷战时期,威慑是直截了当的。采取任何攻击,都将导致一次毁灭性的反击,因为付出的人命代价如此巨大,以至于任何一边都不愿发起攻击,即便是在古巴导弹危机这样的艰难抉择上也是一样。 但网络攻击却是另一回事。其中绝大多数采取的是刑事盗窃的方式,而不是毁坏。通常需要花费数周或数月的时间来确定一次攻击源自何方,因为攻击常常会借助其他位置的电脑服务器,使人无法辨认其来源。例如,对于《纽约时报》的一系列攻击源自中国,却借道不知情的美国大学的电脑系统。这就是为什么戴维·罗特科普夫(David Rothkopf)上周写道,这是一场“冷战”,不仅是因为其攻击通过远距离进行,还因为“它可以无限期,乃至永久地进行,也不会引发一场真枪实弹的战争。至少在理论上是如此。”罗特科普夫曾著有关于国家安全委员会(National Security Council)的书籍。 负责商业和经济事务的副国务卿罗伯特·霍马茨(Robert Hormats)等政府官员称,对抗网络攻击,获胜的关键在于向中国官方强调,这些攻击将损害他们经济增长的希望。“我们必须说清楚,” 霍马茨说,“中国人将无法得到他们想要的东西”,他说这是指“我们最优秀的科技公司的投资,除非他们能让这一问题迅速得到控制”。 但情报委员会的罗杰斯主张采取一种对抗性更强的方式,包括“起诉行为不端的人”,并且拒绝向任何被认为与网络攻击有关的人及其家属,发放美国签证。 接下来的争论将涉及政府是否应当采取报复行动。华盛顿已经充斥着各种会议,讨论“对冲突升级的掌控”和“延伸的威慑”,这些术语全都来自冷战。 由于网络安全行业的增长,以及攻击性网络武器的开发,其中一些讨论十分热烈,尽管美国政府从来没有承认使用过网络武器,甚至在伊朗遭受的“震网”(Stuxnet)攻击也不愿承认。人们正在幕后严肃地讨论,美国基础设施受到何种程度的攻击,总统才会下令反击?尽管中国的黑客组织尚未认真尝试进行这样的攻击。

阅读更多

编程随想 | 每周转载:天朝御用骇客是如何暴露的?

最近2星期的热点话题是:天朝61398部队的御用骇客。今天转载一些网文和图片,八卦一下御用骇客被曝光的过程。   话说美国方面这次掌握的材料已经很充分了(看完本文,你会意识到这点)。但是天朝外交部摆出一副”死猪不怕开水烫”的架势,打死不承认。 ★图片若干   在此次事件中,最有价值的信息,就是美国计算机安全公司 Mandiant 发布的报告(共76页,下载链接在” 这里 “)。这份报告算是比较详细的,介绍了御用骇客的种种事迹和入侵手法。对网络安全有兴趣的同学,这份报告值得一读。   考虑到很多读者比较懒,俺贴出该报告的其中几张截图,再配上俺的简要解说。 ◇中国电信授权61398部队接入上海005中心 这是中国电信的一个内部文件(截图下方是发现该文件的网址)。 里面明确提到了:61398部队隶属总参三部二局,位于高桥(上海浦东)。 ◇御用骇客常用的工具 这是御用骇客收集用户口令的工具。 这是御用骇客收集 Windows 系统信息的批处理脚本。 ◇御用骇客使用的 IP 地址 下面几张是美国方面监控到的,入侵美国公司所用的 IP 地址,有相当多的攻击来源,是来自于上海市浦东区高桥镇。 如果你看过俺写的《 如何隐藏你的踪迹,避免跨省追捕 》可能会觉得奇怪:这帮御用骇客难道不用代理吗? 俺来解释一下: 1. 御用骇客的人数很多,素质也是参差不齐。 人多了之后,难免会有人不遵守纪律。有些人估计是嫌麻烦,没做到 “入侵的全过程都通过代理”。 只要有 1% 的人出现疏忽,那么整个团队所在的位置就会被曝光。 2. 御用骇客跟民间骇客不同。民间骇客搞入侵,一旦暴露有可能会被抓。所以,有经验的民间骇客会更小心谨慎。而御用骇客是朝廷的人,不用担心被抓。因为缺乏心理上的顾虑,也就没有那么小心谨慎。 某些替朝廷辩护的五毛会说,这是别国的黑客利用中国的肉鸡做跳板。 如果真的是这样,那就非常奇怪了:为啥别国的黑客碰巧都用了上海浦东区高桥镇的网段当肉鸡?而且碰巧高桥镇还驻扎着一个解放军的网络战部队? ◇被人肉的骇客之一:汪东(网名 Ugly Gorilla) 他暴露的主要问题在于,他使用了相同的邮箱(uglygorilla@163.com),相同的网名(UglyGorilla)注册了如下网站: 1. 中国军网 该网站隶属《解放军报》旗下。2004年,张召忠(赫赫有名的天朝战略忽悠局局长)做客该网站,接受网友的在线提问。当时汪东曾向张召忠在线提问,问题内容是关于”中国网络战”。 看来张召忠的忽悠能力很强啊。连御用骇客都成为他的粉丝了。 2. rootkit.com 这是国外知名的黑客网站,专门提供 “木马/后门” 等方面的资料。 该网站后来被大名鼎鼎的 ” 匿名黑客组织 ” 攻破并爆库,用户数据库中就有 uglygorilla@163.com,且注册该帐号的 IP 地址(58.246.255.28)来自上海浦东高桥。 3. www.pudn.com 国内开发人员网站,美国安全专家在该网站上查到了注册用户 UglyGorilla 的真名是 “汪东”。 另外,他还喜欢处处留名——在自己开发的木马工具中,写了如下签名: v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007 细心的同学应该已经发现了,这句签名存在英语的语法错误。美国专家显然也发现这一点。他们还整理了一个清单,列出了入侵美国公司的木马软件中,存在的各种英语语法错误。截图如下: 下面两张图片,是 Mandiant 报告中关于 “汪东” 的部分。 关于 “汪东” 的案例,给大伙儿的教训就是: 如果你要从事有危险的网络活动,一定 不要混用 网络帐号(包括:邮箱、IM、网站用户名、等)。 比如俺这个 “编程随想” 的身份,涉及到的所有网络帐号(包括 G+、Twitter、等)都是单独的,跟俺日常使用的帐号完全隔离。 不光帐号隔离,连上网操作俺都是在不同的虚拟机中分别进行。 ◇被人肉的骇客之二:DOTA 此人注册了很多邮箱(比如 dota.d001@gmail.com – dota.d015@gmail.com),主要用来伪造不同身份,搞社会工程学的入侵。(如果你没听说过 “社会工程学”,可以看俺在 ” 这里 ” 的扫盲教程) Mandiant 的报告提到说,由于创建的帐号太多,所以口令管理是一件麻烦事。DOTA 经常使用基于键盘布局的口令(比如 1qaz@WSX#EDC)。这种口令表面上复杂,其实强度不够。 很可能是因为 DOTA 的口令不够强,某些邮箱帐号被 Mandiant 的专家攻破了。下面是 DOTA 的某个 Gmail 邮箱的截图。 拿到 DOTA 的 Gmail 邮箱之后,DOTA 的很多入侵行为就显而易见了。 Mandiant 的报告还提到说,DOTA 除了使用基于键盘布局的口令,还使用了这个口令(2j3c1k)。Mandiant 的专家怀疑,2j3c1k 对应于中文 “2局3处1科”(61398部队隶属总参3部2局)。 另外,DOTA 注册邮箱使用了手机接收验证码,所以他的手机也被曝光了,号码是 159-2193-7229(中国移动上海号段) 关于 “DOTA” 的案例,给大伙儿的教训就是: 网络帐号的密码一定要强。你在不同网站使用的密码一定要不同,而且要让人看不出规律。 关于密码的设计,可以参考俺这篇博文《 如何构造安全的口令/密码 》 ◇其它图片 下面这张是:61398部队的成员发表的信息安全相关论文 下面这张是:61398部队在浙江大学招收定向研究生 ★网文若干   顺便再分享几篇与朝廷御用骇客相关的网文。(以下某些链接需翻墙) 彭博商业周刊:中国网络间谍被西方专家搜索曝光 @ BBC 揭秘中国网络战部队 @ 纽约时报 纽约时报称:中国军方是黑客袭击者 @ BBC “匿名黑客组织”无意中帮助曝光中国黑客身份 @ solidot 俺博客上,和本文相关的帖子(需翻墙) : 如何防止黑客入侵 如何隐藏你的踪迹,避免跨省追捕 社会工程学扫盲 每周转载:关于黑客文化和黑客精神

阅读更多

法广 | 网络: 中国军队涉嫌参与黑客袭击继续引关注

美国网络公司MANDIANT的报告说,黑客来自上海浦东的一栋12层高大楼,编号为61398小组,属于中国人民解放军的一支。 报告指出,这里的“工作人员”全数操中国大陆口音,使用非台港通用的简体字。该机构拥有丰富资源,以上海为中心建立光纤电信架构,多年来协同进行网路攻击。 据报道,一名英国记者日前试图前往位于上海的61398部队驻地附近拍照时遭制止与短暂扣留,中国当局要求他交出拍摄的录影带。 中国『人民日报』旗下的『环球时报』今天报道说,该报记者“找到了美国媒体所称的地点,发现这里确实是一家公开的军事单位,有身穿军装的人员出入,周边未见任何异常”。 奥巴马总统已下令美国政府部门跟私人公司分享有关网络威胁的情报。美国国会考虑通过新的立法,对那些易受攻击的公司企业加强保护.。 MANDIANT的报告公开后,美国国会众议院情报委员会主席迈克•罗杰斯议员表示,现在是美国采取强硬措施的时候了。  

阅读更多
  • 1
  • ……
  • 6
  • 7
  • 8
  • ……
  • 15

CDT/CDS今日重点

【CDT月度视频】十一月之声(2024)——“一路都被撞没了,估计一圈都没了”

【年终专题】“13条生命换不来1条热搜”……2024年度“每日一语”

【年终专题】“中文互联网上的内容每年都以断崖式的速度在锐减”……2024年度404文章

更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间