警惕网络军备竞赛维护网络空间安全<br/>——由勒索病毒WannaCry肆虐引发的思考

警惕网络军备竞赛维护网络空间安全
——由勒索病毒WannaCry肆虐引发的思考

2017-09-18于世梁

湖北行政学院学报 2017年4期

关键词：网络战勒索端口

于世梁

（江西行政学院，江西南昌 330003）

·政治学研究·

警惕网络军备竞赛维护网络空间安全
——由勒索病毒WannaCry肆虐引发的思考

于世梁

（江西行政学院，江西南昌 330003）

黑客工具一旦成为网络武器，其威力足以摧毁一个国家的整个网络系统。在网络空间已经成为国家的重要疆域、网络战已经成为国家对抗的重要手段这一时代背景下，各国为了自身的安全和利益，越来越倚重网络部队和网络武器的应用，从而引发新的网络军备竞赛，这给全球网络空间构成了巨大的威胁。防止网络军备竞赛，维护网络空间和平，需要各国的共同努力。面对日益严峻的网络安全形势，应做到未雨绸缪，练好内功，提升网络对抗能力，实现关键信息基础设施的自主安全可控，为网络空间安全提供全方位的强有力保障。

勒索病毒；黑客工具；网络武器；网络战；网络军备竞赛

黑客工具，是指黑客用于对计算机系统进行扫描、监控、入侵和攻击的各类工具的总称。正如黑客被政府招募即成为网络战士一样，黑客工具被政府所用即成为网络武器。黑客工具一旦成为网络武器，其威力足以摧毁一个国家的整个网络系统。2007年俄罗斯对爱沙尼亚、2008年俄罗斯对格鲁吉亚发动的网络攻击，几乎使两个国家的网络系统全部瘫痪。

2017年5月12日，一款名为WannaCry（想哭）的勒索病毒攻击了包括中国在内的150多个国家。中国高校、加油站、公安等部门和企业成为这次勒索病毒攻击的重灾区。勒索病毒WannaCry携带了一个名为“永恒之蓝”（EternalBlue）的黑客工具，而这个黑客工具来源于一个具有官方背景的黑客组织去年失窃的“网络武器库”。

此次勒索病毒大规模爆发，引起国际社会的高度关注。在事件发生后，欧洲刑警组织（Europol）和英国国家网络安全中心（NCSC）分别迅速组成了网络安全专家小组对该事件展开调查。2017年5月16日，中国外交部发言人在举行的例行记者会上表示，勒索病毒黑客攻击事件，突显了网络安全问题的重要性和紧迫性。各方应切实强化共同安全理念，维护网络空间和平，防止网络军备竞赛，确保网络技术促进人类福祉[1]。

诚然，维护网络空间和平与安定，是各国人民的共同心愿，也需要世界各国的共同努力和协作。但是，在网络空间已经成为国家的重要疆域、网络战已经成为国家对抗的重要手段这一时代背景下，各国为了自身的安全和利益，将会越来越倚重网络武器的应用。网络武器的泛滥给全球网络空间和平带来了潜在的重大威胁。这次勒索病毒攻击事件造成的重大影响再次表明，中国的网络空间还无法很好地抵御来自外部的网络攻击。

一、勒索病毒WannaCry的攻击特点

勒索病毒WannaCry是一款蠕虫病毒①蠕虫病毒：是一种通过网络自我复制和进行传播的病毒。，它主要感染存在系统漏洞②系统漏洞：指软件中影响计算机系统安全的缺陷或错误。的电脑，并通过文件共享端口③端口：是计算机设备与外界通讯的出入口。在局域网中自动传播。勒索病毒WannaCry还携带了采用强加密算法的黑客工具，使得电脑感染病毒后文件被加密。用户只有在向勒索者支付赎金后，才有可能被解密恢复。勒索病毒WannaCry的攻击流程如图1所示。

图1 WanaCry勒索病毒攻击流程图[2]

勒索病毒WannaCry，具有以下主要特征：

1.依据微软操作系统漏洞进行攻击

系统漏洞是网络攻击得以成功的技术前提，及时发现漏洞并进行修补是网络安全的基本要求。但是，由于许多国家已经将系统漏洞视为重要的战略性资源，他们不会把发现的漏洞提供给软件开发企业和计算机用户。例如，美国就长期囤积系统漏洞，勒索病毒WannaCry攻击借助的系统漏洞，最初就是掌握在美国政府手中[3]。

勒索病毒WanaCry，主要攻击使用微软Windows操作系统且存在编号为MS17-010的漏洞（该漏洞允许远程执行代码）的电脑。2017年3月14日，在勒索病毒WanaCry爆发之前，微软已经发布了针对MS17-010漏洞的补丁①补丁：指对软件使用过程中暴露的问题而发布修补程序。，并于2017年4月15日发出了漏洞安全预警。但这一安全预警并未引起包括政府和企业在内的计算机用户的高度重视，从而造成使用微软windows操作系统且没有更新补丁的电脑成为此次勒索病毒攻击的主要对象。

2.通过电脑的共享端口进行传播

端口是网络中计算机之间进行相互通信的通道。在执行网络应用和使用网络服务时，必须打开对应的端口，否则这些应用和服务就可能无法完成。但是，开放端口存在安全隐患，电脑病毒和木马程序可以利用开放的端口对计算机发起攻击。所以，出于安全的考虑，不常使用的端口常常被关闭。

445端口是一个文件共享端口，用于在局域网内访问共享文件夹或共享打印机。但是，开放445端口也给黑客提供了可乘之机，勒索病毒WannaCry正是通过445端口进行传播。只要局域网中有一台电脑感染了该病毒，无需人工干预，被感染的电脑会通过445端口对局域网内的其他电脑自动发起攻击。

由于国内曾多次出现利用445端口传播的蠕虫病毒，所以出于安全的考虑，国内的部分网络运营商对个人用户的电脑关闭了445端口。但也有部分机构因为工作需要而开放了这一端口。例如，“中国教育科研网（CERNET）”出于学术、科研和对外交流的需要就开放了445端口，这使得我国高校成为此次勒索病毒攻击的重灾区。

3.采用强加密算法对文件进行加锁

数据加密是保障信息安全的重要手段。通过加密保护可以防止文件或数据被非授权者访问和阅读。数据加密的基本过程是对文件或数据按某种加密算法进行处理，使其成为无法读懂的密文。若要解密经过加密的数据或文件，必须使用事先配置的密钥。

RSA公钥加密算法②RSA公钥加密算法：是1977年由RonRivest、AdiShamir和LeonardAdleman共同提出的加密算法，RSA是三人姓氏的开头字母。是目前应用最广泛的加密算法，已被国际标准化组织（ISO）推荐为公钥数据加密标准。目前，世界上还没有任何可以攻破RSA加密算法的方式。勒索病毒WannaCry正是因为采用了RSA公钥加密算法对受害者电脑中的文件进行加密，使得用户在没有密钥的情况下根本无法解密。用户如果不向勒索者支付赎金，唯一的办法只能是格式化硬盘并重新安装系统，而付出的代价则是电脑中原来保存的所有文件将全部丢失。

4.使用比特币支付勒索赎金

随着国际社会对网络犯罪打击力度的不断增强，勒索者已经很难借助现有的银行体系收取赎金。而使用数字（虚拟）货币则可以躲避各国的金融执法监管，这也是近年来网络勒索只收取数据（虚拟）货币作为赎金的重要原因。

比特币（BitCoin）是一种依据特定算法，通过电脑进行大量计算而产生的数字虚拟货币，它使用密码学原理来确保货币产生、流通等各个环节的安全性和匿名性。比特币总量有限，且可以兑换成大多数国家的真实货币①2017年6月26日11:30，1比特币可兑换人民币19780.11元。数据来源：比特币交易网：https://www.btctrade.com/。。正因如此，比特币一经推出便很快成为网络黑市交易的主要支付形式。

勒索病毒WannaCry只接收用比特币支付的赎金。电脑文件被加密后，会随即弹出信息提示窗口，告之受害者支付价值相当于300美元的比特币赎金后，才会帮助解密电脑中的文件。受害者若不及时支付赎金，三天后赎金将翻倍，一周后电脑中的所有文件将被删除。

二、勒索病毒WannaCry来自失窃的网络武器库

勒索病毒攻击事件发生后，受波及的国家随即启动紧急应对措施。例如，2017年5月13日，欧洲刑警组织宣布成立网络安全专家小组，英国国家网络安全中心也成立了相关机构，对此次勒索病毒攻击事件展开调查。

当今的黑客及黑客组织，大多都带有政治色彩，且部分已经具有官方背景。例如，著名的黑客组织“奇幻熊”（FancyBear），其实施网络攻击的对象大多是政府、军队及安全机构，其后台被指俄罗斯政府。那么，究竟是谁，又是为什么制造了这款搅乱全球网络世界的勒索病毒呢？网络安全机构将目标指向美国。

2016年8月13日，一个名为“影子经纪人”（The ShadowBrokers）的黑客组织通过社交平台宣称，他们成功侵入了一个名为“方程式组织”（EquationGroup）的黑客组织的计算机系统，获取了大量的机密文件、数据和黑客工具。“影子经纪人”还宣称将通过互联网拍卖所获得的“网络武器”，如果他们收到100万比特币（总价值约为5.68亿美元），就会公布所有的资料。根据“影子经纪人”在网上公布的文件显示，这批泄漏的“网络武器”包含了十多款重要的黑客工具，能够攻击很多知名公司的网络产品，其中就包括思科（Cisco）、飞塔（Fortinet）、瞻博网络（JuniperNetworks）以及中国信息安全公司天融信（Topsec）等公司的网络设备和网络安全产品[4]。

“方程式组织”是世界著名的黑客组织。大量的资料显示，该黑客组织与美国国家安全局（NSA）关系密切。根据“棱镜”项目曝光者爱德华·斯诺登（Edward Snowden）提供的文件——美国国家安全局“恶意软件植入操作手册”可以确认，“影子经纪人”在网上拍卖的黑客工具尽管来自“方程式组织”，但其属于美国国家安全局，因为在这些泄漏的黑客工具中携带了美国国家安全局网络武器的“虚拟指纹”，一个特殊的16位字符串“ace02468bdf13579”[5]。

此外，据俄罗斯网络安全企业卡巴斯基实验室（KasperskyLab）发布的一份报告显示，勒索病毒WannaCry携带了一个名为“永恒之蓝”的黑客工具，而这个黑客工具来源于“方程式组织”失窃的“网络武器库”。2017年4月8日，“影子经纪人”在medium.com博客网站公开了曾经多次拍卖失败的黑客工具包“EQGRP-Auction-Files”文件的密码。解密这个黑客工具包后发现，其中包含了多个黑客工具，“永恒之蓝”就在其中。

任何人都可以从网上下载“EQGRP-Auction-Files”黑客工具包，并使用“影子经纪人”提供的密码对工具包进行解密。之后，只要对黑客工具包内的软件稍做修改，即可设计成网络攻击武器。勒索病毒WannaCry就是这样被制造出来的，其制造者至今没有被找到。

三、网络军备竞赛的大幕已经拉开

传统的武器，又称为兵器，是用于攻击敌方人员、阵地和设施的工具。传统武器与战争息息相关，并在很大程度上能够决定一场战争的胜败。网络武器则是用于现代网络战争的“兵器”，它主要包括各种黑客工具。

网络战是指以破坏敌方的指挥、情报、防空、商务、政务等军用和民用网络系统为目标的网络攻击方式[6]。1993年，美国兰德公司的两位研究人员发表了题为《网络战要来了》的论文，第一次提出了“网络战”的概念[7]。之后，美国、俄罗斯、英国、日本、韩国、印度等国家，先后开始组建自己的网络战部队，网络军备竞赛的大幕从此正式拉开。

1.美国：拥有强大的网络部队

2008年1月，美国政府发布了《国家网络安全综合纲领》，将网络空间战略由注重防御，过渡到防御与攻击相结合的综合行动。2011年7月，美国国防部发布了《网络空间行动战略》，将网络空间上升到同陆、海、空、天并列的行动领域，并首次提出将外国向美国计算机系统发起的攻击视同战争行为。

2010年5月，美国网络司令部成立。这标志着美国网络部队正式组建完成。经过多年的发展壮大，美国目前已经拥有133支网络部队，职能涵盖国家任务部队、国家支援部队、作战任务部队、作战支援部队、国家网络防御部队、军事网络防御部队以及作战司令部与国防部信息网络防御部队等[8]。

不仅如此，美国还秘密研制了大量的网络攻击武器，并逐渐形成了较为完整的网络武器系列。例如，计算机病毒“震网”（Stuxnet）、“火焰”（Flame）、“高斯”（Gauss），就属于一个系列的网络攻击武器。

2010年8月，美国研制的“震网”（Stuxnet）病毒侵入了伊朗纳坦兹核电站的计算机系统，获得了西门子公司为伊朗设计的铀浓缩设备的控制权，最终导致用于生产浓缩铀的1000多台离心机瘫痪。

2012年5月，美国研制的蠕虫病毒“火焰”（Flame）在中东地区大范围传播。“火焰”病毒感染计算机系统后会释放木马程序，并利用键盘记录、截屏、录音、摄像等方式收集敏感信息后，将获得的信息自动发送给病毒的制造者。

2012年8月，美国研制的“高斯”（Gauss）病毒现身中东，其攻击的主要目标为黎巴嫩的各大银行。借助“高斯”病毒，攻击者可以监视银行交易，窃取目标电子邮件、即时聊天工具和社交网站等登录信息以及用户银行账号。

“震网”、“火焰”和“高斯”病毒，覆盖了从网络监控、信息窃取、目标打击、自行销毁等整个网络攻击环节，已经形成了强大的网络攻击能力，他们只是美国“网络武器库”的“冰山一角”。在“方程式组织”去年被窃的“网络武器库”中，就包含了10多款重要的网络武器。有消息称，其中任何一款网络武器都可以攻破全球70%的Windows系统漏洞[9]。

2.俄罗斯：拥有先进的黑客技术

2017年2月22日，俄罗斯国防部长谢尔盖·绍伊古表示，俄军已经建成信息作战部队，它比苏联军队的相关机构有效和强大得多。信息作战部队隶属于俄军，其主要任务是负责实施网络战的防御和攻击，拥有大型“僵尸网络”①僵尸网络：是一种能够组织成千上万台电脑对目标实施网络攻击的网络。、无线数据通讯干扰器、计算机扫描软件、网络逻辑炸弹等多种网络攻击武器[10]。

在网络战实战中，俄罗斯表现出强悍的网络攻击能力。2007年4月，在俄罗斯与爱沙尼亚的冲突中，俄罗斯对爱沙尼亚国内的网络系统发动了猛烈攻击，致使爱沙尼亚全国的主要网络全面瘫痪。2008年 8月，在俄罗斯与格鲁吉亚的冲突中，俄罗斯对格鲁吉亚国内的网络系统发起了大规模的攻击，导致格鲁吉亚的电视、通信、金融、交通等系统全面瘫痪。

此外，俄罗斯研制的网络武器，已经具备对网络目标实施多种打击的能力。2015年12月，乌克兰电力系统遭到一款名为“黑色能量”（BlackEnergy）电脑病毒的攻击，造成全国三分之一的地区（约140万个家庭）断电。2016年1月19日，乌克兰基辅鲍里斯波尔机场一个计算机工作站遭到“黑色能量”病毒攻击，导致连接机场的计算机网络被切断。“黑色能量”病毒最早于2007年被发现，由绰号为Cr4sh的俄罗斯黑客编写。

3.其他国家：积极备战网络战

除了美国和俄罗斯，在网络军备上不遗余力地展开竞赛外，其他国家也为网络战积极备战。

2011年，日本防卫省组建了“网络空间防卫队”，负责防卫省和自卫队的网络系统的安全保障工作。2012年，日本政府与富士通公司签订了一个为期3年、总值1.79亿日元的研究计划，着手研制一种可以在遭到网络攻击时，能够反向探测攻击路径，并对攻击源进行反击的计算机病毒[11]。

2009年6月，英国政府宣布成立“网络作战集团”，主要负责英军网络战行动规划，协调军地技术专家对军事网络目标进行安全防护。2010年，英国政府将网络防御与安全预算追加到6.5亿英镑，其中很大一部分用于网络武器的研究和开发[12]。2015年8月，英国联合部队司令部要求政府在未来五年投入20亿英镑，聘请300名网络专家，开发能够侵入他国计算机网络系统的网络武器[13]。

四、结语

勒索病毒WannaCry只是庞大计算机病毒家族的一员，从病毒传播的角度来说并不复杂，而且在病毒爆发之前微软已经发布了修复漏洞的补丁，并发出了安全预警。但是，由于部分网络管理者和广大民众网络安全意识淡薄，导致很多机构和企业还是没能抵御住勒索病毒的攻击，这值得深刻反思。

网络攻击是继核战争和大规模杀伤性武器之后，对国家安全威胁最大的一种攻击方式。在互联网日益成为促进国家发展、推动社会进步、增强人民幸福的网络信息时代，网络武器对全球网络空间构成了巨大的威胁。为此，世界各国应该共同协商，制定一部类似于《核不扩散条约》、《禁止化学武器公约》、《禁止生物武器公约》的《网络武器使用国际公约》，以此来约束、限制网络攻击武器的研制、扩散和滥用，为网络空间和平安定提供制度保证。

防止网络军备竞赛、维护网络空间和平，是世界各国人民的共同心愿，需要各国的共同努力。2015年12月16日，习近平主席在“第二届世界互联网大会”开幕式上的讲话中强调：网络空间，不应成为各国角力的战场。各国应该携手努力，共同遏制信息技术滥用，反对网络监听和网络攻击，反对网络空间军备竞赛。各国应该加强沟通、扩大共识、深化合作，共同构建网络空间命运共同体，维护网络空间和平安全[14]。

网络信息时代，网络渗透、网络控制和网络攻击，已经成为霸权国家处理国际争端的重要手段，网络战也越来越成为影响未来战争胜负的关键因素。面对日益严峻的网络安全形势，只有做到未雨绸缪，积极练好内功，全面提升网络对抗能力，努力实现关键信息基础设施自主安全可控，才能为网络空间安全提供全方位的强有力保障。

[1]外交部.2017年5月16日外交部发言人华春莹主持例行记者会[EB/OL].http://www.fmprc.gov.cn/web/fyrbt_673021/jzhsl_673025/t1462257.shtml，2017-05-16.

[2]腾讯网.腾讯反病毒实验室.腾讯安全反病毒实验室解读“Wannacry”勒索软件[EB/OL].http://tech.qq.com/a/20170513/018532.htm，2017-05-13.

[3]惠志斌.道高一尺魔高一丈——网络勒索的走势与治理[N].光明日报，2017-06-07.

[4]陶凤，初晓彤.斯诺登再出手美网络“武器库”秘密不再[N].北京商报，2016-08-22.

[5]郭爽斯.诺登新文件：美国攻击全球的网络“武器库”遭袭[N].中国科学报，2016-08-22.

[6]于世梁.网络战:一场没有硝烟的战争[J].辽宁行政学院学报，2013，（6）.

[7]龚新华，韵力宇.网络战用看不见的方式摧毁你[N].中国青年报，2011-01-14.

[8]张锋.美军建133支网络部队应对网络战[N].解放军报,2014-04-03.

[9]彭训文.勒索病毒肆虐凸显三大信息安全问题[N].人民日报海外版，2017-05-26.

[10]辛奇，袁艺，祝旦龙.发展网络战，各国有招数[N].解放军报，2015-04-17.

[11]石纯民.日本大力研发网络武器[J].国防教育，2012，（1）.