江南水鄉(xiāng)紹興緣何一夜之間變身全球“黑客之都”?

一夜之間，有著“東方威尼斯”美譽的江南水鄉(xiāng)紹興變身為全球“黑客之都”。

當(dāng)?shù)貢r間3月25日，美國賽門鐵克公司發(fā)布了3月份MessageLabs Intelligence研究報告，指在當(dāng)月全球有針對性的惡意電子郵件攻擊中，有21.3%源自中國紹興市。

很快，英國《星期日泰晤士報》等外媒援引此報告，稱“中國東部的一座城市，已經(jīng)被確認(rèn)為網(wǎng)絡(luò)間諜的世界中心。黑客的主要目標(biāo)是亞洲防務(wù)政策的專家和人權(quán)活動人士?！?/p>

此前的2月18日，美國《紐約時報》曾報道說，谷歌及數(shù)家美國公司遭遇的“黑客襲擊”事件與山東藍(lán)翔高級技工學(xué)校和上海交通大學(xué)有關(guān)。

一個多月之后，“中國黑客代言人”這頂帽子被傳到了紹興頭上。

小城波瀾

消息很快在小城掀起了一場波瀾。

在紹興當(dāng)?shù)仡H具人氣的“紹興E網(wǎng)”論壇上，紹興人對此事討論熱烈，但多稱之為笑話——“紹興盛產(chǎn)師爺，不產(chǎn)黑客?！薄半y道藍(lán)翔技校在紹興開了分校?”“黑客之都?被黑客操縱的‘肉雞(被黑客入侵種植木馬病毒的電腦)’之都更合適。”

“我的第一反應(yīng)是覺得很無聊。”朱偉健在紹興市人民醫(yī)院從事信息化工作10多年，他對《財經(jīng)國家周刊》記者表示，紹興是一座夾在杭州和寧波中間的小城市，整體計算機網(wǎng)絡(luò)水平并不高，“更像是一個安居的城市?！?/p>

也有猜測認(rèn)為，惡意郵件攻擊事件可能與紹興市發(fā)達(dá)的紡織外貿(mào)業(yè)有關(guān)——位于紹興市內(nèi)的中國輕紡城市場，是亞洲規(guī)模最大的紡織品專業(yè)批發(fā)市場。

但這種說法被中國輕紡城集團股份有限公司信息化部門負(fù)責(zé)人否定了:“我身邊做外貿(mào)的朋友非常多，從未聽他們說過發(fā)垃圾郵件做生意，或是經(jīng)常受到攻擊什么的?！?/p>

“紡織面料行業(yè)不太可能做這樣的事情。一是商戶信息化層次普遍不夠，且規(guī)模有限。另外，紡織品的推銷需要看得見摸得著才行，通常借助博覽會而不是垃圾郵件來推廣產(chǎn)品。” 該負(fù)責(zé)人說。

此事亦引起紹興當(dāng)?shù)爻鞘泄芾碚叩闹匾暋?/p>

紹興市公安局已在3月29日就此事開過專題會議，并與市級主管部門進行了協(xié)商，同時向公安部匯報了情況。

但疑問并未得到解答，“這里的信息化水平不至于那么發(fā)達(dá)吧?”一位當(dāng)?shù)毓賳T電話里的聲音充滿困惑。

報告疑團

發(fā)布這份研究報告的MessageLabs公司成立于1999年，主要提供電子郵件安全和管理服務(wù)。2008年10月，MessageLabs被賽門鐵克公司以近7億美元現(xiàn)金的價格收購。

從2006年開始，MessageLabs每月提供全球電子郵件安全數(shù)據(jù)和分析報告，數(shù)據(jù)來源主要基于其設(shè)在全球的14個數(shù)據(jù)中心，“每周掃描數(shù)十億信息和頁面”。

在本次3月份的報告中，MessageLabs首先根據(jù)郵件服務(wù)器IP地址進行分析，發(fā)現(xiàn)來自美國的惡意郵件比例最高，達(dá)到36.6%，中國為17.8%。接下來，為“進一步分析得到攻擊的真正來源”，又依據(jù)郵件發(fā)送方的IP地址重新做了統(tǒng)計，結(jié)果顯示，28.2%的惡意郵件源自中國，更有21.3%從紹興市發(fā)出。

針對這份報告的詳細(xì)數(shù)據(jù)來源、采樣原理，以及具體到地市級的分析力度等問題，多位業(yè)內(nèi)人士提出了質(zhì)疑。

“數(shù)據(jù)和分析都很奇怪。”國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)運行部副主任周勇林表示，通常專業(yè)機構(gòu)的報告，或基于長期、全面的數(shù)據(jù)分析宏觀趨勢，或就某個具體事件進行檢測調(diào)查。“但根據(jù)CNCERT掌握的情況和其他機構(gòu)數(shù)據(jù)來看，中國既非全球惡意郵件最集中的地區(qū)，也從未發(fā)現(xiàn)過與紹興有關(guān)的網(wǎng)絡(luò)安全事件。”

“國外機構(gòu)對中國的情況不是很清楚，又用自己的觀點去衡量，難免存在誤差。”周勇林說。

安天公司首席技術(shù)架構(gòu)師肖新光認(rèn)為，發(fā)送者的IP地址也是可以偽造的。另外，目前惡意郵件已經(jīng)不再是主流攻擊方式，且具有很大的偶然性?！叭绻粽呖刂屏四硞€電信機房，狂發(fā)一個月也可能將其送上排行榜。”肖新光對《財經(jīng)國家周刊》記者說。

事實上，MessageLabs的這份報告與國內(nèi)外其他安全機構(gòu)和公司的調(diào)查結(jié)果差距甚大。

國際知名安全機構(gòu)ICSA實驗室每周發(fā)布“十大垃圾郵件發(fā)送國”報告，在其3月份的各周報告中，中國均未列入全球前十位名單。

國內(nèi)方面，根據(jù)12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心的數(shù)據(jù)，在3月份用戶舉報的垃圾郵件發(fā)送地區(qū)中，浙江位居全國第四，落后于北京、廣東、上海等地。

而根據(jù)金山毒霸“云安全”中心監(jiān)測數(shù)據(jù)顯示，2009年全國共有約7600萬臺計算機感染病毒，其中廣東、江蘇、山東三地的病毒感染量位列全國前三位，總感染量占到全國感染量的25%。

“國內(nèi)惡意攻擊來源的地域分布一直比較穩(wěn)定，并且呈現(xiàn)出與中國網(wǎng)民分布相吻合的特點，紹興在這當(dāng)中并不具備典型性?！苯鹕焦痉床《竟こ處熇铊F軍接受《財經(jīng)國家周刊》記者采訪時表示。

IDC隱患

盡管無法排除對MessageLabs報告權(quán)威性的質(zhì)疑，但紹興人也在反思自身的問題。

浙江指南針網(wǎng)絡(luò)科技有限公司是紹興本地一家綜合性互聯(lián)網(wǎng)企業(yè)。該公司負(fù)責(zé)人說看到報告時感覺很意外?！皢栴}很可能出在紹興電信IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)機房?！痹撠?fù)責(zé)人向《財經(jīng)國家周刊》記者透露，“我們有不少服務(wù)器放在那里托管，里面‘肉雞’很多。”

據(jù)他介紹，公司放在運營商機房的服務(wù)器經(jīng)常檢測到端口掃描、惡意攻擊等各種安全問題。

“但運營商將第一道防線交給了企業(yè)自己，很多中小企業(yè)安全措施跟不上，就會變成‘肉雞’潛伏在機房里面?！痹撠?fù)責(zé)人表示，為順利開展本地業(yè)務(wù)，公司只能自己投入防火墻和安全軟件等措施，平均每臺服務(wù)器的成本在兩三千元?！白铌P(guān)鍵的是人力成本，必須要有一個專職人員進行機房服務(wù)器的檢測、維護和更新工作，開銷很大。”

在記者接觸到的其他紹興本地受訪者中，均提及運營商機房被黑客利用的問題。在運營商與托管用戶所簽署的“主機托管協(xié)議”中，涉及到黑客攻擊、病毒感染等托管服務(wù)器的安全保障問題，均未被列入運營商的義務(wù)范圍。

壞消息是，運營商的IDC機房恰好是黑客和垃圾郵件制造者們最中意的地點。

由于垃圾郵件的大量發(fā)送需要一定的硬件和帶寬保障，攻擊者通常選擇IDC機房內(nèi)的“肉雞”服務(wù)器作為控制端。垃圾郵件與黑客兩條產(chǎn)業(yè)鏈在這里結(jié)合起來。

“美國垃圾郵件服務(wù)商到中國租用大量機柜，這本來不是什么秘密。但卻從來都被人們所忽略。”肖新光表示。

根據(jù)著名反垃圾郵件網(wǎng)站SPAMHAUSE的記錄，早在2003#12316;2004年間，被稱作“垃圾郵件之王”的美國人Alan Ralsky就“來到中國”，分別控制了廣東電信27個IP地址，以及重慶電信32個IP地址。

“不管結(jié)論如何，這個報告對紹興或多或少都是一個提醒?！碑?dāng)?shù)匾晃粡氖翴T行業(yè)的人士說。