北京时间5月2日消息,据CNN网站报道,回到2000年,一位身穿条纹衬衫、戴着矩阵式墨镜的少年走上一场匆忙安排的新闻发布会,他就是臭名昭著的“ILOVEYOU”病毒的制造者,从福特到美林证券再到五角大楼和英国议会无一幸免,造成了估计100亿美元的损失。
在菲律宾首都马尼拉郊区的奎松市(Quezon City),身穿条纹衬衫、戴着矩阵式墨镜的古兹曼(Onel de Guzman)从一群摄影师中穿过,走上一场匆忙安排的新闻发布会,眼睛呆呆地盯着地板。他就是臭名昭著的“ILOVEYOU”病毒的制造者。
一连串的严重后果让古兹曼本人也是目瞪口呆。他被指控制作和发布了一个严重的全球计算机病毒,导致世界各地的企业和政府机构的运营中断,从福特到美林证券再到五角大楼和英国议会无一幸免,造成了估计100亿美元的损失。
20年过去了,“ILOVEYOU”病毒仍然是传播范围最广的病毒之一。全球数千万台电脑受到影响。尽管计算机安全和技术在过去20年里取得了进步,但它暴露的漏洞人类至今仍在应对。
这篇关于“ILOVEYOU”病毒的报道是基于对最初案件中执法人员和调查人员的采访,当时CNN的报道以及美国联邦调查局(FBI)、菲律宾警方和五角大楼的报告。
为撰写本文,记者多次试图联系古兹曼,包括通过他的家人和前律师,但均未成功。自2000年以来,古兹曼一直未对此案发表公开评论,目前下落不明。
“情书”疯传的那个下午
2000年5月4日下午,加泽利(Michael Gazeley)坐在香港星光电脑城(Star Computer City)的办公室里。星光电脑城是一个由众多IT公司和销售电子产品的商店组成的商业楼,从这里可以俯瞰香港的维多利亚港。
几个月前,加泽利和他的长期商业伙伴约翰逊(Mark Webb-Johnson)成立了自己的信息安全公司Network Box,专门保护客户免受网络威胁。两人都有几十年的行业经验,刚刚结束了针对新千禧虫(Y2K)漏洞的准备工作,迎接着千禧年的到来。
然而互联网的发展是把双刃剑,新的挑战不断涌现,加泽利时过多年还记得当天那个下午。
突然他办公室里所有的电话立刻响了起来。首先是他的客户,然后是非客户,他们都疯狂地打来电话,希望Network Box能够帮助阻止一种在他们系统中肆虐的病毒,一种会破坏和损毁数据的病毒。
他们都讲述了同样的故事情节:办公室里有人收到了一封主题为“我爱你”的电子邮件,邮件内容是:“请查收附件中我的情书。”当他们打开一个看似文本的文件——实际上是一个伪装成文本的可执行程序,病毒很快就控制了邮箱,把它自己的副本发送到每个人的电子邮件地址簿中。那些收件人认为这封邮件要么是一个奇怪的笑话,要么是一个严肃的爱情宣言,于是打开了附件,这导致了病毒进一步传播开来。
很快许多办公室的电子邮件服务器就被堵塞了,成千上万封“情书”来回发送,将病毒传播给更多电脑。结果证明,这比一封自动复制的连锁邮件糟糕多了。在复制自己的同时,“ILOVEYOU”病毒摧毁了大部分受害者的硬盘,重命名并删除了数千个文件。
许多给加泽利打电话来的人越来越恐慌,因为他们没有备份,而安全公司不得不向他们尴尬地承认,他们的许多文件——从电子表格、财务记录到照片和mp3——很可能永远丢失了。
加泽利回忆道:“当时人们还没有网络安全的概念,他们没有意识到电子邮件也可能是如此危险的。”
在香港,这种病毒破坏了投资银行、公关公司和道琼斯通讯社的通讯系统,以及它们的文件系统。
在2000年,整个互联网概念还是相对较新鲜的。根据联合国机构国际电信联盟(ITU)的统计,当时只有28%的香港地区用户能上网,英国和法国分别为27%和15%。即使在这项技术的发明国美国,也只有43%的美国人能上网。
事发时两年前,好莱坞影星瑞恩(Meg Ryan)在电影《网上情缘》中才向人们介绍了网恋的概念。
5个小时内,亚洲、欧洲和北美沦陷
当“ILOVEYOU”病毒袭击欧洲时,英国电脑安全专家格雷厄姆(Graham Cluley)正在出席瑞典斯德哥尔摩的一个安全会议。他刚刚描述完与此无关的一种病毒,该病毒的目标是一个现已失效的操作系统,会劫持用户的账户,向他们的同事广播信息,包括“周五我恋爱了”这样的内容。格雷厄姆开玩笑地表示,这可能会让大多数人感到非常尴尬,但也可能无意促成办公室恋情。
会议结束后,与会者的手机和呼机开始疯狂地响个不停。几位嘉宾找到格雷厄姆,询问他描述的病毒是否通过电子邮件传播。他向他们保证它不会——而且,无论如何,它的活动范围仅限于一个大多数人不使用的小众系统。
格雷厄姆在英国的家中接受采访时回忆称:“他们说,嗯,这很奇怪,因为我们突然收到了一大堆写着‘我爱你’的邮件。”
格雷厄姆一打开自己的手机,就被大量来电、语音邮件和短信通知给轰炸。就在他回到家时,格雷厄姆所在的杀毒软件公司Sophos的电话就被打爆了,全是客户求助电话,以及试图搞清楚到底发生了什么事的记者的电话。
格雷厄姆当即决定赶赴机场坐飞往伦敦的航班,甚至还因为源源不断的信息耗尽了他诺基亚手机的电量,不得不与一位慷慨的出租车司机交换手机电池。当他的飞机降落在英国时,一辆车正等着把他带到一个电视演播室,讨论这个现在已经成为世界上最重磅的互联网新闻之一。
在5个小时内,“ILOVEYOU”病毒就传播到了亚洲、欧洲和北美,其传播速度比1999年感染了100多万台电脑的梅丽莎病毒快15倍。
英国下议院的电子邮件服务器在2000年5月4日开始投入运营后不久,就不得不因为超载而关闭,福特汽车公司、甚至连微软也遭遇了同样的事情。微软的Outlook软件是传播这种病毒的主要手段。
当时,Windows控制了个人电脑市场95%以上的份额,Outlook与微软Office捆绑在一起,当时在电脑上办公它几乎是必装的软件。对大多数人来说,Outlook就等于电子邮件。
今天,许多电子邮件服务是通过集中式服务器运行的,比如Outlook.com或Gmail,但在2000年,公司是通过他们托管网站的服务器来运行电子邮件的。这带来了拥堵、速度慢和严重的安全问题。
回想那个时候,格雷厄姆指出:“许多公司没有对他们的电子邮件网关进行过滤,连垃圾邮件都挡不了,更不用说病毒了。”
尽管美国提前发出了警告,但病毒在美国传播得同样快——几乎所有人都忍不住打开了这封“情书”。在五角大楼内部,当该病毒出现在美国陆军司令部的邮件列表时,引起了大家一片恐慌。
从那时起,除了少数几个不使用Outlook的基地外,美国几乎所有主要军事基地都眼睁睁地看着自己的电子邮件服务瘫痪,被迫中断了数小时。
威胁至今仍然存在
在菲律宾以外的地方,也有一些古兹曼“作品”的崇拜者。在“ILOVEYOU”传播后的几个小时内,模仿者如雨后春笋般冒了出来,邮件内容包括“非常有趣”、“笑话”、“母亲节”,最讽刺的是,还有人直接命名为“病毒警报!!”。令人惊讶的是,尽管当时媒体对“ILOVEYOU”病毒进行了铺天盖地的报道,但这并没有阻止许多人打开这些带有不同信息的可疑附件。
FBI后来估计,在反病毒软件和电子邮件客户端升级之前,“ILOVEYOU”及其变种造成了约100亿美元的损失。时至今日,“ILOVEYOU”仍然是传播范围最广的病毒之一,它袭击了世界各地数以百万计的计算机。
前美国国家基础设施保护中心(NIPC)主任瓦提斯(Michael Vatis)表示:“它产生了巨大的影响,这在当时的几天内都是全球范围内的头条新闻,这是前所未有的一次网络攻击。”
虽然之前的网络攻击造成了更直接的损害,并且未来的攻击将更加复杂,目标也将更加有效,但它们的范围相比之下也要有限得多。其他病毒的目标是特定地点、企业或政府。但“ILOVEYOU”可以影响任何运行Windows Outlook的人。
瓦提斯认为:“它的攻击方式和范围是前所未有的,它使人们意识到,它不仅针对国防机构或网站的所有者,还可能发生在任何坐在家里或办公室使用电脑的普通人身上,并且它可以对电脑的使用和运行能力带来巨大破坏。”
尽管电子邮件客户端在过滤看似恶意的信息方面做得越来越好,但“ILOVEYOU”利用的主要漏洞仍然无法解决。
格雷厄姆表示:“你可以更新你的操作系统,或者你可以拥有世界上最好的电子邮件过滤器,但你无法修补人类的弱点。”
迄今为止,一些最成功的网络攻击——无论是与民族国家行为者、犯罪组织还是独立黑客有关,他们都将社交工程作为其主要武器。2016年从民主党全国委员会(DNC)窃取电子邮件的黑客是通过欺骗克林顿(Hillary Clinton)的竞选主席波德斯塔(John Podesta),让他交出自己谷歌账户的密码。2003年以谷歌为目标的人则是通过即时消息来攻击该公司的员工账户。另外勒索软件攻击(ransomware attack)是一种越来越常见的诈骗形式,受害者的电脑和账户被冻结,只有他们付钱后才能解锁。
尽管一些黑客利用零日漏洞,关键软件中此前未披露的漏洞,或特制的间谍工具来追踪受害者,但许多人使用的代码并不比“ILOVEYOU”攻击中看到的复杂得多。因为没有必要。
瓦提指出:“人类总是薄弱的一环,通过某种社交工程陷阱来利用一个人,几乎总是比破解某种技术防御措施要容易。”
自从“ILOVEYOU”攻击发生之后,有一件事发生了一些变化,那就是大多数公司对此类事件的准备程度。他们大多数开始至少有某种反病毒保护软件,并备份他们的数据。但所有在20年前研究过“ILOVEYOU”病毒的专家都认为,人们对可能造成毁灭性打击的网络攻击仍然存在惊人的自满情绪。
香港网络安全专家加泽利认为:“令人恐惧的是,20年后,仍有许多组织没有认真对待此事,除非它们遭到攻击。很多人仍然没有提前计划。”
为了很大程度上防止此类攻击的是,大多数公司和个人将运营电子邮件服务器的工作外包给那些知道如何做到最好的机构——主要是微软和谷歌,并依赖他们来过滤传入的消息、删除垃圾邮件和报告潜在的攻击。
如果像“ILOVEYOU”这样的蠕虫病毒想办法通过这些过滤器,并且在这些大公司推出补丁前传播得足够快,那么它造成重大损害的可能性仍然存在。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。