周鸿祎解密西工大遭美国攻击，我们抓住NSA的手已经不是第一次了

　　文/夏宾
　　近日，中国西北工业大学遭遇网络攻击引发国内外关注，相关部门已经披露，此次攻击的＂真凶＂是美国国家安全局（NSA）特定入侵行动办公室（TAO）。
　　我们现在掌握了哪些确凿证据能锁定背后的＂黑手＂？国家层面的网络攻击带来了哪些警示？这样的网络攻击对普通老百姓有什么影响？
　　作为对此案进行全面技术分析的参与方之一，360公司创始人周鸿祎近日接受中新社国是直通车等媒体采访。
　　抓住NSA不是第一次，准确固定证据链
　　＂目前国家级攻击是网络战的最高水平，而最大的挑战是‘看不见’。＂周鸿祎称，第一个层次是要解决＂看见＂的问题，被攻击了要能知道，再进行迅速阻断，再深一步那就是＂看见＂攻击后还能知道是谁在攻击，这个难度是最高的。
　　对于此次西工大遭遇的网络攻击，周鸿祎直言：＂我们抓住NSA的‘手’已经不是第一次了，在过去两年里，已经两次在其他攻击里都发现了NSA，NSA里的网络攻击窃密活动战术实施单位叫TAO，它是全世界网络攻击水平最高的单位，手段非常厉害。＂
　　周鸿祎介绍，此次攻击中，NSA对西工大用了十几种网络武器，每一种武器针对不同的平台、不同的用途，甚至每一种武器都用了不同的漏洞。
　　在此情况下，如何能锁定到NSA？
　　周鸿祎解释道，在过去十年里，360捕获了大量的攻击样本，攻击样本有点类似病毒样本一样，对其进行分析后会发现各家的攻击武器的基因不一样，包括代码习惯、技战术等模块，就像新冠病毒不管怎么演化，都能把它的族系排列出来，360专门为了跟踪NSA的网络战武器，将其历史上很多技战法、代码样本都进行了分析。
　　＂所以这次通过代码习惯的验证，包括攻击模块的组成，还有内部一些代码命名的习惯，基本上能够比较准确地把这个证据链固定下来，证明是NSA。＂周鸿祎说。
　　他说，就像人类为了对付新冠病毒一样，要建立各种生物样本基因库，这些年360收集了全球300亿个攻击样本，这意味着所有的攻击者是怎么攻击的、用什么攻击手法都能清楚知道。＂将来应该协助国家建立一个国家级的攻击基因库和样本库，有了这个东西之后，不管谁来打你，你在发现攻击和溯源时，就会越来越精准。＂
　　网络战不分平时、战时，暗流涌动是巨大威胁
　　事实上，不仅仅是NSA，近年来360公司帮助国家捕获了50个境外国家级黑客组织对我国发动的数千次网络攻击。对此，周鸿祎说：＂这证明了我一个断言，即网络战不分平时、战时。＂
　　他表示，传统意义上的战争可能要等到宣战才会爆发战斗，但网络战越是在友好的时候、越是在和平的时候，他们才要用网络攻击的方法把一些攻击软件、间谍软件潜伏或渗透到重要系统里，或者预留后门、预留木马。
　　为什么要这么做？周鸿祎说，一是现在获取情报的大部分手段是通过在线攻击；二是若对方希望通过网络攻击来瘫痪我们的基础设施，不会等到要发起攻击时再去＂入驻＂，会提前做准备工作，这是我们遭遇网络攻击后最大的警示。
　　以此次西工大遭遇的攻击为例，周鸿祎表示，NSA之所以能神不知鬼不觉进来，就是因为它利用了很多隐秘漏洞，最厉害的漏洞称为＂零日（Zero Day）＂。在今天的数字化时代，几乎所有的东西里面都有软件，而软件的漏洞不可避免，漏洞又不可穷尽，就是因为漏洞的存在，导致了系统一定会被人攻进来。
　　＂有一个概念叫‘敌已在我’，就是在我们很多系统里别人不仅已经进来了，而且潜伏了一段时间。＂由此，周鸿祎认为，不要谋求建立＂马奇诺防线＂，而应是基于自身系统情况，能够把系统里已经进来的＂敌人＂及时发现并清理出去。
　　周鸿祎提到，看得见的都不是巨大的威胁，真正巨大的威胁是在岁月静好的表面下暗潮涌动，以一种非常隐秘的手法，对中国的关键单位等进行＂看不见＂的渗透和潜伏，这才是最大的攻击。
　　攻击范围分布广，对普通人亦有影响
　　国家层面的网络攻击主要目标都有哪些？这样的攻击会影响到老百姓生活吗？
　　周鸿祎表示，目前的攻击更多是利用攻击来偷取情报。＂当我们发现了CIA（美国中央情报局）、NSA对我们的攻击后，全网再普查时，就会看到他们不光是攻击了我们某一个单位，攻击了可能有上百个单位，分布的行业也非常广。＂
　　他还提醒，近年来利用网络攻击导致乌克兰大停电、委内瑞拉大停电等已经发生。而当前中国城市快速数字化，越来越多的基础设施也在数字化，所以未来对城市基础设施的攻击有可能变成下一阶段的防范重点。进入大数据时代，很多单位的核心业务都架构在大数据上。一家医院的数据瘫痪、一家运输公司财务系统数据被破坏等，这些都会导致业务停摆。
　　＂对数据做攻击的难度远远低于对工业设备的攻击，因为把数据抹掉是非常容易的，由此也出现了当前让企业非常头疼的勒索攻击，黑客把很多企业的数据加密之后，让企业无法使用数据，只有交赎金才能换回解密的密码，这也是下一个攻击延展的方向。＂周鸿祎说。
　　国家级的网络攻击跟普通人有啥关系？
　　周鸿祎称，对基础设施的攻击有可能导致大面积停水、停电，导致交通、金融出现问题，那就必然对老百姓生活产生影响。还要注意到，如果有网络公司的数据被偷窃，这样的数据流失会对老百姓的个人信息保护不利，不法分子一旦获取这些数据就能更容易地设计有针对性的欺诈行动。
　　他表示，数字化是双刃剑，一方面带来更加美好、先进、自动化的工作和生活方式，另一方面也让国家治理、社会运转、城市运行甚至老百姓的衣食住行都架构在网络、数据和软件之上。＂这个数字化底座一旦遭到攻击，后果不堪设想。所以我们这些年协助国家做的工作就是要把数字化安全变成整个数字化的安全底座，来给数字化战略保驾护航。＂
　　来自：国是直通车
　　编辑：陈昊星