被FBI点名的中国黑客-Lion

网名：Lion(狮子)
真实姓名：林勇
QQ：21509
   
简介：红客联盟创始人(该组织在2001年5月的黑客大战中一举成名，会员人数最多时达到6万，很有影响力)，现在安氏因特网安全系统(中国)有限公司高级技术专员。特长：3年以上WindowsNT系统管理员经验，2年以上Unix系统管理员经验，对Solaris、Linux、WindowsNT/2000系统安全有较深入了解；熟悉各种安全产品的使用，熟悉各种网络安全技术和黑客攻防技术，有丰富黑客攻防实战经验，有丰富的项目管理和安全顾问工作经验；精通汇编、C/C++语言，能熟练使用UnixShell、Perl、PHP、ASP，熟悉各种常见的脚本漏洞；有很强的自学能力和组织管理能力，有良好的团队精神和协作精神

　　2003年1月25日北京时间13时30分到19时30分的6个小时里，全球互联网遭受历史上从未曾有过的安全威胁，亚洲、北美和欧洲的网络全都陷入了瘫痪或者半瘫痪的状态。

　　美国FBI一位发言人称，他们怀疑此事与一名自称“Lion”的中国黑客有关。全球惊魂6小时

　　1月25日中午，广州的龙先生和同事吃完午饭，匆忙赶回杂志社。今天是他们的截稿日，下午会有很多作者通过电子邮件发来稿件，他们要赶紧处理。

但当他们打开电脑，顿时傻眼：他们无法连上邮件服务器收取信件，甚至无法登陆任何网站。

　　龙先生和同事们急得不断打电话到为他们提供网络服务的公司反映，可是他们的求助甚至没人能给一个合理的解释。情急之下，龙先生愤怒地说：下个月我们就转用中国电信！

　　但此时，中国电信用户也正面临同样的难题。上海的王女士要在当天下午将一份报价方案发给正在澳大利亚的经理，以准备下星期一开始的商务谈判。

但她足足用了两小时也没能通过Outlook把邮件发出去。

王小姐试图改用网页方式发送邮件，但仅显示hotmail邮件的主页面就用了差不多30 分钟，而且执行登录操作后，网站无法连接。

王女士从中国电信的服务热线中得知，上海地区的互联网出口堵塞，中国电信正在全力抢修。

　　一筹莫展的王女士只好打国际长途向经理汇报，电话一接通，话筒里就传来经理焦急的声音：怎么现在一个网站都连不上？！

这种焦急的情绪在国内的网上蔓延。从1月25日13时30分左右开始，国内几乎所有网站在同一时间内无法访问，但一些网上通讯软件仍能够正常使用，关于事件原因的种种谣言开始通过这些通讯软件传播开来，仅记者一人就从QQ的好友中得到以下几种猜测：美伊爆发信息大战，殃及全球；中国遭受美国黑客攻击；中国电信正在调整带宽；中国的互联网政策发生变化……

事实上，互联网正遭受自上世纪90年代以来最严重的一次安全威胁。这是一起全球范围的网络安全事件，从北京时间13时30分到19时30分的6个小时里，亚洲、北美和欧洲的网络全都陷入了瘫痪或者半瘫痪的状态。这起网络堵塞事件涉及范围之广，在互联网历史上从未有过先例。

　　面对突如其来的袭击，互联网在混乱中沉默，近6个小时中，竟没有一家网络安全公司对事件发布自己的分析。

从19时开始，全球的互联网通讯逐步恢复正常，技术专家们开始发布自己的研究进展。

　　国内对这起网络堵塞事件最早的技术分析出现在教育科研网的“水木清华BBS”。

一位名为“chapson”的网友，能够接触到中国互联网的国际出口，他在帖子中总结：“今天下午，网络突然变得极度繁忙，很多地方出现堵塞。在国际出口上进行抓包，发现大量的udp包发向目标端口1434，并且还伴随着一个发向1434端口的大包，大得我无法形容……估计这次又是某个病毒的大爆发，但各大安全组织和机构都还未公布其性质，此病毒的攻击对象应该是windows系列server版本的
SQLserver，现在传播途径还未确定，请大家警惕！”

　　事件发生约7个小时后，国际著名网络检测机构MatrixNetsystems发布消息，认为这起事件是由一个蠕虫病毒造成的。

　　MatrixNetsystems还对事件进行了初步描述：大约从格林尼治标准时间1月25日5
时（北京时间13时）开始从亚洲传播，但很快就成功袭击了美国和北欧的网络服务器。

　　20时之后，刚刚从惊恐中缓过劲来的全球互联网业界开始清点损失：

　　在“受灾”最为严重的韩国，当地时间15时左右就已经完全失去与国际互联网的联系，成为一个信息孤岛。到了16时左右，韩国国内的互联网接通率下降至不到
10％，所有有线和无线互联网服务实际上全部停止。
　　总统金大中说：“这是一起严重的事件，人民的生活受到了干扰。”

他下令各相关部门尽快拿出恢复和重建韩国互联网的计划，以避免事件再次发生。事件对韩国经济的影响从27日的股票市场上得到充分体现：KOSPI指数下跌
3.14％，成交量减半，行业巨头三星电子的股价下跌4.15％，两大电信公司韩国电信和SK电信的股价下跌更加厉害。

　　在美国，25日下午，美洲银行的13000台自动提款机曾一度无法进行交易。由于自动售票系统受到感染，总部位于休斯敦的大陆航空公司不得不推迟多个航班。美联社和《费城问询报》的出版系统一度受到影响，无法正常工作。

包括农业与商业部在内的众多网站无法正常工作。专家分析，如果事件不是发生在周末而是发生在工作日，美国将遭受数倍的损失。

　　“我被FBI点了名”

　　根据全球各网络安全机构发布的信息，现在我们已经能够大致确认蠕虫病毒发作的时间是1月25日13时到13时30分之间。但更为关键的问题是，这个蠕虫病毒源自哪里？

　　1月26日，包括《纽约时报》、《华盛顿邮报》在内的众多国外媒体，在报道1月25
日的网络瘫痪事件时，都采用了美联社的新闻稿件，那篇稿件中提到：

FBI正在寻找这起网络攻击事件的源头……FBI一位发言人说：“一些网络安全专家指出，引发这起攻击事件中的程序与数星期前一个自称‘Lion’的人在一个中国黑客网站上发布的电脑源代码非常相似。”但他同时表示无法确认自己的说法。

　　这些新闻让“Lion”成为这次网络危机中惟一的被怀疑人。（在黑客这个圈子里，尤其是顶尖高手是不冒用他人名号的，因此外号也具有固定性）“Lion”上一次成为焦点人物是在2001年5月。当时，年仅21岁、还是在校大学生的“Lion”作为“中国红客联盟”的创始人和负责人，是那次中美民间网络大战的发起人之一。

去年，“Lion”已经大学毕业，现就职于北京一间网络安全公司。
　　记者几经周折，和“Lion”约好在网上采访。

　　“Lion”开口第一句话就是：“那程序不是我写的，我要是想写，早发出来了。”

　　“Lion”回忆，他的确公布过一个关于微软SQL数据库的程序代码，但那是在2002年
10月份，而且绝大部分代码也不是他写的，他只是修改了当时漏洞发布者写的代码中的几个错误。

　　根据“Lion”的回忆，记者找到了他当初发布的信息，发布日期是2002年10月14日。与最初的漏洞发布者发布的代码相比，“Lion”版本的代码改动的确不大。

但这个顶尖黑客跟以前一样爱玩。经常记者一个问题发了过去，好长时间都得不到回答，他解释“其实我在玩游戏”。

　　1月27日，美联社之前的稿件中关于“Lion”的部分已经删除，只留下“联邦调查局正在就事件进行调查”的内容。在大部分媒体的网站上，相关报道的内容也已经进行了修改。

　　当记者问“Lion”：对FBI的说法，你感到担心吗？

　　“Lion”的回答明显带着孩子气：叫FBI带上证据来中国抓我吧！然后加上一句“我玩游戏去了”，之后对记者的提问再没有回答。

　　有史以来最大的信息垃圾场从1月25日20时之后，国内外网络安全机构和公司陆续公布了研究报告，对这起事件达成了一致看法：事件由蠕虫病毒引发，这个蠕虫病毒向目标计算机发送376个字节大小的数据包，利用了一个微软SQL数据库中的安全漏洞。

　　从自身特性上看，这次的蠕虫病毒算是比较温和：它不破坏计算机的硬件设备，也不对硬盘上的资料作任何修改，它只是潜入受感染计算机的内存。电脑关机或重启之后，病毒就会从机器中消失，所以现在几乎所有网络安全机构都将重启机器作为后备方案向用户推荐。

　　此外，有网络安全专家经过分析后发现，这次的病毒本来能够具有更大的破坏力，但它的编写者并没有将它的传播能力发挥到最大，从这个角度上讲，写病毒的人这次还算是手下留情了，否则情况将更加不堪设想。

　　但就是传播效率高和发送垃圾数据量大两大特征，让这只“温和”的病毒对互联网造成了前所未有的伤害。

　　传播效率高让这只病毒在短短两个半小时内感染了全球近30万台计算机，而这么多机器同时发送巨大的垃圾数据包，足以拖垮曾经让人们无比自豪的互联网。

　　“Lion”认为，这次肆虐的蠕虫病毒的确与2001年流行的“红色代码”蠕虫病毒有些相似，但比后者高级。

　　这次的蠕虫病毒之所以能够造成这么大范围的网络阻塞，是由于传播速度和发送数据的速度很快，“每分钟发送几十M数据确实没问题”。

　　根据中国互联网信息中心2003年1月公布的最新调查结果，中国目前的国际出口带宽为
9380M，也就是说，只要中国受感染的机器数量超过1万台，就有可能耗尽中国所有的国际出口带宽，将中国的互联网与国际隔离开来。

　　这也就是为什么在堵塞高峰时间，国外的网友几乎无法访问中国网站的原因。

　　而从MatrixNetsystems公布的监测数据可以看到，在情况最恶劣的时候，互联网上有四分之一的数据来自这个病毒，让互联网这个最丰富的信息库成为最巨大的信息垃圾场。