安全软件截获的暴风影音stormliv.exe后台进程连接网络。
5月19-20日,江苏、河北、山西、广西、浙江等十几个省份出现大规模网络故障,网速严重下降,大量网站无法访问。工信部通报称,问题源于baofeng.com网站的域名解析系统受到网络攻击出现故障。昨天暴风影音发表公开信,表示已经正式报警,并将配合案件调查。但对网友强烈谴责的其在软件中安插“后门”行为,暴风影音并无回应,网友于是发动了更强烈的谴责。
事件具体过程
网友“lonelyjames”在网络发表文章《暴风长老,请收了神通吧》进行了详细的技术分析。
首先,要明白什么是DNSpod.电信拆分以后,南电信北网通的情况困扰着国内网站管理者,因此各类网站开始租用南北双线服务器。DNSpod是一家DNS(域名管理系统)解析服务提供商,免费提供智能DNS解析服务,可以为同时有电信、网通、教育网服务器的网站提供智能的解析,让电信用户访问电信的服务器,网通的用户访问网通的服务器,达到互联互通的效果。所以国内非常多的网站,包括暴风影音都使用DNSpod的服务。
在这个前提下,事件的简要经过就是:
一个游戏“私服”的网站打算对它的竞争对手发动攻击。黑客在没法黑掉竞争对手网站的情况下,干脆从域名下手,对DNSpod的服务器进行了狂轰滥炸。DNSpod的服务器中有那么一台瘫痪了。这一台恰好为暴风影音提供域名解析。暴风影音的客户端在用户不知情的时候偷偷访问暴风网站,现在上不去了。接着全国的暴风用户集体转向电信的DNS解析服务器发起请求。因为全国有一半联网的电脑都在使用暴风影音,所以电信服务器很快就瘫痪了。在部分电信机房暂时屏蔽了暴风网站的IP地址之后,网站开始恢复。
引发全国性网络故障的关键在于,暴风影音只是一款播放软件,没必要启用后台程序不停联网,不管用户是否启动了暴风影音,其后台程序只要一开机就会自动联网。另一个关键是其在国内的安装数量异常庞大。
这被网友认为是非常内行而且可信的分析。
暴风影音道歉
暴风影音于5月20日发布公告称,“事故原因系DNS域名解析故障,网络故障造成多家网站受到影响,暴风也是受害者之一。”很多网民在新闻跟帖中描述了自己的电脑安装暴风影音后,在不启用软件的时候仍然有进程在后台运行的情况,而这些进程则是造成此次全国大规模断网的元凶。也有网友在跟帖中表示,暴风影音应该站出来为这次断网事件道歉,并修改软件的“后门”程序。
昨天,暴风影音在其官方网站上再发表一封公开信,“再次对广大网民和用户表示歉意和进行说明”。公开信称,“暴风进行了反思,该事件因涉及暴风而扩大了影响,表现出公司在提供的产品和服务上存在不足,需要我们及时完善。”
这些天来,他们进行了大量工作,包括“积极收集证据,配合dnspod报案,配合工信部网络安全保障局和公安局网监处调查案情,争取早日捉拿对DNSpod发起攻击的事件始作俑者。5月23日晚,DNSpod和暴风公司已经将整理好的相关材料和服务器数据上交公安局网监处,正式完成报案程序。”
但是对网民反应强烈的“后门”程序问题并无回应:“产品服务的方面,暴风软件的升级机制,存在在网络环境异常情况(如DNS中断)下的考虑不足。暴风公司立刻开始进行机制的修改。暴风已于本周日完成程序开发,并马上投入到测试和用户更新中。”
对此,网上的抨击也非常强烈。有网友在跟帖中表示,“暴风影音应该站出来为这次断网事件道歉,并修改软件的‘后门’程序。”更有网友调侃说,文章标题应该改为:《暴风断网事件致网民公开信:已向警方自首》,这样顺眼多了。
网易科技发表评论称,对于这起事故而言,即使是有意为之还是无心之过,暴风影音都理应懂得为其软件缺陷(或是“有意留的后门”)承担起责任来,而不是继续以受害者自居躲在公众疑问的背后。呼吁政府相关管理机构能够出台规定,加强对这类商业软件行为的规范,限制软件违规后台进程,建立相关审批制度,对违规行为严惩不怠。
脆弱的中国互联网
网民也表达了对中国网络安全的担忧,“lonelyjames”在文章中说,“暴风影音的一个后台进程竟然成功做到了很多黑客们想都不敢想的疯狂事情。”业内人士分析认为,此次黑客是利用大量肉鸡对DNSPod进行的攻击。
所谓的“肉鸡”,是一种形象的说法,也称为“僵尸”,指拥有管理权限的远程电脑,也就是受别人控制的远程电脑,而之所以自己的电脑被别人操作,往往是因为中了木马,或者留了后门(系统漏洞)。
当大量“肉鸡”被远程控制,向服务器发送大量的虚假信息请求时,服务器由于不断应付这些无用信息而筋疲力尽,就会出现所谓的分布式拒绝服务(DDos),结果就形成了合法用户遭到服务器的拒绝服务,无法正常登录网络的现象。
据国家计算机网络应急技术处理协调中心(简称CNCERT)抽样监测统计,2008年我国境内感染木马控制端的IP地址为438386个,感染木马被控端的IP地址为565605个,感染僵尸网络控制端的IP地址为1825个,感染僵尸网络被控制端的IP地址为1237043个。2008年CNCERT共发现各种僵尸网络被用来发动拒绝服务攻击3395次、发送垃圾邮件106次、实施信息窃取操作373次。可见我国感染木马和僵尸网络恶意代码的数量之大,面临的网络安全问题之严重。
今年6月1日起,我国将执行《木马和僵尸网络监测与处置机制》及《互联网网络安全信息通报实施办法》以更有效地防范和处置木马和僵尸网络引发的网络安全隐患,净化网络环境,维护公共信息安全。