一个计算机黑客的网络失足

来源：Donews〔 2005-04-01 〕

自从Internet诞生以来，这个由各种数据和信息交织而成的网络编程为了一个大型的第二社会，很多人在网络中寻找到了自己新的生活方式，新的就业机会，新的人生态度，所有的一切都让得以接触网络的人群面向着一条虚拟世界的竞技场，然而网络的隔阂和数字的虚拟让犯罪者的心理也开始无所畏惧，于是网络在某些人的眼里成为了无法无天的代名词，他们认为，那里是他们的天下……

从玩火到纵火

徐立（化名），河北省唐山某钢铁公司设备机动处机加工分厂的一名普通工人，然而这个刚刚28岁的普通青年因为开发了BKDR-VB।CQ木马程序（文件名：ipxsrv.exe）构造“僵尸网络（Bot.net）”，并利用其实施DDoS攻击很可能成为中国网络发展史上第一个因为黑客及网络入侵而判刑的人。2005年2月3日被河北省唐山市路北区人民检察院依法以涉嫌破坏计算机信息系统罪批准逮捕，一副手铐结束了他网络无法无天的黑客生涯……

徐立没有接受过专业的计算机学习，只是在钢铁公司附属的技校读过书，但是他幸运的从1999年就开始接触到了互联网，正是互联网改变了徐立的人生轨迹。在接触互联网的最初，徐立迅速被这样网络世界中丰富多彩的内容震撼了，他第一次看到了什么叫做网页，第一次接触到了远在天边的陌生网友，所有的这一切都让他感觉新奇和刺激，这个外表腼腆的小伙子渴望着来自网络的沟通，虽然他也仅仅是刚刚接触网络，但是他仍然清晰的感觉到，网络就为了他而生的。

接触网络不久，很快徐立就迷恋上了当时Windows 98中内嵌的一个聊天软件Chat，通过Chat他能够进入全世界各大聊天室，和来自全世界任何一个某个角落里的人无限制的沟通。“当时并没有QQ这种软件，而且ICQ在国内也不是很普及，最初的网民都是在IRC聊天室中认识，我就在燕赵信息港的聊天室中认识了很多网友。”但是网络攻击事件很快将徐立拖出了单纯聊天排解寂寞的目的，他很快就发现，在网络中的某些高手，只要看谁出言不慎就可以将其踢出聊天室，即便是在自己不是聊天室管理员的情况下也为所欲为。在多次被这些高手赶下舞台之后，徐立开始对这种Chat中踢人的技术产生兴趣，很快他就找到了这款能够在Chat中踢人的软件，在河北省燕赵信息港的Chat中小试身手。

“要知道那种网络攻击的成功给人的带来的不仅仅只有精神上的喜悦，那是一种无法形容的快感，于是我就开始对网络黑客技术产生了浓厚的感兴趣，特别是那种在Chat聊天室中风光的感觉。”然而徐立没有意识到，这种超越了现实中法律的约束，在虚拟世界中称王称霸的留恋感觉已经将他推上了黑暗的大门。1999年，徐立已经开始不再满足单纯的在聊天室里踢踢人，他开始开发自己的Chat聊天工具，他根据mIRC这款开源的IRC聊天工具基础上开发了自己的第一个Chat聊天软件“XL_BOT”。XL_BOT中他添加了一些诸如语言轰炸、自动回复、自动踢人等Bot的功能。由于这款工具在IRC聊天室中所显示的独特威力，很快风行一时，最终某省信息港的Chat聊天室因为Bot之类的攻击和其它原因最终被迫关闭。

什么是BOT？BOT就是ROBOT(机器人)的缩写，是一组用来自动管理IRC聊天室、辅助进行聊天、甚至进行搞笑的程序。例如，大家可能都在聊天室里看到过某些人能够每次都打出不同的彩色文字、或者某人因为一说脏话就被踢出的情景吧？这就是用到了BOT。很多IRC客户端软件都提供了编写BOT的功能，例如Microsoft Chat、Pirch、mIRC।等

信息港Chat的关闭并没有让徐立的行为得到遏制，相反他开始在全国各个IRC聊天室中兴风作浪，当在某个聊天室中遇到强敌的时候，他就会想尽方法的向强敌发起挑战，为此他还专门自学了大量VB编程的知识，并根据国外一些IRC踢人工具开发了自己的第一个真正的黑客程序“Script।exe”。这款黑客工具通过扫描网络中的IP段寻找到被植入Subsever木马的计算机用户，然后再利用Subseven自身的弱点，让这些带有木马的用户的计算机自动将Script.exe的服务端下载到计算机中执行，在掌握了大量的计算机后，徐立可以通过控制所有被入侵的计算机一起想IRC聊天室的服务器进行攻击，从而达到将聊天室的所有网友“轰炸”下线的目的。由于这款工具的威力和攻击力非常强，一时间在全国甚至世界一些著名的IRC服务器危害一时。但是徐立不但没有感觉到自己在玩火，而是从某些网友的“钦佩”与赞许中得到了来自网络中更多的快感，这时的徐立认为，在网络中，至少在IRC这片天空中，他已经成为了当之无愧的“王者”。

感染灵魂的病毒

2000年，徐立已经不再满足去别的IRC聊天室中捣乱，为了提高自己在IRC放面的技术和知识，他开始自己租用服务器搭建自己的IRC聊天室，在搭设服务器的过程中，徐立也经受了各种网络攻击，多样的攻击方式让徐立学到了大量的网络攻击知识，徐立并没有因为自己建设IRC聊天室而将精力花在去研究如何防范网络攻击的技术，他却相反的将自己所有见到的攻击方式重新整理并编写出了Script।exe攻击软件的升级版本Msapp，这个程序大大提高了对IRC服务器的功能能力，它能够通过IRC服务器本身发放被病毒感染的垃圾数据包，并且可以通过指令让用户到指定的地址下载文件，随后Msapp迅速通过Kuangz这个后门软件为感染源，采用了与Script同样的手段感染那些已经感染了Kuangz后门的计算机，由于程序的攻击性大增，徐立在自己最高峰的时候控制了将近一万台各种计算机。随后徐立又不断的完善Msapp的攻击能力，在程序中还加入了IPC共享扫描、自动植入功能，让受害用户突破将近三万人。

此时的徐立虽然找到了一份想当稳定的音乐下载网站网管员工作，但是为了虚拟的快感他已经全然不会在估计任何后果，“因为在我看来，网络IRC中几乎没有能够和我抗衡的对手了。”自信膨胀徐立随后又针对Windows NT/2000/Xp系统服务启动方式将Msapp।exe程序去掉Ipc共享漏洞扫描繁殖功能升级为Rasinf.exe程序，还利用大量感染Rasinf.exe程序的计算机对著名的甲骨文公司的Web服务进行了10分钟的攻击测试，致使其停止了服务。技术让徐立充满了自信，他深信自己就是网络中的游侠，四处烧杀闯荡网络这个没有法律的虚拟江湖。

2004年冲击波、振荡波接连袭击全球，国内诸多公司也愈加的开始重视网络安全，恶意的网络入侵和网络攻击更是被法律定性为了刑事犯罪，徐立开始担心自己会失去网络管理员的工作，于是为了达到提高自己网站的访问量等诸多目的，徐立再一次改进了Rasinf木马病毒，他不仅仅重写了全部的程序代码，更将下载文件、发起拒绝服务攻击、终止主机进程、搜集主机系统信息、自身升级等功能威力更大的攻击方式添加到了病毒中，并将这款新的威力强大的木马病毒命名为Ipxsrv（杀毒软件公司将其称为僵尸病毒）。2004年6月份，徐立将编写完成的僵尸木马病毒通过托管在网通唐山公司的服务器上开始进行大面积散播，根据检查部门保守统计，仅仅半年时间，僵尸木马病毒已经传染了计算机将近四万多台。

“我在当时已经掌握了很多傀儡机了，每天都由几万台计算机可以由我操控发动网络攻击，也就是在这个时候我开始尝试性的攻击与我们开展同样业务的公司的服务器。”在程序测试阶段，徐立先后对国内几家知名的门户网站的音乐下载站点进行攻击，取得了不小的战果，随后徐立将自己的第一个真正的目标所定在一家在大陆的外资公司的服务器，这家公司与徐立的所在公司开展着同样的网络音乐下载业务，而且人气相当火爆。“他们网站的人气很旺，如果能够把他们消灭掉，那么我们网站很可能新多出大量的分流出来的注册用户。”为了这个目的徐立开始了自己第一次系统策划的网络攻击。

“我最初先是利用僵尸木马病毒中中所设计的TCP、TCPD、PORT、HTTP和URL等命令，强性大流量的攻击改网站的Web服务栏目首页、DNS域名解析服务器、网站首页、客户端登陆页面等。我开始就是想让他们没有新用户注册了，让他们公司的网站注册功能瘫痪，但是让我恼火的是他们没有多久就安装了网络防火墙，并停止了一些多余的服务，这样我攻击他Web页面的成功率就大大下降了。”不过徐立并没有就此罢手，“在我看来他们添加防范设备就是在藐视我的技术能力，所以我又开始针对他们的音乐下载软件端口进行攻击，而且采用了新的攻击手段，我就是想告诉他们，这种防范更能够刺激我旺盛的斗志。”于是接下来的一段时期徐立又开始使用TCP Sync Flood和UDP Flood等多种攻击类型对这家网站的音乐下载服务端口发动了DDoS洪水攻击。

由于每天几万台的洪水攻击，该公司的网站很快就陷入了瘫痪，为了和黑客对抗，该公司甚至邀请了国内外许多知名的安全公司来与徐立对抗，并在无奈的情况下升级了音乐下载软件的许多功能，但是由于该网站软件端口自身的友善性被徐立利用而致使该网站始终无法提供稳定服务，仍然无法回复正常工作。国内一位安全专家在谈到这件事情的时候说：“虽然他的攻击手段和攻击方式非常原始，但是像这样的洪水攻击至今在世界上都没有很好的办法，包括Yahoo等国外的大公司，在遭到巨大的洪水攻击的时候，也会很无奈。”

“我们除了采用设备防堵之外，也寻找到了国内外相关专家协助，我们甚至将服务器扩充、上传下在的流量进行负载均衡的分散、网站软件改版、服务器分布架构变更等一系列措施。但他针对我们网站的攻击并无固定时间段和固定攻击方式，所以上述举措都无法防御这种针对性不强但很有目的洪水攻击。最终我们的网站彻底瘫痪，无法提供正常服务，不算防御的损失，仅仅下载业务就损失数百万元。”

依靠道德还是法律？

1998年中国的网络安全事件几乎为0，在随后的几年里，伴随着Internet浪潮对全民的洗礼，黑客攻击事件开始直线上升。不过值得我们注意的是中国网络攻击事件的逐年增多似乎是一种包裹着“民族感和侠义”的畸形产物。从最早的绿色兵团攻击印尼网站到中国红客攻击美国网站，网民大众似乎将到处发动网络攻击，挤占宝贵网络资源，破坏网络设置的黑客当作了心目中的英雄，当作了为民族生张正义的勇士。于是在中国的红色网络中，一时间各种红客黑客网站纷纷打着或正义或民族的口号办着网络这个自由国度所最不耻勾当。

一方面国家加大投入不断的提高自身网络安全性加强各种立法，而一方面国内的各种黑客却犹如雨后春笋般的冒出，甚至形成了一道畸形的“黑色产业链”。随着冲击波和振荡波这种大危害病毒的浮现，随着病毒木马软件开始走向“商业化”，随着普通百姓也要面临QQ、邮箱、资料被盗，现在已经将网络视为生活一部分的大众才突然发现，用道德，用尊严，用民族，用那些所有无形的东西来约束一个利益，一个诱惑，甚至一个快感的无形人群的时候是那么的脆弱与软弱无力。

比如在2001年以前，国内的多数黑客网站都是均是纯粹探讨技术的安全站点，而今几乎百分之百的发展进化成为了“指导您狂刷Q币，让你无法查杀的病毒，盗取任何游戏QQ号码”的网络黑店，病毒在换成金钱，黑客技术成为商品大量贩卖已经极大的危害到了每一个网民的头上，仅仅腾讯公司的QQ号码申诉网页，每天就要处理成千上万条盗号的投诉，黑客已经越来越脱离了道德的底线，触动着刚刚修改的计算机犯罪法律条例的神经。根据问卷调查现实，很多网络黑客要么认为自己技术水平高超，警察不会抓到他，要么感觉自己的事情不会引起警察注意，更有甚者甚至认为网络无法律。

2004年底，随着公安部副部长白景富的一声令下，净化网络空间的战役的打响，公安部决定清理、打击利用互联网进行传播有害信息的违法犯罪活动；建立一套严格管理、有效防范、及时打击网上违法犯罪活动的长效机制。要通过各种专项行动，有效遏制境内互联网上犯罪的传播蔓延，增强互联网站的行业自律意识，促进互联网规范、有序、健康发展。

这样一个目标的实现，在中国当前的网络社会背景上，虽然不能完全依赖法律的打击，也不能全然仰仗对道德的期许，但法律最终将会成为高悬在病毒制造者和网络犯罪分子头上的达摩利斯之剑。

［专家说，徐某很可能被判处3～5年有期徒刑，他将成为中国历史上一个被判以重刑的网络黑客］

其他被判刑黑客链接：

浙江省首例“黑客”犯罪案今天一审宣判，被告人罗云彬被台州市椒江区法院以破坏计算机信息系统罪判处有期徒刑一年六个月，缓刑二年。

罗云彬1989年大学毕业后进入台州市黄岩电信局工作，后供职于中国联通台州公司。经法院认定，2001年6月，罗云彬从互联网上下载了有关扫描程序进行扫描，发现黄岩电信局的一台电脑正在上网。他即用其原来在黄岩电信局工作时获知的电脑密码成功登录该机，并将自编的程序拷贝至该电脑，使之成为侵入中国电信计算机系统的跳板机。此后，罗云彬多次通过该机非法登录台州电信计费数据库服务器，致使数据库崩溃，直接经济损失3．65万元。

在1997年，冰人作为一个黑客被捕，本来应该是一件极为轰动的事，出乎意料的是平静如水。如果说中国有最像凯文·米克尼克的人，那一定是冰人。冰人为什么被捕，到现在也没有人说得清楚，但是在我的印象中，冰人的主页上并没有太多特别的黑客软件，看不出他的水平到底有多高。据他自己说，他对无线电非常有研究，用一个旧对讲机，加一个5米长的铜丝就是截获模拟手机的密码，然后可以复制模拟移动电话。这一点更让人觉得冰人是一个像米克尼克那样的典型早期黑客。很快就听说了冰人被捕的消息。据说，罪名有三：盗用电话号码、出售黑客光盘、拥有黄色信息。网上当时有激烈的讨论，许多黑客都封掉自己的网站逃之夭夭。此后再也没有冰人的消息，有人说他去了新加坡，但是没有办法证实。

法律链接：

1、计算机信息系统的含义
1994年2月18日，国务院发布的《中华人民共和国计算机信息系统安全保护条例》第2条作了如下规定：

本条例所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
2、计算机病毒的含义

1994年2月18日，国务院发布的《中华人民共和国计算机信息系统安全保护条例》第28条作了如下规定：

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3、非法侵入计算机信息系统罪

《中华人民共和国刑法》第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机系统的，处三年以下有期徒刑或者拘役。

4、破坏计算机信息系统罪

《中华人民共和国刑法》第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序，影响计算机系统，后果严重的，依照第一款的规定处罚。

5、全国人民代表大会常务委员会《关于维护互联网安全的决定》2000।12.28）

一、为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：

（二）故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害。