微软被黑 Windows被盗

2000年10月27日深夜,世界上最有实力的企业、全球最主要的软件提供商-微软公司承认,有黑客闯入了该公司的内部计算机网络,并获取了正在开发中的软件蓝图。虽然黑客攻击大公司的网络是经常发生的事,但微软对此事相当气愤。微软立即和美国联邦调查局联手展开了调查。

黑客是如何入侵的?

据最先报道此事的美国《华尔街日报》消息,微软公司的网络安全人员早在10月25日就注意到，一封包含用于转移源代码密码的电子邮件被发送到了远在俄罗斯圣彼得堡的一个电子邮件地址，而微软公司总部则位于美国西海岸华盛顿州的雷德蒙。这说明，密码已经被人窃取。

调查人员相信，黑客是借助微软公司的电子邮件系统侵入微软内部网络的。据称,黑客使用的邮件地址是来自于俄罗斯圣彼得堡的。有关专家形象地介绍了黑客入侵的整个过程:微软的一位工作人员曾收到一封附有普通黑客程序--“QAZ特洛伊木马”病毒的电子邮件，而这位员工在无意中打开了这个黑客程序;接下来,这个黑客程序在微软企业网中向其他电脑传播，黑客则利用这个程序通过被感染的计算机打开了微软内部网络的“后门”并窃取了密码,随后黑客把密码发送到了圣彼得堡的电子邮件地址。

还有一种说法认为，可能QAZ病毒被黑客修改了一下。或许该程序早在2000年8月前就开始在微软的网络里使用了,也许QAZ病毒被植在微软的物理网络的某台不很安全的手提电脑里。但问题在于所有现在流行的反病毒软件都能阻止QAZ。微软更是声称每天都更新防病毒软件,声称QAZ是不可能攻破公司的防火墙系统的。许多专家都认为是微软的雇员把公司的防病毒软件给关了,而且黑客获得了这方面的密码。微软拒绝对此作出评论,只是说如果那样做是不符合公司的规定的。不过微软的发言人Miller称，他并不知道公司的防火墙是否能保护QAZ病毒使用的7597端口。值得一提的是,QAZ病毒也是用微软的VC++程序来写的。而且微软并不允许其他的手提电脑进入公司的内部网络。

黑客入侵造成的损失有多大?

微软公司在27日发表的声明中称，入侵的黑客看到的只是一些正处于开发阶段的源代码,但这些代码并没有被修改或破坏,也没有被下载;此外黑客也没有接触到现有产品的源代码,因此目前的直接损失十分有限。该公司一份声明说,据调查显示,还没有证据能够证明黑客已进入了该公司主要产品，如WindowsMe、Windows 2000或Office的源代码。声明还说,虽然黑客能够看到一些正在开发的未来产品的源代码，但是调查证实任何源代码都未受到改动或讹误。微软公司对这些源程序看得非常紧,它由建立个人计算机使用软件的数百万指令行组成。与其他公司将其代码公开的做法不同,微软认为这是公司的商业机密。

微软的声明说:“我们充分相信微软知识产权的完整性仍然是安全的,同样,没有证据证明微软公司任何在线服务受到或将受到这些事件的影响。这种安全上的违规行为并不是由于微软产品的安全脆弱性造成的。我们将与法律机构紧密合作,共同对付这类工业间谍行为。’

但也有网络安全专家指出,一旦黑客得到了一个或多个密码,他就会伪装成一个在外地工作的微软员工，轻松接入微软总部的内部网络并绕过微软设置的防火墙，这时他就可以访问微软内部网络的其他一些电脑,从而窃取更多的信息。从已知的消息分析,还无法判断肇事黑客到底走了多远,现在估价损失也还为时尚早。

联邦调查局为什么要介入?

据外电报道,微软公司最初并不希望执法机构介入,而希望自行调查此事,但他们还是在26日与美国联邦调查局取得了联系。一些业内观察家认为，这种态度的转变,显然是出于某种认真考虑,或是因为认识到事态的严重性,抑或是因为调查过程遭遇到了相当严重的困难。微软的CEO巴尔默在瑞典宣称:“这是一起相当严重的事件。”但在接受记者的采访时又说,“黑客造成的影响不可能很大,但为了证实我们的推测，我们才请FBI进行调查。”

微软公司给这次黑客袭击事件的定性是“工业间谍案”。理论上,竞争对手完全有可能在他们的新品中加上微软的一些功能。而且黑客也可能利用这些代码编制病毒，或用它来寻找一些未公开的安全漏洞。 Oliver Roll称:“行业间的间谍行为的可能性较大。而且有可能是某位相当知名的人士所为,也有可能是某人想复制微软的一些软件,也有可能是某人想在他们自己的软件中使用我们的软件。”

联邦调查局近两年来处理了大量的此类案件,可谓经验丰富。邀请联邦调查局介入显示出微软对早日破案的急切心态。联邦调查局的网络安全专家初步猜测,黑客袭击微软可能是一起“数据人质”案的早期阶段。他们指出,黑客在取得某个公司的机密数据后就可以威胁要将这些数据公开,从而迫使该公司接受自己的条件。

攻击者也许不是敲诈者

英国的一位反病毒电脑专家称,源代码对竞争对手而言,没有多大用途,它只是一些相当高级的东西而已。也许有人想敲诈微软一把,或者想非法复制微软产品或在他的产品中使用微软的一部分代码，但这些都极可能被微软和FBI发现。他称:“你可以用这些代码写极有竞争力的产品,但这样被发现的风险太大了。”

但这些代码仍可能被用作电脑攻击。一位名为Weld Pond的黑客称:对黑客来说,不大可能去窃取并利用源代码。其实源代码一直都在悄悄地被流传，如SUN的Solaris系统和其他的一些操作系统的源代码就早已暗中流传了一些。

真正的危险在于心怀恶意的黑客用这些代码来编写新的病毒或根据目前一些未公开的安全漏洞编写一些程序。他们可能会开发出与微软的Windows计数器或写字板之类的程序,而一旦使用这些程序,则会造成损害或在用户的电脑里为黑客开后门。

在IT界，那些会将自己伪装成某种应用程序来吸引使用者下载和执行,并进而破坏使用者电脑资料,造成使用不便或窃取重要信息的程序被称为“特洛伊木马型”或“特洛伊型”病毒。和一般电脑病毒不同的是,“特洛伊木马”病毒并不会自我繁殖,同时也不以感染其他事件为主要目的。这种病毒采取更直接的方式进入使用者的电脑,以伺机完成所希望达到的目的。

近年来,“特洛伊木马”病毒出现了很多变种。这次袭击微软的“QAZ特洛伊木马”病毒就是最近才出现的一种新型变种。QAZ是附在电子邮件的附件里的，一旦用户打开这种附件,QAZ就把微软Windows的写字板替换,并在电脑里为黑客的攻入开了一个后门。

微软事件引发对安全问题的关注

在工业间谍的年鉴中，针对微软公司的黑客攻击在复杂性和后果上不算很厉害。但这一黑客窃取了一些微软未来产品数字设计的事件，却再次使人们把目光集中在安全专家提出的困扰了不少防护力不强的大公司的安全黑洞问题。安全专家Garza表示:“我所见到的安全事故80%是十几岁的少年为取乐而造成的。但我担心的是剩余的20%的数量正在不断的增加,带有特定目的和具体计划的黑客正在涌现。”Garza介绍说,“过去你黑了别人的计算机能找到的仅是一些研究资料，现在能发现的东西既有电子零售商的消费者信用卡信息也有银行账户记录。在大多数情况下这些数据由防火墙保护，但专家分析微软的安全措施有一些明显的缺陷，如微软不应该把源代码放在仅有一层密码保护的部分网络中。”

据一家计算机安全机构提供的数据，许多公司及政府机构去年发生了安全突破事件,其中42%愿意公布损失数字,损失总金额为2.65亿美元。

安全顾问机构ICSA.net表示它有7位公司客户曾报告说被出现在攻击微软事件中的QAZ程序尝试攻击过。专家认为这些数字还不能代表全部,不少公司因为这样那样的原因不愿曝光。

微软加强警戒

经过微软的调查,最终确定黑客入侵时间为12天,他是从一名微软雇员的家用电脑中进入微软内部工作网络的。微软公司发言人里克·米勒说,公司的官员正在对这种可能性进行调查,即黑客是从一名微软员工的家用电脑进入的，而这名员工将他的家用电脑与微软的系统相连接以便检查他的电子邮件。

他说,这是微软公司现在调查到的一种情况。与此同时,微软已中止了39000名微软员工的远程进入。在一份声明中,微软还就称黑客侵入微软内部系统长达3个月之久的报道进行了反驳。声明说,在非法人侵事件发生后不久,微软的安全系统就已发现了,并在10月14到25日期间对黑客企图扩大其入侵的行为进行了跟踪。

无论如何,很久以来,微软都一直是心怀恶意的黑客和病毒编写者的首选攻击目标。90%的美国用户都使用的是微软的产品,为此肯定有人想借此声名远扬,或者从中大捞一笔。也许微软已经成为了全球黑客的练靶场,这倒是非常有趣的一件事情。

完！

👉现在关注

解锁你的网络安全实战初体验👇