中国黑客风云录—悬赏50万!海信挑战全球黑客

2000年8月21日上午，海信公司效仿国外安全公司的通行做法,在北京向全球黑客公开“叫板”,承诺凡在规定时间内有人突破“8341防火墙”者,将得到50万元的“检测费”。据媒体报道,从当天上午10时到9月1日的上午10时,海信设立在当代商城门前的大屏幕,将每天24小时动态显示主机信息(页面)、攻击的人数以及状况,并提前公布了海信防火墙的IP地址(210.12.114.58)。防火墙是一个位于内部网络与互联网之间的网络安全设备，是按照一定的安全策略建立起来的硬件和软件的有机组合体，以防止黑客的攻击,保护内部网络的安全运行。在测试现场,自大的广告牌上的“检验民族实力,海信以身试先”12个大字给人留下了深刻的印象。乳白色的防火墙设备被放置在一个有机玻璃框中,让人可望而不可及。海信北京营销中心总经理王波宣称,海信这次检测活动，主要是为了检测海信防火墙是否具有和外国品牌竞争的能力，完善安全性能。

海信终于被黑了?

3天后,8月24日的下午2点,0ICQ上开始以星火燎原般的速度传播着一个惊人的消息:“海信网站被黑了!快去看看http://hisense.com.cn吧。”进入海信公司的网站,页面果然被一个名为“黑妹”的黑客所篡改,他在该页面上愤怒地宣称:“海信悬赏50万元人民币向公众公开授权对贵公司生产的防火墙进行攻击测试，司马昭之心路人皆知-无非为了炒作。如果贵公司对自己产品有绝对的自信,并愿意接受公正、公开的攻击测试，倒也无可厚非,但贵公司却把一堆废钢烂铁摆上网,公布一个Ping不通的地址,这简直是自作聪明的懦夫行为,是对黑客的极大侮辱,对公众的绝对欺骗……”这里他所提到的“Ping”命令,是一个常用的网络操作命令。简单地说,就是向远方的服务器或者任何一个IP地址发出要求回应的要求。若有回应,就表示本地机与远程机的网络连接可以建立。如果没有回应,有可能是网络中断,更可能是远程的机器中断了网络服务。就好比打电话,我“喂”一声过去,那边“喂”一声回来,否则不是电话坏了,就是那边的人跑了。海信这次提供测试的防火墙IP地址无法Ping通,也就是说海信提供的有可能是一台不能与网络相连的服务器!许多黑客们开始对海信的挑战行为发生了怀疑:这是炒作还是真有其事?甚至有人开玩笑说道:“以后所有Ping不通的IP地址都说是安装了海信防火墙好了。”那么,这到底是怎么一回事呢?

海信公司的王培松副总在当天接受媒体记者采访该事件的时候解释说:“无法Ping通的原因是由于测试以来,有一名黑客向这一IP地址连续发送了大量的垃圾数据包,占用了这台服务器的接入带宽资源,使得其他正当的攻击难以进行甚至无法进行。为了反击这种恶意行为,海信的工程师们设置了防火墙的Ping参数,使之无法回应Ping的请求。网络连接依旧正常,但是却是不可能Ping通的了。”然后他马上对此次被黑事件做出解释:“黑客黑的是我们的公司主页，而不是我们提供的那个IP地址。也就是说‘黑妹’所黑的只是公司用来发布公司信息动态的网页，而这个网站并没有安装这次用来测试的防火墙。用来测试的服务器仍在正常运转,接受全球黑客的挑战。”

海信的工程师们也马上宣布“黑妹”的攻击并不是真正成功地突破了重金悬赏的防火墙。他们当天迅速公布了防火墙测试的最新数据:

一、攻击者来源:从解析的发起攻击的IP地址看来,攻击者来自五大洲:南北美洲、欧洲、亚洲、非洲。从攻击者的国家来说有美国、澳大利亚、加拿大、日本、南韩、泰国、新加坡、印度、新西兰、欧洲NIC、南非、加勒比海、德国等国家和地区。其中仅美国就有美国国防部网络中心、美国陆军部队(弗吉尼亚)、美国NIC注册中心、美国新泽西MERCK公司、美国中部/西部等近10个地区发起攻击。从国内来看,攻击者几乎遍及全国各地,包括香港、台湾两个地区,北京、上海、天津、重庆4个直辖市，23个省份,几十个大中城市和全国各大院校,如清华、北大、南开、浙江大学、中国科技大学、西安交大、哈工大、天津大学、成都科技大学、华东理工、山东大学、首都经贸大学、西北大学、复旦大学、北京师范大学、上海交大等许多高校。以上所统计的国家和地区,都是从解析来访者的IP地址获得的,若有疑问,可与公证人员一起来加以澄清。

二、攻击次数和手段:到目前为止,攻击次数已经达到52533次,发起攻击者的IP数为1566个,从攻击手段来看主要有:ICMP攻击、碎片攻击、Web服务器攻击、UDP攻击、远程溢出攻击、FTP服务攻击、后门攻击等多种正当的攻击手段,还有一种非正当的恶意攻击手段即:SYNflood攻击,这种攻击只会造成一种结果:就是把我们的有效线路用大量数据包给堵塞(从我们检测的数据来看,高峰期数据包为7432Packets/s,通常是5000到6000个包之间),使得其他正当的攻击难以进行甚至无法进行。对于这种恶意破坏他人正常的商业行为的手段和行为我们只能表示遗憾。

三、防火墙现状:已经连续工作了96小时的防火墙目前仍然在正常的运转之中,它不仅经受了各种攻击手段的考验,而且还抵挡了恶意的 DdoS攻击,到目前为止还无一人突破防火墙的保护,到达Web服务器。

四、声明:我们希望攻击者能以正当的技术手段和方法来对我们的防火墙进行检测，给每一个自愿加入此次活动的人一个公平的参与机会,请那些用消耗带宽攻击的人能自动停止,给他人一个参与的机会!

“黑妹”黑错了?

闹了半天,“黑妹”并没有真枪实弹地攻下严防死守的高级别防火墙,不过转过身去黑掉了防护薄弱的公司主页，发泄一下自己的怨气和怒气罢了。

他的这种行为与2个月前发生的安氏互联网安全系统(中国)有限公司中文网页被黑事件几乎如出一辙。当时全球网络安全界实力最强的大型公司之一的安氏公司(ISS)的创始人-当时的美国总统克林顿私人网络安全顾问克瑞斯托弗·克劳斯正好前来中国访问,结果中国的黑客黑掉了ISS公司的中文网站，让克瑞斯托弗·克劳斯着实丢了一个大脸。被修改主页的大意是奉劝ISS不要自负和野心勃勃,中国人有能力保卫自己的网络安全。并且将ISS公司总裁的照片改成了网易公司总裁丁磊的照片!不过克劳斯毫不示弱,IIS很快发表声明:“安氏中文网页(www.iss.net.cn)设立的主要目的只是为了宣传介绍中文版的ISS产品动态和有关产品资料，详细内容全部链接于美国ISS站点(http://www.iss. net)。中文网页只是一个宣传界面,为中国的用户提供中文服务,并不是一家专业网站。而被入侵的中文网页采用的是虚拟主机(该网页暂时关闭),目前托管在一家ISP服务商,该虚拟主机的安全、性能完全由其负责,安氏(中国)公司不拥有此主机的安全管理和控制权。该ISP服务商的服务器上同时还提供其他十几家公司的虚拟主机服务,到目前为止,该服务商没有安装ISS的任何相关安全产品。所以,ISS认为这并不是一次真正意义上的对ISS的入侵事件,它实际上攻击的是国内的一家ISP服务商”。在其声明中,ISS还意味深长地说道:“安氏(中国)公司全新的中文站点(http://www.isschina.com)将于近期推出,公司愿意对能够发现该新网站(http://www.isschina.com)安全漏洞的朋友给予重奖。”那个倒霉的黑客忙活了半天,结果黑掉的只是咱们自己的一个虚拟主机提供商“你好万维网”。IIS根本就对此不感兴趣,还主动放出话来:这个主页咱们早就不要了,你费什么劲啊?有本事来试试这个,你攻进来了我还重奖你。相比之下,海信主页被黑事件与此何其相似。

不过，一边为自己的安全产品大做广告,一边却被人端了自己的老窝,怎么也有些说不过去，海信集团上上下下为此都惊出了一身冷汗。26日，海信集团副总裁王培松专门为此事赶到北京，部署开展危机公关。当天,他面对媒体语出惊人:“我觉得网站黑得好,我很高兴,如果我是黑客，我也黑掉它。我想坦诚地告诉大家,自公开检测以来,名列我国企业类网站第二名的海信网站被‘黑’这一事件是事实。我们会认真检查,并以此为戒。也希望所有的企业,尤其是进军电子商务领域的企业重视网络安全问题。没有给自己的网站安装自己的网络安全产品,是我们的失误,现在国内的网络安全意识普遍不足。海信在这个问题上又吃了一次‘螃蟹’。”

对于一些媒体在相关报道中对此次活动的现场监督问题提出质疑。海信公司表示以前对此问题有所忽略。于是海信在几十家报名的新闻媒体中选择了4家媒体,监督在整个活动剩余时间的有关情况。同时表示,设在中关村当代商城写字楼9楼的检测工作室随时向公众开放。

至此,海信事件终于告一段落。

这个黑客有点笨?

关于网上炒得沸沸扬扬的神秘黑客“黑妹”本人,直到现在都还没有办法确认他的真实身份。经过多方查找,也只能够确定此人是甘肃省人,早在1999年的“五八”事件中就参与了对美国部分网站的攻击。至于更进一步的信息,则毫无进展。虽然“黑妹”这次把海信一度弄得颜面无光,但是总的来说,这种事情他做得有点笨。

从宣传的角度来说,“黑妹”做了一件让海信求之不得的事,他的一个不加考虑的行为,使本来在安全界没有什么影响的海信,向全球黑客挑战的事件突然成了众人关注的重大新闻。从另一个角度来说,“黑妹”做了一件自己深恶痛绝的事为海信做嫁衣式的新闻炒作。其实,海信公司这次重金悬赏测试,本来就是一次颇为成功的营销活动。以前提高品牌的知名度不外乎从电视、杂志、广播、报纸等方面进行传播,而今是一个信息飞跃的时代,网络是一个无限的空间,是一个新的市场,其信息传播速度之快,影响范围之广,是可想而知的。今天,上网已成为一种时尚,上网的人数也是越来越多,上网的方式也越来越多,海信此时提出这个营销方案顺应了时代的步伐,符合了消费者追求时尚、顺从社会风潮的心理需求。现在每一种品牌都需要广告，而广告费用是不断要骤增的。海信提出用50万元人民币来奖励攻克防火墙的黑客,实际上是当于用50万元来打广告。50万元对一个知名企业来说算不上什么,甚至占不了它的广告费的零头,而这50万元奖励却影响了各方人士、各大媒体的关注，这不能不说是一个很完善的营销策略,收到了事半功倍的功效。

这次海信向全球黑客发出挑战,已经不是什么新鲜事情。据报道2000年初，国内一家安全公司就以相同的手法向全球黑客发出挑战。过近10天的攻击,黑客同样无法攻进防火墙。但事后,有黑客说:你只开放一种服务,只打开一个端口,实际上也就是已经把漏洞降到了零,这样的测试是没有意义的。黑客要黑一台服务器,会通过服务器提供的名种服务来达到进人和控制的目的。如果只开放一个端口,那么任何高明的黑客都是没有办法完成攻击的。

这个黑客有点笨，还笨在他只用了一种手段来确认海信提供的IP的真实性。对于一个安全人员来说,证明IP的方式有很多,为什么单凭一个Ping就敢断定海信在做假呢?因此,一位名叫poffice2000的网友在新浪论坛中贴出了一个帖子:“我不是一名黑客,但我是一个专业的Cis- co授权讲师,我的资格是通过美籍专家严格考试获得的。在我手中培养的专业网络人才不下三五百人，所以我相信我的话是有一定技术内涵的。从技术角度讲，确认一个网络设备是否连接主要通过三种常规技术:ICMP(Ping)、Trace、Telnet。ICMP(Ping)、Trace都是测试网络层的连接. Telnet是测试应用层的连接,对于普通的技术人员和黑客都是通过此类方式来测试网络的连接。但是,如果从数据包过滤的角度来看,可以将上述类型的访问全部过滤掉,因为每一种协议都有其自身的特点,比如 ICMP(Ping)在IP的数据包中标明它是ICMP(Ping)的数据包类型,而Trace则使用UDP Port 33434以上的端口,Telnet使用TCP23端口，那么只要符合此类条件，任何一台合格的广域网络设备都应该可以过滤此类访问,而只允许有效数据访问。所以,访问不了实属正常。

另外,从安全角度讲,真正的安全防火墙应该将不该开放的功能全部关闭，根本就不应该开放,开放本身就不符合安全规范,因为开放的功能本身就可能有缺陷和后门。在外国的网站中有许多就是通过上述的常规手段被人攻击的。另外如果打开TCP同步安全连接,并强制同步的话,黑客将无法通过IPSpoofing的手段人侵防火墙。难道还希望国人的产品被人用有隐患的后门人侵,让外国人耻笑吗???”

从防火墙的设计原理上来讲，本身就是一种类似二级管单向导电的设计，就是通过数据会话的核查将允许由内部网络发出的数据包通过，而不允许由外部发起的数据包进入内网。所以，为何不通值得商榷。”

这个黑客有点笨,攻不破防火墙(姑且不论这个IP是否有效),你也犯不着把气撒在一个没有什么安全措施的主页上。海信一句话就把黑客驳得体无完肤:这是无能的表现。中国的黑客还嫩。至少在这个事件上是如此。也许,按国内各大安全论坛里那些黑客们的说法:这不是真正黑客的行为。

专家述评海信网站遭入侵事件技术

关于海信主页被黑事件

2000年8月24日下午，笔者在ICQ里收到消息，海信主页www. hisense.com.cn被入侵并篡改。访问后发现，海信主页已经换成了署名“黑妹”者的宣言。正想看看这个Server是什么系统的时候,服务器Down掉了。

海信Web Server到底是运行什么系统的，在过去的印象里大家普遍认为是NT的，不过在中联绿盟的论坛，有一个程序员说是BSD+A- pache/1.3.6+Php/3.0.11.的,我不知他是指海信的Web Server还是防火墙,这时Web Server还没有开,无法验证。

不过海信的防火墙绝对是基于Linux的,按照目前的已知的情况看，是基于RedHat的。

海信主页重新开放后,发现连接速度特别慢,不知是否有人正进行 DdoS攻击。为了验证是什么系统,用Telnet分别连了80和25两个端口,在80端口通过发送get../..,返回了如下信息:

HTTP/1.1 400错误的请求

Server:Microsoft-IIS/4.0

Date:Fri,25 Aug 2000 14:24:09 GMT

Content-type:text/html

Content-Length:87

The parameter is incorrect.

25端口则返回了如下信息:

220 p13000.hisense.com.cnESMTP Server (Microsoft ExchangInternet Mail Service 5.5.2650.21) ready

尽管没有进行更低级别的验证，通过上面的情况完全可以判定是NT,何况页面交互是使用ASP做的,恐怕很少有人放弃NT而到UNIX系统上使用第三方服务程序去跑ASP。如果是NT的话,我对一些报道说的通过一个漏洞人侵的说法表示怀疑。我觉得主要可能还是Server配置不当导致了黑客人侵成功。入侵NT的手段其实不算多，而从该黑客以 Ping不通来判定防火墙没开的说法,感觉该黑客对网络原理还是有些缺乏了解。

主页被黑对防火墙测试的影响

首先还是要讨论一下所谓Ping不通的问题,一般来说,证明一个地址是否连接,有多种方法,Ping只是一个充分而非必要条件,Ping通了说明有,但Ping不通不能说明没有,只要关闭了ICMP的应答,当然是Ping不通的,这对基于其他协议的主要网络服务也并没有影响。

由于Ping不是基于UDP和TCP,而是ICMP的,所以一些操作系统通过本机配置很难使系统达到不进行应答的效果，所以可能会有很多网友以为Ping不通就是该地址没连接。但对于数据包过滤机制的防火墙来说,则很容易,只要指定ICMP的TYPE,就可以直接过滤掉Ping包了。

禁止Ping甚至相应禁止ICMP包送达目标主机，是有一定安全意义的，首先可以使一些基于ICMP的FindHost程序无法查清网段内的主机情况。而且特别需要注意的是,在防御SYN攻击等一些DdoS攻击中这是必要的。

由于海信此前以50万元悬赏黑客突破其防火墙，所以有网友问及“黑妹”能否拿到50万元的问题。事实上,海信所提出的攻击的成功条件并不是指攻入海信集团的Web服务器，而是那台特定防火墙后保护的主机。海信公布的防火墙地址为210.12.114.xxx,而海信Web服务器的主机IP为202.102.161.XXX,不属于同一个地址段,海信Web Server显然并非在这台防火墙的保护之下。按照海信的说法,海信的Web Server也确实并不在防火墙保护之下。也就是海信说的测试仍在继续。

另外一点要说明的是,防火墙也并非是万能的,特别对Web Server来说,即使是安全性高、性能出色、配置合理的防火墙,如果保护的主机没有严格的安全策略的话,也是不行的。

有些攻击可以被防火墙识别,但有些则很困难,比如借助用户某些 CGI程序的漏洞,这和正常的页面访问从数据包的性质上是相同的。特别是早期的防火墙一般只是从源地址、目标地址、端口等数据包头信息来决定通过还是丢弃,对这种攻击根本没有办法。

对海信的防火墙和国内类似产品的评价

海信自己对防火墙介绍如下:“海信防火墙具有自主知识产权,在许多方面具有创新,已经取得多项专利。它根据系统管理者的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、身份认证、网络地址转换(NetworkAddress Translation)、虚拟专网(Virtual Private Network)、流量控制等14项功能;可以将被保护的网络内部拓扑结构屏蔽起来,增强网络的安全性能,同时可以实施较强的数据流量监控;自行设计具有创新的全中文化的WWW管理界面,通过直观、易用的界面管理强大、复杂的系统功能。本产品采用应用代理模型(应用网关),自主设计加密、认证、密钥生成与分配、杂凑(Hashing)、数字签名算法,可根据IP地址转换和TCP/IP协议制定相应的防火墙安全策略，提供非常成熟的安全审计和日志功能,并能实现认证和电子邮件服务功能。用户可按照自己的要求制定或修改防火墙的安全策略。它能够很好地支持 IPSEC标准，可以提供最安全的虚拟专网功能。本机采用全金属外壳,结构紧凑合理并兼有屏蔽和散热作用，为网内的敏感数据提供最安全的保护。本产品基于Linux操作系统，已经通过国家有关部门的安全性评测，并获得公安部颁发的计算机信息系统安全专用产品销售许可证(XKC33065)”。

当然对于海信的产品,我们并不十分了解,而且我们一般不看到具体产品,原则上不相信产品宣传。除非它提供了非常详尽、使人信服的白皮书。对这款防火墙,仅仅从介绍来看,如果说以是否内嵌整套加密机制为标准来判定,基本上可以说能划归到智能防火墙的类别。比国内一部分简单从Linux开放源代码中“扒”出来的产品好些,但也没有什么突破之处,还只是有了必要的功能而已。

另外，还需要说明的是,目前在Linux上实现一个简单的数据包过滤或者代理机制的防火墙产品并非很困难。而且有大量公开源代码。有人说国内某些安全产品不是“高”技术,是“抄”技术。而且竟然有人把完全基于X86的Linux软件防火墙，做一个特殊形状的机箱，然后就说这是“硬件防火墙”。

关于测试的个人意见

笔者确实不敢赞同“黑妹”这种我不满你,我就黑了你的做法,不过也确实对海信的测试有些意见。

首先是海信所提供的信息少,甚至语意也非常模糊,海信的成功条件是修改防火墙后面的Web服务器页面,并取得一个文件。由于速度问题,笔者此前一直无法取得有效的信息,从海信提供的信息,笔者以为海信惟一给的那个IP地址是防火墙地址。当时笔者挺奇怪,为何只给出了防火墙地址,没有给Web服务器地址?既然是Web服务器,怎么不能对外公开?如果仅仅是一个企业内部网而非国际互联网的Web服务器,那么对测试防火墙还有什么意义，直接断开内部网的连接当然就保证其安全了。笔者当时做了一个比较合理的假设,本次测试防火墙所保护的是一个单向的网络,内部的用户可以对外访问,而外部不能进行对内访问(如果双向都不能访问,那就成了做隔离产品,而不是防火墙了)。那么至少海信应该公开一些细节,这在国外一些安全产品的公开测试中，大多是这样做的。

能连上时才发现,其实我们冤枉海信了。“210.12.114.58”似乎就是 Web服务器的地址,而防火墙可能是另一个IP。由于一直用笔记本电脑上网,没有工具和环境,现在还不能作出进一步的分析。如果接下来的几天有时间,而且连接测试地址的速度尚可的话,笔者决心做一下具体的探测和分析。

过去在讨论服务器安全的时候说过,Web服务器把所有补丁都打好了,权限设得非常苛刻,而且只开了80端口,只有静态页面,没有CGI程序,不允许非HTTP之外的远程连接和远程管理,我们可以称为80on- ly。如何入侵呢?现在还无法判断海信的Web服务器是如何配置的,如果 

已经配置成这种类型,那么就算能突破防火墙,也非常困难。这时考验的就不是防火墙的性能了,而是考验配置服务器的技巧了。但实际中用这种防火墙来保护一个80only的Web Server的情况也是比较少的。因此可以说,测试中防火墙的环境和实际应用中的环境有很大不同,实际应用的复杂性才是对防火墙要求很高的根源。在一个应用和服务非常少的环境下，测试防火墙，事实上对防火墙性能和安全的要求也降低了。

另外,海信中途因有人进行SYNflood攻击,而修改了防火墙配置，令人感觉不是很合适,此举大有修改游戏规则的嫌疑。笔者觉得,公开网上测试的安全产品，应该在配置完毕后在无人值守状态下接受测试比较合理。否则,如果技术人员随时监护并不断调整配置的话,产品的测试结果中就混杂了非技术因素。而且最终使用防火墙的不是海信的开发人员，而是社会用户。用户的水平、心态、对系统的熟悉程度和系统开发人员是完全不同的。国内有很多大软件项目,开发商和用户联合测试时没出问题,开放商值守的头几个月也不出问题,一旦完全交给用户使用就出问题,也有这个原因在里面。因此,开发人员实时监控下的防火墙,和完全安装到用户那里的防火墙,虽然产品是相同的,但效果绝对是不同的。这好比卡斯帕罗夫和深蓝下棋,大家都觉得很有意思，但如果是卡斯帕罗夫和深蓝另加卡尔波夫下棋,大家觉得公平吗?

完！