1.5 计算机病毒简史
以史为鉴,可知兴替。历史是一面镜子,它照亮现实,也辉映未来。历史蕴藏着事物的兴衰之道,可从中窥探事物的演化逻辑与发展趋势。历史的灰烬深处,也有点亮未来的星火与启示。下面将从计算机病毒的前世、起源、发展等维度简要阐述计算机病毒发展史,一窥计算机病毒演化脉络与底层逻辑。
1.5.1 计算机病毒前世
计算机病毒就像顽疾,伴随着信息技术的发展壮大而同步蔓延膨胀,且如影相随。只要有程序代码的地方,都可见计算机病毒的身影。从某种意义上说,计算机病毒是IT技术的伴生者。任何IT技术都具有双面性,既能服务于大众,又能被计算机病毒利用而为患网络空间。因此,计算机病毒发展史不是一部孤立史,而是与IT技术发展息息相关的关联史。计算机病毒是伴随IT技术发展的一道挥之不去的黑色创痕与技术顽疾。
任何事物都有其存在与演化的内在逻辑,都有其前世与今生。只有充分了解事物的前世今生的演化脉络,才能更深刻地认识其本质与发展趋势。正如《红楼梦》中贾宝玉和林黛玉在降世之前分别是神瑛侍者和绛珠仙草一样,计算机病毒的前世也有一段独特而传奇的经历。
1. 数理前世
从时间轴的演化逻辑来看,先有计算机,后有计算机病毒。1945年6月30日,冯·诺依曼(John Von Neumann)与戈德斯坦、勃克斯等联名发表了一篇长达101页纸的报告:《EDVAC报告书的第一份草案》(First Draft of a Report on the EDVAC),史称“101页报告”。该报告首次使用“存储程序思想(Stored-program)”来描述现代计算机逻辑结构设计,明确规定计算机用二进制替代十进制运算,并将计算机从结构上分成中央处理器、存储器、运算器、输入设备和输出设备五大组件,是现代计算机科学发展史中的里程碑式文献。由于冯·诺依曼在计算机逻辑结构设计上的卓越贡献,他被誉为“计算机之父”。
冯·诺依曼在提出现代计算机逻辑结构(存储程序结构)之后,于1949年发表了论文《复杂自动装置的理论及组织》(Theory and Organization of Complicated Automata),论证了自我复制程序存在的可能性。冯·诺依曼首次提出用自我构建的自动机来仿制自然界的自我复制过程:①该系统由三部分组成,即图灵机、构造器和保存于磁带上的信息;②图灵机通过读取磁带上的信息,借由构造器来构建相关内容;③如果磁带上存储着重建自身所必需的信息,则该自动机就能通过自我复制来重建自身。
后来,冯·诺依曼在Stanislaw Ulam的建议下使用细胞自动复制过程来描述自我复制机模型:使用200000个细胞构建了一个可自我复制的结构。该模型从数学上证明了自我复制的可能性:规则的无生命分子可组合成能自我复制的结构,如借助必要的信息就能完成自我复制。该模型勾勒出计算机病毒出现的可能性,可称之为计算机病毒的数理前世。
2. 游戏前世
如果说冯·诺依曼只是从理论上勾勒出计算机病毒的数理蓝图,那么“磁芯大战”游戏的3位程序员则将程序的自我复制性付诸实践。1966年,美国著名AT&T贝尔实验室的3位年轻程序员道格拉斯·麦基尔罗伊(Douglas McIlroy)、维克多·维索特斯克(Victor Vysottsky)及罗伯特·莫里斯(Robert T. Morris)共同开发了名为“达尔文”(Darwin)的游戏程序。该程序最初是在贝尔实验室PDP-1上运行的,后来演变为“磁芯大战”(Core Wars)游戏。磁芯大战就是汇编程序间的大战,程序在虚拟机中运行,通过不断移动自身来避免被其他程序攻击或在自身遭受攻击后进行自动修复并试图破坏其他程序,生存到最后的即为胜者。由于它们都在计算机存储磁芯中运行,故被称为“磁芯大战”。
“磁芯大战”游戏通过真正的汇编程序实现了自我复制并攻击对方的目的。尽管其设计初衷是消磨时间与满足好胜心理需求,但该游戏却真实具备了计算机病毒的自我复制与破坏系统的特质。从这个意义上说,“磁芯大战”游戏可算作计算机病毒的游戏前世。
3. 科幻前世
科幻小说世界中的东西往往能成为启发人们实践的思维先导。1975年,美国科普作家约翰·布鲁勒尔(John Brunner)出版了名为《震荡波骑士》(Shock Wave Rider)的科幻小说,该书首次描写了在信息社会中,计算机作为正义和邪恶双方斗争工具的故事,成为当年最佳畅销书之一。1977年,美国科普作家托马斯·捷·瑞安(Thomas.J.Ryan)发表的科幻小说《P-1的春天》(The Adolescence of P-1)也成为畅销书。作者在该书中构思了一种能够自我复制、利用信息通道传播的计算机程序,并称之为计算机病毒。该计算机病毒最后控制了7000台计算机,造成了一场空前灾难。
尽管该“计算机病毒”只是科幻小说里的事物,但它或许就是启发程序员开发现实中类似程序的实例,可视为计算机病毒的科幻前世。事实表明,科幻小说世界中的东西一旦成为现实,将极有可能成为人类社会的噩梦。计算机病毒的诞生及其发展史真实地论证了这个观点。
1.5.2 计算机病毒起源
正如鲁迅所言“其实地上本没有路,走的人多了,也便成了路”,任何事物都是在不断尝试中发展、不断探索中突破的,量变之后才会迎来质变。有了计算机之后,在前人不断努力与反复探索下,在经历了数理、游戏、科幻等前世之后,计算机病毒的原始胚胎已逐渐形成并由此进入萌芽期。
1983年11月3日,美国南加州大学的学生弗雷德·科恩(Fred Cohen)在UNIX系统下编写了一个能自我复制,引起系统死机并能在计算机之间传播的程序。弗雷德·科恩为宣示证明其理论而将这些程序以论文Computer Virus——Theory and Experiments发表,在当时引起了不小的轰动。弗雷德·科恩编写的这段程序,将计算机病毒所具备的破坏性公之于众。在其导师伦·艾德勒曼(Len Adleman)的建议下,弗雷德·科恩将该程序命名为“计算机病毒”,并提出了第一个学术性的、非形式化定义:计算机病毒是一种计算机程序,它通过修改其他程序把它自己的一个副本或其演化的副本插入到其他程序,从而感染它们。同时,他还提出了著名的科恩范式:不存在能检测所有计算机病毒的方法。这让安全研究者放弃了寻找安全永动机,从而走上了工程对抗的反病毒研究路线。弗雷德·科恩也因此获得“计算机病毒之父”的称号。
弗雷德·科恩提出“计算机病毒”概念时,正值计算机技术发展风起云涌之时。在硬件方面,Intel公司不断推陈出新,相继发布了Intel 80286、Intel 80386等CPU芯片;在软件方面,Microsoft公司发布了MS-DOS操作系统;蓝色巨人IBM公司则推出了集成Intel芯片与MS-DOS系统的IBM-PC,极大地推动了计算机技术的发展与普及。至此,计算机病毒走完了从理论证明到实验验证的前世,并通过自我进化适应其外部运行环境(主要指当时流行的MS-DOS操作系统),开始破茧成蝶。
1986年,首例真正意义上的计算机病毒——C-Brain病毒(又称巴基斯坦兄弟病毒)诞生,为巴基斯坦兄弟巴锡特(Basit)和阿姆杰德(Amjad)所编写。兄弟俩经营着一家IBM-PC及其兼容机的小公司。为了提高公司营业额,他们开发了一些程序作为赠品。不料,这些程序很受欢迎,被很多人盗版使用。为了防止软件非法复制,跟踪并打击盗版行为,兄弟俩接着开发了一个附加在程序上的“小程序”。该“小程序”通过软盘传播,只在盗拷软件时才发作,当该“小程序”发作时,会将盗拷者的硬盘剩余空间占满。该“小程序”属于引导区病毒,是DOS时代的首例计算机病毒,同时还是第一例隐匿型病毒,被感染的计算机不会呈现明显症状。
C-Brain病毒的问世犹如打开了潘多拉盒子,随着MS-DOS操作系统的普及,研究者对其进行了深入细致的剖析,逐渐解开了DOS系统的主要原理和诸多系统功能调用机制。MS-DOS系统为计算机病毒发展提供了全方位生态平台——计算生态系统。为适应外部运行环境,更好地生存于计算生态系统中,计算机病毒开始自我发展、自我进化,向着多类型、多形态、免杀、隐遁及对抗反病毒等方向全面发展。
1.5.3 计算机病毒发展
任何事物的快速发展,都离不开“天时地利人和”。计算机病毒的发展也不例外。自20世纪80年代始,人类跨越工业文明进入了信息文明时代。这是天时,是总体趋势。信息技术发展需要软硬件基础设施支撑,彼时,IBM-PC提供了硬件支撑,MS-DOS提供了系统软件支撑,其他各类软件提供了应用软件支撑,这就是地利,是支撑计算机病毒发展的基础设施。自从巴基斯坦兄弟俩无意中打开了计算机病毒的潘多拉盒子后,在各类信息技术高速发展的支持下,信息技术使用者在具备了攻击技术、攻击意图、攻击目标后,计算机病毒也驶入了全面发展的快车道,此谓之人和。
下面将以时间轴为指引,分别从计算机病毒外部环境变迁、计算机病毒攻击载体、计算机病毒编写者等视角来系统梳理计算机病毒发展脉络,在一窥计算机病毒跌宕起伏的发展史同时,也可以让我们管中窥豹、一叶知秋,预测计算机病毒未来发展趋势。
1. 计算机病毒外部环境变迁视角
如同什么样的外部自然环境就决定何种生物能存活其中,计算机病毒发展与其外部环境也休戚与共、息息相关。计算机病毒类型的变迁,折射出的是其外部环境的变迁。因此,从外部环境变迁视角,可梳理出一条计算机病毒类型发展逻辑线,如图1-3所示。
图1-3 从外部环境变迁视角看计算机病毒发展
1)感染型病毒
1986年首例计算机病毒诞生之时,外部环境为典型的IBM-PC兼容机搭载MS-DOS系统。该外部环境为计算机病毒所提供的内存空间局限于640KB,可执行文件格式仅限于.com文件和.exe文件,且是单任务运行的。计算机病毒为了生存与发展,只能适应上述环境,且多数以感染上述可执行文件方式存在,即感染型病毒。
感染型病毒的最大特点是将其自身寄生于其他可执行文件(宿主程序)中,并借助宿主程序的执行而运行病毒体。一旦计算机病毒通过宿主程序开始运行,就会接着搜寻并感染其他可执行文件,并依次迭代下去。受限于当时的外部环境,感染型病毒只能通过硬盘、软盘、光盘等介质外向传播,因此,当时计算机病毒的传播速度相对缓慢,使得反病毒软件在应对计算机病毒时有充足的反应时间,通过提取病毒特征码并使用特征码检测法进行查杀。
2)蠕虫
当计算机病毒还在感染之路上艰难探索时,1988年诞生的“莫里斯蠕虫”(Morris Worm)在传播速度上实现了质的飞跃。这个只有99行代码的蠕虫,利用UNIX系统的缺陷,用Finger命令查联机用户名单并破译用户口令,接着用Mail系统复制、传播本身的源程序,再编译生成可执行代码。最初的网络蠕虫设计目的是当网络空闲时,程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时,该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。然而,其最终实现背离了设计初衷,莫里斯蠕虫的行为不是“借取资源”,而是“耗尽所有资源”。
莫里斯蠕虫在短短12小时内,从美国东海岸传遍西海岸,全美互联网用户陷入一片恐慌之中。当加州伯克利分校的专家找出阻止蠕虫蔓延的办法时,已有6200台采用UNIX操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪,不计其数的数据和资料毁于一夜之间,造成了一场损失近亿美元的数字大劫难。
莫里斯蠕虫是罗伯特·莫里斯(Robert Morris)开发的,他当时还是美国康奈尔大学一年级研究生,也是美国国家计算机安全中心(隶属于美国国家安全局NSA)首席科学家莫里斯(Robert Morris Sr.)的儿子。这位父亲就是对计算机病毒起源有着启发意义的“磁芯大战(Core War)”游戏的3位作者之一。由此可见,这是一个子承父业的信息技术世家。
蠕虫之所以能突破感染型病毒传播速度极限,造成大面积感染,主要在于其利用网络漏洞进行传播。蠕虫的诞生标志着网络开始成为计算机病毒传播新途径。由于当时网络基础设施尚未健全,世界范围内的网络建设尚处于探索发展阶段,莫里斯蠕虫事件之后的很长一段时间都没有出现重大的利用网络感染传播的计算机病毒事件。
当时间指针指向世纪之交的2000年时,美国极力推崇的信息高速公路Internet已建成为最大、最重要的全球网络基础设施。Internet之所以获得如此迅猛的发展,主要归功于它是一个采用TCP/IP协议族的全球开发型计算机互联网络,是一个巨大的信息资料共享库,所有人都可参与其中,共享自己所创造的资源。这也为计算机病毒发展提供了无与伦比的广阔空间,此后,感染型病毒开始让位于利用网络漏洞传播的蠕虫,网络蠕虫时代的大幕已然开启。
3)木马
自2005年以来,网络中0day漏洞逐渐被攻击者用于定向攻击或批量投放恶意代码,而不再被用于编写网络蠕虫;单机终端系统的安全性随着Windows XP等系统的广泛应用而得到一定程度的提升,Windows系统的DEP(Data Execution Prevention,数据执行保护)、ALSR(Address Space Layout Randomization,地址空间布局随机化)等保护技术成为系统的默认安全配置。网络蠕虫的影响暂趋式微,而特洛伊木马的数量则开始呈爆炸式增长。此外,随着社交软件、网络游戏用户数量持续增加,计算机病毒编写者的逐利性开始取代炫技、心理满足、窥视隐私等网络攻击活动的原生动力,成为网络攻击活动的主要内驱力。通过窃取网络凭证、游戏账号、虚拟货币等方式的获利行为开始普遍化与规模化。此类计算机病毒隐匿于主机中进行窃密活动,就如古希腊特洛伊战争中著名的“木马计”。
木马类病毒通常采用Client/Server服务模式,通过将其服务端装载至目标系统,再利用客户端与其联控以实现相关功能。2007年“AV终结者”木马暴发。AV终结者的主要特征是通过U盘传播,并与反病毒软件等相关安全程序对抗以破坏安全模式,再下载大量盗号木马,窃取用户的敏感信息。此后,木马类病毒开始占据攻击载体的上风。
4)勒索病毒
网络互联的普及性、网络犯罪的趋利性、数字货币交易的隐蔽性,使勒索病毒大行其道、泛滥猖獗。勒索病毒通过网络漏洞、网络钓鱼等途径感染目标系统,并借助加密技术来锁定受害者的资料,使其无法正常存取信息,再通过勒索赎金来提供解密密钥以恢复系统访问。
勒索病毒最早可追溯至1989年美国动物学家Joseph L. Popp博士编写的Trojan/DOS.AidsInfo(又称为PC Cyborg病毒)[10]。该勒索病毒被装载在软盘中分发给国际卫生组织的国际艾滋病大会的与会者,大约有7000家研究机构的系统被感染。它通过修改DOS系统的AUTOEXEC.BAT文件以监控系统开机次数。当监控到系统第90次开机时,便使用对称密码算法将C盘文件加密,并显示具有威胁意味的“使用者授权合约(EULA)”来告知受害者,必须给PC Cyborg公司支付189美元赎金以恢复系统。该勒索病毒的作者在英国被起诉时曾为自己辩解,称其非法所得仅用于艾滋病研究。
1996年,Yong[11]等开展了“密码病毒学”课题研究,并编写了一种概念验证型病毒(勒索病毒),它用RSA和TEA算法对文件进行加密,并拒绝对加密密钥的访问。自2010年以来,裹挟着经济利益的勒索病毒卷土重来,沉静了近20年的勒索病毒又开始沉渣泛起、纷至沓来。2017年5月12日,WannaCry勒索病毒撕开了网络安全防御的大裂口而突袭全球,150多个国家的基础设施、学校、社区、企业、个人计算机等计算机系统遭受重创。此后,勒索病毒走进大众视野,成为网络用户谈之色变的敏感词。发展至今,无论是加密强度还是密钥长度,勒索病毒都攀升至新的高度,创造了新的纪录。密码学理论与实践表明:在缺失密钥的情况下根本难以恢复受损文件。这也是勒索病毒勒索赎金得逞的关键原因之一。
5)挖矿病毒
随着数字经济与区块链技术的深度融合,加密数字货币成为关键与核心支撑因子。此外,黑灰产业在暗网中进行非法数据或数字武器贩卖、加密勒索赎金支付时,多采用加密数字货币(比特币、门罗币等)作为交易货币,以保持隐匿并规避追踪,导致加密数字货币成为黑灰产业的流通货币。而加密数字货币的获取,除购买之外,主要借助“挖矿”软件,利用计算设备的算力(哈希率)完成大量复杂Hash值计算而产生(俗称挖矿)。因此,“挖矿”是产生并获取加密数字货币的主要途径。
借助“挖矿”来获取更多的加密数字货币,唯一的途径是提升算力,这需要投入巨资购买昂贵的计算设备。而攻击者总想不劳而获,不用购买昂贵的“挖矿”计算机,仅通过对常规计算机发起“挖矿”攻击,非法盗用他人的计算资源来“挖矿”,从中牟取巨大经济利益。区块链数据分析公司CipherTrace[12]报告显示:2019年加密数字货币犯罪造成的损失超过45亿美元,较2018年的17.4亿美元增长了近160%。
我们有理由相信:只要数字支付网络环境存在,只要加密数字货币存在,攻击者所创造的这种低成本、高利润的恶意“挖矿”病毒将持续存在。这将对区块链产业和加密数字货币生态系统造成严重后果,成为个人与企业挥之不去、防不胜防的网络安全梦魇。
2. 计算机病毒攻击载体视角
纵观计算机网络攻击史,计算机病毒作为攻击载体的中坚地位一直未变,且可预测未来仍会如此。计算机病毒就是以实施攻击为目的诞生的。1986年,巴基斯坦兄弟病毒(C-Brain病毒)是为攻击惩罚盗版者而编写的,将删除盗拷软盘者的数据。自诞生以来,计算机病毒一直是作为攻击载体而存在的。从攻击载体的视角来看,计算机病毒始终遵循“从简单到复杂,从低级到高级,从单一到复合”的进化发展逻辑,大致经历了“单一式病毒攻击→复合式病毒攻击→APT攻击”发展路线,如图1-4所示。
图1-4 从攻击载体视角看计算机病毒发展
1)单一式病毒攻击
1986年之后的15年间,计算机病毒担负的是单一式攻击载体角色。不论感染型病毒,还是蠕虫与木马,它们都是平行发展的,互不干涉。在计算机生态系统中,每类病毒都有自己的生态位,都在各自的生存空间与方向上发展:病毒利用磁盘文件或引导区来寄生,用于感染可执行文件而使系统超负荷运行;蠕虫利用网络漏洞来传播,用于大面积阻断或使网络系统瘫痪;木马则为遥控和窃密而隐匿于目标系统中。
2)复合式病毒攻击
随着信息技术的发展与现实逐利的需要,自2005年之后计算机病毒开始从原来单一式攻击载体向复合式攻击载体转换。各类病毒相互借鉴感染、传播、隐匿、免杀等方面技术方法,开始向着“你中有我,我中有你”相互渗透与交叉融合的方向发展。此时,已很难从纯粹的类型角度去区分病毒、蠕虫、木马、Rootkit、间谍软件等,计算机病毒开始采众家之长、集技术之大成,成为复合式攻击载体,且每种类型的病毒都是如此。
3)APT攻击
在现实世界中的大国博弈与地缘政治安全开始向网络空间延伸之际,现实世界的刀光剑影映射为网络空间的虚拟博弈,APT(Advanced Persistent Threat,高级持续性威胁)攻击出现了。APT以攻击基础设施、窃取敏感情报为目的,且具有强烈的国家战略意图,从而使网络安全威胁由散兵游勇式的随机攻击演化为有目的、有组织、有预谋的群体式定向攻击。
APT最早由美国空军上校Greg Rattray[13]于2006年提出,用于描述自20世纪90年代末至21世纪初在美国政府网络中发现的强大而持续的网络攻击。APT攻击的出现从本质上改变了全球网络空间安全形势[14]。近年来,在国家意志与相关战略资助下,APT攻击已演化为国家网络空间对抗新方式,它针对诸如政府部门、军事机构、商业企业、高等院校、研究机构等具有战略战术意义的重要部门,采取多种攻击技术和攻击方式,以获取高价值敏感情报或破坏目标系统为终极目的的精确制导、定向爆破的高级持续网络安全威胁。
APT攻击的出现与渐趋主流,使计算机病毒这个攻击载体的能量得到全面释放,计算机病毒由此迈入了全新的发展阶段。
3. 计算机病毒编写者视角
虽然计算机病毒是一种能自我复制的人工生命体,但其仍未脱离程序代码范畴。作为程序代码的计算机病毒,主要是通过计算机病毒编写者创作完成的。计算机病毒的发展历程从来都离不开病毒编写者的发挥与参与。从严格意义上说,尽管目前人工智能技术可赋能计算机病毒,使其拥有更多智能,但计算机病毒的发展仍由病毒编写者主导,编写者的现实思维会直接映射到计算机病毒结构、功能甚至智能上。所谓智能化病毒,也只是编写者采用了人工智能技术与方法后,赋予计算机病毒智能化选择传播途径、感染方式及载荷运行方式而已。因此,从病毒编写者视角来梳理计算机病毒发展,更能透视与展现计算机病毒发展背后人的对抗与人性的显现,从而有助于深度理解计算机病毒发展的底层逻辑。从这个视角看计算机病毒,大致经历了“炫技式病毒→逐利式病毒→国家博弈式病毒”发展路线,如图1-5所示。
图1-5 从编写者视角看计算机病毒发展
1)炫技式病毒
不说才华横溢、杰出卓越的冯·诺依曼奠定了计算机病毒的理论基础,不说思维敏捷、活力四射的“磁芯大战”AT&T公司三位程序员构思了自我复制的计算机病毒游戏,也不说脑洞大开、天马行空的美国科普作家约翰和托马斯构思的计算机病毒具备的逻辑自洽和科学元素,单说美国南加州大学的弗雷德·科恩在实验室编写的UNIX系统计算机病毒,就足以论证其编写者所具备的高超计算机技术与对事物的深度探究能力。简而言之,要完成计算机病毒的编写,首先必须具备聪明才智和高超的编程技术。计算机病毒成为编程技术高手们炫耀技术的一种方式与他们技术成果的一种展示。
巴基斯坦兄弟俩编写的C-Brain病毒,成为阻击软件盗版的技术展现。小球病毒所展示的整点读盘,小球沿屏幕运动、反弹、削字等操作,如果不是技高一筹也很难设计出如此恶作剧式的计算机病毒。当启动DOS系统后,如果屏幕上出现“Your PC is now stoned!”,那可以肯定该系统已被石头病毒感染。在恼怒之余,也不能不感叹病毒作者所具备的计算机系统的精湛技术及其在炫技得逞后的那份满足感。当CIH病毒于1999年4月26日在全球大暴发时,人们再次见证了病毒作者陈盈豪对于Windows系统内核技术的精通与破坏计算机硬件的首创构思。此类例子不胜枚举。
总之,自1986年后的20年里,计算机病毒多是其编写者的技术炫耀与成果展示,是人性的好奇与虚荣在推动计算机病毒的发展。因此,这个阶段主要是计算机病毒炫技式发展阶段。
2)逐利式病毒
如果说人性虚荣只是精神层面的需求,那么人性逐利避害则属现实物质层面的追求。作为现实中的人类个体,其所思所为必然要以一定的物质为基础,真正超越现实的人是很少的甚至是不存在的。唯物论中的“物质基础决定上层建筑”映射到现实世界,就是人们无法离开物质利益而独立存在。然而,当现实物理空间开始向网络虚拟空间延伸时,现实世界的逐利性也自然开始向网络空间蔓延。人们已不单单满足于炫技时获得的那份心理虚荣,开始将目光投向网络空间的利益追逐上。当网络支付与数字货币成为现实世界真实支付的虚拟替代后,通过网络空间的简单点击就能转换为现实世界的财富与利益时,原先炫技式病毒也开始向逐利式病毒转换。
网络黑灰产业链的广泛存在是逐利式病毒生存发展的最好诠释,网络黑灰产业链需要以病毒为攻击载体来完成其信息窃取、加密勒索、挖矿获利等操作。在利益驱动下,计算机病毒不仅完成了从炫技到逐利的转变,而且在数量与质量方面也有了大幅度的提升。2017年震惊世界的WannaCry勒索病毒、2018年的WannaMine挖矿病毒,以及网络钓鱼和僵尸网络等大流行、大暴发,都是逐利式病毒发展的最佳实例。因此,从某种意义上说,在当今网络空间中,真正不逐利的计算机病毒已基本绝迹。所有具备破坏实力的计算机病毒都携带有逐利基因,都为利益而诞生、繁衍、进化。
3)国家博弈式病毒
网络与信息技术的日新月异、加速渗透与深度应用,已深刻改变了社会生产生活方式:①当前社会运行模式普遍呈现网络化发展态势,网络技术对国际政治、经济、文化、军事等领域发展产生了深远影响;②网络无疆域性导致网络信息的跨国界流动,从而使信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志;③为确保竞争优势和国家利益,各国政府开始通过互联网竭尽所能收集情报信息。
如果说逐利式病毒的目的是计算机病毒编写者在网络空间中尝试获取个人物质利益,那么国家博弈式病毒则又向前迈了一大步,开始尝试为国家利益在网络空间展开博弈。逐利式病毒以经济获利为攻击动力,其目标明确、持续性强、具有稳定性,多伴随着网络犯罪和网络间谍行为。例如,2009年的Google Aurora极光攻击,是由一个有组织的网络犯罪团体精心策划,以Google和其他大约20家公司为目标,长时间渗入这些企业的网络并窃取数据而获利的。
国家博弈式病毒以攻击基础设施、窃取敏感情报为目的,具有强烈的国家战略意图。例如,2010年的Stuxnet震网病毒攻击,是美国与以色列通力合作,利用操作系统和工业控制系统漏洞,并通过相关人员计算机中的移动设备感染伊朗布什尔核电站信息系统,潜伏并耐心地逐步扩散、逐渐破坏。其攻击范围控制巧妙,攻击行动非常精准,潜伏期长达5年之久。因此,从病毒编写者的战略意图上说,此时的计算机病毒开始由散兵游勇式的随机逐利式攻击演化为有目的、有组织、有预谋的群体定向式攻击。由于有雄厚的资金支持,此时的病毒攻击持续更长、威胁更大。由于攻击背后包含国家战略意图,国家博弈式病毒攻击已具备网络战雏形,现实威胁极大。
总之,计算机病毒的内在发展逻辑是:国家意志或部门利益 + 新技术应用。可以预见,计算机病毒将在未来现实环境的裹挟下,通过编写者的技术与智力的较量,朝着更加功利化、人性化、自动化、智能化方向前行。