一種名為 Storm 的軟體蠕蟲——精心製作的惡意軟體——成為分發垃圾郵件和劫持毫無戒心的計算機以進一步傳播蔓延的引擎。它也成為安全專家和希望研究這種劫持和征服大量毫無戒心的機器以達到蠕蟲編寫者目的的計劃的駭客的實驗室樣本。在另一種化身中,垃圾郵件淹沒了愛沙尼亞的網際網路,數字廢物流成為網路戰的工具。
目錄
過濾:科學家和駭客 [節選,第 1 部分] 《垃圾郵件》書籍節選系列的第一部分
投毒:垃圾郵件的重塑 [節選,第 2 部分] 《垃圾郵件》書籍節選系列的第二部分
“情感的新轉折”:內容農場和社交垃圾郵件 [節選,第 3 部分] 《垃圾郵件》書籍節選系列的第三部分
巴別圖書館內部:Storm 蠕蟲 Storm 成為軟體的典型例子,它徵用其他計算機進行垃圾郵件分發
調查 Storm:使垃圾郵件科學化,第二部分 安全專家和駭客密切研究 Storm 以瞭解其運作方式
超載:垃圾郵件軍事化 殭屍網路和垃圾郵件壓倒了一個國家
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來關於塑造我們當今世界的發現和想法的具有影響力的故事。
轉載自Spam: A Shadow History of the Internet,作者 Finn Brunton。版權 © 2013,麻省理工學院。經出版商 MIT Press 許可使用。
巴別圖書館內部:STORM 蠕蟲
Paul Graham [一位著名的程式設計師] 曾推測,“未來的垃圾郵件”旨在更好地擊敗過濾器,將採取文字片段和一個連結的形式:“嘿,你好。認為你應該看看以下內容:http:// www.27meg.com/foo。” 它看起來足夠無害,但在這種混合中可以新增一個無法預見的元素,尤其是在 2001 年 9 月 11 日和類似的衝擊之後:新聞,或新聞的承諾。一種新的垃圾郵件白話資訊開始出現,承諾可怕的事件和醜聞,從名人八卦(“賈斯汀·汀布萊克說‘布蘭妮·斯皮爾斯為我剃了光頭’”,“威爾·史密斯被發現死在浴缸裡”)到令人捧腹的怪異(“大腳怪被發現,被冷血擊斃”)或政治上令人震驚的(“中國導彈擊落美國飛機”)。主題行承諾了很多,帶有簡短的正文文字(“一位獵人聲稱他看到了被稱為大腳怪的傳奇野獸”)和一個指向故事的連結。該連結指向一個網頁或下載,惡意軟體感染的目的,就像據稱由同事在 Mydoom 例項中傳送的檔案一樣。在反垃圾郵件社群的語言中,此類訊息被歸類為自我傳播垃圾郵件活動——垃圾郵件是為了向網路新增更多機器。在 2007 年初,主導該領域的自我傳播訊息是“歐洲遭受風暴襲擊,230 人死亡”:這是同名 Storm 蠕蟲的載體。
Storm 迅速傳播,但比其速度更令人擔憂和著迷的是幕後的技術實力,這對於那些關注殭屍網路世界的反垃圾郵件組織和安全公司來說是可見的。它開始很簡單,儘管水平高於先前討論的原始第二人稱殭屍網路控制者。那條風暴警報垃圾郵件訊息連結到一個蠕蟲,該蠕蟲在每臺受感染的計算機上安裝了一個下載器和一個點對點客戶端。用於線上分發資訊的傳統、現代網路由客戶端和伺服器機器組成——對於基本的殭屍網路控制者示例,您殭屍網路中的受感染計算機都是客戶端機器,它們從伺服器(某個地方的中央機器)下載您指定的材料。相比之下,點對點系統將網路上的所有計算機都視為對等方,這些對等方能夠同時充當客戶端和伺服器,既可以從其他對等方請求資訊,也可以向其他對等方提供資訊。任何一臺擁有完整訊息的受感染計算機都可以將其路由到其他計算機,透過其不同的連線將資料逐個傳遞。殭屍程式作為對等方進行通訊意味著殭屍網路控制者發出的任何更改——新的 C&C [命令和控制] 指令、用於新功能的程式碼包、垃圾郵件文字和地址資料庫——都可以透過網路傳播出去,從而減少殭屍網路控制者的工作量和可追蹤的暴露。機器自行在彼此之間迴圈傳播。殭屍網路控制者可以在幾個選定的地方投放新材料,就像水池中的墨水或人群中的謠言一樣,並觀察其擴散。
在幾個月內,這個已經相當複雜的系統被分解為兩個網路:一個管理軟體包分發,另一個管理 C&C,殭屍程式傳遞定期更新的指令,以保持程式設計師的控制並保持通訊線路暢通。Storm 的作者構建了一個分散式和外包生產的夢想,將垃圾郵件變成由他人能力組成的全球主力軍的財務支持者和感染媒介。研究人員發現,Storm 充當一個龐大的垃圾郵件工廠,利用殭屍網路的資源。“它具有用於在殭屍網路中分配負載的工作佇列模型、模組化活動框架、用於引入每訊息多型性的模板語言、用於目標列表修剪的交付反饋、用於獲取新目標的每殭屍程式地址收集以及用於驗證新垃圾郵件模板可以繞過過濾器的特殊測試活動和電子郵件帳戶。”
換句話說,工作佇列使傳送垃圾郵件(以及其他專案)的工作負載均勻地分佈在數千臺受感染的計算機上,從而確保很少有計算機未被充分利用。不同的垃圾郵件活動可以透過殭屍網路來調整其分發節奏。在上一節的原始示例中,殭屍網路控制者一次只能向其所有殭屍程式分發一個活動,並且必須取消該活動才能開始另一個活動,而 Storm 系統可以同時執行幾個不同的盈利活動,以及最重要的惡意軟體自我傳播垃圾郵件。
單個殭屍程式可以生成一條又一條的唯一訊息——這就是“多型性”——透過大量的輕微組合變化、垃圾文字以及備用名稱和主題標題來擊敗過濾器。殭屍程式可以報告失敗的訊息,並將無效或已死的地址從要使用的目標地址列表中刪除,並新增來自受感染機器的新地址。發現了使用常見的第三方電子郵件服務(如 Hotmail 和 Yahoo!)的測試系統的證據,以微調新的垃圾郵件活動並繞過基本過濾器。該系統上的殭屍程式,在獲得指令和材料後,平均每分鐘傳送 152 條訊息,而受感染計算機的名義所有者則在處理電子表格、回覆電子郵件、玩遊戲或在離開辦公室時讓它們保持開機狀態。“一項這樣的[垃圾郵件]活動——專注於延續殭屍網路本身——在三週內向大約 4 億個電子郵件地址傳送了電子郵件。” 應該記住,這是一個活動,在眾多活動中:Storm 殭屍網路被劃分為不同的計算機子組,每個子組的控制權都可以透過不同的安全金鑰訪問,這強烈表明商業模式的一部分在於按件出租容量,供他人使用。
在每分鐘傳送的 152 條訊息中,只有大約六分之一成功送達,並且該送達是在幾個潛在的過濾階段之前。這項工作的成本如此低廉,以至於成功率甚至可以遠低於早期的垃圾郵件系統。例如,正在研究分析的 Storm 系統部分的地址收集功能返回了近一百萬個電子郵件地址。其中大約一半是重複的,十分之一根本不是有效的電子郵件地址,帶有 .gbl、.jpg、.msn、.hitbox 等結尾——這表明尋找特徵電子郵件地址形狀 (foo@bar.bat) 的模式匹配軟體不是很好,並且許多收集到的計算機包含略微損壞的地址或類似地址的東西。如此多的錯誤和如此多的重複努力,只有六分之一的訊息甚至到達郵件過濾系統的“ jaws ”,而只有一小部分會透過這些系統:如果生產和分發手段如此強大且如此廉價,那麼這種完全不可接受的失敗水平根本無關緊要。以每分鐘 152 條訊息的速度,從數千臺計算機中的每一臺計算機發送,您無需付出任何成本,那麼在每個階段絕大多數訊息的失敗都毫無意義。這是一種奇妙的浪費的後稀缺性製造模型,讓人想起“巴別圖書館”,將其作為博爾赫斯式出版經濟學的研究。在那些堆滿隨機字母的書籍的無盡六邊形房間裡的某個地方,是“未來的詳細歷史,天使長的自傳……你死亡的真實故事”,如果生產成本為零或接近於零,這一切都可以負擔得起。
一個新的蠕蟲,接管一臺新機器,將包含一個反惡意軟體工具包,以清除其競爭對手,停止可疑檔案的執行,然後檢查其程式碼中可能的密碼和其他資訊,以接管競爭對手殭屍網路上的其他計算機。可疑程式通常只是已知惡意軟體檔案的列表,這些列表建立了一種功能平庸的發現詩歌,旨在逃避使用者尋找惡意軟體的興趣,或對其嗤之以鼻
W32.Blaster.Worm “msblast.exe”、“tftpd.exe”、
W32.Blaster.B.Worm “penis32.exe”、
W32.Blaster.C.Worm “index.exe”、
“root32.exe”、“teekids.exe”、
W32.Blaster.D.Worm “mspatch.exe”、
W32.Blaster.E.Worm “mslaugh.exe”、
W32.Blaster.F.Worm “enbiei.exe”、
Backdoor.IRC.Cirebot “worm.exe”、“lolx.exe”、“dcomx.exe”、“rpc.exe”、
“rpctest.exe”
從個人計算機上的鬥爭到全球垃圾郵件生產的控制,Storm 並不缺少競爭對手。它與 Kraken(又名 Bobax、Bobic、Cotmonger)、Cutwail(可能負責——同樣,這裡的測量確定性很困難——在 2009 年 4 月至 11 月期間約佔所有垃圾郵件的 29%)、Nugache、Ozdok(又名 Mega-D)、Grum、Lethic、Festi、Bagle、Srizbi(又名 Exchanger、Cbeplay)、Conficker(又名 Kido)、Rustock 和 Wopla 等系統共享食物鏈的上層。 這個奇怪的小型百臂巨人種群,擁有令人回味的名稱,共同負責絕大多數電子郵件垃圾郵件,所有這些都在迅速相互學習並爭奪市場份額。它們的歷史由快速性定義:快速創新,同樣迅速地被其他人複製,以及隨著安全補丁的釋出和殭屍網路相互竊取捕獲的機器,容量的快速增加和減少。
調查 STORM:使垃圾郵件科學化,第二部分
在這些競爭對手中,Storm 仍然是研究最多的。正如石英脈暗示附近可能存在黃金一樣,垃圾郵件通常也暗示著線上開發和創新的新領域,吸引了科學家以及安全專業人員和各種好奇的駭客。與用於科學垃圾郵件過濾的電子郵件語料庫問題一樣,簡單地製作一個可以進行實驗的認知物件是科學家遇到殭屍網路的第一步難題。對於電子郵件語料庫,問題在於隱私。對於殭屍網路,問題在於淘金熱:太多的團隊和個人追隨同一條石英脈。帳篷和篝火成倍增加,每條溪流都充滿了淤泥。Storm 在計算機安全社群中臭名昭著,並且在其架構中存在一些重大缺陷:因為網路上的每臺受感染計算機在資訊傳播方面都是對等方,所以它可以告訴許多其他人監聽指令的位置,從而誤導他們,也就是說,進入感興趣的各方的實驗室。這些因素使其對想要測量或操縱它的研究人員以及想要破壞它的破壞者都具有吸引力。
作為一個殭屍網路,Storm 將受感染的計算機變成了一個自我傳播、垃圾郵件活動和雄心勃勃的漏洞利用的平臺,反過來,它也成為了科學家、安全專家、駭客和其他感興趣的各方啟動一個又一個專案的平臺。(正如一個小組所說,“在[Storm]網路中做一個好公民與透過新穎的研究技術可能破壞它之間很難取得平衡。”)過濾掉殭屍網路上正在進行的攻擊和研究專案的影響是研究 Storm 最困難的部分之一。就像 G. K. Chesterton 的形而上學偵探小說《星期四的人》中的精彩場景一樣,當無政府主義陰謀家意識到他們都是試圖滲透無政府主義陰謀的秘密警察特工時,Storm 研究人員不斷遇到其他研究人員及其工作成果在殭屍網路本身中。
Storm 系統中一個令人驚訝的缺陷——一個糟糕的偽隨機數生成器,它生成了 Storm 網路本身內部的可識別 ID 模式,而不是探索和遍歷它的外部人員——使科學家有可能逐漸分離和定義其他使用者的群體。這個群體是一群有漏洞和損壞的殭屍程式、“治安維護研究人員、競爭對手的垃圾郵件團伙”和其他參與者,他們都在試圖減慢系統速度、測試系統並使 Storm 殭屍程式無法與 Storm 殭屍網路控制者通訊或干擾其他旁觀者。與科幻小說想象的那種主導網路的整體人工智慧不同,例如 William Gibson 的《神經漫遊者》中的 Wintermute,作為一個完全封閉的裝置——“凱斯笑了。“那能把你帶到哪裡?” “無處,”人工智慧回答,““到處。我是作品的總和,整個演出。””——我們發現的卻更像是一個淘金熱繁榮的小鎮或一個北極研究基地,土著居民和科學家、騙子和測量員都在尋找機會,社會學家、警察和損壞的機器都在這裡交匯:一個感興趣的各方的聚集地。有時黃金已經消失,但城鎮仍然存在:“最近的一次安全會議上有一個笑話,最終 Storm 網路將縮小到少數真正的殭屍程式,但仍然會有一群狂熱的研究人員相互爭鬥,以測量剩下的東西!”
在這個建立在垃圾郵件流上的前哨站的訪客和移民群體中,就像其他社群建立在鐵軌或撥款資金流上一樣,安全組織以及政府和軍方機構已成為最突出的一些。“更令人擔憂的是頻寬,”一位安全分析師在 Storm 可能的峰值時(其峰值和總規模是相當多爭論的物件)談到 Storm 時說。“只需計算一下四百萬次標準[高速網際網路連線]。這需要大量頻寬。這非常令人擔憂。擁有這樣的資源供他們支配——分佈在世界各地,並在許多國家/地區擁有很高的存在感——意味著他們可以對主機發起非常有效的分散式攻擊。” Storm 或其所有者似乎會定期識別出嚴肅的安全公司試圖調查它的行為,並會以 DDoS 攻擊進行報復,就像 Mydoom 用來自其殭屍計算機的請求淹沒 SCO, Inc. 一樣。有時他們可以將調查人員的伺服器宕機數天。“正如您嘗試調查 [Storm] 一樣,”IBM 網際網路安全服務的主機保護架構師 Josh Corman 說,“它知道,並且它會懲罰。它會反擊。”
這些攻擊引發的管轄權問題非常現實:在 Storm、Wopla、Srizbi 和 Cutwail 等最大規模的殭屍網路中,與國家邊界和人口有著奇怪的關係。殭屍計算機透過傳送自我傳播垃圾郵件(以及使用更深奧的手段,如 Mydoom 在檔案共享應用程式中播種的檔案,供其他人發現)使殭屍網路增長。為了傳播殭屍網路感染,透過垃圾郵件或其他方式,受感染的計算機需要開機並在線——這是一個顯而易見的事實,但有一個奇怪的含義:垃圾郵件可以被視為隨著地球的自轉而上升和下降,殭屍網路傳播會激增和減少。晨昏線,即分隔白天和黑夜的線,是大型殭屍網路的晝夜節律時鐘的一部分,總容量和潛在感染率會晝夜起伏。殭屍網路裝置的 инфраструктура 也在緩慢變化,隨著全球網際網路接入的變化而變化。許多人認為,下一個偉大的殭屍網路資源是非洲大陸,那裡約有 1 億臺 PC,其中估計有 80% 受到某種惡意軟體的破壞或感染。大多數計算機執行盜版作業系統(因此可能無法接收安全更新和補丁),並且其所有者買不起防病毒軟體(相對於當地工資而言,標準 Windows 安裝許可證可能非常昂貴),這兩者都使其更容易受到攻擊。大多數網際網路接入都是電話撥號——也就是說,對於殭屍網路控制者來說相當無用——但將非洲大陸連線到構成全球骨幹網的大型電纜的巨大推動將為雲帶來大量額外的、意外的受害者。
最後,垃圾郵件和自我傳播訊息的成功,以及蠕蟲執行的漏洞利用的許多特定方面,都取決於語言。承諾新聞報道的惡意軟體下載推銷不會對只閱讀中文普通話、俄語或印地語的使用者產生太大吸引力,並且蠕蟲獲取控制權的安裝過程可能依賴於特定語言版本的作業系統中的程式碼。因此,不同的殭屍網路具有不同的人口動態:殭屍網路的視角認為,國家邊界的相關性僅在於不同的經濟和基礎設施會影響線上計算機的數量。殭屍網路在廣闊的區域內執行,這些區域的邊緣是語言、軟體和時區,而不是邊界。管轄權問題非常複雜。一個殭屍網路裝置,撇開全球受感染計算機的人口不談,可能正在許多不同國家的許多身份下使用許多託管服務,所有這些都連線到一個相互依賴的系統中。正是在這裡,在最遠的視角和最廣闊的空間尺度上,邊界線幾乎已經消失,皮特凱恩島是殭屍網路架構中眾多節點中的一個微小節點,從工具到武器的轉變出現了:邊界被猛烈地重新確立,國家及其軍隊開始參與垃圾郵件及其後果的業務。
超載:垃圾郵件軍事化
“駭客經常使用殭屍網路生成垃圾郵件,但它們的真正實力在於它們能夠生成大量的網際網路流量並將其導向少數目標,”Charles W. Williamson III 上校在他那篇極其奇怪的文章“網路空間的地毯式轟炸”中解釋道。
電子郵件垃圾郵件,儘管對殭屍網路的傳播和財務至關重要,但已不再是它們存在的原因——儘管事實上它們現在幾乎生產了所有的垃圾郵件。在許多方面,它已成為其運營中最無聊的部分:每天 1200 億條訊息在全球範圍內以灰色的文字潮汐湧動,涓涓細流地穿過濾波器,像霧霾一樣沉悶。它仍然是他們所做的事情,但技術上的興奮點現在在其他地方,迷戀和恐慌也是如此。它在於 DDoS 攻擊的前景——可能暫時殺死公司和國家網路的巨大漏洞利用——以及可用於破解程式碼和查詢密碼的大量計算能力,以及意外情報資料的新市場。垃圾郵件,儘管在很大程度上保持不變,但已成為系統的一個次要和附帶部分——一種消失在普遍性而不是過時中的技術,已被重塑為威脅的新語言的一部分。
2007 年 4 月,愛沙尼亞政府透過從塔林市中心移走一座蘇聯士兵銅像,引發了一起國際事件。這座雕像是一個具有多種聲音的物體:多種歷史的產物,以及眾多時間線、身份和檔案的交匯點。就像 Enola Gay 一樣,它對不同的人意味著非常不同的事物,聚集在那裡的代表團和群體根本不同意。對於俄羅斯國民和愛沙尼亞的俄羅斯族人(佔該國人口的四分之一)來說,1947 年的雕像——它(或不)豎立在十四名(取決於誰數)蘇聯士兵的墳墓之上——代表那些為反對納粹德國而倒下的人。對於愛沙尼亞人來說,它象徵著從納粹手中奪回愛沙尼亞,然後直到 1991 年才離開,佔領該國計程車兵。這座雕像已成為俄羅斯族少數民族和愛沙尼亞民族主義者和警察之間持續摩擦的焦點,雕像的移除發生在騷亂、橡皮子彈、投擲的石頭和瓶子以及電視報道的混戰中。
幾乎緊隨其後,愛沙尼亞的網路流量開始激增。包括政府部門、銀行和報紙在內的幾個主要愛沙尼亞機構的伺服器遭受了巨大的活動高峰衝擊,足以耗盡它們的頻寬並反覆使它們離線。《愛沙尼亞郵報》被來自埃及、越南和秘魯等國家(即不太可能對愛沙尼亞事務有重大興趣的國家)的評論垃圾郵件和數百萬次的頁面請求淹沒。官方政府網站遭到駭客攻擊,並重新裝飾了反愛沙尼亞的視覺效果和言論,或者只是被重複的流量爆發驅動離線。該國的許多官方機構無法對外發布有關其境內事件的訊息,在愛沙尼亞這樣一個小型且網際網路驅動的國家,其中 90% 的銀行交易都在網上處理,官方網路服務的喪失具有侵入性和令人痛苦。到 5 月中旬,安全公司 Arbor Networks 執行的資料收集工具 Active Threat Level Analysis System (ATLAS) 提供了事件的部分畫面:在兩週內,針對少數關鍵愛沙尼亞網站的 128 次不同的 DDoS 攻擊。“有人非常非常刻意地傷害愛沙尼亞。”
愛沙尼亞的 DDoS 攻擊提供了一個關於網路服務漏洞的深刻令人不安的視角,特別是對於小國而言——愛沙尼亞已完全聯網,並且是日常公民生活中最依賴網際網路連線的國家之一——以及關於後蘇聯外交關係的狀態以及各國可以相互施加的新形式的次戰爭騷擾。撇開這些事實不談,這一連串事件立即成為一個論據,其中殭屍網路和垃圾郵件被塑造成地緣政治、軍事關注和“網路戰”炒作的物件:它們成為引人注目的言論來源。
哪裡有一種惡意軟體感染,幾乎總是存在不止一種,以及它們之間的衝突和競爭,因此在技術戲劇期間不同選區講述的敘述似乎也是如此。哪裡有一個故事,哪裡就有許多故事,而且它們不能方便地組合在一起。從網路安全的角度來看,DDoS 攻擊、相關漏洞利用以及針對愛沙尼亞網站的垃圾郵件洪水是一件嚴肅的事情,特別是對於頻寬容量相對較低的小國來說,但它們也完全熟悉,並且可以在最初的恐慌過後透過技術上的沉著應對來處理。
愛沙尼亞和國際安全部門可以跟蹤流量,阻止對大部分流量負責的網際網路地址叢集,與服務提供商密切合作,並採取其他防禦措施來減輕影響。在愛沙尼亞的案例中,以及在許多針對不同公司和國家的類似攻擊中,快速響應和知識淵博的安全經理和系統管理員可以削弱持續的攻擊。
然而,從官方政府宣告的角度來看,4 月和 5 月的攻擊是一件非常不同的事情,構成了“網路戰”攻擊或“數字珍珠港”的幾個例子之一。
或者數字廣島:“當我看到核爆炸以及 5 月份在我們國家發生的爆炸時,我看到了同樣的東西,”愛沙尼亞議會議長埃內·埃爾格瑪說。我們突然進入了一個完全不同的隱喻類別:“就像核輻射一樣,”她繼續說道,“網路戰不會讓你流血,但它可以摧毀一切。” 這種淫穢的類比,將一系列由 DDoS 攻擊造成的基礎設施減速和恐慌與核武器造成的大規模死亡和破壞進行比較,概括了垃圾郵件及其向殭屍網路的技術過渡被政治和軍事敘事採用的過程。愛沙尼亞是北約國家,並且考慮援引第五條,該條款動員所有北約成員對抗攻擊其中一個成員國的侵略者,從而發動了垃圾郵件發揮主要作用的第一次戰爭。愛沙尼亞的襲擊促成了在塔林建立北約卓越合作網路防禦中心。在襲擊期間,“北約向愛沙尼亞派遣了兩名觀察員,美國人又派遣了一名,以便‘觀察猛攻’。” Williamson 上校主張建立美國軍方殭屍網路,他問道:“美國能否合理地相信其他國家沒有從 2007 年對……愛沙尼亞的 DDOS 攻擊中吸取教訓?” 我們已經看到了科學家們為將電子郵件垃圾郵件和殭屍網路轉變成他們研究所需的認知物件而經歷的過程;在這些言論中,我們可以看到殭屍網路成為軍事化物件的過程——一個可用於戰略分析、對策和威懾的事物。
在戰時殭屍網路的軍事語言中,垃圾郵件是一個邪惡的動員過程,隨著感染的蔓延和殭屍網路容量的建立。然而,即使這種修辭轉變正在進行中,垃圾郵件在公眾對網路的認知中的地位也發生了變化。英國和美國的投訴和調查資料顯示,在千禧年之後,即使垃圾郵件開始了一系列大規模增長的開端,使用者也開始更加容忍垃圾郵件,認為它是一件無關緊要的事情,越來越多地將其視為一種滋擾,而不是一種威脅:只是一些需要過濾、應對、刪除和忽略的東西。 從絕大多數使用者的角度來看,垃圾郵件甚至真的不像犯罪,更不用說網路犯罪了。我們期望網路犯罪是大型的、戲劇性的和令人興奮的——檢察官將駭客凱文·米特尼克單獨監禁,因為(正如網路犯罪幻想所說)只需片刻訪問電話,他就可以吹響啟動核戰爭的秘密發射音調——而不是日常瑣碎的虛假銀行通知、可笑的拙劣騙局以及色情和藥丸廣告。對於許多人來說,這只是一種涓涓細流,服務提供商將複雜技術應用於大資料的頂峰,創造了真正有效的過濾系統,例如 Gmail 使用的那些系統。(在我寫這本書時,我經常與人們交談,他們會提到,從他們的角度來看,垃圾郵件似乎已經“消失”了,或者在很大程度上,或者變得微不足道,成為日常生活的一部分。)垃圾郵件開始看起來更像是一種刺激,一種輕微的慢性問題,它已不再具有多大意義,並已成為一種運營上的必然,個人使用者的業務成本——以及安全提供商本身的業務。
垃圾郵件和惡意軟體的聯盟產生了殭屍網路架構,也為安全專業人員創造了新的業務。“‘反垃圾郵件現在是一項大生意,’”傑西卡·約翰斯頓引用一位研究人員的話說,“‘大型企業客戶準備為此付費……早期的反垃圾郵件產品始終是免費或相對便宜的。’”1 在那些早期,垃圾郵件仍然被視為一個社會問題,並且可能是一個合法的營銷機會。現在,它已被重塑為一個更重要和更有問題的事物,與殭屍網路的巨大漏洞利用使能機制相結合,成為企業安全公司的大宗文化關注的問題。(從浦東到肯尼迪機場都有 Barracuda Networks 的“垃圾郵件和病毒防火牆”等產品的廣告——“阻止電子郵件傳播的垃圾郵件和病毒入侵,同時防止資料丟失”——以吸引商務旅客的目光。)它也成為軍事領域更大規模的世界的興趣領域,而此時平民已經習慣了它,並開始將其視為日常生活的一部分。
威脅或煩擾,殭屍網路陰影下的垃圾郵件被企業安全組織和軍方反覆重新編寫。“‘如果欺詐者破壞我們所知的電子商務……那將對我們造成很大的傷害,’”另一位研究人員說。“‘如果欺詐者破壞銀行系統,並且有各種跡象表明他們即將透過遍佈網路的不安全映象和代理來做到這一點,以至於您看不到它來自哪裡,那麼老實說,這造成的危害遠遠大於推倒幾座塔樓等等。沒有人喪生,但即便如此,總體影響也更大。’” 與 9 月 11 日的比較讓人想起埃內·埃爾格瑪在愛沙尼亞 DDoS 攻擊後所做的原子隱喻練習。重點不是質疑這種比較的前提——垃圾郵件造成的經濟損失以及對線上銀行和電子商務失去信心的潛在成本是否超過了 9/11 的經濟影響——而是觀察這些隱喻的運作。
即使相對於那些對垃圾郵件司空見慣的使用者而言,還記得垃圾郵件尚屬新鮮事物的網路的使用者數量穩步下降,大型機構仍將垃圾郵件重新包裝成一種非常嚴重的威脅。反垃圾郵件不再是聚集在 NANAE 上的社群愛好者、活動家和義務警員的領域,也不再是構建更好的貝葉斯過濾器的程式設計師集體的領域。它現在是國土安全的一部分,“網路戰”的前線,是私人承包商與空軍網路司令部、北約和聯邦調查局官員交匯的地方。分散式拒絕服務攻擊 (DDoS) 也奇怪地橫向轉移到了抗議活動中,成為 Anonymous 等線上激進組織的首選武器。包括名為“低軌道離子炮”(Low Orbit Ion Cannon,來自科幻遊戲《命令與征服》中的超級武器)的程式在內,使下載它的個人能夠自願加入殭屍網路。然後,這個具有公共精神的殭屍網路可以被定向攻擊那些對維基解密持敵對態度的組織以及像敘利亞這樣的壓制性政府的網站。這些技術的價值以及它們可以被納入的敘事方式都在不斷變化。
犯罪基礎設施
儘管殭屍網路依賴於分散式計算機,但電子郵件垃圾郵件業務已變得更加中心化。使垃圾郵件成為可能的大規模經濟效應需要大量的訊息,而只有大型、複雜、難以捉摸且廉價的基礎設施(如殭屍網路)才能提供。過去的日子已經一去不復返了,那時,數百個信譽可疑的小角色,擁有一些辦公空間、幾條租用的高頻寬連線以及一堆裝有現成郵件營銷軟體的廉價 PC,就可以圍繞股票推銷和壯陽藥建立業務。過濾器、負責任的服務提供商、立法和知情的消費者相結合,已經掃除了那些小人物,他們開著靠賣藥丸賺來的敞篷車,擁有創業熱情(回想一下 Rodona Garst 的即時訊息中的那些報價:“我現在有抵押貸款、有線電視盒、合成代謝類固醇和成人用品,如果他們想要的話”)和電話鈴聲中充滿威脅的叫囂。剩下的是由數百個群體組成的佇列,他們負責 80% 以上的垃圾郵件,他們有訓練和能力利用網路生成每天超過一千億條的垃圾郵件。即使他們的系統擴充套件到全球,流量和數量也難以掌握,但垃圾郵件核心集團仍在穩步萎縮為一個積極進取且爭吵不休的大家庭。
同樣,支援他們活動的基礎設施也變得更加中心化。“我們的資料中心位於美國加利福尼亞州聖何塞的頂級現代化 MarketPost-Tower IT 中心”:這是已倒閉的網站 McColo Hosting Solutions 上的文字。(該網站的簡陋文字仍然存在於網際網路檔案館中。)McColo 在由私營和公共部門安全專業人員、IT 分析師和警察組成的鬆散聯盟中享有“防彈主機”提供商的聲譽——這個術語可以追溯到 NANAE 的早期,指的是一個 ISP,無論收到什麼投訴都不會踢走客戶,因此是垃圾郵件傳送者的避風港。如果你支付額外的費用,他們會為你承擔投訴和批評的壓力,甚至採取措施掩蓋你的存在——據稱是透過將他們的一些違規客戶轉移到不同的子網來實現這一點,就像公開解僱一個部門的有問題的員工,然後悄悄地將他們僱用到另一個部門一樣。McColo 託管著 C&C 通道的伺服器、許多用於移動產品和惡意軟體下載(rxclub.biz、high-quality-viagra.com、pills24.biz、valium-plus.com 等)的網頁,以及包括 Srizbi、Mega-D、Rustock 和 Cutwail 在內的幾個主要殭屍網路的匿名化和代理服務以及支付網站,以及其他一些邪惡的內容。2008 年 11 月 11 日,McColo 的兩個“上游”提供商——McColo 賴以執行其託管服務的骨幹網際網路連線的公司——在收到關於其活動的報告後切斷了他們的頻寬。全球垃圾郵件活動突然急劇下降數百萬條,然後數十億條訊息。在最低點,全球垃圾郵件水平下降了約 65%。
參與 McColo 關閉的力量包括記者、安全分析師以及為 McColo 提供連線的主要樞紐的管理員。(它的關閉在網際網路地址空間中留下了一個奇怪的死區:分配給 McColo 的地址塊最終出現在足夠多的黑名單上,以至於他們的不良活動讓其他人對接收它們感到猶豫,使它們成為“幽靈號碼塊”,就像一棟以自殺事件聞名並被潛在租戶迴避的房子一樣。)我們可以在 Mariposa 工作組中看到類似的人員構成,該工作組聚集在一起關閉 Mariposa 殭屍網路:這是一個與聯邦調查局和西班牙國民警衛隊合作的國際安全專家集合。如果網際網路治理的概念目前仍然模糊,那麼它的執行也是如此,鬆散的工作組跨越管轄範圍和專業知識,在某些情況下是奇怪的合作伙伴——例如,芬蘭安全專家、北約和美國觀察員以及愛沙尼亞 ISP,他們在 2007 年愛沙尼亞遭受 DDoS 攻擊時走到了一起——這些工作組的形成與問題的擴散有關。
儘管我們似乎已經從 Peter Bos 向麻省理工學院支援的終端傳送的良知資訊走了很長一段路,但這段歷史也可以被解讀為一種過渡時期,是從系統管理員對網路的公開控制時期過渡到另一個時期。網路早期的系統管理員,那些根據自己的理解維護其領域秩序的甘道夫式人物,已經變成了 Alan Liu 所說的“後端和中介軟體程式設計師的牧師”,以及由安全分析師、國家特工和 ISP 組成的小型專家精英。使用者可以藏身於開發者構建的相對無垃圾郵件的區域內,例如 Gmail 和 Facebook,這些區域具有強大的過濾和社群管理功能,但需要以廣告、個人資訊和使用者活動(以及他們可量化的注意力)作為代價。
想象一下另一個行業,如果發生一次工業行動,產量可能會在一夜之間下降一半以上,或者如果數百人被監禁,則可能會基本消失。傳統的電子郵件垃圾郵件早已過了輕鬆賺錢的頂峰,並且已經進入最佳化和效率的艱難磨練階段,試圖從受限矩陣中的網路中榨取最大價值。在 McColo 關閉後的幾周內,垃圾郵件數量反彈,因為殭屍網路主找到了願意與他們合作並託管其系統的新 ISP,並將殭屍程式轉移到新的命令通道,但揭示該行業規模之小的真相已經顯而易見。與電子郵件和網路興起同時發展的傳統垃圾郵件已經成為世界上效率最高的集中式業務。垃圾郵件的勞動節約型解決方案歷史,例如 Canter 和 Siegel 的 Usenet 垃圾郵件指令碼以及早期尋找“xx@xx.xx”的模式識別地址收集器,它們利用了許多微小影響在龐大公共基礎設施上的自動化積累,使得大約一個小型城鎮規模的人群能夠影響地球上所有計算機使用者的部分日常生活。
我們的歷史始於將計算機聯網在一起,然後為了效率、資源共享和遠端訪問而連線網路。我們的故事以一小群才華橫溢、有遠見的犯罪垃圾郵件傳送者結束,他們將全球受惡意軟體感染的個人計算機網路縫合在一起,形成全球分散式機器,專門用於傳送垃圾郵件——以及其他更邪惡的任務——以實現效率、資源共享和遠端訪問。這是網際網路陰影歷史中的一個章節。在某些方面,它類似於全球化的反面,即構建秘密市場、特許經營的犯罪組織以及大規模的供需物流,用於毒品走私、假冒和人口販運等活動,這些活動與傳統的全球化運營並行、寄生或支撐著傳統的全球化運營。雲計算是當代商業中非常流行的模式:從亞馬遜的服務或 Rackspace 等公司訂購一定量的計算能力,設定一個作業系統例項,然後從你的筆記型電腦控制 Usenet 年代的任何骨幹網管理員男爵都無法想象的處理能力和頻寬——雲計算提供商負責軟體維護和在某個匿名設施中冷卻的伺服器機架的安全性。但是,如果你經營另一種業務,你可以與 Conficker 殭屍網路在其峰值時期達成協議,訪問分佈在 230 個頂級域名(即分散在許多國家和主機上)的數百萬臺計算機系統,訂購你需要的頻寬和合適的作業系統,然後開始執行垃圾郵件活動、DDoS 攻擊、資料收集或密碼破解,隨你所願。(安全研究員 Robert Hansen 已經指出,這種活動可能會改變公司和國家間諜活動的動態:不要從試圖滲透公司或政府開始,而是給殭屍網路主一份你感興趣的網際網路地址或機器列表,如果他們已經將這些地址或機器放在網路上,你可以直接購買訪問許可權,然後開始洩露資訊。)
這是垃圾郵件末日的一種形式:它被納入權力、利潤和複雜性都遠超以往的犯罪行為和系統中——事實上,這不亞於構建犯罪基礎設施——僅僅作為一種資金來源,也就是說,作為一套服務的一部分和標準操作程式的一部分。然而,這也暗示了垃圾郵件另一種末日的可能性,這是許多人渴望的,而像 McColo 關閉這樣的事件也強調了這一點。構成殭屍網路的機器的縫合網路,整個垃圾郵件裝置,出乎意料地脆弱。它們反映了分散式和集中式之間的相同張力,這種張力困擾著整個雲計算。一些關鍵性的逮捕——或逮捕威脅,就像 Rustock 殭屍網路的案例一樣,其控制者顯然在日益增加的法律壓力下放棄了它——導致電子郵件垃圾郵件量每小時驟降數十億條,儘管隨著新來者的進入,它很快又會爬升回來。極少數註冊商處理著垃圾郵件站點域名註冊的大部分業務;託管和其他網際網路服務也是如此……儘管對於像當代殭屍網路管理員這樣複雜的群體來說,切換提供商可能相對容易,但這仍然很耗時——並且在那些可能原本會受到誘惑而接受一些垃圾郵件業務的服務提供商中營造一種合理的恐懼氛圍,可能會使遷移工作變得更加困難。
整合後的殭屍網路背後的金融基礎設施同樣脆弱。一組研究人員發現,“95% 的垃圾郵件廣告宣傳的藥品、仿製品和軟體產品都是透過少數幾家銀行的商戶服務進行貨幣化的。” 在這種情況下,“少數幾家”指的是三家:一家拉脫維亞的挪威銀行 DnB Nord、亞塞拜然銀行 Azerigazbank 以及西印度群島聖克里斯多福及尼維斯聯邦的聖基茨-尼維斯-安圭拉國民銀行。(自從開始研究銀行系統以來,垃圾郵件傳送者——如果不是適應性強的話——已經從 Azerigazbank 遷移到另外兩家亞塞拜然機構。)正如研究人員所指出的那樣,找到願意與垃圾郵件傳送者做生意的支付處理商並非易事,而且數量並不多。他們提出了一種強有力的去貨幣化策略:一份迅速更新的金融機構黑名單,西方銀行將拒絕結算針對該名單中機構的一小部分交易。垃圾郵件中的資金,除了網路釣魚、419 型騙局和從過剩的殭屍網路容量中剝離出來的業務外,都來自西方人用信用卡線上支付購買非常有限範圍的產品(藥丸、假手錶、盜版軟體等)。如果你可以將針對該組產品的非面對面刷卡交易(可以透過其商戶類別程式碼識別)排除在少數幾家銀行之外,那麼你基本上可以阻止大部分維持電子郵件垃圾郵件業務的資金流通。要求美國的髮卡銀行不要兌現某些交易可能看起來是一個激進的步驟,但這在過去與某些線上賭博交易有關的情況下已經做過。(儘管賭博監管專案的混亂記錄表明,這樣一個阻止垃圾郵件的專案將面臨許多層面的法律、政策、管轄權和執法問題:與安提瓜的鬥爭以及與世界貿易組織 (WTO) 就貿易協定和“秘密”貿易和解讓步的爭端,替代法案的提案,以及對線上撲克網站的起訴,指控其與支付處理商串通,將賭博交易偽裝成無害的高爾夫裝備和珠寶購買。這絕非易事。)正如 Rodona Garst 和她的團隊一樣,他們從一家託管提供商跳到另一家託管提供商,垃圾郵件傳送者嚴重依賴基礎設施訪問的可用性,這就是他們開始構建自己的基礎設施的原因。他們運營的失敗點就在那裡。
一些經過精心指導和執行的干預措施可能會在電子郵件垃圾郵件的產生方面產生巨大的影響。過濾和法律並沒有阻止它,但它們已經將其逼入了一個發展死角,並存在嚴重的瓶頸:一個幾乎完全集中、整合的業務,依賴於龐大的郵件量才能生存。即使假設這種干預措施能夠成功,但該事件也只會阻止垃圾郵件所採取的一種形式——誠然,這是最明顯和最頑強的形式之一。回想一下搜尋引擎垃圾郵件的擴散和部落格中垃圾評論的泛濫;維基垃圾郵件;Twitter 垃圾機器人亞文化,它們利用流行的短語,並使用地址縮短技術隱藏其不可信的連結;社交網路服務內部的垃圾郵件,例如 Facebook 中的“點贊劫持”;界限模糊的案例,例如內容農場、誘餌式連結部落格帖子和更低階的吸引眼球的病毒式媒體:這些都不會消失,並且只有少數幾個提供了與電子郵件垃圾郵件相同的明顯(如果政治上覆雜)的失敗點。(這份清單甚至沒有提及現在正在誕生的垃圾郵件形式,包括“垃圾郵件書籍”和線上遊戲中的垃圾郵件。)垃圾郵件持續存在並多樣化,因為我們正在經歷我們自身注意力構成和管理方面的重大而複雜的轉變,這種轉變的速度快於我們的治理、我們的隱喻和我們的軟體所能跟上的速度。垃圾郵件傳送者——被取消資格的律師、貧困的騙子、妄想成為色情作品製作者的人、信用卡竊賊和惡意軟體編碼員——是這場轉變的先鋒,是野貓式的剝削者。他們找到正在產生顯著性的領域,無論是在評論執行緒、搜尋引擎結果、社交媒體平臺還是你的電子郵件收件箱中,然後採取行動將其佔為己有。他們是對這種捕獲的最粗俗和最卑鄙的形式,從學生用 Monty Python 小品中的臺詞互相惡作劇,到全球殭屍網路每天產生的電子郵件比地球上其他所有人加起來都多。他們以粗俗的方式向線上人群展示了網路的新功能、新的注意力和社群體驗形式,而我們尚未完全理解這些形式。