一种名为 Storm 的软件蠕虫——精心制作的恶意软件——成为分发垃圾邮件和劫持毫无戒心的计算机以进一步传播蔓延的引擎。它也成为安全专家和希望研究这种劫持和征服大量毫无戒心的机器以达到蠕虫编写者目的的计划的黑客的实验室样本。在另一种化身中,垃圾邮件淹没了爱沙尼亚的互联网,数字废物流成为网络战的工具。
目录
过滤:科学家和黑客 [节选,第 1 部分] 《垃圾邮件》书籍节选系列的第一部分
投毒:垃圾邮件的重塑 [节选,第 2 部分] 《垃圾邮件》书籍节选系列的第二部分
“情感的新转折”:内容农场和社交垃圾邮件 [节选,第 3 部分] 《垃圾邮件》书籍节选系列的第三部分
巴别图书馆内部:Storm 蠕虫 Storm 成为软件的典型例子,它征用其他计算机进行垃圾邮件分发
调查 Storm:使垃圾邮件科学化,第二部分 安全专家和黑客密切研究 Storm 以了解其运作方式
超载:垃圾邮件军事化 僵尸网络和垃圾邮件压倒了一个国家
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来关于塑造我们当今世界的发现和想法的具有影响力的故事。
转载自Spam: A Shadow History of the Internet,作者 Finn Brunton。版权 © 2013,麻省理工学院。经出版商 MIT Press 许可使用。
巴别图书馆内部:STORM 蠕虫
Paul Graham [一位著名的程序员] 曾推测,“未来的垃圾邮件”旨在更好地击败过滤器,将采取文本片段和一个链接的形式:“嘿,你好。认为你应该看看以下内容:http:// www.27meg.com/foo。” 它看起来足够无害,但在这种混合中可以添加一个无法预见的元素,尤其是在 2001 年 9 月 11 日和类似的冲击之后:新闻,或新闻的承诺。一种新的垃圾邮件白话信息开始出现,承诺可怕的事件和丑闻,从名人八卦(“贾斯汀·汀布莱克说‘布兰妮·斯皮尔斯为我剃了光头’”,“威尔·史密斯被发现死在浴缸里”)到令人捧腹的怪异(“大脚怪被发现,被冷血击毙”)或政治上令人震惊的(“中国导弹击落美国飞机”)。主题行承诺了很多,带有简短的正文文本(“一位猎人声称他看到了被称为大脚怪的传奇野兽”)和一个指向故事的链接。该链接指向一个网页或下载,恶意软件感染的目的,就像据称由同事在 Mydoom 实例中发送的文件一样。在反垃圾邮件社区的语言中,此类消息被归类为自我传播垃圾邮件活动——垃圾邮件是为了向网络添加更多机器。在 2007 年初,主导该领域的自我传播消息是“欧洲遭受风暴袭击,230 人死亡”:这是同名 Storm 蠕虫的载体。
Storm 迅速传播,但比其速度更令人担忧和着迷的是幕后的技术实力,这对于那些关注僵尸网络世界的反垃圾邮件组织和安全公司来说是可见的。它开始很简单,尽管水平高于先前讨论的原始第二人称僵尸网络控制者。那条风暴警报垃圾邮件消息链接到一个蠕虫,该蠕虫在每台受感染的计算机上安装了一个下载器和一个点对点客户端。用于在线分发信息的传统、现代网络由客户端和服务器机器组成——对于基本的僵尸网络控制者示例,您僵尸网络中的受感染计算机都是客户端机器,它们从服务器(某个地方的中央机器)下载您指定的材料。相比之下,点对点系统将网络上的所有计算机都视为对等方,这些对等方能够同时充当客户端和服务器,既可以从其他对等方请求信息,也可以向其他对等方提供信息。任何一台拥有完整消息的受感染计算机都可以将其路由到其他计算机,通过其不同的连接将数据逐个传递。僵尸程序作为对等方进行通信意味着僵尸网络控制者发出的任何更改——新的 C&C [命令和控制] 指令、用于新功能的代码包、垃圾邮件文本和地址数据库——都可以通过网络传播出去,从而减少僵尸网络控制者的工作量和可追踪的暴露。机器自行在彼此之间循环传播。僵尸网络控制者可以在几个选定的地方投放新材料,就像水池中的墨水或人群中的谣言一样,并观察其扩散。
在几个月内,这个已经相当复杂的系统被分解为两个网络:一个管理软件包分发,另一个管理 C&C,僵尸程序传递定期更新的指令,以保持程序员的控制并保持通信线路畅通。Storm 的作者构建了一个分散式和外包生产的梦想,将垃圾邮件变成由他人能力组成的全球主力军的财务支持者和感染媒介。研究人员发现,Storm 充当一个庞大的垃圾邮件工厂,利用僵尸网络的资源。“它具有用于在僵尸网络中分配负载的工作队列模型、模块化活动框架、用于引入每消息多态性的模板语言、用于目标列表修剪的交付反馈、用于获取新目标的每僵尸程序地址收集以及用于验证新垃圾邮件模板可以绕过过滤器的特殊测试活动和电子邮件帐户。”
换句话说,工作队列使发送垃圾邮件(以及其他项目)的工作负载均匀地分布在数千台受感染的计算机上,从而确保很少有计算机未被充分利用。不同的垃圾邮件活动可以通过僵尸网络来调整其分发节奏。在上一节的原始示例中,僵尸网络控制者一次只能向其所有僵尸程序分发一个活动,并且必须取消该活动才能开始另一个活动,而 Storm 系统可以同时运行几个不同的盈利活动,以及最重要的恶意软件自我传播垃圾邮件。
单个僵尸程序可以生成一条又一条的唯一消息——这就是“多态性”——通过大量的轻微组合变化、垃圾文本以及备用名称和主题标题来击败过滤器。僵尸程序可以报告失败的消息,并将无效或已死的地址从要使用的目标地址列表中删除,并添加来自受感染机器的新地址。发现了使用常见的第三方电子邮件服务(如 Hotmail 和 Yahoo!)的测试系统的证据,以微调新的垃圾邮件活动并绕过基本过滤器。该系统上的僵尸程序,在获得指令和材料后,平均每分钟发送 152 条消息,而受感染计算机的名义所有者则在处理电子表格、回复电子邮件、玩游戏或在离开办公室时让它们保持开机状态。“一项这样的[垃圾邮件]活动——专注于延续僵尸网络本身——在三周内向大约 4 亿个电子邮件地址发送了电子邮件。” 应该记住,这是一个活动,在众多活动中:Storm 僵尸网络被划分为不同的计算机子组,每个子组的控制权都可以通过不同的安全密钥访问,这强烈表明商业模式的一部分在于按件出租容量,供他人使用。
在每分钟发送的 152 条消息中,只有大约六分之一成功送达,并且该送达是在几个潜在的过滤阶段之前。这项工作的成本如此低廉,以至于成功率甚至可以远低于早期的垃圾邮件系统。例如,正在研究分析的 Storm 系统部分的地址收集功能返回了近一百万个电子邮件地址。其中大约一半是重复的,十分之一根本不是有效的电子邮件地址,带有 .gbl、.jpg、.msn、.hitbox 等结尾——这表明寻找特征电子邮件地址形状 (foo@bar.bat) 的模式匹配软件不是很好,并且许多收集到的计算机包含略微损坏的地址或类似地址的东西。如此多的错误和如此多的重复努力,只有六分之一的消息甚至到达邮件过滤系统的“ jaws ”,而只有一小部分会通过这些系统:如果生产和分发手段如此强大且如此廉价,那么这种完全不可接受的失败水平根本无关紧要。以每分钟 152 条消息的速度,从数千台计算机中的每一台计算机发送,您无需付出任何成本,那么在每个阶段绝大多数消息的失败都毫无意义。这是一种奇妙的浪费的后稀缺性制造模型,让人想起“巴别图书馆”,将其作为博尔赫斯式出版经济学的研究。在那些堆满随机字母的书籍的无尽六边形房间里的某个地方,是“未来的详细历史,天使长的自传……你死亡的真实故事”,如果生产成本为零或接近于零,这一切都可以负担得起。
一个新的蠕虫,接管一台新机器,将包含一个反恶意软件工具包,以清除其竞争对手,停止可疑文件的运行,然后检查其代码中可能的密码和其他信息,以接管竞争对手僵尸网络上的其他计算机。可疑程序通常只是已知恶意软件文件的列表,这些列表创建了一种功能平庸的发现诗歌,旨在逃避用户寻找恶意软件的兴趣,或对其嗤之以鼻
W32.Blaster.Worm “msblast.exe”、“tftpd.exe”、
W32.Blaster.B.Worm “penis32.exe”、
W32.Blaster.C.Worm “index.exe”、
“root32.exe”、“teekids.exe”、
W32.Blaster.D.Worm “mspatch.exe”、
W32.Blaster.E.Worm “mslaugh.exe”、
W32.Blaster.F.Worm “enbiei.exe”、
Backdoor.IRC.Cirebot “worm.exe”、“lolx.exe”、“dcomx.exe”、“rpc.exe”、
“rpctest.exe”
从个人计算机上的斗争到全球垃圾邮件生产的控制,Storm 并不缺少竞争对手。它与 Kraken(又名 Bobax、Bobic、Cotmonger)、Cutwail(可能负责——同样,这里的测量确定性很困难——在 2009 年 4 月至 11 月期间约占所有垃圾邮件的 29%)、Nugache、Ozdok(又名 Mega-D)、Grum、Lethic、Festi、Bagle、Srizbi(又名 Exchanger、Cbeplay)、Conficker(又名 Kido)、Rustock 和 Wopla 等系统共享食物链的上层。 这个奇怪的小型百臂巨人种群,拥有令人回味的名称,共同负责绝大多数电子邮件垃圾邮件,所有这些都在迅速相互学习并争夺市场份额。它们的历史由快速性定义:快速创新,同样迅速地被其他人复制,以及随着安全补丁的发布和僵尸网络相互窃取捕获的机器,容量的快速增加和减少。
调查 STORM:使垃圾邮件科学化,第二部分
在这些竞争对手中,Storm 仍然是研究最多的。正如石英脉暗示附近可能存在黄金一样,垃圾邮件通常也暗示着在线开发和创新的新领域,吸引了科学家以及安全专业人员和各种好奇的黑客。与用于科学垃圾邮件过滤的电子邮件语料库问题一样,简单地制作一个可以进行实验的认知对象是科学家遇到僵尸网络的第一步难题。对于电子邮件语料库,问题在于隐私。对于僵尸网络,问题在于淘金热:太多的团队和个人追随同一条石英脉。帐篷和篝火成倍增加,每条溪流都充满了淤泥。Storm 在计算机安全社区中臭名昭著,并且在其架构中存在一些重大缺陷:因为网络上的每台受感染计算机在信息传播方面都是对等方,所以它可以告诉许多其他人监听指令的位置,从而误导他们,也就是说,进入感兴趣的各方的实验室。这些因素使其对想要测量或操纵它的研究人员以及想要破坏它的破坏者都具有吸引力。
作为一个僵尸网络,Storm 将受感染的计算机变成了一个自我传播、垃圾邮件活动和雄心勃勃的漏洞利用的平台,反过来,它也成为了科学家、安全专家、黑客和其他感兴趣的各方启动一个又一个项目的平台。(正如一个小组所说,“在[Storm]网络中做一个好公民与通过新颖的研究技术可能破坏它之间很难取得平衡。”)过滤掉僵尸网络上正在进行的攻击和研究项目的影响是研究 Storm 最困难的部分之一。就像 G. K. Chesterton 的形而上学侦探小说《星期四的人》中的精彩场景一样,当无政府主义阴谋家意识到他们都是试图渗透无政府主义阴谋的秘密警察特工时,Storm 研究人员不断遇到其他研究人员及其工作成果在僵尸网络本身中。
Storm 系统中一个令人惊讶的缺陷——一个糟糕的伪随机数生成器,它生成了 Storm 网络本身内部的可识别 ID 模式,而不是探索和遍历它的外部人员——使科学家有可能逐渐分离和定义其他用户的群体。这个群体是一群有漏洞和损坏的僵尸程序、“治安维护研究人员、竞争对手的垃圾邮件团伙”和其他参与者,他们都在试图减慢系统速度、测试系统并使 Storm 僵尸程序无法与 Storm 僵尸网络控制者通信或干扰其他旁观者。与科幻小说想象的那种主导网络的整体人工智能不同,例如 William Gibson 的《神经漫游者》中的 Wintermute,作为一个完全封闭的装置——“凯斯笑了。“那能把你带到哪里?” “无处,”人工智能回答,““到处。我是作品的总和,整个演出。””——我们发现的却更像是一个淘金热繁荣的小镇或一个北极研究基地,土著居民和科学家、骗子和测量员都在寻找机会,社会学家、警察和损坏的机器都在这里交汇:一个感兴趣的各方的聚集地。有时黄金已经消失,但城镇仍然存在:“最近的一次安全会议上有一个笑话,最终 Storm 网络将缩小到少数真正的僵尸程序,但仍然会有一群狂热的研究人员相互争斗,以测量剩下的东西!”
在这个建立在垃圾邮件流上的前哨站的访客和移民群体中,就像其他社区建立在铁轨或拨款资金流上一样,安全组织以及政府和军方机构已成为最突出的一些。“更令人担忧的是带宽,”一位安全分析师在 Storm 可能的峰值时(其峰值和总规模是相当多争论的对象)谈到 Storm 时说。“只需计算一下四百万次标准[高速互联网连接]。这需要大量带宽。这非常令人担忧。拥有这样的资源供他们支配——分布在世界各地,并在许多国家/地区拥有很高的存在感——意味着他们可以对主机发起非常有效的分布式攻击。” Storm 或其所有者似乎会定期识别出严肃的安全公司试图调查它的行为,并会以 DDoS 攻击进行报复,就像 Mydoom 用来自其僵尸计算机的请求淹没 SCO, Inc. 一样。有时他们可以将调查人员的服务器宕机数天。“正如您尝试调查 [Storm] 一样,”IBM 互联网安全服务的主机保护架构师 Josh Corman 说,“它知道,并且它会惩罚。它会反击。”
这些攻击引发的管辖权问题非常现实:在 Storm、Wopla、Srizbi 和 Cutwail 等最大规模的僵尸网络中,与国家边界和人口有着奇怪的关系。僵尸计算机通过发送自我传播垃圾邮件(以及使用更深奥的手段,如 Mydoom 在文件共享应用程序中播种的文件,供其他人发现)使僵尸网络增长。为了传播僵尸网络感染,通过垃圾邮件或其他方式,受感染的计算机需要开机并在线——这是一个显而易见的事实,但有一个奇怪的含义:垃圾邮件可以被视为随着地球的自转而上升和下降,僵尸网络传播会激增和减少。晨昏线,即分隔白天和黑夜的线,是大型僵尸网络的昼夜节律时钟的一部分,总容量和潜在感染率会昼夜起伏。僵尸网络设备的 инфраструктура 也在缓慢变化,随着全球互联网接入的变化而变化。许多人认为,下一个伟大的僵尸网络资源是非洲大陆,那里约有 1 亿台 PC,其中估计有 80% 受到某种恶意软件的破坏或感染。大多数计算机运行盗版操作系统(因此可能无法接收安全更新和补丁),并且其所有者买不起防病毒软件(相对于当地工资而言,标准 Windows 安装许可证可能非常昂贵),这两者都使其更容易受到攻击。大多数互联网接入都是电话拨号——也就是说,对于僵尸网络控制者来说相当无用——但将非洲大陆连接到构成全球骨干网的大型电缆的巨大推动将为云带来大量额外的、意外的受害者。
最后,垃圾邮件和自我传播消息的成功,以及蠕虫执行的漏洞利用的许多特定方面,都取决于语言。承诺新闻报道的恶意软件下载推销不会对只阅读中文普通话、俄语或印地语的用户产生太大吸引力,并且蠕虫获取控制权的安装过程可能依赖于特定语言版本的操作系统中的代码。因此,不同的僵尸网络具有不同的人口动态:僵尸网络的视角认为,国家边界的相关性仅在于不同的经济和基础设施会影响在线计算机的数量。僵尸网络在广阔的区域内运行,这些区域的边缘是语言、软件和时区,而不是边界。管辖权问题非常复杂。一个僵尸网络设备,撇开全球受感染计算机的人口不谈,可能正在许多不同国家的许多身份下使用许多托管服务,所有这些都连接到一个相互依赖的系统中。正是在这里,在最远的视角和最广阔的空间尺度上,边界线几乎已经消失,皮特凯恩岛是僵尸网络架构中众多节点中的一个微小节点,从工具到武器的转变出现了:边界被猛烈地重新确立,国家及其军队开始参与垃圾邮件及其后果的业务。
超载:垃圾邮件军事化
“黑客经常使用僵尸网络生成垃圾邮件,但它们的真正实力在于它们能够生成大量的互联网流量并将其导向少数目标,”Charles W. Williamson III 上校在他那篇极其奇怪的文章“网络空间的地毯式轰炸”中解释道。
电子邮件垃圾邮件,尽管对僵尸网络的传播和财务至关重要,但已不再是它们存在的原因——尽管事实上它们现在几乎生产了所有的垃圾邮件。在许多方面,它已成为其运营中最无聊的部分:每天 1200 亿条消息在全球范围内以灰色的文本潮汐涌动,涓涓细流地穿过滤波器,像雾霾一样沉闷。它仍然是他们所做的事情,但技术上的兴奋点现在在其他地方,迷恋和恐慌也是如此。它在于 DDoS 攻击的前景——可能暂时杀死公司和国家网络的巨大漏洞利用——以及可用于破解代码和查找密码的大量计算能力,以及意外情报数据的新市场。垃圾邮件,尽管在很大程度上保持不变,但已成为系统的一个次要和附带部分——一种消失在普遍性而不是过时中的技术,已被重塑为威胁的新语言的一部分。
2007 年 4 月,爱沙尼亚政府通过从塔林市中心移走一座苏联士兵铜像,引发了一起国际事件。这座雕像是一个具有多种声音的物体:多种历史的产物,以及众多时间线、身份和档案的交汇点。就像 Enola Gay 一样,它对不同的人意味着非常不同的事物,聚集在那里的代表团和群体根本不同意。对于俄罗斯国民和爱沙尼亚的俄罗斯族人(占该国人口的四分之一)来说,1947 年的雕像——它(或不)竖立在十四名(取决于谁数)苏联士兵的坟墓之上——代表那些为反对纳粹德国而倒下的人。对于爱沙尼亚人来说,它象征着从纳粹手中夺回爱沙尼亚,然后直到 1991 年才离开,占领该国的士兵。这座雕像已成为俄罗斯族少数民族和爱沙尼亚民族主义者和警察之间持续摩擦的焦点,雕像的移除发生在骚乱、橡皮子弹、投掷的石头和瓶子以及电视报道的混战中。
几乎紧随其后,爱沙尼亚的网络流量开始激增。包括政府部门、银行和报纸在内的几个主要爱沙尼亚机构的服务器遭受了巨大的活动高峰冲击,足以耗尽它们的带宽并反复使它们脱机。《爱沙尼亚邮报》被来自埃及、越南和秘鲁等国家(即不太可能对爱沙尼亚事务有重大兴趣的国家)的评论垃圾邮件和数百万次的页面请求淹没。官方政府网站遭到黑客攻击,并重新装饰了反爱沙尼亚的视觉效果和言论,或者只是被重复的流量爆发驱动离线。该国的许多官方机构无法对外发布有关其境内事件的消息,在爱沙尼亚这样一个小型且互联网驱动的国家,其中 90% 的银行交易都在网上处理,官方网络服务的丧失具有侵入性和令人痛苦。到 5 月中旬,安全公司 Arbor Networks 运行的数据收集工具 Active Threat Level Analysis System (ATLAS) 提供了事件的部分画面:在两周内,针对少数关键爱沙尼亚网站的 128 次不同的 DDoS 攻击。“有人非常非常刻意地伤害爱沙尼亚。”
爱沙尼亚的 DDoS 攻击提供了一个关于网络服务漏洞的深刻令人不安的视角,特别是对于小国而言——爱沙尼亚已完全联网,并且是日常公民生活中最依赖互联网连接的国家之一——以及关于后苏联外交关系的状态以及各国可以相互施加的新形式的次战争骚扰。撇开这些事实不谈,这一连串事件立即成为一个论据,其中僵尸网络和垃圾邮件被塑造成地缘政治、军事关注和“网络战”炒作的对象:它们成为引人注目的言论来源。
哪里有一种恶意软件感染,几乎总是存在不止一种,以及它们之间的冲突和竞争,因此在技术戏剧期间不同选区讲述的叙述似乎也是如此。哪里有一个故事,哪里就有许多故事,而且它们不能方便地组合在一起。从网络安全的角度来看,DDoS 攻击、相关漏洞利用以及针对爱沙尼亚网站的垃圾邮件洪水是一件严肃的事情,特别是对于带宽容量相对较低的小国来说,但它们也完全熟悉,并且可以在最初的恐慌过后通过技术上的沉着应对来处理。
爱沙尼亚和国际安全部门可以跟踪流量,阻止对大部分流量负责的互联网地址集群,与服务提供商密切合作,并采取其他防御措施来减轻影响。在爱沙尼亚的案例中,以及在许多针对不同公司和国家的类似攻击中,快速响应和知识渊博的安全经理和系统管理员可以削弱持续的攻击。
然而,从官方政府声明的角度来看,4 月和 5 月的攻击是一件非常不同的事情,构成了“网络战”攻击或“数字珍珠港”的几个例子之一。
或者数字广岛:“当我看到核爆炸以及 5 月份在我们国家发生的爆炸时,我看到了同样的东西,”爱沙尼亚议会议长埃内·埃尔格玛说。我们突然进入了一个完全不同的隐喻类别:“就像核辐射一样,”她继续说道,“网络战不会让你流血,但它可以摧毁一切。” 这种淫秽的类比,将一系列由 DDoS 攻击造成的基础设施减速和恐慌与核武器造成的大规模死亡和破坏进行比较,概括了垃圾邮件及其向僵尸网络的技术过渡被政治和军事叙事采用的过程。爱沙尼亚是北约国家,并且考虑援引第五条,该条款动员所有北约成员对抗攻击其中一个成员国的侵略者,从而发动了垃圾邮件发挥主要作用的第一次战争。爱沙尼亚的袭击促成了在塔林建立北约卓越合作网络防御中心。在袭击期间,“北约向爱沙尼亚派遣了两名观察员,美国人又派遣了一名,以便‘观察猛攻’。” Williamson 上校主张建立美国军方僵尸网络,他问道:“美国能否合理地相信其他国家没有从 2007 年对……爱沙尼亚的 DDOS 攻击中吸取教训?” 我们已经看到了科学家们为将电子邮件垃圾邮件和僵尸网络转变成他们研究所需的认知对象而经历的过程;在这些言论中,我们可以看到僵尸网络成为军事化对象的过程——一个可用于战略分析、对策和威慑的事物。
在战时僵尸网络的军事语言中,垃圾邮件是一个邪恶的动员过程,随着感染的蔓延和僵尸网络容量的建立。然而,即使这种修辞转变正在进行中,垃圾邮件在公众对网络的认知中的地位也发生了变化。英国和美国的投诉和调查数据显示,在千禧年之后,即使垃圾邮件开始了一系列大规模增长的开端,用户也开始更加容忍垃圾邮件,认为它是一件无关紧要的事情,越来越多地将其视为一种滋扰,而不是一种威胁:只是一些需要过滤、应对、删除和忽略的东西。 从绝大多数用户的角度来看,垃圾邮件甚至真的不像犯罪,更不用说网络犯罪了。我们期望网络犯罪是大型的、戏剧性的和令人兴奋的——检察官将黑客凯文·米特尼克单独监禁,因为(正如网络犯罪幻想所说)只需片刻访问电话,他就可以吹响启动核战争的秘密发射音调——而不是日常琐碎的虚假银行通知、可笑的拙劣骗局以及色情和药丸广告。对于许多人来说,这只是一种涓涓细流,服务提供商将复杂技术应用于大数据的顶峰,创造了真正有效的过滤系统,例如 Gmail 使用的那些系统。(在我写这本书时,我经常与人们交谈,他们会提到,从他们的角度来看,垃圾邮件似乎已经“消失”了,或者在很大程度上,或者变得微不足道,成为日常生活的一部分。)垃圾邮件开始看起来更像是一种刺激,一种轻微的慢性问题,它已不再具有多大意义,并已成为一种运营上的必然,个人用户的业务成本——以及安全提供商本身的业务。
垃圾邮件和恶意软件的联盟产生了僵尸网络架构,也为安全专业人员创造了新的业务。“‘反垃圾邮件现在是一项大生意,’”杰西卡·约翰斯顿引用一位研究人员的话说,“‘大型企业客户准备为此付费……早期的反垃圾邮件产品始终是免费或相对便宜的。’”1 在那些早期,垃圾邮件仍然被视为一个社会问题,并且可能是一个合法的营销机会。现在,它已被重塑为一个更重要和更有问题的事物,与僵尸网络的巨大漏洞利用使能机制相结合,成为企业安全公司的大宗文化关注的问题。(从浦东到肯尼迪机场都有 Barracuda Networks 的“垃圾邮件和病毒防火墙”等产品的广告——“阻止电子邮件传播的垃圾邮件和病毒入侵,同时防止数据丢失”——以吸引商务旅客的目光。)它也成为军事领域更大规模的世界的兴趣领域,而此时平民已经习惯了它,并开始将其视为日常生活的一部分。
威胁或烦扰,僵尸网络阴影下的垃圾邮件被企业安全组织和军方反复重新编写。“‘如果欺诈者破坏我们所知的电子商务……那将对我们造成很大的伤害,’”另一位研究人员说。“‘如果欺诈者破坏银行系统,并且有各种迹象表明他们即将通过遍布网络的不安全镜像和代理来做到这一点,以至于您看不到它来自哪里,那么老实说,这造成的危害远远大于推倒几座塔楼等等。没有人丧生,但即便如此,总体影响也更大。’” 与 9 月 11 日的比较让人想起埃内·埃尔格玛在爱沙尼亚 DDoS 攻击后所做的原子隐喻练习。重点不是质疑这种比较的前提——垃圾邮件造成的经济损失以及对在线银行和电子商务失去信心的潜在成本是否超过了 9/11 的经济影响——而是观察这些隐喻的运作。
即使相对于那些对垃圾邮件司空见惯的用户而言,还记得垃圾邮件尚属新鲜事物的网络的用户数量稳步下降,大型机构仍将垃圾邮件重新包装成一种非常严重的威胁。反垃圾邮件不再是聚集在 NANAE 上的社区爱好者、活动家和义务警员的领域,也不再是构建更好的贝叶斯过滤器的程序员集体的领域。它现在是国土安全的一部分,“网络战”的前线,是私人承包商与空军网络司令部、北约和联邦调查局官员交汇的地方。分布式拒绝服务攻击 (DDoS) 也奇怪地横向转移到了抗议活动中,成为 Anonymous 等在线激进组织的首选武器。包括名为“低轨道离子炮”(Low Orbit Ion Cannon,来自科幻游戏《命令与征服》中的超级武器)的程序在内,使下载它的个人能够自愿加入僵尸网络。然后,这个具有公共精神的僵尸网络可以被定向攻击那些对维基解密持敌对态度的组织以及像叙利亚这样的压制性政府的网站。这些技术的价值以及它们可以被纳入的叙事方式都在不断变化。
犯罪基础设施
尽管僵尸网络依赖于分布式计算机,但电子邮件垃圾邮件业务已变得更加中心化。使垃圾邮件成为可能的大规模经济效应需要大量的消息,而只有大型、复杂、难以捉摸且廉价的基础设施(如僵尸网络)才能提供。过去的日子已经一去不复返了,那时,数百个信誉可疑的小角色,拥有一些办公空间、几条租用的高带宽连接以及一堆装有现成邮件营销软件的廉价 PC,就可以围绕股票推销和壮阳药建立业务。过滤器、负责任的服务提供商、立法和知情的消费者相结合,已经扫除了那些小人物,他们开着靠卖药丸赚来的敞篷车,拥有创业热情(回想一下 Rodona Garst 的即时消息中的那些报价:“我现在有抵押贷款、有线电视盒、合成代谢类固醇和成人用品,如果他们想要的话”)和电话铃声中充满威胁的叫嚣。剩下的是由数百个群体组成的队列,他们负责 80% 以上的垃圾邮件,他们有训练和能力利用网络生成每天超过一千亿条的垃圾邮件。即使他们的系统扩展到全球,流量和数量也难以掌握,但垃圾邮件核心集团仍在稳步萎缩为一个积极进取且争吵不休的大家庭。
同样,支持他们活动的基础设施也变得更加中心化。“我们的数据中心位于美国加利福尼亚州圣何塞的顶级现代化 MarketPost-Tower IT 中心”:这是已倒闭的网站 McColo Hosting Solutions 上的文字。(该网站的简陋文字仍然存在于互联网档案馆中。)McColo 在由私营和公共部门安全专业人员、IT 分析师和警察组成的松散联盟中享有“防弹主机”提供商的声誉——这个术语可以追溯到 NANAE 的早期,指的是一个 ISP,无论收到什么投诉都不会踢走客户,因此是垃圾邮件发送者的避风港。如果你支付额外的费用,他们会为你承担投诉和批评的压力,甚至采取措施掩盖你的存在——据称是通过将他们的一些违规客户转移到不同的子网来实现这一点,就像公开解雇一个部门的有问题的员工,然后悄悄地将他们雇用到另一个部门一样。McColo 托管着 C&C 通道的服务器、许多用于移动产品和恶意软件下载(rxclub.biz、high-quality-viagra.com、pills24.biz、valium-plus.com 等)的网页,以及包括 Srizbi、Mega-D、Rustock 和 Cutwail 在内的几个主要僵尸网络的匿名化和代理服务以及支付网站,以及其他一些邪恶的内容。2008 年 11 月 11 日,McColo 的两个“上游”提供商——McColo 赖以运行其托管服务的骨干互联网连接的公司——在收到关于其活动的报告后切断了他们的带宽。全球垃圾邮件活动突然急剧下降数百万条,然后数十亿条消息。在最低点,全球垃圾邮件水平下降了约 65%。
参与 McColo 关闭的力量包括记者、安全分析师以及为 McColo 提供连接的主要枢纽的管理员。(它的关闭在互联网地址空间中留下了一个奇怪的死区:分配给 McColo 的地址块最终出现在足够多的黑名单上,以至于他们的不良活动让其他人对接收它们感到犹豫,使它们成为“幽灵号码块”,就像一栋以自杀事件闻名并被潜在租户回避的房子一样。)我们可以在 Mariposa 工作组中看到类似的人员构成,该工作组聚集在一起关闭 Mariposa 僵尸网络:这是一个与联邦调查局和西班牙国民警卫队合作的国际安全专家集合。如果互联网治理的概念目前仍然模糊,那么它的执行也是如此,松散的工作组跨越管辖范围和专业知识,在某些情况下是奇怪的合作伙伴——例如,芬兰安全专家、北约和美国观察员以及爱沙尼亚 ISP,他们在 2007 年爱沙尼亚遭受 DDoS 攻击时走到了一起——这些工作组的形成与问题的扩散有关。
尽管我们似乎已经从 Peter Bos 向麻省理工学院支持的终端发送的良知信息走了很长一段路,但这段历史也可以被解读为一种过渡时期,是从系统管理员对网络的公开控制时期过渡到另一个时期。网络早期的系统管理员,那些根据自己的理解维护其领域秩序的甘道夫式人物,已经变成了 Alan Liu 所说的“后端和中间件程序员的牧师”,以及由安全分析师、国家特工和 ISP 组成的小型专家精英。用户可以藏身于开发者构建的相对无垃圾邮件的区域内,例如 Gmail 和 Facebook,这些区域具有强大的过滤和社区管理功能,但需要以广告、个人信息和用户活动(以及他们可量化的注意力)作为代价。
想象一下另一个行业,如果发生一次工业行动,产量可能会在一夜之间下降一半以上,或者如果数百人被监禁,则可能会基本消失。传统的电子邮件垃圾邮件早已过了轻松赚钱的顶峰,并且已经进入优化和效率的艰难磨练阶段,试图从受限矩阵中的网络中榨取最大价值。在 McColo 关闭后的几周内,垃圾邮件数量反弹,因为僵尸网络主找到了愿意与他们合作并托管其系统的新 ISP,并将僵尸程序转移到新的命令通道,但揭示该行业规模之小的真相已经显而易见。与电子邮件和网络兴起同时发展的传统垃圾邮件已经成为世界上效率最高的集中式业务。垃圾邮件的劳动节约型解决方案历史,例如 Canter 和 Siegel 的 Usenet 垃圾邮件脚本以及早期寻找“xx@xx.xx”的模式识别地址收集器,它们利用了许多微小影响在庞大公共基础设施上的自动化积累,使得大约一个小型城镇规模的人群能够影响地球上所有计算机用户的部分日常生活。
我们的历史始于将计算机联网在一起,然后为了效率、资源共享和远程访问而连接网络。我们的故事以一小群才华横溢、有远见的犯罪垃圾邮件发送者结束,他们将全球受恶意软件感染的个人计算机网络缝合在一起,形成全球分布式机器,专门用于发送垃圾邮件——以及其他更邪恶的任务——以实现效率、资源共享和远程访问。这是互联网阴影历史中的一个章节。在某些方面,它类似于全球化的反面,即构建秘密市场、特许经营的犯罪组织以及大规模的供需物流,用于毒品走私、假冒和人口贩运等活动,这些活动与传统的全球化运营并行、寄生或支撑着传统的全球化运营。云计算是当代商业中非常流行的模式:从亚马逊的服务或 Rackspace 等公司订购一定量的计算能力,设置一个操作系统实例,然后从你的笔记本电脑控制 Usenet 年代的任何骨干网管理员男爵都无法想象的处理能力和带宽——云计算提供商负责软件维护和在某个匿名设施中冷却的服务器机架的安全性。但是,如果你经营另一种业务,你可以与 Conficker 僵尸网络在其峰值时期达成协议,访问分布在 230 个顶级域名(即分散在许多国家和主机上)的数百万台计算机系统,订购你需要的带宽和合适的操作系统,然后开始运行垃圾邮件活动、DDoS 攻击、数据收集或密码破解,随你所愿。(安全研究员 Robert Hansen 已经指出,这种活动可能会改变公司和国家间谍活动的动态:不要从试图渗透公司或政府开始,而是给僵尸网络主一份你感兴趣的互联网地址或机器列表,如果他们已经将这些地址或机器放在网络上,你可以直接购买访问权限,然后开始泄露信息。)
这是垃圾邮件末日的一种形式:它被纳入权力、利润和复杂性都远超以往的犯罪行为和系统中——事实上,这不亚于构建犯罪基础设施——仅仅作为一种资金来源,也就是说,作为一套服务的一部分和标准操作程序的一部分。然而,这也暗示了垃圾邮件另一种末日的可能性,这是许多人渴望的,而像 McColo 关闭这样的事件也强调了这一点。构成僵尸网络的机器的缝合网络,整个垃圾邮件装置,出乎意料地脆弱。它们反映了分布式和集中式之间的相同张力,这种张力困扰着整个云计算。一些关键性的逮捕——或逮捕威胁,就像 Rustock 僵尸网络的案例一样,其控制者显然在日益增加的法律压力下放弃了它——导致电子邮件垃圾邮件量每小时骤降数十亿条,尽管随着新来者的进入,它很快又会爬升回来。极少数注册商处理着垃圾邮件站点域名注册的大部分业务;托管和其他互联网服务也是如此……尽管对于像当代僵尸网络管理员这样复杂的群体来说,切换提供商可能相对容易,但这仍然很耗时——并且在那些可能原本会受到诱惑而接受一些垃圾邮件业务的服务提供商中营造一种合理的恐惧氛围,可能会使迁移工作变得更加困难。
整合后的僵尸网络背后的金融基础设施同样脆弱。一组研究人员发现,“95% 的垃圾邮件广告宣传的药品、仿制品和软件产品都是通过少数几家银行的商户服务进行货币化的。” 在这种情况下,“少数几家”指的是三家:一家拉脱维亚的挪威银行 DnB Nord、阿塞拜疆银行 Azerigazbank 以及西印度群岛圣基茨和尼维斯联邦的圣基茨-尼维斯-安圭拉国民银行。(自从开始研究银行系统以来,垃圾邮件发送者——如果不是适应性强的话——已经从 Azerigazbank 迁移到另外两家阿塞拜疆机构。)正如研究人员所指出的那样,找到愿意与垃圾邮件发送者做生意的支付处理商并非易事,而且数量并不多。他们提出了一种强有力的去货币化策略:一份迅速更新的金融机构黑名单,西方银行将拒绝结算针对该名单中机构的一小部分交易。垃圾邮件中的资金,除了网络钓鱼、419 型骗局和从过剩的僵尸网络容量中剥离出来的业务外,都来自西方人用信用卡在线支付购买非常有限范围的产品(药丸、假手表、盗版软件等)。如果你可以将针对该组产品的非面对面刷卡交易(可以通过其商户类别代码识别)排除在少数几家银行之外,那么你基本上可以阻止大部分维持电子邮件垃圾邮件业务的资金流通。要求美国的发卡银行不要兑现某些交易可能看起来是一个激进的步骤,但这在过去与某些在线赌博交易有关的情况下已经做过。(尽管赌博监管项目的混乱记录表明,这样一个阻止垃圾邮件的项目将面临许多层面的法律、政策、管辖权和执法问题:与安提瓜的斗争以及与世界贸易组织 (WTO) 就贸易协定和“秘密”贸易和解让步的争端,替代法案的提案,以及对在线扑克网站的起诉,指控其与支付处理商串通,将赌博交易伪装成无害的高尔夫装备和珠宝购买。这绝非易事。)正如 Rodona Garst 和她的团队一样,他们从一家托管提供商跳到另一家托管提供商,垃圾邮件发送者严重依赖基础设施访问的可用性,这就是他们开始构建自己的基础设施的原因。他们运营的失败点就在那里。
一些经过精心指导和执行的干预措施可能会在电子邮件垃圾邮件的产生方面产生巨大的影响。过滤和法律并没有阻止它,但它们已经将其逼入了一个发展死角,并存在严重的瓶颈:一个几乎完全集中、整合的业务,依赖于庞大的邮件量才能生存。即使假设这种干预措施能够成功,但该事件也只会阻止垃圾邮件所采取的一种形式——诚然,这是最明显和最顽强的形式之一。回想一下搜索引擎垃圾邮件的扩散和博客中垃圾评论的泛滥;维基垃圾邮件;Twitter 垃圾机器人亚文化,它们利用流行的短语,并使用地址缩短技术隐藏其不可信的链接;社交网络服务内部的垃圾邮件,例如 Facebook 中的“点赞劫持”;界限模糊的案例,例如内容农场、诱饵式链接博客帖子和更低级的吸引眼球的病毒式媒体:这些都不会消失,并且只有少数几个提供了与电子邮件垃圾邮件相同的明显(如果政治上复杂)的失败点。(这份清单甚至没有提及现在正在诞生的垃圾邮件形式,包括“垃圾邮件书籍”和在线游戏中的垃圾邮件。)垃圾邮件持续存在并多样化,因为我们正在经历我们自身注意力构成和管理方面的重大而复杂的转变,这种转变的速度快于我们的治理、我们的隐喻和我们的软件所能跟上的速度。垃圾邮件发送者——被取消资格的律师、贫困的骗子、妄想成为色情作品制作者的人、信用卡窃贼和恶意软件编码员——是这场转变的先锋,是野猫式的剥削者。他们找到正在产生显着性的领域,无论是在评论线程、搜索引擎结果、社交媒体平台还是你的电子邮件收件箱中,然后采取行动将其占为己有。他们是对这种捕获的最粗俗和最卑鄙的形式,从学生用 Monty Python 小品中的台词互相恶作剧,到全球僵尸网络每天产生的电子邮件比地球上其他所有人加起来都多。他们以粗俗的方式向在线人群展示了网络的新功能、新的注意力和社区体验形式,而我们尚未完全理解这些形式。