FBI誓言找出病毒元兇

網際網路使用者對SirCam和紅色警戒病毒早已是耳熟能詳了，但是到底是誰製造了這兩個肆虐了整個夏季的病毒仍然是個迷。
如果FBI的國家基礎設施保護中心（National Infrastructure Protection Center,NIPC）調查順利的話，這兩個始作俑者應很快就可以找到。
「我們一定要找出紅色警戒和SirCam病毒的元兇。」NIPC的威爾曼（Debra Weierman）說，「在世界各地散播病毒蟲或病毒是一種犯罪的行為。這是很嚴重的，而非只是個小偷那麼簡單罷了。」
威爾曼承認要找出病毒蟲的作者就好像是大海撈針，但是她表示NIPC有信心對製作者進行追蹤。
「我們在世界各地有4,000名安全專家提供情報給我們。」威爾曼說，「這只不過是時間問題。」
要找出SirCam病毒和紅色警戒病毒的製作者，必須對編寫病毒蟲程式的人有充分的瞭解。如果對病毒世界裡的主要人物一無所知，也不知道他們寫病毒的原因，就無法抓住關鍵的線索，還會犯各種錯誤。
上週三，德國聯邦資訊技術安全局（Federal Office for Information Technology Security）局長菲爾茲曼（Frank Felzmann）表示他已經掌握了紅色警戒製作者的行踪了。
報導指出，菲爾茲曼說這個病毒蟲是由「一個荷蘭的駭客組織」29a所寫的。但是29a的成員表示他們不是來自荷蘭，也和紅色警戒沒有任何關係。
據新聞報導說，菲爾茲曼表示29a在駭客新聞群組上承認自己是病毒的作者，但是上週三我們對在Usenet上搜尋，卻發現只有幾個俄羅斯程式設計師在討論時把這個紅色警戒（Code Red）和另一個紅色警戒（RedCode）搞混了，並在後者的代碼中提到了其作者是「Wintermute/29a」。
「沒錯，29a以前的成員溫特謬特（Wintermute）編寫了一個紅色警戒病毒。」 29a成員尊樂（Mental Driller）說，「但是這是個原始的病毒，只能在DOS下運作。這完全不是媒體中提到的那個紅色警戒。」
菲爾茲曼沒有立即對此作出反應。
有些病毒編寫者喜歡在病毒代碼中加入自己的姓名，自從7月份紅色警戒首次出現以來已經出現了3個版本，但是還沒有人能從這個病毒中找到作者的身份。
SirCam似乎並不含有作者資訊。病毒會用一個文字檔案將受感染電腦的硬碟填滿，這個文字檔案的內容是：「〔SirCam版本1.0，2001版權所有，2rP，墨西哥Hecho en - Cuitzeo， Michoacan製造〕」。
Cuitzeo鎮在10月16日舉行了盛大的慶祝活動，這一天正好是SirCam病毒設定的發作日。這一天，SirCam病毒會產生一個亂碼，有1/20的機率會刪除硬碟上的所有文件。威爾曼沒有對目前正在進行的調查作出評語，但是說NIPC正在認真研究關於這兩個病毒蟲的內容的所有報告。
「如果病毒蟲的作者不在美國，NIPC會對當地司法部門提出警告，與之合作將作者繩之以法。」威爾曼說，「在美國，紅色警戒和SirCam的作者會被判刑五年，每造成一起破壞則罰款250,000美元，還可能面臨公司和網路、電腦受到破壞的人所提起的民事訴訟。」
威爾曼表示，NIPC在很大程度上依靠世界各地熟悉電腦駭客界的專家們，「他們和我們保持聯繫，並分享資訊」。

但是大部分和NIPC合作的安全公司並不想找出病毒蟲的作者。
網路安全系統公司的X-Force小組曾經和NIPC合作研究過紅色警戒和SirCam，該小組沒有追蹤蠕蟲作者的計畫。
「我們不想介入司法領域，我們只是把發現的技術細節發送給NIPC。」X-Force小組的組長英格發德森（Dan Ingevaldson）說。
EEye數位安全公司也持同樣的觀點。該公司是第一家發現紅色警戒的公司，也是首家針對3個版本的紅色警戒程式進行完全分析的公司。
EEye的駭客長麥佛瑞得（Marc Maiffret）說他的小組日以繼夜地工作，來向NIPC提供病毒資訊。
「最酷的是FBI高層主管打電話給我們，說他們想知道這個蠕蟲會對whitehouse.gov網站造成什麼危害，以及怎樣才能阻止它。」麥佛瑞得說，「他們說需要在10分鐘之內得到回覆，因為他們馬上就要向白宮彙報。」
但是麥佛瑞得表示這個小組「並不真正把注意力放在追蹤病毒蟲的作者這類事上，這種事情我們讓政府去做」。
只有像隱私基金（Privacy Foundation）的史密斯（Richard Smith）這樣少數幾個安全專家在對病毒蟲作者進行追蹤。
史密斯說他喜歡跟蹤病毒作者，「搜集各種細微的線索是非常有意思的。」他說。但是他還沒來得及仔細看看紅色警戒或SirCam病毒。
史密斯認為NIPC可以聯合受害者共同搜尋紅色警戒的作者。
「伺服器和防火牆記錄顯示哪些機器受到了感染，因此如果NIPC要求每個人上傳他們的記錄，檢查每個記錄中的第一次攻擊，或許可以發現是由哪台機器首先開始傳播蠕蟲的。」史密斯說，「這是項浩大的工程，不過我相信NIPC可以做得到。」
史密斯說要搜尋蠕蟲必須有耐心，而且得願意和其他人交換資訊。
史密斯是依靠「數位指紋」發現梅麗莎病毒的作者，數位指紋是在一串命令中插入一段獨特的代碼。
此後史密斯將此指紋資訊公佈在新聞群組上，有人發e-mail指出梅麗莎的程式碼和「VicodinES」公佈在網上的病毒編寫工具有相似之處。
史密斯發現VicodinES工具中的數位指紋和梅麗莎的相同，從而找出了一絲虛擬線索，幫助FBI找到了梅麗莎的作者史密斯（David L. Smith）。
「找到一兩點線索並不難。」史密斯說，「但是要把散亂的線索串在一起是比較困難的。」
要把線索組織起來，NIPC可能需要到各地去調查，但這是他們所不願意的。
NIPC在7月29日召開紅色警戒重現的記者招待會時沒有邀請eEye公司麥佛瑞得的小組。這令麥佛瑞得感到氣憤。
「我們為NIPC工作了那麼長時間，他們卻在公共場合把我們踢到在一邊。」麥佛瑞得說，「不錯，我們是讓NIPC給耍了。全是些政治垃圾。只有少談些政治多談些技術，NIPC才會成功。」
「麥佛瑞得的職位使得eEye沒能受邀記者招待會。」 vMyths的羅森伯格（Rob Rosenberger）說，「在狄克（NIPC主任Ronald Dick）對參議員發表演說後，沒有人希望看到任何『駭客長』上來回答問題。）
威爾曼說有很多提供了紅色警戒資訊的人都沒有參加新聞發表會，原因只是「路途遙遠」。
但是麥佛瑞得表示eEye還將繼續幫助NIPC。
「事實上，我們今天將再次和他們會面，解釋紅色警戒II是如何工作的。」
同時，AT&T一名發言人在上週三表示，為了不讓紅色警戒的傳播減緩網路速度，AT&T將封閉port為80的個人使用者網路伺服器。
「我們要保護絕大多數的使用者。」AT&T的發言人艾達（Sarah Eder）說。她說，該公司的有線網路服務有135萬個家庭使用者。
艾達說，封鎖了網路伺服器埠後，AT&T實際上就是將這些網站關閉了，不過個人使用者本來就不可以設立自己的伺服器。
「根據我們的使用政策，使用者是不允許使用纜線數據機開設自己的網路伺服器的。」
她還表示AT&T有線網路服務的商業使用者不會受影響。
本文由路透社協助提供