据CNCERT/CC运行一部副主任陈明奇博士介绍,此次MocBot利用微软8月8日发布的MS06-040安全公告公布的缓冲区漏洞,从8月12日开始发起攻击,8月13日CNCERT/CC用自己的蜜网捕获到第一只MocBot蠕虫。CNCERT/CC运行一部的技术人员表示,分析表明,此次爆发的MocBot蠕虫是经过严密组织策划的,其隐蔽性、控制性非常之好,给追查工作带来较大难度。虽然CNCERT/CC发现发布MocBot的两个域名就在我国境内,然而,由于法律权限及用户配合等原因,CNCERT/CC无法进一步追查控制这些感染MocBot主机黑客的更具体的线索,对此,他们感到非常遗憾。
陈明奇博士说,CNCERT/CC在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应急小组(CERT)共同处理国家公共互联网上的安全紧急事件。处理时,主要是对影响公共互联网安全的安全事件进行技术追查,但没有对用户的调查权。因此,需要征得用户同意或者执法部门的配合,甚至需要国际协作,才能进行技术追查和分析。但是,部门协作需要耗费一定的时间,会影响追查的速度和效率,而一旦错过时机,追查黑客将变得极为困难甚至不可能。另一方面,我国现有法律并没有规定用户在安全事件中的责任和义务。在这次事件中,有近三分之一的用户怕惹麻烦或出于其他原因而拒绝协助CNCERT/CC的追查工作。此外,由于没有明确的法律条文规定在何种情况下运营商或ISP可以取消对注册用户的服务,因此即使清楚地知道某台服务器或计算机在散发蠕虫或病毒,也不敢轻易将其封掉,因为一旦用户提起诉讼将使自己面临非常不利的境地。诸如此类的法律问题,都成为及时处理各种安全事件,比如控制蠕虫传播行为的障碍,客观上也助长了黑客的气焰。
标签:
