绿盟安全月刊->第29期->安全新闻 美很多联邦机构网络系统脆弱 大量漏洞鲜为人知

日期：2002-03-18

中国青年报

　　去年2月，华盛顿的艾伦.巴拉兰律师为检测美国政府机构之一的印度事务办公署的计算机网络系统是否安全，曾对该办公署进行过亲身调查。调查之后，他惊讶地发现，该机构的网络安全极为脆弱，存在着大量鲜为人知的漏洞。更令人堪忧的是，进一步的调查发现，有着重大安全隐患的绝不只此一家———美国很多联邦机构都非常容易受到攻击。此现象引起了美国众多计算机安全专家的高度重视，因为恐怖分子完全有可能借此发动新一轮的“数字珍珠港”袭击事件。


　　巴拉兰的调查是从尝试入侵印度事务办公署的网络系统开始的。2001年2月，在一名美国司法部门律师的陪同下，他来到了办公署自称最安全的、位于弗吉尼亚州雷斯顿市的数据处理中心。他们先从侧门走进了办公大楼。尽管胸前并未佩带工作证，但当他们从警卫身边不止一次地走过时，并没有被拦住盘查身份。

　 进入大楼后，两人就开始四处寻找计算机部门的位置，该部门专门负责处理和存储与印度托管金相关的数据。巴拉兰向一名迎面走来的职员问路，对方非常热情地把他带到了二楼的计算机工作间。更让他惊讶的是，在工作间里他可以随意走动。从一台碎纸机里，他还发现了大卷计算机打印的托管金账目明细表，这些托管金都是印度政府存放在那里、目前由美国政府代为管理的，大约50万美元之多。整个过程他如入无人之境，没有任何人前来过问。

　　在详细报告了整个调查结果之后，巴拉兰又于几个月后，再次成功地进入了该办公署，这次他用的是高科技的黑客手段。他雇用了一个黑客小组，只运用了一些最普通的黑客软件，没费吹灰之力就成功入侵了该办公署的计算机网络系统。更不可思议的是，只需通过因特网，“黑客”们就看到了办公署里最机密最敏感的文件。而且，“黑客”们表示，他们完全可以通过网络把托管金账户上的钱转到任何一个地址上去。

　　在获悉了巴拉兰的报告后，联邦地区法官兰姆伯斯曾责令关闭印度事务办公署所有的计算机系统。直到今年2月，整个内部网络才重新恢复运作。

　　在巴拉兰发现的安全漏洞中，有很多竟然已被官方忽视了长达十几年之久。早在1989年，就有人对该机构的安全问题提出警告。但是印度事务办公署发言人却为自己辩护道，他们在计算机安全方面没少下功夫，在那份报告出来之前他们就已经花大力气做了许多整改措施。“我们确实一直在努力，只是那些安全顾问给我们的建议带来的收效不大罢了。”

　　很多计算机安全专家对此发表评论说，其实，很多其他的联邦机构也都很容易受到攻击，只不过公众最近几年才意识到问题的存在。在这种情况下，恐怖分子完全有可能借着这些漏洞破坏美国的信息基础设施，控制电信、电网、水力供应和空中交通的计算机网络，美国政府一再提及的“数字珍珠港”事件便总有一天会爆发。(袁海)