井底望天

現在穀歌事件，要翻中國政府的桌子的原因，不斷變化，從穀歌威脅退出，到希拉裏站台，到奧巴馬關注，要求中國如何如何發最後通牒，開始炒作的一件事，就是所謂中國政府的有關機構，據說對穀歌和其他一係列大公司攻擊。

俺在開車的途中，聽到了NPR（公共廣播電台）去采訪美國的網絡安全專家們，倒是個個仿佛胸有成竹，說是已經掌握的證據，用英文話說，就是“caught the hands in the jar”，翻譯成中文，意思就是給人抓了個現場。

這些專家鐵口咬定是中國政府的作為，主要是兩點：

一個就是所有的攻擊是從台灣的伺服器發起的。而據這些專家猜測，一般台灣的背後，就是中國。

這個觀點聽起來有點扯。因為網絡上高超的黑客，根本不會隻走一站。因為考慮到台灣和美國的親密關係，一旦美國的網絡專家發現攻擊來自於台灣的伺服器，那麽就可以很快的接管這些機器，從而對來源繼續追蹤。這個時候，要是人家用一站到位的方法，馬上就可以確定你是從那個地方來的，那麽這個黑客也太笨了，沒有資格在這個圈子裏混了。

通常人家平均都是過三關或者五寨，就是防止你追蹤的太近。而其中的幾個站必須是你美國專家，不具備立即接管能力的地區。所以就算你看到台灣後麵的來源是中國大陸，並不能排除這個攻擊是來源於東歐，比如說俄羅斯這些地方。

而且在美國發生的大多數網絡攻擊，動用的頭一站都是美國各個大學的伺服器，怎麽會這麽傻讓你追蹤。

第二點，就號稱很確切，那就是這次的攻擊，是很精致和嚴密的。據專家們說，比如說 Joe Stewart就認為，這次攻擊所用的算法，是一個CRC用16個常數的方法。而他作為這個行業的可數的專家之一，認為這個算法是在中國大陸創造出來的，是中國以外的英文世界沒有聽說過的事。

俺倒是對這個東西蠻有興趣，因為俺自己做過幾年的網絡安全工作，也花了不少功夫，研究過反向工程（reverse engineering）。談不上是專家，但也還看得明白這幫專家們在玩什麽花花。

首先這個攻擊的工具，被命名為 Aurora，是因為程序寫手留下了一個文件夾名字。

其次就是這個工具主要是用來 Hydrag 後門木馬。因此專家們斷定這個程序是不早於2006年。

然後就是所謂最鐵的證據，因為如果你在穀歌上搜索這個算法 crc_ta[16]，天哪！幾乎所有的文章都是中文簡體字！（又是穀歌搜索，嗬嗬）


因此美國專家們斷定，這個源代碼是在中國大陸產生。而且說“這個CRC-16應用似乎在中國之外，基本沒人知道”（原文是This CRC-16 implementation seems to be virtually unknown outside of China, as shown by a Google search for one of the key variables, "crc_ta[16]".)

所以英文結論如下：

This information strongly indicates the Aurora codebase originated with someone who is comfortable reading simplified Chinese. Although source code itself is not restrained by any particular human language or nationality, most programmers reuse code documented in their native language. To do otherwise is to invite bugs and other unexpected problems that might arise from misunderstanding of the source code’s purpose and implementation as given by the code comments or documentation.

In my opinion, the use of this unique CRC implementation in Hydraq is evidence that someone from within the PRC authored the Aurora codebase.  And certainly, considering the scope, choice of targets and the overwhelming boldness of the attacks (in light of the harsh penalties we have seen handed out in communist China for other computer intrusion offenses), this creates speculation around whether the attacks could be state-sponsored.

“這個信息強烈表明，Aurora源碼是由那些可以很熟練閱讀簡體中文的人士創造出來的。盡管源代碼本身不受到任何特定的人類語言或者民族身份不同的影響，但大多數程序員會選用以自己母語描述的源代碼。不這樣做的話，可能會因為對源代碼不熟悉，或者誤解而產生程序蟲和其他未知的問題。

我個人觀點，在Hydrag裏麵運用這個特殊的CRC，證明了來自中國大陸的人是Aurora的原作者。而且考慮到這個攻擊行動的範圍、目標的選定和攻擊之大膽（考慮到共產黨中國對網絡侵入罪行的判罰之重），這個引發的猜測，就是攻擊是由中國政府發動的。”

看到這裏，俺不由得笑了。美國矽穀的中國工程師，大概幾萬有了吧。這麽容易就被你的謊話給忽悠過去了？

不過雖然在矽穀，除了老印，就是老中，但是俺們老中的話，還是沒有什麽分量的。還好，具有專業良心而不撒謊的老美專家，也還是大有人在的。

一位叫做 Dan Goodin 的老美網絡安全專家指出，其實英語世界裏的程序員，凡是做微控製器和其他少量儲存儀器的人，對這個算法了如指掌。不光是網絡上有這些討論，比如說硬件設計師Michael Karas就在2007年討論過，其他人也貼過完整的源代碼出來（當然，穀歌搜索是找不到這些的，嗬嗬）。

而且最關鍵的是，1988年W. David Schwaderer出版了一本程序書，叫做《C Programmer's Guide to NetBIOS》，其中的第200頁，談到這種方法。在第205頁，人家作者也給了源代碼。這個源代碼和Aurora的算法非常類似。

而且據這方麵的專業人士看法，這種用一個nibble（4 bits）代替一個byte（8 bits）來計算CRC的方法，在embedded這個行當的單片機（single-chip computer）裏麵，用得非常普遍。把這個算法，叫做新算法，或者說“中國大陸之外的人士基本沒有聽過”，要麽就是無知，要麽就是別有用心罷。

其實穀歌的郵箱不安全，在俺們這個行當裏，根本就是公開的秘密。為啥這樣說呢？因為為了方便的讓美國政府的情報部門隨時查看穀歌用戶的郵件，穀歌的源代碼裏麵，是專門留了後門給人家進來的。

當然要找到這些後門並不是一件難事。隻不過大部分的程序員是遵紀守法的主兒，吃飽了飯，還有不少其他的更重要的事情要做。