星辰大海第一校数据被窃取，中国漂亮反击，端了贼窝！

在蛋总这里，网络安全是个老生常谈的话题，先先后后写了十来篇文章了，但今天还得说，因为在中美网络大战中，中国大打了一场漂亮的伏击战。

9月5日，国家计算机病毒应急处理中心和360公司发布了一项调查报告，控诉美国国安局（NSA）下属单位——特定入侵行动办公室（TAO）的网络攻击行为。

报告中说，多年以来，TAO对我国境内目标实施了上万次的网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

怎么突然发布这样一则报告呢？因为昨天是2022国家网络安全宣传周。在这一天发布报告显然是有备而来，相当于弄个典型案例游街示众。

而这个案子最初案发，是在今年6月22日，西北工大发布了一则声明，称该校遭受到了境外网络攻击。

声明中说，学校发现有来自境外的黑客组织向学校师生发送包含木马程序的钓鱼邮件，企图窃取师生的相关资料。

随后西安警方对此立案侦查。这种案件的侦破，是个高技术活。随后国家队出场，中国国家计算机病毒处理中心和360公司组建了技术团队。

虽然大家对360公司颇有微词，主要是吃够了3721流氓插件的苦，现在360的各种弹窗广告也频遭吐槽，但由于免费，装机量依然惊人。

说360是正经八百的国家队，那是因为已经被收编了，国内大概70%的部委、80%的银行、绝大部分国企的网络安全，都由360维护。

而国家重大的政治活动比如G20峰会、阅兵仪式、一带一路等重大活动的网上安保工作，也都是由360牵头，而且360的确是实力不凡、战功赫赫。

世界黑客大赛上，360团队也是屡有斩获。其中最著名的黑客大赛叫Pwn2Own，这是美国五角大楼主办的，360获得2017年度总冠军，随后360上了美国的制裁清单。

360有多牛？360曾经公开演示，如何在几分钟之内黑掉特斯拉的自动驾驶系统。简单来说，就是可以用黑客手段控制自动驾驶中的特斯拉汽车。

看到这里我惊出了一头汗。一方面，我在想，满街的特斯拉会不会成为杀人的武器；另一方面，我又想，黑特斯拉都这么容易，那进我电脑简直如同逛街啊。

后来我又冷静了下来：第一，作为平头百姓，没有被黑客暗杀的价值；第二，得亏360被国家队收编了，不然我们每个人都在360面前裸奔。

虽然说当场演示黑特斯拉发生在2014年，如今的安全性肯定要提高不少，但可怕的是，只要是能连网的系统，或者只要是能接收信号的设备，都可能被黑客控制。

2022年1月，一名19岁的德国黑客通过软件漏洞，侵入了分布在13个国家的25辆特斯拉汽车，既可以通过摄像头查看车内是否有震，错了，有人，还可以进行车辆启动等操作……

2013年的黑客大会，本来有个黑客想讲怎么黑心脏起搏器，美国食品药品管理局的头头，专门飞过去找他聊聊，结果这个黑客临出门的时候，自己吸毒过量挂了。

回到本案。既然是钓鱼邮件，那肯定有鱼饵和鱼钩，鱼钩连着鱼线，鱼线连着鱼竿，鱼竿握在钓鱼人手里，钓鱼人旁边可能是他的小三。

破案的思路就是这样，顺藤摸瓜，顺鱼杆反向钓鱼。沿着网线找下去，就找到了攻击西北工大的服务器，共有54台，分布在日本、韩国、瑞典、波兰、乌克兰等17个国家。

这些服务器有的是作为跳板机，也就是网络指令的中转站。中转一下或者几下，可以让追溯更加困难。因为调查需要这些国家相关部门的配合。

中国得到了欧洲和南亚等国家的通力支持，很快就发现钓鱼者果然是美国国安局（NSA）的TAO，TAO先后使用了41种鱼钩，对西北工大发起网络攻击。

咱们举例介绍一下几种鱼钩。先说第一种——狡诈异端犯。这是一种后门工具。什么叫做后门？后门就是操作系统、软件系统、硬件系统的暗门。

我们开电脑或开手机之后，甚至进入某个软件系统，几乎都要输入密码。对于普通人来说，不知道密码完全无计可施。

但是对于技术人员来讲，他们有别的办法。举个例子，贝尔实验室的程序员大牛肯·汤普逊发明了C语言，后来又在C语言的基础上开发出来Unix操作系统。

汤普逊在实验室，可以大摇大摆走到任何一台Unix机器前登录，密码在他面前形同虚设。因为系统留有一个不为人知的后门，而他掌握着后门的钥匙。

另外一些大牛感觉自己受到了羞辱，心想电脑里要是存点私货岂不一点安全感都没了？因此发誓要把这个漏洞给找出来。

于是，他们花了无数个日夜，通读了Unix的C源代码，终于找到了登录的后门，清理后门后编译Unix运行，可是汤普逊还是如入无人之境，随时可以登录进去。

有人觉得可能是编译器中有问题，在编译Unix的时候植入了后门，于是他们又用C语言重新写了一个编译器，用新的编译器再次编译了Unix，心想，这下总算天下太平了吧。

可让人大跌眼镜的是汤普逊依然可以登录。最后汤普逊自己公布了答案，因为你开发新编译器的时候，也需要用汤普逊最初写的编译器来编译，这时候后门就留下来。

一个Unix操作系统，竟然留有这么多后门，令人触目惊心。大家思路发散一下，微软有没有后门呢？安卓有没有后门呢？苹果有没有后门呢？

答案是肯定的，而且不止一个，虽然他们会矢口否认。等你发现之后，他们会说这是设计缺陷，这不是后门是漏洞。故意在墙上留个洞，不是后门是什么。

斯诺登曾经爆料，包括苹果在内的美国几大科技公司长期将“后门”开放给美国安全机构，而且就是你手机关机，美国国安局（NSA）也能展开监听活动。

美国洛杉矶硬件工程师埃里克麦克唐纳表示，当手机关机时，虽然看似电源已经切断，但实际上是进入了低能耗模式，关键的通讯芯片仍处于活跃状态。

这时的手机，可能处在假装睡着的状态，可以随时接受来自NSA的指令，既可以启动手机，窃取手机数据，也可以激活麦克风。

2014年7月，苹果公司承认了iOS 的三个后门，辩解说是诊断功能，可以帮助企业IT部门、开发者和AppleCare检测故障。

除了软件后门，还有硬件后门。美国通信设备巨头思科，在六年时间里，陆续被发现了10个后门，英特尔也多次被曝光留有后门。

这个狡诈异端犯就是一款黑客程序，通过后门植入运行后可自行删除，具有提升权限功能，可长期驻留在目标设备上并可随系统启动。

狡诈异端犯平时伪装的很好，不会让机主察觉出异常。一旦发现电脑设备中有它想要的文件时，程序会在合适的时机启动NOpen木马工具。

这个NOpen木马工具主要用于文件处理（上传、下载、删除、搜索、重命名等等）、系统提权、网络通信重定向、自会消痕、查看目标设备信息等。

除了后门，还有漏洞，漏洞可以说是设计缺陷。比如小偷行窃，走不了后门正着急，发现墙上有个洞，于是就钻进去了。

在网络安全领域，漏洞其实是一种资源，谁能掌握漏洞，谁就到别人电脑里（手机里、服务器里）去逛一圈，谁就能轻易而举潜伏到敌人心脏。

一般程序猿发现漏洞那肯定兴奋得大叫，但是对于网络安全部门来说，发现一个系统漏洞，就等于掌握了敌人的薄弱环节，找到一条敌人的防守盲区。

在必要的时候出其不意，给对手致命的一击，把对方的网络搞瘫痪，把对方的数据给毁灭，让对方的指挥系统失灵……

NSA很注意漏洞的搜集。微软的Windows系统，是出了名的漏洞多。但是微软发现漏洞后，第一时间不是通知消费者赶紧打补丁，而是要第一时间报告给NSA。

NSA首先看看有没有利用价值，然后再通知公不公开。如果NSA选择不公开，就意味着NSA又拿到了全球无数台电脑的钥匙，网络武器库里又多了一件利器。

NSA手握着这些漏洞，平时不会打草惊蛇，会筛选猎物，定向操作，默默地潜入人家电脑，然后默默地搬运东西。

去年阿里云为啥被罚了， 就是员工发现阿帕奇严重漏洞后，没有向主管部门（工信部）报告，而是第一时间报告给了外国开源组织。

NSA攻击西北工大的网络武器中，有一款叫做“酸狐狸”的网络攻击平台，部署在哥伦比亚的服务器上，利用的就是各种主流浏览器的零日漏洞（0day）。

总之，NSA旗下的TAO（特定入侵行动办公室），对中国境内目标实施了上万次的攻击，控制了数以万计的网络设备，窃取了西北工大140GB的数据。

为什么是西北工大？因为西北工大有美国感兴趣的东西。西北工大，跟哈工大、哈工程、北航、南航、北理工、南理工并称国防七子（两航两理三工）。

西北工大，为我国的三航事业（航空、航天、航海）做出了卓越的贡献。这么说吧，建国70周年阅兵中，凡是能飞起来的武器，都跟西工大有关。

运20总师唐长红、直20总师邓景辉、歼20总师杨伟、ARJ21总师陈勇、涡扇20总师程荣辉、C919常务设计师韩克芩、新舟700总师董建鸿，都是西工大毕业的。

轰20虽然还没有揭开最后的面纱，但它的总设计师跟运20一样，也是唐长红。唐长红还是歼轰7A的总师。

这些总师不仅来自西工大，杨伟、唐长红和赵霞（歼15常务副总师）三位来自同一个班（77级5381班），杨伟、唐长红还来自同一个宿舍的上下铺。

这些总师为大家所熟知，但更多的西工人在科技战线默默奉献。正如西工大校园中的雕塑“隐姓埋名，为国铸剑”。

除了各种飞机无人机，西北工大在航天领域也是建树颇多，就在两个月前，西北工大成功发射了“飞天一号”火箭，验证了有关高超音速装备的多项前沿技术。

听说过大学放卫星的，没听说过哪个大学放高超音速导弹的，错了，高超音速火箭的。最关键的是这款火箭的发动机，是以价格低廉的煤为燃料，错了，煤油为燃料。

说起航天，胖五（长征五号）的总设计师李东硕士毕业于西工大（本科北航）；副总设计师王维斌也是西工大校友，王维斌还是50吨氢氧发动机的总设计师。

既然是三航院校，那就离不开航海，虽然西工大深居我国内陆西安。尤其是在水下攻击方面，西工大可以说是绝对的鱼雷一哥。

别的大学，专业要么是数学、物理、化学、材料、生物、建筑、土木，要么是医学、法学、文学、艺术、计算机、自动化、电子商务，西工大的专业名称那真是简单粗暴、心惊肉跳。

比如飞机设计工程、飞行器设计与工程、探测制导与控制技术、火炮自动武器与弹药工程、船舶与海洋结构物设计、武器系统与运用、武器动力与制造、武器信息与控制……

还有航空宇航推进理论与工程、导航制导与控制、空间飞行器动力学与制导、兵器发射理论与技术、智能无人系统科学与技术、网络空间安全、航空航天安全工程、保密管理专业……

毫不夸张地说，西工大是星辰大海第一校。不是贬低兄弟院校，是因为其他国防七子各有各的强项，有的专注星辰，有的专注大海，有的专注两弹一星。

据说北航负责把人机送上天，北理工负责把人机送上西天（导弹等兵器），哈工大负责把人机送出地球（宇航），南航负责挨打（研究靶机是一绝）。

今年上半年，西工大简直是开挂了，除了飞天一号新型高超音速火箭试飞成功，还有云雀某新型飞行器试飞成功，西工大ASN-218无人机舰载垂直起降圆满完成。

说西工大撑起了祖国的蓝天毫不夸张。正因为如此，西北工大被美国盯上是必然的事情。美国最近很郁闷啊，美国巨型探月火箭阿耳忒弥斯（俺特没意思）再次延期推迟发射。

为啥推迟呢？第一次推迟官方的解释是遭雷劈了三回，再次推迟理由是燃料再次泄露。堂堂一个航天大国，竟然如此拉胯，连找借口都那么不认真。

避雷技术按说是常规操作啊，咋还能让雷劈三次，估计不是真实原因，真实原因说出来怕丢人。

还有燃料泄露的问题又在临发射前发现（加注燃料后），那这个大烟花，错了，那这个大火箭的可靠性非常可怕啊！

美国做不好自己的事情，但是在鸡鸣狗盗上一直很下功夫。美国对全世界的偷窥和窃密，早已经是众所周知的事实，这个要感谢斯诺登。

美国当然不会放过中国。从1998年NSA下属机构TAO成立后，就开始通过互联网手段监控中国，中美之间的网络攻防战，也一直都有。

美国对西工大的制裁、监控和窃密，应该是早就布局了，至今已经窃取140GB的数据资料。但是我感觉，不会有太大损失。

首先，中国知道美国在偷窥；美国也知道中国在知道美国在偷窥；中国也知道美国知道中国知道美国在偷窥，因此中国不可能不防，一个攻一个防，就如同掰手腕。

既然中国知道，那么就一定会隐藏好保密资料，国家保密学院就在西工大。我怀疑这140亿资料搞不好是讲座视频，搞不好可能还是日本老师讲的。

毕竟贼不走空，我们眼看着人家在我们电脑上偷东西，好意思让人家空着手回去？干脆主动赠送一些学习资料。

其次，大学里的研究层次相对涉密程度比较低。比如唐长红，他的主要工作在西飞；杨伟，主要工作在成飞，这些单位跟互联网都有物理隔离。

当然，这140GB的资料里，应该有一些中国军工最新科研动向，包括中国三航技术整体水平，甚至还有一些武器预研思路。这些信息有情报价值，但也不排除会有战忽价值。

中国没有放过这次防守反击的机会，顺着鱼竿就摸了过去，结果一下子追到了贼窝里。不是蛋总瞎说，报告里写了，虽然写得很隐晦。

报告里这么说：已经掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据。

证据如下：涉及在美国国内对中国直接发起网络攻击的人员13名，以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。

看到没有，我们连人家的合同和电子文件都搞到了。请注意，这是NSA的文件和合同，应该是绝密！

这说明了什么？说明360的工作人员已经顺着网线爬到了人家的卧室。取证我们都知道，不管有用没用绝对不是现场查看，而是要把全部资料带回来，一个一个研判。

因此，我们搞不好把人家服务器里的东西全给班腾回来了，目前只公布了60份和170份电子文件，说不定把美国的网络武器库全给缴获了。

具体在什么时候我们反击成功呢？我估计是在7月19日之前。因为7月19日，美国突然纠集盟友发布声明，指责中国进行恶意网络攻击。

中国当然不能承认，我们一项秉持的“人不犯我，我不犯人；人若犯我，我必犯人”。正当防卫、调查取证怎么能算恶意攻击呢？

网络空间，斗争无时无刻不在。随着中国人才队伍的壮大，也随着中国网络安全技术的提升，对美国想来就来想走就走、单向透明的状态已经成了历史。

网络渗透到了生活的每个角落，大家要树立网络安全意识。保护好自己的同时，也多留个心眼，说不定行走的50万就在身边，发家致富的机会不容错过。