在网络时代,造谣传谣比你想像的更加简单。

本文将以某软件为例(已经过 “原作者同意”),手把手教大家如何制造一份网络安全谣言。

操纵防火墙

既然要造谣,那就要寻找能造成恐慌的点:而防火墙就是很好的目标。

系统防火墙会拦截大多数网络通信,因此大多数程序都会在启动时为自己添加防火墙权限。既然某软件具有联机功能,我们可以大胆猜测它添加了防火墙权限,事实也确实如此。

%title插图%num

但因为图中并列的有太多常用软件,如果我们只把上面这张截图发出去,很难起到造谣的效果(谁都可以说:你看,画图都添加了这个权限!)。因此,我们最好更进一步……

既然它已经有了防火墙权限,那么我们可以使用专业的行为监测软件,捕获该软件 “添加防火墙权限” 的那一刻,这比上面的截图有说服力得多

删除该软件已经添加好的权限(这样它才会再次添加权限),然后开始行为监测,启动联机模块……果不其然,我们捕获到了它操作防火墙的行为

专业软件的截图放上来(也可以让更多人看不懂),我们就写好了谣言的第一段。

%title插图%num

 

调用 “危险系统库”

只有 “操纵防火墙” 这一个罪名明显不够。还好,这个软件有在 GitHub 上公开源代码,我们可以找找其中比较敏感的部分。

很快,我们就在它的公开代码中找到了下面这一段。该程序调用了系统函数库 user32,以此来获取游戏窗口、修改游戏窗口标题(代码见:https://t.im/12×77)。

%title插图%num

可惜,它所调用的函数并没有特别敏感的,都是诸如 “修改窗口标题” 一类毫无破坏性的,所以我们并不能指控它使用这些函数 “搞破坏”。

但既然系统提供了安全的函数,那也就提供了危险的函数。它虽然没有调用危险的函数,但我们可以只片面地说 “它调用了系统函数”——具体有没有调用危险的那部分?就让读者自己脑补。这样,我们就可以在不说任何一句假话的情况下起到造谣的效果了。

将系统函数库写成 “系统级高危库”,然后再手动把它们标红标黄,让它 “看起来” 更危险一点(可惜标的时候没标太规整,比较容易让人看出来是手动标的),谣言的第二段就完工了。

%title插图%num

 

可信的查毒报告

功能复杂的软件很容易被杀毒软件误报为病毒,考虑该启动器的行为:它从网络中下载了不明来源(国外)的程序(Minecraft 游戏),并且试图运行下载到的程序,此外还有与他人的电脑连接(联机)这种 “高风险功能”,它被误报为病毒的概率应该相当之高。

一般而言,正式的各大软件公司会购买 “数字签名”,它可以避免程序被报毒。但我知道,该启动器是个人开发的,不太可能拥有数字签名。简单查看后,确实如此。

%title插图%num

综合考虑,我们可以放上 “杀毒软件会查杀该程序” 的证据——并且这确实是真话!

多方送检后,报毒数最多的 VirusTotal 中,72 个杀毒引擎中有 5 个汇报是病毒。虽然比例不到 7%,但我们可以不说比例,只说 “有 X 个杀毒引擎报毒”,以此加重语气。

而它的快照版因为使用了更严格的加密方式,虽然内容完全一样,但报毒率却直接翻了一倍!这简直完美符合了我们的目标。于是,我们获得了构成谣言的一片新拼图。

%title插图%num

 

后门?

至此,我们已经成功安排上了三个 “疑点”,但还没有一个真正的 “实锤”——这是当然的,毕竟我们是在造谣嘛。但即使没有实锤,我们也可以利用一个巧妙的逻辑漏洞 “造” 一个出来。

我们可以直接这样说:“联机功能可以开放任何端口(程序)给他人访问,以此作为后门”。

这句话似乎没有任何问题:联机功能当然能开放程序给他人访问(要不然怎么联机?),那既然它能开放程序,那似乎确实可以被用作后门……

但这个说法,远程控制软件 ToDesk 也符合:“ToDesk 可以开放你的电脑给他人控制,以此作为后门”……这句话的问题出在哪呢?

%title插图%num

远程控制软件 ToDesk

 

我们选择性省略了一个重要前提。它的完整表述应该是:“在你主动同意,或者你的电脑已经被黑客操纵了的前提下,ToDesk 可以开放你的电脑给他人控制”。

是的,无论是联机功能还是 ToDesk,在你没有主动同意(或者你的电脑没有被操纵)的情况下,它并不会自行 “开放任何程序给他人访问”。所以我们可以说 ToDesk 是一个正常的软件,而不是后门木马。成为后门的关键在于 “不经过同意的自行开放”,它们都不满足这一点。

但是,很多在网上吃瓜的不明真相群众当然不容易想到这一点,那么 “联机功能可以开放任何端口(程序)给他人访问”,就成为了一个无中生有的 “后门”。

%title插图%num

 

整合和发酵

至此,我们已经在不说一句假话的前提下,给这个软件安上了四条 “罪名”:

它会操纵 Windows Defender 防火墙来给多人联机添加通行权限

它使用了 “系统级高危函数库” 来修改游戏窗口标题

它被 5/72 (7%) 个杀毒引擎报为病毒

在你同意的前提下,它的联机功能可以开放任何端口(程序)给他人访问

把这四条放在一起,但凡是没有专业知识的人,都已经足以认为:这就是一个病毒!%title插图%num

 

我们需要做的,就是把这些 “证据” 打包,按照尽量正经专业的格式撰写一份 “报告”,然后让大家尽快传播,制造恐慌情绪,等待舆情慢慢发酵。

当然,事情会在传播过程中变得越来越离谱,被不明真相的人 “误解意思”(我只说了它调用函数库,但我可没说用来干啥了,这是你自己想的),直至和我原本传出去的 “报告内容” 都没有什么关系了——

但我可一直都在说真话。

至于谣言的传播者添油加醋了什么内容,和我有什么关系?那是传播者说了假话,是他在造谣,但我的 “报告” 里可没有说过什么 “注入木马驱动”,对吧?%title插图%num

 

总结

相信各位看到这里,已经掌握了制造网络安全谣言的技巧。

本文的话术可以用于任何一个软件:各大游戏都会 “操纵防火墙” 实现联机;游戏引擎会使用不计其数的 “系统级高危函数库”;只要你同意,你的系统都 “有能力删除你电脑内的所有文件”;而你 C 语言的小作业,却被杀毒软件直接当成病毒杀没了……

希望各位网上冲浪时多多谨慎小心,不要着了圈套,不要成为文末里那位 “添油加醋说假话的传播者”,更不要成为谣言的施害者……但我只能祝福大家,不会成为下一个谣言的受害者,来写下一篇这样的文章。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。