2003头号假新闻“盖茨遇刺”4大疑点

　　【万维读者网】2003年3月29日，星期六。笔者在一个江南小镇闲逛。


　　中午十一点刚过，手机短信传来新闻：盖茨这厮终于被暗杀了！紧接着被告知：雅虎、新浪、搜狐、网易都“有了”……二十多分钟之后，辟谣消息传来，这场误会与“去年一部虚拟纪录片情节吻合”。

　　回到住处已是深夜，看了一些报道。被广泛转载的是中国日报网站的澄清报道：

　　美国有线新闻网网站(www.cnn.com)3月28日(北京时间3月29日上午)曾报道了一条“微软总裁比尔·盖茨被谋杀”的消息，此消息在CNN网站上出现大约半个小时后，不知何故CNN网站又将此新闻稿撤除。

　　事情没有那么简单，这部“虚拟记录片”有几个重大的疑点。

　　愚人节刚刚开始。

　　疑点一：相关网站文过饰非

　　首发对“CNN新闻”进行编译和发布的是中国日报网站。遗憾的是：随后的澄清报道和此前的编译新闻一样经不起推敲，公众的知情权似乎没有得到尊重。

　　事实上，假新闻来源于http：//www.cnn.com＠cgrom.com/news/law/gatesmurder／index.shtml与CNN网站没有任何关系；事实上，CNN的新闻网页编码包含时间，与假新闻的URL“一点都不像”，该编辑难道没有去过CNN？事实上，即使在中国，数以万计的网友也没有在CNN网站发现蛛丝马迹，因此并不存在“半个小时后撤除”的现象。可以想象一下，CNN如果开这么大的玩笑，一分钟之内消息就会传遍全世界。依靠公信力生存的媒体如果发布了上市公司的假消息，紧接着就只有鞠躬道歉、调查理赔……数不清的麻烦。静悄悄的CNN网站说明了一切。

　　全世界似乎只有发布这条编译新闻的网站编辑看到了这条“CNN新闻”，这一点非常重要，说明问题并不出在CNN，而是出在我们的网站身上。由于没有人在CNN上看到这条新闻，而中国日报则称看到了“CNN新闻”，只能认为出现问题、遭到攻击的是中国日报网站而不是CNN，把屎盆子扣在对方头上有失公平。

　　疑点二：假新闻网页破绽百出

　　令人感到惊讶的是：这个新闻页面“伪装”得一点都不好。就在这个页面上，至少有六个明显的漏洞：(见图1)



　　1、右侧的新闻一律显示“2000年”，而且都是死链接；

　　2、上级页面根本不是“法律频道”，首页也指向真实的CNN网站，一旦进入就再也看不到假消息了。对此只有一种解释：那个编辑仅仅看了那个页面，没有点击周围的新闻、没有瞟一眼上级目录、没有点击首页，因为一看就会“穿帮”；

　　3、奇怪的是：如果编辑是被之前的页面误导进来的，那么她看到被伪造的CNN首页了吗？为什么没有复制下来让大家看看？

　　4、假新闻的设计者格外胆大：页面设计均是CNN一年前的风格，从色块搭配到栏目设置都不一样，这种明显的差别逃不过经常上CNN的编辑的眼睛；

　　5、在北京时间十一点左右，编辑看到的新闻显示是“3月28日6：15pm”，美国与北京时差为八小时，也就是北京时间的凌晨两点。结合其他网站没有相关报道的事实，这就意味着在消息公开的八个小时里没有网络媒体跟进，即使暗杀的是盖茨；

　　6、如果认真一点读完这条假新闻，就会发现文章下方四条“相关新闻”的时间都标着“1999年”，从5月到11月。

　　上下左右全是漏洞，即使是制作愚人节新闻也太冒险了一点；如果不是因为“懒惰”，只能理解为造假者确信如此就足以欺骗专业编辑的眼光，他哪来的自信？

　　故事的第一个“黑客”出现了：制作该网页的人，也就是cgrom的管理者。cgrom是个两年前注册、以游戏为主题的网站，3月24日的网站首页贴了个公告，表示“盖茨还活着……这只是个无伤大雅的玩笑。如果你想让朋友觉得错过了重大新闻，可以把下面的链接发给他”-跟着就是假新闻的链接。据作者介绍：只有日期是实时更新的，并没有准备相应的“CNN首页”。假消息的目录“Gatesmurder”是3月23日建立的，准备时间不长，对旧版愚人节新闻的修改很少。(见图2)



　　疑团揭开了。制作者抱着开玩笑的想法修改了去年的愚人节页面博人一笑，他没必要伪装什么，也不指望能骗过专业人士的眼睛。所以故事的主角不是他，而是那个使我们的编辑看到并相信这个页面的人。

　　疑点三：网址到底是从哪里进入的？

　　我们的编辑是怎样看到这个页面的？

　　众所周知：在浏览器地址栏输入复杂的网址显然不可能；通常的情况是：点击广告和链接，那么挂了这个广告或链接的页面在哪里？据中国日报网站的编辑表示：他们进入CNN的时候“看到了”这个网页，那么伪造的CNN首页长什么样？有没有拷贝下来？如果编辑像往常一样输入“www。cnn。com”就直接看到了这个页面，这符合常识吗？

　　从cgrom网站得到的信息是：作者仅仅做了个开玩笑的网页，周围的链接都指向真实的CNN网站，也就是说：这个该死的假新闻根本没有可供回溯的“CNN首页”，否则它不会无影无踪。

　　中国日报网站坚称“不是通过电子邮件等链接”，令笔者百思不得其解：操作者使用了怎样的“障眼法”让编辑进入这个网址？《北京青年报》报道：“首发这一消息的是一网站的一位年轻编辑，她在搜索一貌似CNN的网站时看到了这一线索。”搜索、点击广告链接与“在地址栏输入网址”是完全不同的三种网络访问方式。

　　这是问题的关键。

　　疑点四：为什么是中国日报？

　　并不令人惊讶的是：与网页制作者的漫不经心相比，“黑客”对于中国网络新闻的传播方式非常了解，在策划上非常到位。网络袭击起到了“四两拨千斤”的作用。

　　如果新闻投向新浪、搜狐等消息渠道众多而又缺乏媒体资质的网站，这样的新闻不可能未经确认轻易上版；

　　与此同时，各专业新闻网站、特别是经常编译国外媒体报道的中国日报与CNN有着长期的合作关系。尤其是当前在战争时期，CNN网站无疑会被经常刷新；

　　对于正规渠道出来的重大新闻，转载媒体的责任要轻得多，各大网站传播起来不假思索，“中国日报加CNN新闻”更是“质量保证”；

　　假新闻的出台时间是周末上午，值班编辑联络负责人有困难，尤其在春暖花开的时候。

　　换句话说，假新闻只要在合适的时间通过合适的编辑在合适的网站首发，小小的玩笑就能在俺们这旮沓产生惊人的效果。

　　中国网络媒体有史以来最重大的丑闻就这样发生了。

　　假想的攻击过程

　　根据目前已知的情况，中国日报网络遭受DNS欺骗或者Web欺骗的可能性较大。

　　欺骗攻击是指攻击者创造易于误解的环境以诱使受攻击者进入并做出错误决策，包括DNS欺骗(攻击者伪造关于机器名称和网络信息)、Web欺骗等方式。由于中国日报方面否认通过点击电子或其他方式访问CNN网站的可能性，而真正的CNN网站并没有被入侵，我们假想这是一次针对中国日报网络的DNS欺骗。攻击的过程是这样的：

　　1、黑客决定利用cgrom的网页发动袭击。3月28日上午的某个时间，他侵入了中国日报的内部网络，满怀信心开始等待；

　　2、值班编辑打开浏览器，发出解析域名www。cnn。com的请求；

　　3、域名解析服务器dns。chinadaily。com。cn受到欺骗攻击，将cgrom。com的IP地址24.167.169.238替代CNN的IP( 64.236.16.52)地址返回给编辑的机器；由于com的根服务器cn。internic。com没有受到攻击，所以没有外人看到这个页面；

　　4、www.cgrom.com的服务器收到访问www.cnn.com的请求时以www.cnn.com为用户名指向页面www.cnn.com＠cgrom.com/news/law/gatesmurder/index.html。

　　5、编辑人员看到假新闻，没有进行观察和确认，在11：07将编译新闻上网；

　　6、各大网站在三十分钟内转载，今年最大的假新闻诞生；三十分钟后纷纷辟谣。

　　黑客or内部人？

　　真理存在于细节。

　　我们有兴趣知道的是：黑客从局域网外部发动攻击还是来自内部？

　　看起来有两种解释：

　　第一种：网站编辑“里应外合”，拿读者开心。对于有严格的新闻检查传统的大报来说，编辑部“策划假新闻”是无法想象的，但在调查结果出来之前，很难保证没有个别编辑参与制造、传播假新闻；

　　第二种：另一种可能是：黑客恰好利用这个网页攻击了《中国日报》的网络，浏览CNN的网站编辑恰好看到了黑客希望她看到的内容，她又在恰好没有查看其他链接、上级页面、首页和相关新闻网站的情况下，直接编译上版；半小时之后，谣言被澄清的同时攻击行为中止。攻击者不但熟悉媒体的运作，而且监控着攻击的整个过程。补充一句：这种情况下黑客的攻击基本上针对局域网的服务器而非某个单台机器。

　　当前最大的悬疑是：编辑在看到假新闻的页面之前看到了什么？换言之，她是怎样进入这个新闻页面的？是通过伪造的CNN新闻首页链接？那个伪造的首页长什么样、存放在哪里、为什么在cgrom网站和假新闻网页上不见踪影？

　　真正的“攻击”也可能简单得多。也许不是通过首页，而是从邮件或广告链接点击，那么链接存放在哪里、如何取信于编辑？从技术上讲，手指的不同方向意味着不同的黑客攻击方式：WEB欺骗，DNS欺骗；或者，根本就没有什么黑客。

　　余音未绝

　　天时，地利，人和。

　　并不高明的网络欺骗使多家网站相继“中招”，几千万网民上当。表面上看，这像是中国黑客(现在改叫红客)的一个作品，它表达了众所周知的愿望，在短短的半小时里激发了无数人的深层次情感，顺手羞辱了中国的网络媒体。

　　我们相信：公信力是媒体的生命。没有转载假新闻的网站有新华、千龙和Chinabyte，正式道歉的有新浪、搜狐。可以预期的是：网络媒体的新闻检查将趋于严格。

　　那个开够了国际玩笑的网页静静地躺在那里。有些人觉得，公安机关应当及时介入，并公布调查结果。从当前已知的信息来看，这件事与国外的那个网站管理者关系不大，完全可能在国内查清楚。不过，即使你是专业的网络工作者，恐怕也很难迅速找到报案渠道。从事网络信息安全管理的部门很多，联系方式大多“保密”，节假日休息。

　　中国日报网站的后续处理充满了“春秋笔法”。澄清报道的标题是“CNN网站报道盖茨被杀，微软澄清为恶作剧”，称“中国日报网站及时对该消息进行翻译报道……是2002年愚人节的恶作剧内容，不知何故3月28日又出现在CNN网站上。”惹祸的新闻内容被修改；第二天，编译新闻被删除，好像什么都没有发生过。

　　比尔·盖茨就这么在中国人面前死了一把。(ChinaByte特稿 李生)