文章总结： 文档回顾了1988年莫里斯蠕虫事件催生全球首个CERT/CC的历史。文章描述了CERT如何从早期的电话传真协调发展为制定漏洞披露标准的权威，并利用技术公开压力迫使厂商修复漏洞。随着互联网规模扩大，CERT逐渐从应急救火转向规范制定与态势分析，为现代网络安全运营体系奠定基础。 综合评分： 86 文章分类： 应急响应,安全运营,网络安全,技术标准,恶意软件

【第五空间简史】第13节 第一个CERT的成立

原创

千里

东方隐侠安全团队

2025年12月23日 22:31 江苏

1988年11月2日的深夜，早期的互联网（也就是ARPANET）经历了一场“降维打击”。

那晚，在康奈尔大学的一间实验室里，一个叫罗伯特·莫里斯（Robert Tappan Morris）的研究生轻轻敲了一下回车键。他当时可能只是想搞个压测，看看这个由几万台机器组成的庞然大物到底有多大。但他低估了自己写出的那段代码。

短短几个小时内，这坨被后世称为莫里斯蠕虫的代码，利用了Unix系统中 fingerd 、 sendmail 的漏洞和弱口令，像病毒一样疯狂自我复制。当时全美约有6万台服务器接入了网络，其中近十分之一直接瘫痪。

最荒唐的是，在那场灾难发生的时刻，并没有什么求救电话可以拨打。管理员们像无头苍蝇一样在邮件组里乱撞，互相打听：“嘿，你家机器也卡死了吗？”“是啊，我正拔网线呢。”

这种“各扫门前雪”的混乱局面，直接促成了我们今天要聊的主角——CERT/CC（计算机应急响应小组协调中心）的诞生。此时已经是1988年的深秋，网络安全正规军开始成军。

年的草台班子本草

01

莫里斯蠕虫可以说打响了网络安全史上的“第一枪”，当时的情况非常有意思。由于蠕虫塞满了所有的通信链路，邮件发不出去，大家只能回归原始。全美顶尖的黑客、系统管理员和国防部官员挤在MIT和加州大学伯克利分校的几个实验室里，通过长途电话交流补丁方案。

大家一边骂娘，一边手动清理内存。这时候，美国国防部高级研究计划局（DARPA）的高层突然意识到一个极其尴尬的问题：

“如果这不只是一个学生的恶作剧，而是冷战对手的饱和攻击，我们是不是现在已经‘断网’等死了？”

在那之前，ARPANET更像是一个“学术公社”，大家默认彼此都是君子。虽然有口令，但防君子不防小人。这场蠕虫危机把这种天真的信任感击得粉碎。

于是，在动乱平息后的第二周，DARPA做出了一个极具前瞻性的决定：不能再这么乱下去了。我们需要一个永久性的场所，一个一旦出事，所有人都能第一时间找到并听取指令的地方。

他们把目光投向了宾夕法尼亚州的匹兹堡——卡内基梅隆大学（CMU）的软件工程研究所（SEI）。

1988年11月17日，就在莫里斯蠕虫爆发仅仅两周后，CERT/CC（Computer Emergency Response Team Coordination Center）正式挂牌成立。

拓荒时代的“接线员”

02

现在的CERT/CC位于CMU那栋充满了工业气息的办公楼里，安保严密，屏幕林立。

但在1988年，它更像是一个“技术支持热线中心”。

最初的CERT只有寥寥几个人，领头的是一个叫理查德·帕尔多（Richard Pethia）的人。

人物志：https://www.sei.cmu.edu/authors/rich-pethia/

当时的条件之简陋，让现在的运维工程师听了都要掉眼泪，没有自动化的监测系统，没有大数据分析，更没有AI。

那时的CERT主要靠两个工具： 电话 和 传真机 。

他们的日常工作流程是这样的：

某位管理员发现系统被黑了，翻遍手册找到CERT的电话打过去。

CERT的专家接听电话，记录下受损情况。

专家们开始在实验室复现漏洞，联系像Sun Microsystems或AT&T这样的供应商，问：“兄弟，你们的代码出问题了，什么时候出补丁？”

补丁出来了，CERT再通过邮件列表（那时候最著名的叫Bugtraq）把安全建议发给全球。

这种运作模式效率极慢，但在当时却是革命性的。

要知道，在CERT成立之前，如果你发现了一个SunOS系统的内核漏洞，你得去求着厂商承认错误，或者在某些地下BBS里低调交流。厂商往往会说：“我们的系统很安全，一定是你操作不当。”

但CERT的出现，让厂商感受到了“集体压力”。当这个挂着国防部背景的机构给厂商发函说“你家代码有漏洞”时，没人敢再装死。这就是“漏洞协调（Coordination）”概念的起点，这是后续网络安全秩序建立的基础之一。

1990：从草台班子到标准模板

03

转眼到了1990年，这是CERT发展进程中至关重要的一年。

俗话说“不以规矩，不成方圆”。1988年CERT应乱而生，1990 CERT/CC就正式发布了它的运营准则，并且开始向全球输出这种模式。

为什么是1990年？

因为这一年，冷战进入尾声，商业互联网开始露出地平线。原本属于军队和科研机构的玩具，开始变成商业世界的基石。随之而来的，是攻击手段的百花齐放。

在1990年左右，我们看到了第一批真正意义上的恶意软件和更复杂的攻击。比如 WANK蠕虫出现 （DECnet上的第一个大规模攻击），也有越来越多的非法入侵事件开始涉及到跨国追踪这样的工作。

这时候，大家发现，光有一个位于匹兹堡的中心是不够的。如果法国的服务器被黑了，指望美国人来处理，不仅有时差，还有法律限制。

于是，CERT/CC做了一件最有远见的事， 它不打算做“全球警察”，而是要做“全球示范”。

1990年前后，在CERT/CC的扶持和示范下，澳大利亚、欧洲的一些国家开始建立自己的应急响应小组。这些小组都延续了“CERT”这个缩写（直到后来这个名字被卡内基梅隆注册成了商标，大家才开始改叫CSIRT）。

同年，一个名为FIRST（事件调查与安全小组论坛）的国际组织也应运而生。CERT/CC是创始会员。这意味着网络安全从“单兵作战”正式跨入了“国际协作”时代。

那些年，CERT教会我们的“潜规则”

04

如果你今天在查某个漏洞，你一定会看到一个叫CVE（Common Vulnerabilities and Exposures）的东西。

虽然CVE后来是由MITRE公司管理的，但它的精神内核——“给全世界的漏洞统一打标签”，最早就是在CERT的会议室里碰撞出来的。

在那个荒蛮时代，CERT确立了几个至今仍在沿用的网络安全基本伦理：

• 协调披露（Coordinated Disclosure）：以前黑客发现漏洞喜欢直接披露，直接在论坛公开发布，结果就是大家还没学会怎么防，攻击者已经拿着钥匙进屋了。因此CERT极力主张，先私下报告厂商，给他们一段时间写补丁，补丁出完了再发公告。
• 安全建议（Advisory）的标准化：以前的安全警告写得像随笔，CERT把这事儿变成了“公文”。他们规定的标准格式包括：描述、影响、解决方案、参考链接。这套标准极大地提高了管理员的修补效率。你现在看阿里云或腾讯云发的漏洞预警，骨子里流的还是CERT当年的血。

• 跨国互信：在90年代初，即便冷战刚结束，美国和欧洲、亚洲之间的技术交流依然存在隔阂。但CERT通过技术中立的形象，建立了一个技术圈。出事了，技术人员之间直接通电话，跳过了繁琐的外交辞令。

当然，这个过程也是异常曲折。

当时的 Sun Microsystems 和 DEC（数字设备公司）正处于傲慢的巅峰。在他们看来，软件代码是公司不可侵犯的资产，如果 CERT 跑来说里面有洞，那不仅是技术挑衅，更是砸人饭碗。1990 年前后，当 CERT 的工程师理查德·帕尔多（Richard Pethia）试图通过电话联系厂商的技术负责人时，最常听到的反馈是冷冰冰的一句：“这只是个‘未公开的特性’，或者是你们这群学院派没配好系统。”

面对这种装死战术，CERT 并没有选择硬刚法律流程，而是玩了一招“技术公开化”的心理战。他们开始建立一种非正式的“人质释放机制”：一旦发现漏洞，CERT 会先给厂商发一份措辞极其礼貌、但技术细节精准到“指哪打哪”的传真。这份传真的潜台词很明确：“补丁你可以不写，但下周我的安全建议（Advisory）就会发给全球的管理员。到时候黑客会拿着这份说明书冲进你的家门，而你只能对着空荡荡的客服热线哭。”

这种“体面人的威胁”极其奏效。厂商们发现，如果被 CERT 在通告里点名“尚未提供补丁”，那简直是公关领域的核弹。于是，一场奇妙的化学反应发生了：为了不在全球同行面前丢脸，这些大厂开始被迫在 CERT 的办公室里“认领”漏洞。

最有趣的转折发生在微软身上。当时的微软还没意识到网络安全将成为其未来的命门，甚至连个正经的安全接收邮箱都没有。CERT 只能绕过那些西装革履的官僚，通过私人关系去联系微软内部那些“穿格子衬衫”的极客工程师。这种“私下串联”让补丁往往在官方还没承认漏洞时，就已经由 CERT 配合这些内部极客悄悄推向了市场。

这种斗智斗勇，最终在 1990 年代初形成了一种潜规则：厂商必须在补丁准备好后的 24 小时内配合 CERT 发声，否则就等着面对全世界的“全披露”怒火。 正是这段时间的“极限拉扯”，才把厂商从“遮羞布心态”里拽了出来，开启了软件业“补丁星期二”式的负责任时代。

并不是每一次都能“应急”

05

当然，CERT/CC也不是万能的。

随着互联网在90年代中后期的爆炸式增长，这种“中心化”的协调模式开始显得力不从心。

最著名的例子就是2001年的“红色代码”（Code Red）蠕虫。当时CERT已经拥有了顶尖的分析能力，他们发出了最高级别的预警，但结果呢？由于全球服务器数量从几万台激增到了几千万台，大部分管理员根本没看预警，或者看懂了也没时间打补丁。

那次危机让人们意识到： 单靠一个中心化的“救火队”去救全世界的火，是不可持续的。

于是，我们看到了EDR、SOC、态势感知等自动化防御系统的兴起。CERT/CC的功能也从“亲自下场救火”，逐渐演变成了“火情分析与规范制定”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队 千里《【第五空间简史】第13节 第一个CERT的成立》