2017-05-16 澎湃新闻
5月15日星期一,随着世界各地的人们陆续打开电脑进行工作,勒索病毒WannaCry的阴影进一步笼罩着全球网络。
在各国对网络攻击加强戒备的同时,针对病毒幕后黑手的调查也在紧张进行中。据英国《金融时报》13日报道,此次攻击可能出自犯罪组织,利用被泄露的美国国家安全局(NSA)工具实施勒索,但目前攻击者的性质和身份还未确认。据侠客岛微信公号消息,按照NSA的说法,自己的职责应该是“保护美国公民不受攻击”,但恰恰相反,他们自己用来“防御”的网络武器,则成了黑客手中攻击美国公民乃至全世界的武器。
勒索病毒席卷全球,各国在网络安全威胁上的应对得力吗?这场病毒会持续多久,未来发生的频率还会提升吗?
澎湃新闻记者 薛雍乐 辛恩波 谢瑞强
5月15日星期一,随着世界各地的人们陆续打开电脑进行工作,勒索病毒WannaCry的阴影进一步笼罩着全球网络。视频来源 综合央视 BBC ITV等 编辑 林顺祺 沈靓(01:03)
网络战还是普通的黑客攻击?
上图为被电脑病毒袭击的地区。
安天实验室的主要创始人兼首席技术架构师肖新光告诉澎湃新闻(www.thepaper.cn),从传统的病毒类型来看,此次勒索病毒(WannaCry)属于蠕虫病毒。蠕虫病毒就是一种能够跨节点主动自我传播复制的恶意代码。从勒索病毒的样本来看,它没有明确的攻击国家,是随机,只要这个病毒扫描到了有漏洞的计算机就会发动攻击。至于这次具体发动机攻击地点,对蠕虫病毒的来源确定是一个世界性的难题,过去有找到过蠕虫作者的案例,但都付出了巨大的社会成本。而此次的勒索病毒,业内在查找攻击初始起点上还没有相应的进展。
网络安全研究学者、国防科技大学人文与社会科学学院副教授刘杨钺认为,此次网络袭击的元凶倾向于犯罪组织,而不是国家主使。
“如果是国家主使的网络战,那么它必须具备一个明显的特点,即有政治目的或战略意图,但目前来看,这次袭击没有明确的国家,中国、英国、西班牙、俄罗斯等国都遭到了袭击,攻击的行业也是各行各业,并且至今现没有政治诉求,主要的诉求还是勒索钱财。所以,从目前的信息来看,不能将其定义为网络战,应该黑客犯罪分子的一次攻击。”刘杨钺说。
NSA被盗间谍软件被用作“凶器”
种种迹象显示,此次全球范围网络攻击可能已酝酿了一段时间。
4月14日,一个名为Shadow Brokers(“影子中间人”)的黑客组织在网上公布了据称来自NSA的网络间谍工具。当时美国有线电视新闻网(CNN)引述网络安全专家的话称,这可能是“近年来最具破坏性的事件,使任何人都能下载一个强大国家开发的高级攻击武器”。
英国独立网络安全专家格拉汉姆·克鲁利向澎湃新闻表示,“目前不清楚这一系列攻击背后究竟是谁。不过不认为‘影子中间人’应该为这次勒索袭击负责,他们所做的是从NSA窃取了一些漏洞利用工具(Exploits),几个月以来NSA这些漏洞利用工具的细节就已经被公开。
据CNN报道,该黑客组织曾经尝试在网络上出售这批网络武器,但是未能成功。据报道,该黑客组织曾经宣称如果他们收到100万个比特币(总价值约为5.68亿美元),就会公布所有工具和数据。
多家网络安全企业此前认定,此次肆虐的WannaCry勒索软件正是基于NSA开发的工具“永恒之蓝”(EternalBlue)设计而成,“永恒之蓝”利用微软Windows系统里的漏洞,允许恶意软件同步内部网络的文件共享协议进行传播。
那NSA为什么会知道微软的漏洞,并且制作了专门的网络武器,然后这些武器中的一部分还落到了黑客的手里?
实事求是地说,作为操作系统之一,Windows的构成动辄几亿行代码,之间的逻辑关系不可能一个人说了算,因此出现漏洞是很难消除的。而Windows又是世界上使用最普遍的操作系统,因此被黑客看中而研究漏洞并攻击获利,是很“正常”的事情。
但作为美国国家安全局,盯着这个系统的漏洞也就罢了,还专门搞武器,这是什么道理?
事实上,在黑客组织曝光这一漏洞之前,微软自己也不知道漏洞存在。也就是说,只有NSA知道漏洞存在,至于知道了多久,也只有他们自己知道。在侠客岛上的网络安全专家看来,很可能的情况是,NSA早就知道这个漏洞、并且利用这一漏洞很久了,只不过这次被犯罪团队使用了,才造成如此大的危害。从这一点我们可以看出,美国的技术确实很强,在网络安全领域独步全球;同时,“漏洞”已经成为兵家必争的宝贵战略资源。
NSA现在手中握有多少网络武器,当然是美国的机密。但根据维基解密的说法,不仅NSA手里有,CIA手里也有,他们的网络情报中心创造了超过1000种电脑病毒和黑客系统——这还是斯诺登2013年确认的数量。
因此,在此次“永恒之蓝”爆发之后,《纽约时报》的报道就称,“如果确认这次事件是由国安局(NSA)泄漏的网络武器而引起的,那政府应该被指责,因为美国政府让很多医院、企业和他国政府都易受感染”。
按照NSA的说法,自己的职责应该是“保护美国公民不受攻击”;他们也曾指责很多国家对美国实施网络攻击。但事实恰恰相反,被他们指责的国家都是此次病毒的受害国,他们自己用来“防御”的网络武器,则成了黑客手中攻击美国公民的武器。
用美国全国公共广播电台(NPR)的话说就是,“这次攻击指出了一个安全领域根本性问题,也就是国安局的监控是在保护人民还是制造了更多不可期的损害,甚至超出了其好处”。
网络安全,到底掌握在谁的手里?
截至目前,NSA尚未对此事件进行回应。
据中新网报道,微软总裁兼首席法务官布拉德•史密斯14日批评美国政府存储有关电脑系统安全漏洞的信息。
史密斯说:“我们看到,此前中情局储存的软件漏洞已出现在在维基解密中,而现在来自美国国安局的漏洞也影响了全世界的用户。”
他指出,如果将此事与传统武器相提并论的话,这就好比美军的一些“战斧”巡航导弹被人“偷走”了。他补充说,世界各国应当将此次网络攻击视为一个“警讯”。
侠客岛对此发表文章称,NSA当然应该反思,虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题:网络安全,到底掌握在谁的手里?
就此次而言,美国政府内部的决策流程更值得被诟病。其内部有个简称为VEP(Vulnerability Equity Process)的流程,其用处是,当NSA或美国其他政府部门发现一个软件的漏洞,要走这个流程,决定是不是把漏洞公开。把漏洞公开,微软等厂商很容易就能制造出补丁,漏洞就消失了;不把漏洞公开,这些政府部门就可以自己留着用,用于“执法、情报收集或者其他’攻击性’利用”。虽然这一被奥巴马政府创造的流程既不是法律也不是总统令,但从2008年一直实施至今。
在美国之外的其他国家看来,这一流程显然是有问题的:这一近乎可以被称为“黑箱”的流程,整个世界的网络安全风险全由美国的内部机制决定,其他人不明不白地就被暴露在了风险面前。
对此,史密斯也在自己的博客上愤怒地说,“如果这些政府部门继续躲在暗处挖掘全球电脑系统的漏洞,然后制成所谓的’武器库’用来攻击别国或是’买卖’,那么你们就是网络犯罪的帮凶!”
此外,微软公司还表示,该公司已在今年3月公布视窗软件更新补丁,解决有关的问题,据微软中文官方网站显示,当时这条安全公告的等级被标为“严重”。然而很多用户还没有更新补丁。
泄露网络武器者身份未定
迄今为止,最早将该系列网络间谍软件泄露的黑客组织Shadow Brokers的身份还没有得到确认。
历史资料显示,影子经纪人在互联网上初露锋芒是在2016年8月。据《纽约时报》报道,该组织试图拍卖据称来自与美国国安局合作的黑客组织Equation Group的代码,并公布了部分内容。这些绝密代码是用于“侵入外国政府网络及其他间谍行动目标”。当时,美国前中央情报局职员、“棱镜门”曝光者爱德华·斯诺登曾在推特上猜测,该组织与俄罗斯有关。
然而4月8日,Shadow Brokers在公布NSA网络间谍软件前一周驳斥了自己和俄罗斯的关系,自称并没有多么喜欢俄罗斯,但“敌人的敌人是我的朋友”,认为美国应该与俄罗斯结盟对抗全球主义。
Shadow Brokers在美国社交网站Medium上的公开信里称曾支持特朗普,但如今却对他失去了信心。Shadow Brokers向美国总统特朗普喊话,呼吁他“不要忘本”。文中罗列了对特朗普的不满,包括起用来自高盛和美国军方的内阁成员、将白宫首席战略顾问班农驱逐出国家安全委员会、在奥巴马医改上让步、攻击国会保守派“自由党团”(Freedom Caucus)、空袭叙利亚等。
不过澎湃新闻记者发现,Shadow Brokers的信中多有语法错误,行文也不太符合英语规范。
俄罗斯此次也是WannaCry病毒的受害者。《纽约时报》报道称,俄罗斯反病毒软件公司卡巴斯基称,受到WannaCry攻击的俄罗斯计算机数量多于其他任何国家。12日,俄罗斯内政部宣布约有1000台电脑遭到攻击,但这些电脑已从部门网络上被隔离。此外,俄罗斯的银行、手机运营商和铁路公司也遭受了病毒的攻击。俄罗斯内政部发言人沃尔克(Irina Volk)向俄罗斯新闻机构称,重要的服务器没有受到影响,因为它们运行俄罗斯自主开发的软件,其中包括一款前苏联时期开发的操作系统Elbrus。
据俄罗斯卫星网15日报道,正在中国参加“一带一路”论坛的俄罗斯总统普京当天在新闻发布会上表示,全世界的黑客攻击令人担忧,美国是不久前发生的网络攻击的原始病毒来源,他们就此对俄罗斯的指责让人感到奇怪。
普京表示:“总的来说,这让人不安,没有任何好处。这令人担忧。说到威胁的来源,我认为,微软领导层已经直接就此表示过了:他们说,该病毒最初的来源是美国情报部门。俄罗斯与此毫不相干。在这种情况下,一些其他的说法令我感到很奇怪。”
他补充称:“再者说,这极好地反映了就这个问题的实际情况,有人总是在无中生有地寻找替罪羊。”
(本文部分内容来源:侠客岛)
,
