📖 ZKIZ Archives

勒索病毒席卷全球  網絡安全保護迫在眉睫 | 科技心語

過去一周，一種名為WannaCry的勒索病毒席卷全球網絡系統，加油站、辦公電腦、醫院扥均受到不同程度的影響。

雖然WannaCry此次僅勒索到8萬美元的贖金，入侵了全球30萬個機構的電腦，破壞程度不及此前Conflicker和SoBig病毒，但這次襲擊揭露了新型的互聯網世界里兩個殘酷的現實。

首先，計算機的速度、規模和效率是雙刃劍。數字化時代里，數據是無形而易複制的，而且能在全球範圍里以極快的速度傳播開來。如果這些數據是有用的，這當然是一個福音，如果是惡意的，後果則不堪設想。

軟件包含的代碼可能有上百萬行，軟件工程師很難保證上百萬行代碼中沒有任何的漏洞。而只要有一個漏洞，就可能引起上百萬臺計算機感染。互聯網賦予了個人能夠在一瞬間讓全世界網絡癱瘓的能力。想象一下如果WannaCry是惡意瞄準某一個領域進行攻擊，比如英國醫療系統，那麽後果將更為嚴重。

第二個殘酷的現實是，伴隨著物聯網的不斷發展，萬物互聯已經成為一種趨勢，這又是一把雙刃劍。物聯網一方面方便了人們的生活，另一方面也讓安全隱患更容易地暴露出來。未來黑客不僅能襲擊計算機，而且也能襲擊我們的汽車、心臟起搏器、冰箱、智能電網等。今天是文件被加密，明天就可能是汽車門鎖被加密，導致里面的人只有砸壞車窗才能逃脫。

好在人們已經找到了把危害降到最低的途徑。產品的監管者可以要求未來的那些可連接的小發明都留有簡單的安全性能，比如可以升級的軟件，以防被攻擊，或者在被攻擊後能采取補救措施，通過安裝補丁來解決。軟件公司也有責任定期向用戶匯報產品中的缺陷。雖然現在的軟件還不可能做到完全沒有漏洞，但至少軟件公司要提醒用戶定期維護他們的電腦。此外，保險行業還可以通過完善保險政策來鼓勵用戶將系統更新到最新版本。

這次攻擊反應了政府面臨的嚴峻考驗。事實上，WannaCry病毒是黑客盜走了多年前美國國家安全局(NSA)發現的微軟系統漏洞後開發出來的反攻擊工具，隨後將其作為攻擊手段散布到網上。因此NSA受到了微軟的強烈譴責，原因就是NSA發現了這一漏洞後，並沒有告知微軟，而是利用了這一漏洞進行間諜活動。微軟要求政府部門將來無論發現何種漏洞，都應該第一時間通知軟件公司，從而讓軟件公司能及時開發出相應的補丁，保護所有網絡使用者的安全。

與此同時，一個新興的行業開始蓬勃發展——“漏洞獵頭”。大型軟件公司為了在全球範圍搜集漏洞，通常會向提供漏洞的人支付一筆價格不菲的獎金，從2萬美元到20萬美元不等，比如谷歌的獎金甚至高達20萬美元。

專業搜集漏洞的經紀公司也應運而生，目前全球範圍有超過20個這樣的經紀公司，他們從自由職業黑客那里購買漏洞，以更高的價格賣給希望利用這些漏洞的機構，這些客戶就包括美國和歐洲的政府情報部門。比如發現一個攻擊iPhone的漏洞的獎勵就已經從此前的50萬美元漲到150萬美元，翻了整整三倍;針對網絡瀏覽器的漏洞獎勵也從5000美元左右升至好幾萬美元。

因為計算機安全事故一旦發生，解決方案的成本很高，這也導致越來越多的聲音呼籲政府與軟件公司共享網絡安全信息。但政府原本能夠通過所掌握的系統漏洞對有組織的犯罪和恐怖分子進行監視和打擊，這樣能降低間諜活動的成本。

對此，有安全專家指出，政府也能通過其它方法和監視儀器潛入敵方網絡進行間諜活動，並非一定要利用廣泛使用的軟件系統漏洞。因為畢竟當計算機已經無處不在時，保障每個人的安全才是最重要的。