因公安網(wǎng)遭受病毒,無(wú)法受理需要系統(tǒng)受理業(yè)務(wù),敬請(qǐng)諒解。
這張北京某地公安機(jī)關(guān)戶(hù)籍管理窗口上的告示,無(wú)奈地隱喻著我們網(wǎng)絡(luò)世界的傷痕。我們總被恐慌和流言擊中,卻難以打撈真相。
文 | 史中(微信:Fungungun),雷鋒網(wǎng)主筆,希望用簡(jiǎn)單的語(yǔ)言解釋科技的一切
采訪 | 吳翰清 阿里云首席安全研究員,人稱(chēng)道哥、刺
有關(guān)勒索病毒的幾個(gè)真相
人們看到,這次爆發(fā)的勒索病毒作者收到了35萬(wàn)美元,似乎相比它全球的影響力來(lái)說(shuō)并不多。但很多人不知道,這個(gè)蠕蟲(chóng)式傳播的病毒是 2.0 版本,而在之前的 1.0 版本,病毒作者已經(jīng)賺了幾千萬(wàn)美元。
吳翰清說(shuō)出了第一個(gè)真相。
這次勒索病毒席卷了全球數(shù)百個(gè)國(guó)家,讓帶著紅袖箍的朝陽(yáng)阿姨都開(kāi)始繪聲繪色地描述病毒的兇殘。但事實(shí)上,就在你關(guān)心“王寶強(qiáng)的兒子究竟是不是親生的”“白百何的小狼狗到底是誰(shuí)”的2015、2016年,勒索病毒已經(jīng)在全球累計(jì)收割了幾千萬(wàn)人的贖金。
美國(guó)某教會(huì)被病毒勒索,七十多歲的神父為了交比特幣贖金,從一個(gè)不知道電腦是什么的老頭生生被逼成了技術(shù)宅;
美國(guó)某醫(yī)院被病毒鎖機(jī),所有的檢驗(yàn)單報(bào)告單一律恢復(fù)手寫(xiě)模式,病人在醫(yī)院排起長(zhǎng)龍;
美國(guó)某警察局被病毒勒索,懟天懟地懟空氣的全世界最囂張的美國(guó)警察都乖乖交了贖金。
以上這些事實(shí),正在讀這篇文章的你可能從來(lái)沒(méi)注意過(guò)。
▲上圖為2016年初被勒索病毒襲擊的洛杉磯的好萊塢長(zhǎng)老會(huì)醫(yī)療中心
在霧霾上身之前,你的世界永遠(yuǎn)陽(yáng)光燦爛。
車(chē)管所不能上牌照,加油站加不成油,公安局辦理不了業(yè)務(wù)。這次病毒看起來(lái)所向披靡,攻城略地,好不風(fēng)光。但是吳翰清,這個(gè)職業(yè)黑客和安全研究員卻指出了兩個(gè)讓人感慨的巧合。
真相一 | 這次病毒的“爆紅”,來(lái)自于兩個(gè)驚天巧合
1、干掉學(xué)校、政府內(nèi)網(wǎng)不是病毒的本意
這次病毒之所以爆紅,最重要的原因就是它攻擊了國(guó)家的基礎(chǔ)設(shè)施網(wǎng)絡(luò),造成很多公共服務(wù)的停滯,人們才產(chǎn)生了極度恐慌。
但讓病毒作者尷尬的是,這很可能不是他的本意。
除非發(fā)動(dòng)國(guó)家間的網(wǎng)絡(luò)戰(zhàn),否則病毒不會(huì)攻擊國(guó)家設(shè)施。
吳翰清說(shuō)。
簡(jiǎn)單來(lái)說(shuō),“黑客界”和黑社會(huì)差不多,都存在一個(gè)潛規(guī)則共識(shí):“出來(lái)混,一般是和氣生財(cái)。”因?yàn)橛薪?jīng)驗(yàn)的黑客知道,攻擊國(guó)家設(shè)施一定會(huì)引起政府重視,如果把事情鬧大到國(guó)家關(guān)注,離黑客被抓就不遠(yuǎn)了。
據(jù)我所知,世界上的主要國(guó)家目前都在追蹤病毒的作者。我們國(guó)家的公安機(jī)關(guān)和各大安全廠商也不例外。
我可以透露的是,這次病毒的攻擊更像一個(gè)沒(méi)有經(jīng)驗(yàn)的新手干的。甚至代碼都是在黑市上買(mǎi)到的,對(duì)于病毒可能造成的災(zāi)難性后果,他也很可能沒(méi)有提前判斷。
他對(duì)雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))宅客頻道(微信搜索:宅客頻道)說(shuō)。
▲圖為本次流行的勒索病毒 Wannacry 的勒索界面
一般來(lái)說(shuō),專(zhuān)業(yè)的黑客不會(huì)以把事情鬧大為目的,所以會(huì)采取各種辦法控制病毒的影響范圍。但是這個(gè)無(wú)名黑客顯然控制局勢(shì)失敗。這其中很大的一個(gè)原因要?dú)w功于公共服務(wù)網(wǎng)絡(luò)和某些大公司內(nèi)部專(zhuān)網(wǎng)的脆弱,超越了黑客的想象。黑客僅僅動(dòng)了動(dòng)手指,萬(wàn)丈高樓就已經(jīng)搖搖欲墜。
那么,為什么公共設(shè)施網(wǎng)絡(luò)和企業(yè)專(zhuān)網(wǎng)如此脆弱呢?
這些網(wǎng)絡(luò),都有一個(gè)神秘的名稱(chēng)——內(nèi)網(wǎng)。
所謂內(nèi)網(wǎng),最大的特點(diǎn)就是和外網(wǎng)分離,這種分離是“物理隔離”,也就是根本沒(méi)有網(wǎng)線相連。既然都和外部“老死不相往來(lái)”了,為什么還會(huì)有病毒呢?吳翰清說(shuō):
正是迷信所謂的“物理隔離”,很多機(jī)構(gòu)覺(jué)得其他的安全措施可以放一放,甚至連基本的系統(tǒng)升級(jí)都很滯后。
但是這種老專(zhuān)家們百般推崇的物理隔離是不堪一擊的。
1、U盤(pán)。出于易用性,很多專(zhuān)網(wǎng)和外網(wǎng)有交換點(diǎn),U盤(pán)就是其中一種。病毒木馬可以通過(guò) U盤(pán)隨意進(jìn)出。(當(dāng)年摧毀伊朗核設(shè)施的震網(wǎng)病毒就是通過(guò)U盤(pán)被帶入核設(shè)施網(wǎng)絡(luò)的)
2、雙網(wǎng)卡。很多專(zhuān)網(wǎng)為了既合規(guī)又方便,使用了兩個(gè)網(wǎng)卡,一個(gè)連接互聯(lián)網(wǎng),一個(gè)連接內(nèi)部專(zhuān)網(wǎng)。但這兩個(gè)網(wǎng)絡(luò)使用的是同一臺(tái)計(jì)算機(jī)。。。
3、手機(jī)。一些手機(jī)在內(nèi)部連接專(zhuān)網(wǎng),出門(mén)之后還是使用外界的 Wi-Fi 網(wǎng)絡(luò)。這部設(shè)備就成為了病毒進(jìn)出的大門(mén)。
事實(shí)證明,這次攻擊中招的幾乎都是專(zhuān)網(wǎng)內(nèi)網(wǎng)。而在此之前,內(nèi)網(wǎng)中也是病毒木馬橫行,只是那些病毒沒(méi)有做得這么決絕,直接鎖機(jī)勒索。只要系統(tǒng)還能運(yùn)轉(zhuǎn),所有人都希望維持著這個(gè)脆弱的平衡。
2、個(gè)人很少感染完全是僥幸
要知道,這次病毒本來(lái)是沖著個(gè)人用戶(hù)去的。但從各大安全廠商的監(jiān)測(cè)數(shù)據(jù)來(lái)看,個(gè)人感染這個(gè)病毒的案例少之又少。這是為什么呢?
先簡(jiǎn)單科普一下病毒攻擊的最關(guān)鍵步驟:掃描用戶(hù)的 445 端口。如果端口在打開(kāi)狀態(tài)才能進(jìn)行下一步攻擊。
但是,無(wú)巧不成書(shū)。這里有一個(gè)往事。
早在2003年,有一個(gè)名為“沖擊波”的病毒橫掃了全球網(wǎng)絡(luò)。彼時(shí)全世界哀鴻遍野的狀態(tài),比現(xiàn)在血腥一百倍。而巧合的地方就在于,沖擊波病毒的傳播也是通過(guò) 445 端口。當(dāng)時(shí)中國(guó)人的網(wǎng)絡(luò)安全意識(shí)幾乎為零,只有幾家收費(fèi)的殺毒軟件霸占市場(chǎng)。而幾乎所有人都沒(méi)見(jiàn)過(guò)正版 Windows 長(zhǎng)什么樣子,更別提升級(jí)打補(bǔ)丁了。
▲感染沖擊波病毒,系統(tǒng)會(huì)自動(dòng)重啟
見(jiàn)狀不對(duì),彪悍的網(wǎng)絡(luò)運(yùn)營(yíng)商直接在自己的手里就把445端口給禁用了。這樣釜底抽薪的玩法,直接把病毒干得奄奄一息,瞬間天下太平。
如果沒(méi)有沖擊波病毒的“助攻”,運(yùn)營(yíng)商仍然開(kāi)放445端口,這個(gè)病毒將會(huì)像海嘯一樣席卷中國(guó)用戶(hù)。
吳翰清說(shuō)。
四天以來(lái),所有人都被勒索病毒洗了腦,連爸爸媽媽們轉(zhuǎn)發(fā)到群里的信息都變成了這個(gè)路數(shù):
但吳翰清依然認(rèn)為,這次病毒的影響被大大低估了。
本文作者史 中(微信:Fungungun),雷鋒網(wǎng)主筆,希望用簡(jiǎn)單的語(yǔ)言解釋科技的一切
真相二 | 這次病毒的影響,被大大低估了
你沒(méi)看錯(cuò),是被低估了。吳翰清覺(jué)得,這件事情也許會(huì)成為病毒歷史上的一個(gè)“里程碑”。可以預(yù)見(jiàn)的影響至少有以下兩點(diǎn)。
1、勒索軟件本身的破壞性會(huì)讓公司直接倒閉。
過(guò)去人們熟悉的攻擊方式,大多都是偷數(shù)據(jù)、做欺詐,或者通過(guò)后門(mén)控制機(jī)器對(duì)外發(fā)動(dòng)攻擊。對(duì)系統(tǒng)本身的破壞性不是那么大。而這次的勒索是毀滅性的破壞,加密算法本身的邏輯就保證了加密的不可逆性。
吳翰清對(duì)雷鋒網(wǎng)宅客頻道(微信搜索:宅客頻道)說(shuō)。
也就是說(shuō),一旦被黑客加密,全世界只有黑客手中的秘鑰可以救你。如果企業(yè)的核心數(shù)據(jù)遭受加密攻擊,就會(huì)產(chǎn)生災(zāi)難性的影響。
也許有的企業(yè)會(huì)因?yàn)閿?shù)據(jù)毀滅而直接倒閉,也許有的行業(yè)會(huì)因?yàn)檫@樣的病毒直接洗牌。
他說(shuō)。
2、搞詐騙的可能都去搞勒索
這次攻擊,最為震動(dòng)的也許是“黑產(chǎn)界”。
簡(jiǎn)單說(shuō)一下這個(gè)病毒的三個(gè)特點(diǎn):
(1)利用微軟的漏洞傳播;
(2)利用了加密軟件;
(3)利用了 Tor 網(wǎng)絡(luò)和比特幣收贖金。
吳翰清覺(jué)得,這三個(gè)特點(diǎn)里,很多人都在關(guān)注第一個(gè),惶恐地希望升級(jí)打補(bǔ)丁。但是真正對(duì)世界產(chǎn)生影響的可能是(2)和(3)。
因?yàn)椋耙獙?xiě)無(wú)數(shù)個(gè)劇本,假裝N個(gè)角色,恨不得拿金馬獎(jiǎng)帝后的詐騙團(tuán)伙似乎找到了一條“康莊大道”。
勒索攻擊對(duì)于他們來(lái)說(shuō),既可靠又風(fēng)險(xiǎn)小。
這個(gè)黑客搞出的病毒明目張膽地勒索全世界,到目前為止還沒(méi)被揪出來(lái),足見(jiàn) Tor 網(wǎng)絡(luò)(暗網(wǎng))和比特幣的匿名性之可靠。
剛才說(shuō)過(guò),這次事情搞這么大可能是出于手滑。之后如果病毒設(shè)計(jì)精良一些,完全可以控制傳播的范圍,這樣一來(lái),無(wú)論是針對(duì)個(gè)人還是企業(yè)的勒索,都會(huì)成為像今天的電信詐騙一樣成熟的產(chǎn)業(yè)。
這將是一個(gè)非常恐怖的未來(lái)。
吳翰清說(shuō),由此來(lái)看,未來(lái)安全行業(yè)中的數(shù)據(jù)備份企業(yè)似乎應(yīng)該行情看漲,因?yàn)槠髽I(yè)的 CIO(首席安全官員)要做的第一件事就是備份數(shù)據(jù)。
真相三 | 忘記安全,才會(huì)進(jìn)步
除非亂世當(dāng)?shù)溃駝t人永遠(yuǎn)不想學(xué)會(huì)自衛(wèi)。
當(dāng)年的沖擊波病毒橫行肆虐,但我們之中有誰(shuí)學(xué)會(huì)了按時(shí)升級(jí)系統(tǒng)?
這些年來(lái),個(gè)人安全的重大進(jìn)步客觀上來(lái)源于免費(fèi)的安全軟件。而這些軟件出于保護(hù)用戶(hù)和變現(xiàn)的需要,進(jìn)行著“貼身服務(wù)”,讓用戶(hù)倍感困擾。
但有一個(gè)真理不言自明:
就如小區(qū)的保安、運(yùn)鈔車(chē)的保衛(wèi)一樣,安全永遠(yuǎn)應(yīng)該是一種服務(wù),而不是教學(xué)。
你是愿意每天在健身房練習(xí)散打,保衛(wèi)自己的家人;還是愿意花物業(yè)費(fèi),在小區(qū)門(mén)口雇傭保安人員呢?
吳翰清覺(jué)得,企業(yè)自己做安全的單打獨(dú)斗,會(huì)因?yàn)楦鞣N疏漏和技術(shù)原因存在較大隱患,而利用平臺(tái)的“保安”服務(wù)不失為一種好的方法。云計(jì)算上的安全就是一種典型的“保安”,他舉了發(fā)生在阿里云上的例子。
這次被 Wannacry 病毒利用的漏洞,早在4月14日就被泄露出來(lái)。作為安全人員,我們知道這個(gè)漏洞有多嚴(yán)重。于是從那個(gè)時(shí)候開(kāi)始,我們就通過(guò)各種方式不斷提醒用戶(hù)修復(fù)漏洞,進(jìn)行網(wǎng)絡(luò)安全隔離。包括郵件,站內(nèi)信,短信,甚至電話。
有的用戶(hù)修復(fù)了,有的還沒(méi)有。于是我們就再一次催促他們修復(fù)。這樣下來(lái)客戶(hù)被我們騷擾了好幾輪,但仍然有少量客戶(hù)拒絕。
不過(guò),如果沒(méi)有多次的提醒和協(xié)助,這次阿里云上受感染的廠商將不計(jì)其數(shù)。
云服務(wù),因?yàn)橛袑?zhuān)門(mén)的安全團(tuán)隊(duì)來(lái)運(yùn)營(yíng),所以安全治理水平比較高,在安全性上和傳統(tǒng)的專(zhuān)網(wǎng)有巨大的差距。這在某種程度上類(lèi)似于個(gè)人用戶(hù)和免費(fèi)殺毒軟件,用戶(hù)只需要選擇平臺(tái),而所有的安全都應(yīng)該是平臺(tái)的基本能力。
不懂安全的用戶(hù)無(wú)罪,甚至有功。
從社會(huì)成本上來(lái)看,可以類(lèi)比以下的例子:
人人都攜帶槍支,用于可能的自衛(wèi),和人人都不攜帶槍支,由警察和軍隊(duì)負(fù)責(zé)保衛(wèi)公民的安全,誰(shuí)的社會(huì)成本更低?顯然是后者。
這便是社會(huì)分工的經(jīng)濟(jì)學(xué)意義。
這次勒索病毒爆發(fā)之后,各大安全廠商都在第一時(shí)間推出防護(hù)產(chǎn)品,并且聚集主力研究人員進(jìn)行研究。認(rèn)為安全廠商在“刷存在感”,是一種廉價(jià)的解釋。從更深層來(lái)看,安全廠商看到了社會(huì)分工進(jìn)一步細(xì)化的機(jī)會(huì),他們備受鼓舞。
對(duì)于云計(jì)算和云安全來(lái)說(shuō),同樣如此。
每天打開(kāi)水龍頭,都要自己去判斷水質(zhì)是否達(dá)標(biāo);每天打開(kāi)電視前,都要確認(rèn)自己的穩(wěn)壓器有沒(méi)有工作。
這是30年前的中國(guó)。彼時(shí)的社會(huì)分工遠(yuǎn)沒(méi)有今天這樣專(zhuān)業(yè)、可靠。每個(gè)人都不得不讓渡出一部分精力和專(zhuān)業(yè)能力,來(lái)保衛(wèi)自己的生活。
和病毒的斗爭(zhēng),似乎隱喻了我們的網(wǎng)絡(luò)空間也在經(jīng)歷幾十年前中國(guó)社會(huì)巨大的專(zhuān)業(yè)化分工。而理想的賽博世界,安全或許像水和電一樣,人們每天使用,卻不曾感受到它的存在。
今天發(fā)生的一切,都說(shuō)明我們做得還不夠。但我相信總有一天,所有企業(yè)都只需要關(guān)注自己的業(yè)務(wù),安全問(wèn)題在云計(jì)算平臺(tái)內(nèi)部都已經(jīng)被解決。只有到那個(gè)時(shí)候,勒索病毒才會(huì)走向消亡。
吳翰清說(shuō)。
