0
因公安網遭受病毒,無法受理需要系統受理業務,敬請諒解。
這張北京某地公安機關戶籍管理窗口上的告示,無奈地隱喻著我們網絡世界的傷痕。我們總被恐慌和流言擊中,卻難以打撈真相。
文 | 史中(微信:Fungungun),雷鋒網主筆,希望用簡單的語言解釋科技的一切
采訪 | 吳翰清 阿里云首席安全研究員,人稱道哥、刺
人們看到,這次爆發的勒索病毒作者收到了35萬美元,似乎相比它全球的影響力來說并不多。但很多人不知道,這個蠕蟲式傳播的病毒是 2.0 版本,而在之前的 1.0 版本,病毒作者已經賺了幾千萬美元。
吳翰清說出了第一個真相。
這次勒索病毒席卷了全球數百個國家,讓帶著紅袖箍的朝陽阿姨都開始繪聲繪色地描述病毒的兇殘。但事實上,就在你關心“王寶強的兒子究竟是不是親生的”“白百何的小狼狗到底是誰”的2015、2016年,勒索病毒已經在全球累計收割了幾千萬人的贖金。
美國某教會被病毒勒索,七十多歲的神父為了交比特幣贖金,從一個不知道電腦是什么的老頭生生被逼成了技術宅;
美國某醫院被病毒鎖機,所有的檢驗單報告單一律恢復手寫模式,病人在醫院排起長龍;
美國某警察局被病毒勒索,懟天懟地懟空氣的全世界最囂張的美國警察都乖乖交了贖金。
以上這些事實,正在讀這篇文章的你可能從來沒注意過。
▲上圖為2016年初被勒索病毒襲擊的洛杉磯的好萊塢長老會醫療中心
在霧霾上身之前,你的世界永遠陽光燦爛。
車管所不能上牌照,加油站加不成油,公安局辦理不了業務。這次病毒看起來所向披靡,攻城略地,好不風光。但是吳翰清,這個職業黑客和安全研究員卻指出了兩個讓人感慨的巧合。
這次病毒之所以爆紅,最重要的原因就是它攻擊了國家的基礎設施網絡,造成很多公共服務的停滯,人們才產生了極度恐慌。
但讓病毒作者尷尬的是,這很可能不是他的本意。
除非發動國家間的網絡戰,否則病毒不會攻擊國家設施。
吳翰清說。
簡單來說,“黑客界”和黑社會差不多,都存在一個潛規則共識:“出來混,一般是和氣生財。”因為有經驗的黑客知道,攻擊國家設施一定會引起政府重視,如果把事情鬧大到國家關注,離黑客被抓就不遠了。
據我所知,世界上的主要國家目前都在追蹤病毒的作者。我們國家的公安機關和各大安全廠商也不例外。
我可以透露的是,這次病毒的攻擊更像一個沒有經驗的新手干的。甚至代碼都是在黑市上買到的,對于病毒可能造成的災難性后果,他也很可能沒有提前判斷。
他對雷鋒網宅客頻道(微信搜索:宅客頻道)說。
▲圖為本次流行的勒索病毒 Wannacry 的勒索界面
一般來說,專業的黑客不會以把事情鬧大為目的,所以會采取各種辦法控制病毒的影響范圍。但是這個無名黑客顯然控制局勢失敗。這其中很大的一個原因要歸功于公共服務網絡和某些大公司內部專網的脆弱,超越了黑客的想象。黑客僅僅動了動手指,萬丈高樓就已經搖搖欲墜。
那么,為什么公共設施網絡和企業專網如此脆弱呢?
這些網絡,都有一個神秘的名稱——內網。
所謂內網,最大的特點就是和外網分離,這種分離是“物理隔離”,也就是根本沒有網線相連。既然都和外部“老死不相往來”了,為什么還會有病毒呢?吳翰清說:
正是迷信所謂的“物理隔離”,很多機構覺得其他的安全措施可以放一放,甚至連基本的系統升級都很滯后。
但是這種老專家們百般推崇的物理隔離是不堪一擊的。
1、U盤。出于易用性,很多專網和外網有交換點,U盤就是其中一種。病毒木馬可以通過 U盤隨意進出。(當年摧毀伊朗核設施的震網病毒就是通過U盤被帶入核設施網絡的)
2、雙網卡。很多專網為了既合規又方便,使用了兩個網卡,一個連接互聯網,一個連接內部專網。但這兩個網絡使用的是同一臺計算機。。。
3、手機。一些手機在內部連接專網,出門之后還是使用外界的 Wi-Fi 網絡。這部設備就成為了病毒進出的大門。
事實證明,這次攻擊中招的幾乎都是專網內網。而在此之前,內網中也是病毒木馬橫行,只是那些病毒沒有做得這么決絕,直接鎖機勒索。只要系統還能運轉,所有人都希望維持著這個脆弱的平衡。
要知道,這次病毒本來是沖著個人用戶去的。但從各大安全廠商的監測數據來看,個人感染這個病毒的案例少之又少。這是為什么呢?
先簡單科普一下病毒攻擊的最關鍵步驟:掃描用戶的 445 端口。如果端口在打開狀態才能進行下一步攻擊。
但是,無巧不成書。這里有一個往事。
早在2003年,有一個名為“震蕩波”的病毒橫掃了全球網絡。彼時全世界哀鴻遍野的狀態,比現在血腥一百倍。而巧合的地方就在于,震蕩波病毒的傳播也是通過 445 端口。當時中國人的網絡安全意識幾乎為零,只有幾家收費的殺毒軟件霸占市場。而幾乎所有人都沒見過正版 Windows 長什么樣子,更別提升級打補丁了。
見狀不對,彪悍的網絡運營商直接在自己的手里就把445端口給禁用了。這樣釜底抽薪的玩法,直接把病毒干得奄奄一息,瞬間天下太平。
如果沒有震蕩波病毒的“助攻”,運營商仍然開放445端口,這個病毒將會像海嘯一樣席卷中國用戶。
吳翰清說。
四天以來,所有人都被勒索病毒洗了腦,連爸爸媽媽們轉發到群里的信息都變成了這個路數:
但吳翰清依然認為,這次病毒的影響被大大低估了。
本文作者史 中(微信:Fungungun),雷鋒網主筆,希望用簡單的語言解釋科技的一切
你沒看錯,是被低估了。吳翰清覺得,這件事情也許會成為病毒歷史上的一個“里程碑”。可以預見的影響至少有以下兩點。
過去人們熟悉的攻擊方式,大多都是偷數據、做欺詐,或者通過后門控制機器對外發動攻擊。對系統本身的破壞性不是那么大。而這次的勒索是毀滅性的破壞,加密算法本身的邏輯就保證了加密的不可逆性。
吳翰清對雷鋒網宅客頻道(微信搜索:宅客頻道)說。
也就是說,一旦被黑客加密,全世界只有黑客手中的秘鑰可以救你。如果企業的核心數據遭受加密攻擊,就會產生災難性的影響。
也許有的企業會因為數據毀滅而直接倒閉,也許有的行業會因為這樣的病毒直接洗牌。
他說。
這次攻擊,最為震動的也許是“黑產界”。
簡單說一下這個病毒的三個特點:
(1)利用微軟的漏洞傳播;
(2)利用了加密軟件;
(3)利用了 Tor 網絡和比特幣收贖金。
吳翰清覺得,這三個特點里,很多人都在關注第一個,惶恐地希望升級打補丁。但是真正對世界產生影響的可能是(2)和(3)。
因為,之前要寫無數個劇本,假裝N個角色,恨不得拿金馬獎帝后的詐騙團伙似乎找到了一條“康莊大道”。
勒索攻擊對于他們來說,既可靠又風險小。
這個黑客搞出的病毒明目張膽地勒索全世界,到目前為止還沒被揪出來,足見 Tor 網絡(暗網)和比特幣的匿名性之可靠。
剛才說過,這次事情搞這么大可能是出于手滑。之后如果病毒設計精良一些,完全可以控制傳播的范圍,這樣一來,無論是針對個人還是企業的勒索,都會成為像今天的電信詐騙一樣成熟的產業。
這將是一個非常恐怖的未來。
吳翰清說,由此來看,未來安全行業中的數據備份企業似乎應該行情看漲,因為企業的 CIO(首席安全官員)要做的第一件事就是備份數據。
除非亂世當道,否則人永遠不想學會自衛。
當年的沖擊波病毒橫行肆虐,但我們之中有誰學會了按時升級系統?
這些年來,個人安全的重大進步客觀上來源于免費的安全軟件。而這些軟件出于保護用戶和變現的需要,進行著“貼身服務”,讓用戶倍感困擾。
但有一個真理不言自明:
就如小區的保安、運鈔車的保衛一樣,安全永遠應該是一種服務,而不是教學。
你是愿意每天在健身房練習散打,保衛自己的家人;還是愿意花物業費,在小區門口雇傭保安人員呢?
吳翰清覺得,企業自己做安全的單打獨斗,會因為各種疏漏和技術原因存在較大隱患,而利用平臺的“保安”服務不失為一種好的方法。云計算上的安全就是一種典型的“保安”,他舉了發生在阿里云上的例子。
這次被 Wannacry 病毒利用的漏洞,早在4月14日就被泄露出來。作為安全人員,我們知道這個漏洞有多嚴重。于是從那個時候開始,我們就通過各種方式不斷提醒用戶修復漏洞,進行網絡安全隔離。包括郵件,站內信,短信,甚至電話。
有的用戶修復了,有的還沒有。于是我們就再一次催促他們修復。這樣下來客戶被我們騷擾了好幾輪,但仍然有少量客戶拒絕。
不過,如果沒有多次的提醒和協助,這次阿里云上受感染的廠商將不計其數。
云服務,因為有專門的安全團隊來運營,所以安全治理水平比較高,在安全性上和傳統的專網有巨大的差距。這在某種程度上類似于個人用戶和免費殺毒軟件,用戶只需要選擇平臺,而所有的安全都應該是平臺的基本能力。
不懂安全的用戶無罪,甚至有功。
從社會成本上來看,可以類比以下的例子:
人人都攜帶槍支,用于可能的自衛,和人人都不攜帶槍支,由警察和軍隊負責保衛公民的安全,誰的社會成本更低?顯然是后者。
這便是社會分工的經濟學意義。
這次勒索病毒爆發之后,各大安全廠商都在第一時間推出防護產品,并且聚集主力研究人員進行研究。認為安全廠商在“刷存在感”,是一種廉價的解釋。從更深層來看,安全廠商看到了社會分工進一步細化的機會,他們備受鼓舞。
對于云計算和云安全來說,同樣如此。
每天打開水龍頭,都要自己去判斷水質是否達標;每天打開電視前,都要確認自己的穩壓器有沒有工作。
這是30年前的中國。彼時的社會分工遠沒有今天這樣專業、可靠。每個人都不得不讓渡出一部分精力和專業能力,來保衛自己的生活。
和病毒的斗爭,似乎隱喻了我們的網絡空間也在經歷幾十年前中國社會巨大的專業化分工。而理想的賽博世界,安全或許像水和電一樣,人們每天使用,卻不曾感受到它的存在。
今天發生的一切,都說明我們做得還不夠。但我相信總有一天,所有企業都只需要關注自己的業務,安全問題在云計算平臺內部都已經被解決。只有到那個時候,勒索病毒才會走向消亡。
吳翰清說。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
