把勒索軟件的源代碼上傳到GitHub?安全研究專家現(xiàn)在也無法確定這樣做是否真的有利于信息安全的發(fā)展。根據(jù)我們的調(diào)查,當(dāng)我們發(fā)表了第一篇關(guān)于這一話題的文章之后,安全研究專家MaksymZaitsev(CryptoTrooper的作者)就決定要刪除他托管在GitHub中的項目了。接下來,我們要在這篇文章中深入分析一下到底應(yīng)不應(yīng)該開源勒索軟件。
CryptoTrooper–【GitHub傳送門】
CryptoTrooper是一款專門用于構(gòu)建Linux勒索軟件的開源工具,而在“勒索軟件是否可以開源”的這一話題上,這款工具的誕生也將信息安全社區(qū)劃分成了兩個陣營。在此之前,UtkuSen所開發(fā)的EDA2和Hidden Tear這兩款勒索軟件就已經(jīng)引發(fā)了信息安全社區(qū)的廣泛討論。這一話題的核心無非就是兩個問題:首先,安全研究專家是否應(yīng)該以“教育”為目的去開發(fā)勒索軟件?其次,他們是否真的應(yīng)該將勒索軟件的源代碼公布在GitHub上?
你可能會認為這個問題的答案絕對是“否定”的,但事實并非如此。為了廣泛采集安全社區(qū)人員的意見,我們專門在Twitter上發(fā)起了一次投票。投票內(nèi)容為:勒索軟件的開源會讓我們更好地檢測和防范勒索軟件,還是會讓目前的安全現(xiàn)狀變得更加糟糕?
令人感到驚訝的是,這兩種觀點的持有人數(shù)基本持平。大約有54%的人選擇了“毫無幫助”,而46%的人選擇了“有幫助”。
Twitter上的這次投票再次引發(fā)了人們關(guān)于“勒索軟件開源”的討論
這次投票吸引了大量安全研究人員的參與,我們總共收集到了513次投票。不僅如此,在投票窗口下方的討論欄中,意見雙方也展開了激烈的討論。
Softpedia網(wǎng)站會定期發(fā)布關(guān)于勒索軟件的最新信息,當(dāng)某一款新型的勒索軟件出現(xiàn)之后,我們便會在第一時間將關(guān)于這款勒索軟件的信息提供給廣大用戶。當(dāng)然了,我們也曾報道過EDA2和Hideen Tear這兩款具有“教育意義”的勒索軟件。實際上,這兩款勒索軟件與CryptoTrooper十分類似,這些勒索軟件的開發(fā)人員旨在通過開源勒索軟件的代碼來向其他的安全研究人員展示勒索軟件的工作機制。
開源勒索軟件的弊端
將勒索軟件開源之后,犯罪分子不僅可以直接使用這些勒索軟件,而且還可以在原本代碼的基礎(chǔ)上開發(fā)新的惡意代碼。在去年,總共有12款勒索軟件使用了Hidden Tear的源碼(8lock8、Blocatto、Cryptear、Fakben、GhostCrypt、Globe、HiBuddy!、Job Crypter、KryptoLocker、MireWare、PokemonGO和Sanction),而EDA2的惡意代碼也出現(xiàn)在了10種不同的勒索軟件中(Brazilian、DEDCryptor、Fantom、FSociety、Magic、MM Locker、SkidLocker、SNSLocker、Strictor和Surprise)。
雖然Utku Sen(土耳其安全研究專家,HiddenTear和EDA2的作者)在Hidden Tear的加密算法和EDA2的后臺Web控制面板中加入了后門,但是有的犯罪分子在獲取到了它們源代碼之后,修復(fù)了其中的漏洞。
實際上,Utku Sen之所以決定要移除這兩個托管在GitHub上的項目,主要是因為他發(fā)現(xiàn)很多犯罪分子會利用他的源代碼來進行惡意的攻擊行為,而這與他之前的想法背道而馳了。再加上安全社區(qū)中沒有多少人支持他的這一做法,所以迫于壓力他才不得不移除GitHub上的這兩個項目。
CryptoTrooper也不得不“下架”
CryptoTrooper項目已經(jīng)在GitHub中存在了七個月之久了,隨著Twitter上的這一次投票,CryptoTrooper也成為了人們此次討論的焦點。考慮到去年有如此之多的惡意軟件使用了Hidden Tear和EDA2的源代碼,所以如果接下來又出現(xiàn)了大量使用CryptoTrooper的惡意軟件的話,想必也沒有人會覺得驚訝吧?
當(dāng)然了,在得到了此次投票的最終結(jié)果之后,我們每個人都驚呆了,因為誰也沒有想到最后的投票結(jié)果竟然如此的接近。
但是根據(jù)Softpedia透露的信息,在他們所采訪的安全研究人員中,所有人都反對將勒索軟件開源。因為他們均認為開源勒索軟件不會給我們帶來任何的好處,而且甚至連一個支持Zaitsev的人都沒有。
在Softpedia所采訪的人員中,只有FabianWosar同意我們公布他的觀點。眾所周知,Wosar是Emsisoft公司的惡意軟件分析專家,而他也被業(yè)界人士稱為“勒索軟件的頭號殺手”。在此之前,Wosar成功破解了大量的勒索軟件,并且還開發(fā)了很多免費的勒索軟件解密程序。因此,有的惡意軟件甚至還會以他的名字來命名勒索軟件,例如Fabiansomware。
Wosar在接受Softpedia的采訪時說到:
“實際上,勒索軟件的開源并沒有多大的教育意義。你見過哪個醫(yī)生為了學(xué)習(xí)醫(yī)術(shù)而在大街上胡亂開槍打人的嗎?”
除了Wosar之外,其他的安全研究人員都希望可以保持匿名。有的人認為“當(dāng)我們往GitHub上傳代碼時,我們一定要為自己的代碼負責(zé),因為別人很可能會將你的代碼用于惡意目的。”而有的人則認為Zaitsev的想法非常幼稚,他的這種行為完全是在誤導(dǎo)別人。實際上,大約有一半的受訪人員并不認為Zaitsev開發(fā)這些項目有何不妥,只不過他們認為Zaitsev不應(yīng)該將勒索軟件的源代碼上傳至GitHub。
英雄自然心心相惜,至少Zaitsev還有UtkuSen的支持
Utku Sen在接受采訪時表示:
“我們在開源的勒索軟件中故意留下了后門,這樣做主要有兩個好處。首先,當(dāng)犯罪分子使用我們的源碼時,我們就可以通過后門來解密數(shù)據(jù)。當(dāng)然了,并不是所有的犯罪分子都會直接使用我們的源碼,但是人們會逐漸開始意識到勒索軟件是可以被解密的,最后就沒人會為勒索軟件付錢了。只要能夠讓用戶不為勒索軟件付錢,我們就可以讓犯罪分子無利可圖了。
其次,開源勒索軟件的另一個好處就是可以摧毀勒索軟件的銷售鏈。去年,在各大暗網(wǎng)論壇和黑產(chǎn)市場中還有很多人在出售勒索軟件,但是當(dāng)HiddenTear和EDA2問世之后,幾乎已經(jīng)沒人再會出售或購買勒索軟件了。”
總結(jié)
不幸的是,雖然投票結(jié)果非常接近,但是UtkuSen和Zaitsev的這種烏托邦式的想法卻沒有得到大家的支持。至于勒索軟件的開源是否能夠促進信息安全技術(shù)的發(fā)展,這就得看你從哪個方面來考慮了。但是信息安全就是這樣,攻防兩端永遠都處于一種不斷提升的狀態(tài),而攻擊者和防御者也永遠在玩“貓捉老鼠”的游戲。
京公網(wǎng)安備 11010502049343號