5月13日消息,據外媒報道,世界各地大量醫院、運輸公司以及電信公司當前遭到的大規模勒索病毒攻擊,實際上是完全可以預防的。只需要對與攻擊相關的安全漏洞進行例行更新,在Wanna Decryptor造成任何損失之前,信息技術管理員就能搞定它。然而,這個與美國國家安全局(NSA)相關的Windows漏洞已經攻擊了數以萬計的電腦,并迫使它們的主人支付贖金,否則數據就可能被刪除。
這是個受教的時刻,不僅僅是對無所不在的電腦用戶,他們可能已經習慣于從提醒他們保持設備更新的服務中受益。對于政策制定者來說也同樣如此,因為他們正陷入“電腦漏洞只被好人利用”的誤區中。正在發生的勒索病毒危機與2016年科技巨頭同FBI之間的爭論存在模糊的聯系。問題在于,硅谷是否應該被迫為產品建立“后門”,以便執法機構輕松查看其產品用戶的通訊記錄。支持者認為,這是打擊恐怖主義、抓住利用加密工具策劃襲擊的恐怖嫌犯的必要措施。
當時,許多決策者認為,蘋果、谷歌(微博)以及Facebook等科技巨頭肯定有自己的辦法,可在產品中建立僅被執法機構利用的特殊通道。然而業內人士和隱私專家表示,這是不可能的。這就像將鑰匙放在門墊之下,好人可以使用鑰匙開門,壞人也同樣可以。美國賓西法尼亞大學加密技術專家馬特·布雷澤(Matt Blaze)表示:“技術界已經取得全面共識:即使表面上‘安全’的后門也會讓系統陷入外部攻擊和妥協的風險之中。”
NSA4月份被泄露的文件表明,即使那些由負責國家安全的機構控制的漏洞,最終也能在黑市上找到。Wanna Decryptor危機幾乎是所有武器化技術的縮影:最終,這種技術會失去控制,并會落入壞人之手。美國加州電腦安全公司Bromium聯合創始人西蒙·克羅斯比(Simon Crosby)說:“這些襲擊表明,我們不能再說漏洞只會被好人利用。”克羅斯比還將NSA黑客工具未經授權泄露比作“向普通罪犯提供核武器”。
從某些方面來看,Wanna Decryptor是不同的,此次危機時人們未能下載適當的公共更新造成的。早在在黑客宣稱他們可以利用這個漏洞之前數周,微軟已經發布更新補丁。NSA的任務是攻破美國敵人使用的系統,同時數十億普通人卻也因此陷入危險之中。但這并非確鑿理由,認為NSA或其他政府機構能夠維持漏洞的控制。美國公民自由聯盟律師帕特里克·圖米(Patrick Toomey)表示:“這些漏洞不僅被我們的安全機構利用,也在被全世界的黑客和犯罪分子利用。”
然而這并非是有關NSA好壞的問題,也不是其是否應該盡快披露所發現漏洞的問題,盡管這已經成為當前爭論的焦點。相反,它提醒我們,就像所有武器那樣,認為黑客技術始終能被控制在“好人”手中是非常愚蠢的。當提議為“好人”提供前所未有的數字權利時,參與加密技術討論的決策者應該牢牢記住這一點。
京公網安備 11010502049343號