《大西洋月刊》發(fā)表文章,稱WannaCry勒索病毒上周末席卷歐亞大陸,是美國國安局(NSA)漏洞利用程序參與的第一個(gè)全球性危機(jī),但不會(huì)是最后一個(gè)。它是一連串問題發(fā)生反應(yīng)造成的后果。如果其中任何一個(gè)問題得到了解決,這樣的危機(jī)都不會(huì)發(fā)生。以下為原文內(nèi)容:
在一周多以前,一名喬伊斯(Joyce)的女子腳部受了傷。她接下來遇到的事情,和美國國安局、一個(gè)有幾十年歷史的陳舊軟件、一個(gè)用蹩腳英文進(jìn)行溝通的黑客團(tuán)體,以及一個(gè)并不高明的勒索病毒在互聯(lián)網(wǎng)上發(fā)生的反應(yīng)扯上了關(guān)系。
一個(gè)病人的遭遇
退休電工萊斯利上周日發(fā)推說:“我家里的計(jì)算機(jī),都比英國公共衛(wèi)生系統(tǒng)的計(jì)算機(jī)維護(hù)得更好,這真是令人尷尬。”
萊斯利的妻子喬伊斯是一名家庭護(hù)工。她本月初離開一名客戶的家時(shí)被門檻絆倒,喬伊斯知道自己的腳受了傷,于是開車到一家急診室。她照了X光,打上了石膏,然后安排了復(fù)診。到那時(shí),腫脹已經(jīng)消退了一些。
在她離開之前,醫(yī)生安排她在5月12日星期五復(fù)診。結(jié)果,英國醫(yī)療系統(tǒng)當(dāng)天成為歷史上最大一次勒索病毒攻擊的受害者。
當(dāng)喬伊斯和萊斯利當(dāng)天下午趕到醫(yī)院時(shí),“接待護(hù)士忙成一團(tuán),我聽說他們的計(jì)算機(jī)有點(diǎn)問題。”萊斯利說。“接待處擠滿了人——各種年齡的,身體各處打著石膏的病人。”
IT團(tuán)隊(duì)讓護(hù)士站關(guān)掉PC,但是情況令人困惑。不久,更多的高級(jí)職員出現(xiàn)了。這時(shí)候,萊斯利聽到有人提到“網(wǎng)絡(luò)攻擊”這個(gè)詞。
“一個(gè)衣著筆挺的女人趕到了,然后他們和大家解釋說系統(tǒng)崩潰了,他們無法訪問X光片和病人記錄。如果我們有時(shí)間,我們可以等在這里,看看是否可以修好,要不就重新安排復(fù)診時(shí)間。”萊斯利說。 “我們當(dāng)時(shí)認(rèn)為這只是一個(gè)局部性的問題,但后來發(fā)現(xiàn)當(dāng)?shù)氐钠渌麕准裔t(yī)院也出了這個(gè)問題。”當(dāng)萊斯利夫婦回到家的時(shí)候,這個(gè)問題已經(jīng)擴(kuò)大到了全國范圍,不久之后,這個(gè)問題席卷了全球。
美國國安局開發(fā)了利用漏洞的程序
這次WannaCry(也稱為Wcry和WannaCrypt)襲擊的開端,可以追溯到2013年之前,美國國安局的一條走廊上,但我們對(duì)當(dāng)時(shí)的細(xì)節(jié)所知不多。概括來說,就是國安局發(fā)現(xiàn)了微軟SMB V.1的代碼缺陷(或者是花錢買到了這個(gè)信息)。SMB V.1是一種陳舊的網(wǎng)絡(luò)軟件,供用戶共享文件和資源使用,比如共享打印機(jī)。雖然SMB V.1早就被更好更安全的軟件所取代了,但很多組織仍然在使用它,這些組織出于各種原因,并沒有安裝新的軟件。
這個(gè)缺陷就是人們所說的漏洞,它本身并不是特別有趣。然而,國安局根據(jù)這個(gè)漏洞,寫了另一個(gè)程序——漏洞利用程序—— 所以任何存在該漏洞的地方,NSA都可以通過這個(gè)程序去利用它。 NSA寫的程序被名為“永恒之藍(lán)”(ETERNALBLUE),他們用它來做了一些大事。
美國國安局可以秘密訪問歐洲銀行交易系統(tǒng)SWIFT,特別是SWIFT在中東的交易。在大多數(shù)人都眼中,SWIFT是一種支付系統(tǒng),用來處理信用卡和轉(zhuǎn)移資金。但如果從另一個(gè)角度來看,它是由一大批陳舊的Windows計(jì)算機(jī)組成的,這些計(jì)算機(jī)在世界各地的辦公室里靜靜運(yùn)轉(zhuǎn),不斷地通過互聯(lián)網(wǎng)來互相通話,當(dāng)然這種通話使用的是計(jì)算機(jī)之間的語言。
美國國安局利用“永恒之藍(lán)”來掌握這些機(jī)器的控制權(quán)。一些安全分析師,比如Comae Technologies創(chuàng)始人馬蒂厄·蘇徹(Matthieu Suiche)就認(rèn)為,這幾年來,美國國安局可以看到(甚至可以改變)流經(jīng)中東大部分地區(qū)計(jì)算機(jī)的財(cái)務(wù)數(shù)據(jù)。很多人都猜測,為什么國安局要這樣做,不過這些猜測從未被證實(shí)或否認(rèn)過。
但是,關(guān)于漏洞的信息也只不過是信息而已。國安局并不知道是否有其他人發(fā)現(xiàn)了這個(gè)漏洞,或者是買下了它的資料。他們也不知道是否有其他人在利用它,除非抓到了現(xiàn)行。這一點(diǎn)對(duì)于所有的計(jì)算機(jī)漏洞來說都是一樣的。
在2013年,一個(gè)叫“影子經(jīng)紀(jì)人”(Shadow Brokers)的黑客團(tuán)體不僅獲得了 “永恒之藍(lán)”,還弄到了美國國安局的大量計(jì)劃和文件。“影子經(jīng)紀(jì)人”在公開溝通中使用的英語蹩腳得離奇,所以很多人推測他們的母語其實(shí)是英語,只不過在努力偽裝成英語不是母語的人——但這也是猜測。無論這些黑客來自哪里,他們都偷走了強(qiáng)大的工具以及眾多的漏洞信息,最終,他們把這些內(nèi)容發(fā)布了出來。 WannaCry是利用國安局工具掀起的第一個(gè)已知的全球性危機(jī)。但毫無疑問,這不會(huì)是最后一個(gè)。
微軟發(fā)布漏洞補(bǔ)丁的前因后果
幾個(gè)月前,在“影子經(jīng)紀(jì)人”發(fā)布文件之前,有人告訴微軟, NSA手中有利用這個(gè)漏洞的工具。這人究竟是誰,也有很多的猜測,可能連微軟也不知道是誰告訴了他們這件事。無論如何,微軟趕在這個(gè)漏洞公開之前發(fā)布一個(gè)修復(fù)SMB V.1漏洞的補(bǔ)丁程序。但是微軟無法強(qiáng)制任何人打這個(gè)補(bǔ)丁,因?yàn)槭欠癜惭b補(bǔ)丁程序必須由用戶來自己來決定。微軟也沒有為太舊的Windows版本提供這個(gè)補(bǔ)丁。因?yàn)槟切┡f版本缺陷太多,微軟有充分的理由希望人們停止使用太舊的Windows版本——而不僅僅是希望大家購買新的版軟件,以便從中賺錢。
這個(gè)已經(jīng)復(fù)雜的事情還有另一個(gè)細(xì)節(jié): SMB V.1是幾十年前推出的,微軟知道這個(gè)軟件不是很好,所以這10年來,他們一直在試圖放棄它,用更強(qiáng)大和更有效率的版本取而代之。但是,由于這么多人都還在使用它,所以也無法完全丟棄SMB V.1。 WannaCry開始在全球各地興風(fēng)作浪時(shí),微軟的SMB負(fù)責(zé)人發(fā)了一條很無奈的推文:
“真的很諷刺:Windows不使用也不需要SMB1已經(jīng) 10年了。使用它的主要是Linux的系統(tǒng)和固件。”
新舊系統(tǒng)的連接程度越高,一個(gè)微小變化就會(huì)搞糟所有一切的可能性就越大。
我們生活在一個(gè)相互連接的世界中,諷刺的是,這種相互連接可能會(huì)讓事情變得難以改變。這就是為什么有這么多的系統(tǒng),多年來一直都處于不安全狀態(tài)的原因,它們包括全球銀行系統(tǒng)、西班牙電信、德國列車系統(tǒng),以及英國衛(wèi)生服務(wù)機(jī)構(gòu)。
勒索病毒的工作原理
那家醫(yī)院的計(jì)算機(jī)感染的是勒索病毒計(jì)算機(jī)蠕蟲WannaCry。 勒索病毒會(huì)把你計(jì)算機(jī)上的所有數(shù)據(jù)都進(jìn)行加密,然后告訴你要繳納贖金,才能獲得解密的密鑰。這個(gè)蠕蟲可以掃描網(wǎng)絡(luò),把自己復(fù)制到其他計(jì)算機(jī)上,完全無需人工輔助,真的是非常生猛。
掃描,指的是計(jì)算機(jī)發(fā)現(xiàn)互聯(lián)網(wǎng)上不同地址上有什么東西的方法。計(jì)算機(jī)可以向一個(gè)端口發(fā)送數(shù)據(jù),等待它的回復(fù)。就好像有人來到你的門口,試著用各種語言說“Hello!”,直到你說“ni hao”,這時(shí)對(duì)方就會(huì)明白,你說的是中文。
而WannaCry的攻擊者尋找的是“說SMB V.1語言”的機(jī)器。攻擊者發(fā)送這些“Hello”,并等待這種機(jī)器的回復(fù)。一旦收到回復(fù),就會(huì)向這種機(jī)器發(fā)送NSA寫的那個(gè)漏洞利用程序,以便能夠向機(jī)器發(fā)送一個(gè)新的程序。而當(dāng)一臺(tái)計(jì)算機(jī)中招之后,就會(huì)運(yùn)行攻擊者發(fā)送的這個(gè)程序。而這個(gè)新的程序就是WannaCry。
當(dāng)WannaCry運(yùn)行時(shí),它以特定的順序執(zhí)行一些工作。首先,它查看計(jì)算機(jī)的內(nèi)存,檢查是否已經(jīng)有另一個(gè)WannaCry在這臺(tái)機(jī)器上運(yùn)行了,如果找到就停下來。如果找不到,它會(huì)采取一個(gè)奇怪的步驟——WannaCry會(huì)在網(wǎng)上尋找一個(gè)域名,如果找到了,它也會(huì)停下來,什么事情都不做。但如果內(nèi)存中沒有其他WannaCry在運(yùn)行,并且也找不到那個(gè)神秘的域名,那么它將開始掃描其他使用SMB V.1的計(jì)算機(jī),如果發(fā)現(xiàn)了其他使用SMB V.1的計(jì)算機(jī),那么它就把感染過程再重復(fù)一次。
同時(shí),WannaCry開始對(duì)它已經(jīng)占領(lǐng)的計(jì)算機(jī)上的所有文件進(jìn)行加密。它不會(huì)移動(dòng)文件,甚至也不會(huì)讀取它們,它只是將它們置于無法辨認(rèn)的狀態(tài)。之后,WannaCry就在屏幕上顯示一條消息:你要支付價(jià)值300美元的比特幣,如果你拖延時(shí)間,就得交600美元的比特幣了。如果你拖過一周,永遠(yuǎn)不會(huì)得到解密密鑰了。一周之后,你的文件都變成了無法解密的文本。
WannaCry攻擊者很業(yè)余?
有線索顯示,WannaCry寫得不是很高明。它首次安裝時(shí)檢查的那個(gè)域名,是一個(gè)決定是否繼續(xù)感染計(jì)算機(jī)的開關(guān)。 (研究人員@MalwareTech在攻擊開始不久就發(fā)現(xiàn)了它,他注冊(cè)了這個(gè)域名,并將其指向了他控制的服務(wù)器,看看它是做什么用的,從而阻止了第一波感染)。
后來,有人(可能就是攻擊者本人)編輯了WannaCry,讓它去檢查另一個(gè)域名。這一次,安全機(jī)構(gòu)Comae Technologies創(chuàng)始人蘇徹發(fā)現(xiàn)了新的域名,也注冊(cè)了它并將其指向自己控制的服務(wù)器——再次阻止了勒索病毒的感染。之后,這個(gè)與域名交織的游戲又經(jīng)歷了幾次迭代,但是沒有人明白為什么會(huì)攻擊者會(huì)使用域名當(dāng)開關(guān)。當(dāng)然人們對(duì)此也有不少的猜測,WannaCry攻擊事件中最不缺的就是猜測。
除了了把域名當(dāng)開關(guān)之外,贖金支付系統(tǒng)也做得很業(yè)余。大多數(shù)贖金支付系統(tǒng)都是自動(dòng)化的,但是這次的攻擊者盡管設(shè)計(jì)了可以在創(chuàng)紀(jì)錄的時(shí)間內(nèi)感染互聯(lián)網(wǎng)的安防,但在支付系統(tǒng)的設(shè)置上卻很低級(jí),必須單獨(dú)處理贖金支付和解密過程。這樣做無法擴(kuò)大規(guī)模,滿足不了全球性攻擊的需要。
責(zé)任分析1:公司沒有更新系統(tǒng)
像大多數(shù)安全領(lǐng)域的專家一樣,蘇徹也將大部分責(zé)任歸咎于沒有更新軟件。他說:“公司需要更好的備份策略和最新的系統(tǒng)!今天我們很幸運(yùn),還能及早阻止這個(gè)病毒的傳播,沒有遭受進(jìn)一步的損失,但是我們需要為明天做好準(zhǔn)備!”
但是,對(duì)于這種容易受到攻擊的大型公司來說,脆弱的不僅僅是計(jì)算機(jī)網(wǎng)絡(luò),還有供應(yīng)商、服務(wù)規(guī)則和客戶網(wǎng)絡(luò)。也就是說,更新系統(tǒng)會(huì)影響到這個(gè)系統(tǒng),沒有哪個(gè)中層管理人員愿意關(guān)閉服務(wù)來更新系統(tǒng),雖然這可能會(huì)避免將來受到黑客的威脅——更新系統(tǒng)抵擋住了WannaCry,老板也不會(huì)表揚(yáng)他們。蘇徹說,他理解對(duì)這些復(fù)雜的系統(tǒng)進(jìn)行升級(jí)并不容易,但是“要在這么大的系統(tǒng)上嘗試恢復(fù)數(shù)據(jù)也同樣不容易。你需要做出選擇”。
雖然他說得沒錯(cuò),但是在真實(shí)的全球業(yè)務(wù)環(huán)境中,對(duì)于很多安全專業(yè)人員,甚至是非常好的安全專業(yè)人士來說,“正確,但并不總是有用”都是一個(gè)煩惱。
責(zé)任分析2:國安局私藏漏洞信息
全球網(wǎng)絡(luò)可能是一個(gè)很容易襲擊的獵物,但WannaCry的創(chuàng)作者也不是捕食者。他們只是在美國國安局開發(fā)了漏洞利用程序的數(shù)年之后開展行動(dòng)的食腐動(dòng)物而已。
斯諾登泄露的文件顯示,早在2013年,當(dāng)國安局正在使用這些工具,默默地攻擊基于Windows的服務(wù)器時(shí),微軟正與國安局在“棱鏡”項(xiàng)目上開展解密信息的合作。如果美國國安局告訴微軟這個(gè)漏洞的存在,那么補(bǔ)丁可能在幾年前就已經(jīng)發(fā)布了,而影子經(jīng)紀(jì)人黑客團(tuán)體盜竊這個(gè)漏洞的信息,以及隨后發(fā)布NSA漏洞利用程序,就不會(huì)對(duì)英國那些患者造成影響了。西班牙電信和德國列車系統(tǒng)也會(huì)正常運(yùn)行。世界各地的系統(tǒng)將不會(huì)在廣告牌、報(bào)亭和銷售終端上顯示“哎喲你的文件已被加密”了。
美國國安局想左右逢源,結(jié)果被卡在了中間。
微軟首席法務(wù)官布萊德·史密斯(Brad Smith)發(fā)表了一項(xiàng)聲明:“我們需要政府考慮一下,私藏這些漏洞,并開發(fā)這些漏洞的利用程序,可能給平民帶來的傷害。”
他表示:“為什么我們要在今年2月份召開的一個(gè)新的‘數(shù)字日內(nèi)瓦公約’來處理這些問題,這就是原因之一。公約要求政府向供應(yīng)商報(bào)告漏洞,而不是私藏、銷售或利用這些問題。”
WannaCry沒有成為災(zāi)難,但它可能會(huì)成為災(zāi)難。這個(gè)警世故事顯示了當(dāng)間諜機(jī)構(gòu)、技術(shù)債務(wù)和計(jì)算機(jī)文盲發(fā)生沖撞時(shí),會(huì)出現(xiàn)什么樣的狀況。一場生態(tài)災(zāi)難正在等待發(fā)生,雖然這個(gè)生態(tài)系統(tǒng)是人造的。 和處理疾病、污染或環(huán)境破壞相比,應(yīng)對(duì)這個(gè)問題的重要性不遑多讓,只是它并不是那么顯眼,因?yàn)檫@個(gè)生態(tài)是我們自己建造的。
京公網(wǎng)安備 11010502049343號(hào)