傳說中的“狼”真的來了。此前好像更多地存在于傳聞中的網絡病毒,利用網絡空間的漏洞,給普通人的現實生活撕開一道道口子。
5月12日開始爆發的勒索蠕蟲病毒Wannacry已經影響到100多個國家,導致全球數十萬主機被感染。
國內的情況同樣嚴重,因為遭受勒索蠕蟲病毒的攻擊,一些信息化的工廠車間被攻陷,企業不得不停工;部分加油支付系統的終端也中招,用戶加油后無法正常支付;某些大學生的畢業論文被鎖死,屏幕上只留下一片攻擊者勒索比特幣的紅色界面。
雖然在病毒爆發的第二天,一名英國研究員就無意間發現 WannaCry病毒的隱藏開關(Kill Switch)域名,意外遏制了病毒的進一步擴散。但5 月 14 日,病毒的升級版WannaCry 2.0 又卷土重來,并取消了 Kill Switch。
之后的研究表明,Wannacry病毒是利用美國國家安全局(NSA)黑客武器庫泄露的黑客工具“永恒之藍”(Eternal Blue)開發的。這或許是普通人離“網絡軍火”最近的一次,也是網絡安全教訓最直接的一次。
內網不再是安全自留地
“一些號稱與外網隔離的內網,在這次勒索病毒肆虐中成為重災區,在不能連接外網的情況下,只能用效率低下的辦法救援。”5月17日,在針對WannaCry勒索病毒召開的媒體溝通會上,360集團董事長兼CEO周鴻祎一語道破了此次網絡病毒事件帶來的新挑戰:內網不再是網絡安全的自留地。
事后看來,本次勒索病毒的爆發主要集中在許多使用內網隔離的辦法維護網絡安全的地方,例如高校、醫院、政府機構和事業單位等。此類單位所使用的內網大多仍開放用戶使用445端口(支持文件共享的網絡端口),而我國個人網絡用戶的445網絡端口大多已被網絡運營商屏蔽。
此外,因為不能連接外網,所以在本次勒索病毒爆發之后不能及時修補漏洞,升級安全軟件,進一步增加了“中招”的概率。騰訊安全實驗室專家馬勁松以高校為例,分析了本次勒索病毒爆發實踐中,原本被認為能帶來安全保障的內網隔離手段不再安全的原因。
馬勁松表示,許多高校通常接入的網絡是為教育、科研和國際學術交流服務的教育科研網,此骨干網出于學術目的,大多沒有對445端口做防范處理。而且,一些高校學生為了打局域網游戲,有時會關閉電腦防火墻,這會導致電腦接收445端口的數據,給黑客攻擊留下可乘之機。
目前,針對這次勒索病毒事件,各大網絡安全廠商都已經推出相應解決方案。以騰訊電腦管家為例,兩天之內連續發布“勒索病毒免疫工具”“文件恢復工具”等,用戶可以此保護電腦安全。
馬俊松提醒,雖然此役過后,相同手法的病毒攻擊將不會大規模出現,但全面爆發的勒索病毒侵入了用戶生活工作的方方面面,也讓大家意識到了網絡病毒的威脅與嚴重后果。
中國科學院信息工程研究所信息安全國家重點實驗室主任林東岱則認為,這次病毒事件對于用戶和安全廠商來說將帶來網絡安全觀念上的改變。“以前我們可能用內網這類辦法防止網絡攻擊,但這次的病毒事件說明,他們也可以反過來利用我們自己的技術手段來攻擊、勒索我們。”
身為信息安全研究專家,林東岱深知此次勒索病毒攻擊,采取的技術并不新穎。但網絡攻擊的思路改變后,將提高相應的網絡安全防御成本。他把這次病毒事件的情節和影響類比為“9·11”事件:以前為了應對劫機,航空公司會假定恐怖分子也想活著,所以相應的培訓都是讓大家盡量別激怒劫機者,但忽然發生的“9·11”事件表明,劫機者也可能根本不想活命,此時原有的培訓反倒可能成為傷害所有人的工具。
“永恒之藍”背后的“永恒漏洞”
病毒爆發后,網絡安全界發現,這款勒索蠕蟲病毒是針對微軟系統的“永恒之藍”漏洞進行傳播和攻擊的。一旦電腦感染該病毒,被感染電腦會主動對局域網內的其他電腦進行隨機攻擊,局域網內沒有修補漏洞的電腦理論上將無一幸免地感染該病毒。
在上述媒體溝通會上,周鴻祎也強調了網絡漏洞的重要性,他把網絡漏洞比喻為“網絡軍火”,一個大家沒發現的漏洞就可能引發全球性病毒的爆發。在中國青年報·中青在線記者采訪時,許多專家都認為“永恒之藍”背后所反映的網絡安全漏洞問題值得反思。在“永恒之藍”的背后,永恒存在的網絡漏洞隨時都是公眾網絡安全的潛在威脅。
馬勁松表示,此次病毒感染急劇爆發的主要原因在于,其傳播過程中利用了“永恒之藍”漏洞。上海斗象科技有限公司市場副總裁、漏洞盒子負責人李勇也認為,這次病毒大規模爆發最大的特點就是利用通用型系統或者設備的漏洞進行攻擊,造成大規模的危害。
“白帽黑客”華建樂(化名)也對記者表示,在整個事件中,作為傳播媒介的微軟系統漏洞MS17-010是最關鍵的。華建樂認為,本次病毒爆發事件中,攻擊者采取的是敲詐勒索“這種明目張膽的方式來攻擊”,這其實并不是明智之舉,甚至更像是榨取“永恒之藍”這個系統漏洞的最后價值。
這也就意味著,本次勒索病毒事件和“永恒之藍”漏洞可能只是冰山一角,還有更多的漏洞和通過漏洞展開的攻擊尚未被人知曉。根據國家信息安全漏洞共享平臺(CNVD)的統計數據,2016年CNVD共收錄通用軟硬件漏洞10822個,較2015年的漏洞收錄總數8080環比增加34%。其中高危漏洞有4146個(占比38.3%),可用于實施遠程網絡攻擊的漏洞有9503個,可用于實施本地攻擊的漏洞有1319個。
在CNVD的統計中,此次勒索病毒事件中被利用的“永恒之藍”漏洞所屬的“零日”漏洞(0day)在去年共收錄2203個。這類安全漏洞又被稱為零時差攻擊,在被發現后將立即被惡意利用,因而往往具有很大的突發性與破壞性。
隨著越來越多智能設備投入使用,網絡安全漏洞所帶來的威脅也與日俱增。360互聯網安全中心發布的《2016年中國互聯網安全報告》顯示,個人信息泄露主要是黑客利用網站存在的安全漏洞非法入侵和網站內部人員非法盜賣;金融行業網站漏洞威脅更加復雜化,傳統的銀行、保險,新興的第三方支付、互聯網P2P等領域都曝出不少高危漏洞;網站漏洞實施掛馬攻擊重新興起,并呈現一定程度爆發趨勢。
此外,一個更加令人擔憂的問題是,在移動互聯網時代越發重要的手機也存在眾多安全漏洞。上述《報告》指出,目前大多數安卓系統手機都存在安全漏洞,而用戶手機未能及時更新而存在安全漏洞的重要原因之一,是手機廠商普遍未能實現其定制開發的安卓系統與安卓官方同步更新,而且延時較大。
漏洞安全治理急盼良方
為應對與日俱增的網絡漏洞威脅,目前不少科技公司都設立了漏洞獎勵機制,只要“白帽黑客”或其他技術人員發現并提交漏洞,就會獲得獎勵。而烏云、補天等漏洞反饋、眾測平臺也會接收并公布漏洞,以幫助企業發現漏洞并及時補救。另外,也有一些安全企業提供代碼審計類的產品,希望在產品上線之前先發現是否存在漏洞。
不過,在華建樂看來,在數量眾多且復雜多樣的網絡漏洞威脅面前,上述做法似乎都不太夠用。因為高危漏洞往往需要人工發掘才能發現,而且在發現后很容易就會被轉入地下黑色產業鏈,直到利用價值逐漸減低,才逐漸浮出水面。
“三分靠技術,七分靠制度。”華建樂說,在網絡漏洞安全防范中,已經積累了許多經驗和技術,但這些經驗和技術的推廣仍受制于現實的制度障礙和執行困難。對此,林東岱也深有體會。據他介紹,企業(集團)漏洞掃描漏洞、等級保護測評高危漏洞等技術手段是目前比較合適的網絡漏洞防范手段,也有一部分企業在推行。“但很多還是沒做,所以怎么推行到位還是一個問題。”
為何合適的網絡漏洞防范技術難以推行?這跟網絡安全行業的特殊性有關。“出了事都很關心,不出事大家都不愿去做,這也是我們做安全行業的人經常遇到的一個苦惱。”林東岱曾接觸過許多企事業單位的網絡安全管理部門,他發現很多企業在一開始不愿意去做網絡安全的事,總是把安全放到業務和營利后考慮。
金山軟件股份有限公司首席安全專家李鐵軍也注意到了這類現象。他說,相比于個人用戶,許多內網企業用戶仍然沒有及時修復系統、安裝更新補丁的習慣,即使早就有了幫助隔離的內網用戶更新補丁的技術工具,依然有相當多的單位未采用。
在網絡安全領域從業多年,李鐵軍希望這次勒索病毒事件能促進網絡安全管理部門意識到病毒爆發背后的制度問題。“對管理者來說這是一個很好的機會。”他說,塞翁失馬焉知非福。李勇也表示,在黑客的攻擊行為變得更加多樣化的新環境下,此次勒索病毒事件再次說明和教育了大家,企業的網絡安全建設不是簡單的買一兩臺設備和一套系統,而是一個系統工程,需要在IT投資、人員能力、威脅情報收集、開發和運維保障、業務迭代等多方面開展,并且動態地進行。
他建議企業要盡快建立漏洞安全威脅情報搜集渠道,提前感知并預判安全威脅,從而縮短發現威脅和發生威脅的時間差,有效避免和減少損失。“因為黑客攻擊是在暗處,而且從網絡安全的建設來看,防止攻擊是100%防不住的。”