0
因公安网遭受病毒,无法受理需要系统受理业务,敬请谅解。
这张北京某地公安机关户籍管理窗口上的告示,无奈地隐喻着我们网络世界的伤痕。我们总被恐慌和流言击中,却难以打捞真相。
文 | 史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切
采访 | 吴翰清 阿里云首席安全研究员,人称道哥、刺
人们看到,这次爆发的勒索病毒作者收到了35万美元,似乎相比它全球的影响力来说并不多。但很多人不知道,这个蠕虫式传播的病毒是 2.0 版本,而在之前的 1.0 版本,病毒作者已经赚了几千万美元。
吴翰清说出了第一个真相。
这次勒索病毒席卷了全球数百个国家,让带着红袖箍的朝阳阿姨都开始绘声绘色地描述病毒的凶残。但事实上,就在你关心“王宝强的儿子究竟是不是亲生的”“白百何的小狼狗到底是谁”的2015、2016年,勒索病毒已经在全球累计收割了几千万人的赎金。
美国某教会被病毒勒索,七十多岁的神父为了交比特币赎金,从一个不知道电脑是什么的老头生生被逼成了技术宅;
美国某医院被病毒锁机,所有的检验单报告单一律恢复手写模式,病人在医院排起长龙;
美国某警察局被病毒勒索,怼天怼地怼空气的全世界最嚣张的美国警察都乖乖交了赎金。
以上这些事实,正在读这篇文章的你可能从来没注意过。
▲上图为2016年初被勒索病毒袭击的洛杉矶的好莱坞长老会医疗中心
在雾霾上身之前,你的世界永远阳光灿烂。
车管所不能上牌照,加油站加不成油,公安局办理不了业务。这次病毒看起来所向披靡,攻城略地,好不风光。但是吴翰清,这个职业黑客和安全研究员却指出了两个让人感慨的巧合。
这次病毒之所以爆红,最重要的原因就是它攻击了国家的基础设施网络,造成很多公共服务的停滞,人们才产生了极度恐慌。
但让病毒作者尴尬的是,这很可能不是他的本意。
除非发动国家间的网络战,否则病毒不会攻击国家设施。
吴翰清说。
简单来说,“黑客界”和黑社会差不多,都存在一个潜规则共识:“出来混,一般是和气生财。”因为有经验的黑客知道,攻击国家设施一定会引起政府重视,如果把事情闹大到国家关注,离黑客被抓就不远了。
据我所知,世界上的主要国家目前都在追踪病毒的作者。我们国家的公安机关和各大安全厂商也不例外。
我可以透露的是,这次病毒的攻击更像一个没有经验的新手干的。甚至代码都是在黑市上买到的,对于病毒可能造成的灾难性后果,他也很可能没有提前判断。
他对雷锋网宅客频道(微信搜索:宅客频道)说。
▲图为本次流行的勒索病毒 Wannacry 的勒索界面
一般来说,专业的黑客不会以把事情闹大为目的,所以会采取各种办法控制病毒的影响范围。但是这个无名黑客显然控制局势失败。这其中很大的一个原因要归功于公共服务网络和某些大公司内部专网的脆弱,超越了黑客的想象。黑客仅仅动了动手指,万丈高楼就已经摇摇欲坠。
那么,为什么公共设施网络和企业专网如此脆弱呢?
这些网络,都有一个神秘的名称——内网。
所谓内网,最大的特点就是和外网分离,这种分离是“物理隔离”,也就是根本没有网线相连。既然都和外部“老死不相往来”了,为什么还会有病毒呢?吴翰清说:
正是迷信所谓的“物理隔离”,很多机构觉得其他的安全措施可以放一放,甚至连基本的系统升级都很滞后。
但是这种老专家们百般推崇的物理隔离是不堪一击的。
1、U盘。出于易用性,很多专网和外网有交换点,U盘就是其中一种。病毒木马可以通过 U盘随意进出。(当年摧毁伊朗核设施的震网病毒就是通过U盘被带入核设施网络的)
2、双网卡。很多专网为了既合规又方便,使用了两个网卡,一个连接互联网,一个连接内部专网。但这两个网络使用的是同一台计算机。。。
3、手机。一些手机在内部连接专网,出门之后还是使用外界的 Wi-Fi 网络。这部设备就成为了病毒进出的大门。
事实证明,这次攻击中招的几乎都是专网内网。而在此之前,内网中也是病毒木马横行,只是那些病毒没有做得这么决绝,直接锁机勒索。只要系统还能运转,所有人都希望维持着这个脆弱的平衡。
要知道,这次病毒本来是冲着个人用户去的。但从各大安全厂商的监测数据来看,个人感染这个病毒的案例少之又少。这是为什么呢?
先简单科普一下病毒攻击的最关键步骤:扫描用户的 445 端口。如果端口在打开状态才能进行下一步攻击。
但是,无巧不成书。这里有一个往事。
早在2003年,有一个名为“震荡波”的病毒横扫了全球网络。彼时全世界哀鸿遍野的状态,比现在血腥一百倍。而巧合的地方就在于,震荡波病毒的传播也是通过 445 端口。当时中国人的网络安全意识几乎为零,只有几家收费的杀毒软件霸占市场。而几乎所有人都没见过正版 Windows 长什么样子,更别提升级打补丁了。
见状不对,彪悍的网络运营商直接在自己的手里就把445端口给禁用了。这样釜底抽薪的玩法,直接把病毒干得奄奄一息,瞬间天下太平。
如果没有震荡波病毒的“助攻”,运营商仍然开放445端口,这个病毒将会像海啸一样席卷中国用户。
吴翰清说。
四天以来,所有人都被勒索病毒洗了脑,连爸爸妈妈们转发到群里的信息都变成了这个路数:
但吴翰清依然认为,这次病毒的影响被大大低估了。
本文作者史 中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切
你没看错,是被低估了。吴翰清觉得,这件事情也许会成为病毒历史上的一个“里程碑”。可以预见的影响至少有以下两点。
过去人们熟悉的攻击方式,大多都是偷数据、做欺诈,或者通过后门控制机器对外发动攻击。对系统本身的破坏性不是那么大。而这次的勒索是毁灭性的破坏,加密算法本身的逻辑就保证了加密的不可逆性。
吴翰清对雷锋网宅客频道(微信搜索:宅客频道)说。
也就是说,一旦被黑客加密,全世界只有黑客手中的秘钥可以救你。如果企业的核心数据遭受加密攻击,就会产生灾难性的影响。
也许有的企业会因为数据毁灭而直接倒闭,也许有的行业会因为这样的病毒直接洗牌。
他说。
这次攻击,最为震动的也许是“黑产界”。
简单说一下这个病毒的三个特点:
(1)利用微软的漏洞传播;
(2)利用了加密软件;
(3)利用了 Tor 网络和比特币收赎金。
吴翰清觉得,这三个特点里,很多人都在关注第一个,惶恐地希望升级打补丁。但是真正对世界产生影响的可能是(2)和(3)。
因为,之前要写无数个剧本,假装N个角色,恨不得拿金马奖帝后的诈骗团伙似乎找到了一条“康庄大道”。
勒索攻击对于他们来说,既可靠又风险小。
这个黑客搞出的病毒明目张胆地勒索全世界,到目前为止还没被揪出来,足见 Tor 网络(暗网)和比特币的匿名性之可靠。
刚才说过,这次事情搞这么大可能是出于手滑。之后如果病毒设计精良一些,完全可以控制传播的范围,这样一来,无论是针对个人还是企业的勒索,都会成为像今天的电信诈骗一样成熟的产业。
这将是一个非常恐怖的未来。
吴翰清说,由此来看,未来安全行业中的数据备份企业似乎应该行情看涨,因为企业的 CIO(首席安全官员)要做的第一件事就是备份数据。
除非乱世当道,否则人永远不想学会自卫。
当年的冲击波病毒横行肆虐,但我们之中有谁学会了按时升级系统?
这些年来,个人安全的重大进步客观上来源于免费的安全软件。而这些软件出于保护用户和变现的需要,进行着“贴身服务”,让用户倍感困扰。
但有一个真理不言自明:
就如小区的保安、运钞车的保卫一样,安全永远应该是一种服务,而不是教学。
你是愿意每天在健身房练习散打,保卫自己的家人;还是愿意花物业费,在小区门口雇佣保安人员呢?
吴翰清觉得,企业自己做安全的单打独斗,会因为各种疏漏和技术原因存在较大隐患,而利用平台的“保安”服务不失为一种好的方法。云计算上的安全就是一种典型的“保安”,他举了发生在阿里云上的例子。
这次被 Wannacry 病毒利用的漏洞,早在4月14日就被泄露出来。作为安全人员,我们知道这个漏洞有多严重。于是从那个时候开始,我们就通过各种方式不断提醒用户修复漏洞,进行网络安全隔离。包括邮件,站内信,短信,甚至电话。
有的用户修复了,有的还没有。于是我们就再一次催促他们修复。这样下来客户被我们骚扰了好几轮,但仍然有少量客户拒绝。
不过,如果没有多次的提醒和协助,这次阿里云上受感染的厂商将不计其数。
云服务,因为有专门的安全团队来运营,所以安全治理水平比较高,在安全性上和传统的专网有巨大的差距。这在某种程度上类似于个人用户和免费杀毒软件,用户只需要选择平台,而所有的安全都应该是平台的基本能力。
不懂安全的用户无罪,甚至有功。
从社会成本上来看,可以类比以下的例子:
人人都携带枪支,用于可能的自卫,和人人都不携带枪支,由警察和军队负责保卫公民的安全,谁的社会成本更低?显然是后者。
这便是社会分工的经济学意义。
这次勒索病毒爆发之后,各大安全厂商都在第一时间推出防护产品,并且聚集主力研究人员进行研究。认为安全厂商在“刷存在感”,是一种廉价的解释。从更深层来看,安全厂商看到了社会分工进一步细化的机会,他们备受鼓舞。
对于云计算和云安全来说,同样如此。
每天打开水龙头,都要自己去判断水质是否达标;每天打开电视前,都要确认自己的稳压器有没有工作。
这是30年前的中国。彼时的社会分工远没有今天这样专业、可靠。每个人都不得不让渡出一部分精力和专业能力,来保卫自己的生活。
和病毒的斗争,似乎隐喻了我们的网络空间也在经历几十年前中国社会巨大的专业化分工。而理想的赛博世界,安全或许像水和电一样,人们每天使用,却不曾感受到它的存在。
今天发生的一切,都说明我们做得还不够。但我相信总有一天,所有企业都只需要关注自己的业务,安全问题在云计算平台内部都已经被解决。只有到那个时候,勒索病毒才会走向消亡。
吴翰清说。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。