你也「想哭」(WannaCry)了嗎?勒索軟體的風暴,透過電腦網絡從星期五晚上開始席捲全球150個國家,估計有二十萬部電腦受到影響。
面對這次受破壞的視窗系統,微軟公司發出聲明向美國政府喊話,強調這次的攻擊事件是資訊安全的「一記警鐘」。微軟說,各國政府收集電腦軟體的安全漏洞做為網路武器,可能引發廣泛的損害。
微軟:勒索病毒等同「戰斧飛彈被偷了」
這次的勒索病毒,利用的是美國國安局最先發現的視窗系統安全漏洞。駭客組織「影子掮客」(Shadow Brokers)駭入美國國安局之後,在今年四月在網路上釋出,成為這次攻擊者使用的工具。
美國情報部門,往往會收集電腦系統弱點的訊息,藉以囤積自己網路武器的「軍火庫」,以備針對特定目標發動攻擊。
我們過去已見過美國中情局(CIA)收藏的安全漏洞訊息出現在Wikileaks。而這次美國國安局(NSA)被竊取的安全漏洞資訊,則對全球消費者造成了影響 。
史密斯說,用傳統武器來做比喻的話,這次的情況就好比是「美軍的戰斧巡弋飛彈被人偷走了。」 「全世界各國政府,都應把這次事件當成一記警鐘。」
微軟說,他們在三月份就釋出了視窗系統的安全性更新程式來處理這個問題。不過,許多使用者並未進行更新的動作。
微軟強調,隨著網路犯罪手法越來越細緻,消費者除了更新他們的系統之外,幾乎別無他法可以保護自己不受威脅。
疏於事先防範 微軟資安難辭其咎
一些公部門機構或大企業這次受到勒索軟體的攻擊,資訊部門或許應為安全系統未更新而負責。
不過,最有機會、也最容易阻止這場網路災難的,或許是美國的國安局和微軟公司。
長期以來,微軟公司批評美國情報部門私藏網路攻擊的工具。他們認為,如果視窗系統出現漏洞,最安全保險的做法當然是直接告訴他們的工程師來進行補救。
不過,微軟在怪罪他人的同時,似乎也應考慮自己對所有使用者更新版本的責任,而不只是對付錢加強舊版系統的人提供額外照顧。 畢竟,對個人的使用者來說,更新電腦是輕而易舉。但是,對於像英國醫療服務體系NHS這般規模的網絡,卻是既花錢、耗費時間、而且複雜的作業。
所以,BBC的科技記者Dave Lee就認為,像微軟這樣的一個公司,跟自己的客戶說「如果不再多花一點錢,我們就不能保護你的系統安全」其實本身也是一種勒索。
資安英雄:「很快會有新的攻擊!」
歐洲刑警組織(Europol)表示,這次的勒索軟體設計,是讓一部電腦感染之後,快速在網絡中擴散。這也是它受災數字不斷增加的原因。據英國BBC的估計,在星期一上午之前,已經有大約3萬8千美元左右的「贖金」,流入要求支付贖款的帳戶。由於攻擊者揚言如果三天之內沒有交付贖金,屆時解除文件封鎖的金額將會加倍,因此預估依照指示付出「贖金」的金額還會持續增加。
暫時的修復措施,雖然減慢了病毒蔓延的速率。不過。攻擊者已經釋出了新版本的病毒。
一名化名Malware Tech的英國資安專家,他在無意之間減緩了病毒擴散而成了這次網路災難的意外英雄(參見底下介紹)。他預測勒索軟體的攻擊行動會接踵而來,下一場攻擊很可能就是星期一。
Malware Tech提出警告,未更新系統和下載防護軟體的電腦,在星期一開機仍可能中毒。
英國網路安全公司數位影子Digital Shadows的專家平卡德(Becky Pincard)說,最初發動網路攻擊的人、或是有意效尤的模仿者,都可以很輕易修改病毒程式,而讓人防不勝防。 所以就算星期一沒有出現新的攻擊行動,我們也不能因此喘口氣掉以輕心,因為類似的攻擊行動不難預期很快就會再出現。
英國資訊安全專家Malware Tech描述自己如何在無意間遏阻了勒索軟體的攻擊:
- 據網路博客「英國那些事兒」,Malware Tech在攻擊大規模爆發後分析病毒代碼,發現一個特殊的域名網址:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
- 這個看似隨意打出的域名,在病毒爆發前一天完全沒有人聞問。但是從星期五開始,這個域名的訪問數激增。
- Malware Tech發現這個網址無人註冊,出於職業習慣他順手付費註冊了這個域名,註冊成功之後他瞬間接到了來自全世界各國電腦的連結
- 事後發現,這個域名應該是病毒的攻擊者當初預防行動失控,而給自己預留的緊急停止開關。
- 安全人員在代碼中發現一段語句,語法邏輯是:
「訪問這個域名
如果 這個域名存在
那麼 退出一切
反之如果這個域名不存在
那麼 開始繼續攻擊」
也就是說,每個感染了病毒的機器,發作前都會事先訪問這個域名。如果這個域名依舊不存在那就繼續傳播,如果已經被人註冊了,那就停止傳播。
- 因此,可以說Malware Tech這位資安人員在無意間的註冊,觸發了病毒緊急停止的機制。
參考資料:BBC,The Guardian