[虽然WannaCry此次仅勒索到8万美元的赎金,入侵了全球30万个机构的电脑,破坏程度不及此前Conflicker和SoBig病毒,但这次袭击揭露了新型的互联网世界里两个残酷的现实。]
过去一周,一种名为WannaCry的勒索病毒席卷全球网络系统,加油站、办公电脑、医院均受到不同程度的影响。
虽然WannaCry此次仅勒索到8万美元的赎金,入侵了全球30万个机构的电脑,破坏程度不及此前Conflicker和SoBig病毒,但这次袭击揭露了新型的互联网世界里两个残酷的现实。
首先,计算机的速度、规模和效率是双刃剑。数字化时代里,数据是无形而易复制的,而且能在全球范围里以极快的速度传播开来。如果这些数据是有用的,这当然是一个福音,如果是恶意的,后果则不堪设想。
软件包含的代码可能有上百万行,软件工程师很难保证上百万行代码中没有任何的漏洞。而只要有一个漏洞,就可能引起上百万台计算机感染。互联网赋予了个人能够在一瞬间让全世界网络瘫痪的能力。想象一下如果WannaCry是恶意瞄准某一个领域进行攻击,比如英国医疗系统,那么后果将更为严重。
第二个残酷的现实是,伴随着物联网的不断发展,万物互联已经成为一种趋势,这又是一把双刃剑。物联网一方面方便了人们的生活,另一方面也让安全隐患更容易暴露出来。未来黑客不仅能袭击计算机,而且也能袭击我们的汽车、心脏起搏器、冰箱、智能电网等。今天是文件被加密,明天就可能是汽车门锁被加密,导致里面的人只有砸坏车窗才能逃脱。
好在人们已经找到了把危害降到最低的途径。产品的监管者可以要求未来的那些可连接的小发明都留有简单的安全性能,比如可以升级的软件,以防被攻击,或者在被攻击后能采取补救措施,通过安装补丁来解决。软件公司也有责任定期向用户汇报产品中的缺陷。虽然现在的软件还不可能做到完全没有漏洞,但至少软件公司要提醒用户定期维护他们的电脑。此外,保险行业还可以通过完善保险政策来鼓励用户将系统更新到最新版本。
这次攻击反映了政府面临的严峻考验。事实上,WannaCry病毒是黑客盗走了多年前美国国土安全部(NSA)发现的微软系统漏洞后开发出来的反攻击工具,随后将其作为攻击手段散布到网上。因此NSA受到了微软的强烈谴责,原因就是NSA发现了这一漏洞后,并没有告知微软,而是利用了这一漏洞进行间谍活动。微软要求政府部门将来无论发现何种漏洞,都应该第一时间通知软件公司,从而让软件公司能及时开发出相应的补丁,保护所有网络使用者的安全。
与此同时,一个新兴的行业开始蓬勃发展——“漏洞猎头”。大型软件公司为了在全球范围搜集漏洞,通常会向提供漏洞的人支付一笔价格不菲的奖金,从2万美元到20万美元不等,比如谷歌的奖金甚至高达20万美元。
专业搜集漏洞的经纪公司也应运而生,目前全球范围有超过20个这样的经纪公司,它们从自由职业黑客那里购买漏洞,以更高的价格卖给希望利用这些漏洞的机构,这些客户就包括美国和欧洲的政府情报部门。比如发现一个攻击iPhone漏洞的奖励就已经从此前的50万美元涨到150万美元,增长了整整两倍;针对网络浏览器的漏洞奖励也从5000美元左右升至好几万美元。
因为计算机安全事故一旦发生,解决方案的成本很高,这也导致越来越多的声音呼吁政府与软件公司共享网络安全信息。但政府原本能够通过所掌握的系统漏洞对有组织的犯罪和恐怖分子进行监视和打击,这样能降低间谍活动的成本。
对此,有安全专家指出,政府也能通过其他方法和监视仪器潜入敌方网络进行间谍活动,并非一定要利用广泛使用的软件系统漏洞。因为毕竟当计算机已经无处不在时,保障每个人的安全才是最重要的。
本文转自d1net(转载)