勒索病毒爆发前微软早就开发了WindowsXP补丁但秘而不宣
上周五,在震惊全球的Wannacry勒索蠕虫病毒爆发当天(香菇病毒),微软第一时间就发布了导致病毒大面积肆虐MS17-010漏洞的WindowsXP补丁(微软同时发布了winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁)。对于安全业内人士来说微软能在如此短的时间内开发并发布WindowsXP补丁并“不科学”,更合理的解释是:微软早就准备好了WindowsXP的补丁,只是出于某些原因并未提供给全球的WindowsXP用户。
事实上早在今年3月份,微软就已经了解到这个漏洞并且开发了windows全系产品的补丁,但不幸的是,根据金融时报的最新报道,微软出于商业目的考虑,有选择性地推送补丁,免费给Windows 10系统用户推送,而对继续使用WindowsXP这样已经停止技术支持的老版本Windows系统的“钉子户”,微软采取了收费更新策略,而且更新的费用很高,这直接导致大量WindowsXP用户难以负担而选择不升级。
对此,微软的发言人告诉美联社的记者表示:“对于那些不愿意升级Windows系统的用户来说,可以选择跟微软签订定制化技术支持服务协议作为权宜之计。”
根据金融时报的报道,2014年微软停止WindowsXP技术支持时,升级windows系统的成本约为每台设备200美元,第二年就暴涨到了400美元。微软还对一些客户给出了更高的收费标准。
如此高的升级费用导致wannacry勒索病毒的第一批受害者之一——英国国家医疗服务体系这样的机构都无法负担,当然也包括大量在本次勒索病毒攻击中中招的交通、能源、政府、金融、电信、教育等机构用户也都面临类似的问题而没有选择升级。
但是Wannacry勒索病毒的重灾区中国,除了WindowsXP升级费用门槛之外,盗版泛滥也是一个重要因素,纽约时报就曾撰文指出:
安全公司 F-Secure 的研究人员认为,大量运行盗版 Windows 的计算机或许为勒索软件的入侵打开了方便之门。 目前并不清楚是否所有遭该勒索软件入侵的中国企业与机构都在使用盗版软件。BSA 去年进行的一项研究发现,2015 年中国计算机上安装的软件有 70% 没有获得正当授权。一位学习网络工程的人士将这次袭击的大面积传播归因于许多问题,盗版是其中一个因素,“目前大多数的学校,全部都是用盗版软件的,包括 操作系统和专业软件,在中国,大部分人用的 Windows 都是盗版的,这就是一个现状吧。”周一,中国的一些机构还在清理因这次袭击而瘫痪的系统。中国三大国营电信运营商之一中国电信上周末也出现了类似的混乱景象,该消息来自一名没有被授权谈判此事的员工。这名员工表示,公司提供的软件补丁不起作用,之后被告知使用奇虎360的一个补丁,后者支持盗版和授权过期的 Windows系统。
除了盗版之外,安全业界对病毒“幕后真凶”的跟踪分析其归属地指向朝鲜的黑客组织Lazarus,考虑到wannacry迄今在赎金方面的收入微不足道(只有数万美元,与攻击规模和造成的损失不成比例),以及wannacry爆发的时机与朝鲜导弹试射时间窗口重叠,包括华盛顿邮报在内的多家媒体认为wannacry勒索病毒的爆发带有政治动机。
微软第一反应是甩锅给NSA和用户
上周微软在wannacry勒索病毒爆发后不久就快速反应,微软负责法务的总裁Brad Smith在微软官方声明中指责NSA对此次病毒爆发负有不可推卸的责任,随后国内外安全专家在社交媒体上也普遍把矛头对准了奥巴马时代开始执行的VEP政府情报机构漏洞披露机制(是选择囤积战备还是披露给厂商打补丁的一个决策流程)。下面我们回顾一下微软声明的部分内容,有心的读者可以自行脑补:
周五以来,我们就24小时连轴工作帮助实践中受影响的用户,这些工作还包括协助那些已经失去技术支持的老用户,…作为科技公司,我们微软对于网络攻击响应责无旁贷。微软拥有超过3500名安全工程师,负责全面应对网络安全威胁,从持续更新到高级威胁防御服务(ATP)。具体到本次事件来说,我们三月份就开发和发布了补丁,上周五第一时间更新了Windows Defender来检测WannaCrypt攻击。
事实上,本次攻击表明,网络安全是科技公司和用户的共同责任,在(win10)补丁发布长达两个月时间后依然有如此多的电脑(WindowsXP)存在漏洞就是最好的说明。这次攻击也为企业敲响了警钟:及时打补丁人人有责,应当得到高管的支持。
此外,这次攻击再次凸显了一点,那就是政府囤积漏洞是多么的危险。此前我们在维基解密上看到过CIA“窖藏”的漏洞,如今又是NSA泄露的漏洞给全世界用户带来了灾难。再一次,政府手中的漏洞泄露到公众领域引发灾难,这就好比美国军方丢失了一批战斧式巡航导弹。
本文转自d1net(转载)