前不久,永恒之蓝席卷全球,已经有90个国家遭到攻击。国内教育网是遭到攻击的重灾区。在6月27日,新的病毒“Petrwrap”由乌克兰和俄罗斯开始爆发,逐渐蔓延到欧洲多国。据专家介绍,“Petrwrap”病毒通过 Windows 漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。而这种勒索病毒在内网系统中,主要通过主要通过 Windows 管理体系结构(Microsoft Windows Management Instrumentation),和 PSEXEC(SMB 协议)进行扩散。
“Petrwrap”杀伤力不容小觑
在6月27日,俄罗斯和乌克兰首先遭到“Petrwrap”病毒的攻击,乌克兰政府、银行、供电网络和交通枢纽均遭到攻击——乌克兰的一些地铁站和机场遭到攻击,电力供应系统遭到破坏,乌克兰副总理罗岑科•帕夫洛还在推特上发布了一张黑暗的电脑屏幕的照片,并称政府总部的电脑系统因受到攻击已经关闭。
更要命的是,乌克兰切尔诺贝利核电站也遭受病毒攻击,乌克兰当局不得不派出技术专家进行处理,以免出现核泄漏。而且由于“Petrwrap”病毒的影响,工业区内的监测系统则改由人工操作,核电站工作人员不得不手持仪器在辐射区检测辐射状况,核电站的网站也要暂时关闭。
除了乌克兰之外,俄罗斯、英国、法国等都用用户遭到病毒感染。和之前的“Wanna Cry”不同,一旦被“Petrwrap”病毒感染,电脑就会被加密而无法使用。
虽然就目前为止,“Petrwrap”造成的影响相对于“Wanna Cry”要逊色一筹,但考虑到包括切尔诺贝利核电站、乌克兰中央银行、乌克兰政府等均被病毒感染,“Petrwrap”的杀伤力不容小觑。
微软的操作系统难保没有预先留得后门
由于现在的和操作系统是一个非常复杂的系统,但代码依旧是由人来编写的,这就很难不出现失误或者疏忽,从而产生漏洞。加上美国科技公司有配合政府收集情报的惯例——斯诺登就披露了微软、雅虎、Google、Facebook、Paltalk、YouTube、Skype、美国在线、苹果等公司先后加入了棱镜项目。这样一来,就很难保证国外的软件或者硬件列没有刻意植入的后门。
从永恒之蓝的情况看,微软的操作系统很可能就事先预留了后门。
在事件发生后,微软总裁史密斯猛烈抨击美国政府,要求当局停止这种偷偷私藏安全漏洞留待日后使用的做法。以及黑客从美国国家安全局(NSA)盗取攻击工具的事实,很显然,这些攻击武器是美国国家安全局的御用黑客工具。
然后,微软的这种做法,颇有把责任甩给美国政府,以摆脱信誉危机的嫌疑。目前,受病毒影响的操作系统包括 Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0、Windows 10早期版本。很难想象微软在这么长的时间里,将存在漏洞的代码一直保留至今,而没有修改或重写。考虑到棱镜事件的先例,永恒之蓝这个漏洞很有可能是微软给美国情报部门留的御用漏洞。
美国情报部门根据漏洞开发攻击工具
之前永恒之蓝席卷全球,其实是利用了微软的MS17-010漏洞。黑客利用漏洞把蠕虫病毒植入被攻击电脑,被控制的电脑又会去扫描其他电脑,最终以多米诺骨牌的方式不断感染其他电脑。
而且永恒之蓝能造成如此大的影响,和美国国家安全局脱不了干系。MS17-010原本是美国国家安全局(NSA)旗下组织“方程式小组”御用的0Day漏洞。“方程式小组”是国家级的攻击者,使用“震网”病毒破坏伊朗核设施的行动就是出自“方程式小组”的手笔。
如果认为美国国家安全局只开发了永恒之蓝,你就OUT了,根据维基解密资料,CIA针对从Windows XP覆盖至Windows 10的间谍攻击计划——优先组代号雅典娜,后备组代号赫拉。雅典娜和赫拉由CIA和著名主动式安全软件公司Siege Technologies合作开发。目前,雅典娜的攻击范围从Windows XP至Windows 10;赫拉的的攻击范围从Windows 8到Windows10。
根据维基解密介绍:雅典娜和赫拉的可以在用户毫无知觉的情况下取得控制设备的最高权限,并且窃取、或者是删除特定的文件,亦或者将特定的文件传送至CIA的服务器。而且雅典娜和赫拉可以无视诸如卡巴斯基这类杀毒软件或安全工具。
虽然在近两年内,没有爆发雅典娜和赫拉引发大规模黑客攻击的事件。但永恒之蓝也是被黑客盗走之后,才引起了上百个国家被攻击的恶劣事件,没准CIA已经利用雅典娜和赫拉对中国、俄罗斯的高价值目标进行了多次攻击,只不过这种国家级攻击事件只在小范围内被知晓,未被媒体报道。
微软漏洞防不胜防,应采用国产操作系统替换
从之前永恒之蓝病毒爆发的情况看,不少安装linux衍生版操作系统的电脑和苹果电脑逃过一劫。而采用物理隔离的中国公安系统却被病毒感染。从中可以看出,物理隔绝并不安全,以及这些病毒都是针对Windows开发的。
虽然国内单位开发的linux衍生版操作系统未必没有漏洞——以目前软件的复杂度,只要代码还是人类编写的,在开发过程中的无心之失留下漏洞是无法避免的。但是linux衍生版操作系统有一个优势,就是国内单位可以自己修改——对于Windows而言,即便国内工程师千辛万苦做出了有益的修改,但也会因为违反版权协议中“禁止逆向工程”条款而被起诉,因此只能等待微软打补丁了。但linux衍生版操作系统国内单位觉得部分代码有问题,就可以自己修改掉。这样相对于等着微软打补丁更加主动。
何况Linux是开源的,全球的程序员、安全专家、社区、大公司都可以审查代码,相对于闭源的Windows,这种审查力度是无法比拟的。
目前,中国的党政军(办公)、金融、能源、工控、医疗、交通、教育等诸多领域大多采用国外的基础软硬件。一旦将来爆发网络战,由国家级攻击者使用美国情报部门开发的黑客工具进行攻击,则很有可能瘫痪中国经济社会的正常运行。正如本次遭到攻击的乌克兰政府、银行、核电站、机场、地铁等等。
如果更换为国内单位开发的操作系统,一方面可以扶持本土操作系统厂商,同时还能够通过政府规模使用,实现发现问题——解决问题的螺旋式提升。无论对于壮大本土操作系统厂商的技术实力,还是提升国家信息安全,都有着积极的意义。
本文作者:铁流
本文转自雷锋网禁止二次转载,原文链接