在情况得以稍微缓解的现在我们不禁会问:这件事到底是谁干的?
目前还没有答案。
用360核心安全团队负责人郑文彬的话说,勒索病毒的溯源一直是比较困难的问题。曾经FBI悬赏300万美元找勒索病毒的作者,但没有结果,目前全球都没有发现勒索病毒的作者来自哪个国家。 但从勒索的方式看,电脑感染病毒之后会出现包括中文在内十五种语言的勒索提示,且整个支付通过比特币和匿名网络这样极难追踪的方式进行,很有可能是黑色产业链下的组织行为。
勒索病毒是2013年才开始出现的一种新型病毒模式。2016年起,这种病毒进入爆发期,到现在,已经有超过100种。
勒索病毒通过这一行为模式获利。比如去年,Crypto Wall病毒家族一个变种就收到23亿赎金,近几年苹果电脑、安卓和iPhone手机也出现过不同类型的勒索病毒。
虽然下黑手者目前还找不到,但其所用的工具,却明确无误地指向了一个机构——NSA(National Security Agency),美国国家安全局。
这一机构又称国家保密局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。黑客所使用的“永恒之蓝”,就是NSA针对微软MS17-010漏洞所开发的网络武器。
事情是这样的:NSA本身手里握有大量开发好的网络武器,但在2013年6月,“永恒之蓝”等十几个武器被黑客组织“影子经纪人”(Shadow Breakers)窃取。
微软已经在今年3月放出针对这一漏洞的补丁,但是,是由于一些用户没有及时打补丁的习惯,以及全球仍然有许多用户在使用已经停止更新服务的Windows XP等较低版本的缘故,许多人其实无法获取补丁。因此,比特币勒索病毒得以在全球造成大范围传播。加上“蠕虫”不断扫描的特点,很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。
于是新一个问题来了:NSA为什么会知道微软的漏洞并且制作了专门的网络武器,而且这些武器中的一部分还落到了黑客的手里?
实事求是地说,作为操作系统之一,Windows的构成动辄几亿行代码,中间的逻辑关系不可能一个人说了算,因此出现漏洞是很难消除的。而Windows又是世界上使用最普遍的操作系统,因此被黑客看中而研究漏洞并攻击获利实在是很“正常”的事情。但作为美国国家安全局,盯着这个系统的漏洞也就罢了,还专门搞武器,这是什么道理?
事实上,在黑客组织曝光这一漏洞之前,微软自己也不知道漏洞存在。也就是说,只有NSA知道漏洞存在,至于知道了多久,也只有他们自己知道。在网络安全专家看来,很可能的情况是,NSA早就知道这个漏洞、并且利用这一漏洞很久了,只不过这次被犯罪团队使用了,才造成如此大的危害。看来,网络“漏洞”已经成为了兵家必争的宝贵战略资源。换言之,通过网络对现实发起攻击,早已不是科幻电影的场景专利,而是已经发生的现实。在此次“永恒之蓝”爆发之后,《纽约时报》的报道就称,“如果确认这次事件是由国安局(NSA)泄漏的网络武器而引起的,那政府应该被指责,因为美国政府让很多医院、企业和他国政府都易受感染”。
按照NSA自己的说法,他们的职责应该是“保护美国公民不受攻击”,他们也曾指责很多国家对美国实施网络攻击。但事实恰恰相反,被他们指责的国家都是此次病毒的受害国,他们自己用来“防御”的网络武器,则成了黑客手中攻击美国公民的武器。
用美国全国公共广播电台(NPR)的话说就是,“这次攻击指出了一个安全领域根本性问题,也就是国安局的监控是在保护人民还是制造了更多不可期的损害,甚至超出了其好处”。
顺带一提,为什么犯罪分子非要比特币呢?首先,比特币是一种电子虚拟货币,来无影去无踪,不容易留下痕迹。这种货币的流通价值不受政府和银行操纵,可以全世界流通,独立性和匿名性很好,最受那些一生放纵不羁爱自由的极客们喜爱。
对那些干着违法买卖的毒品贩和职业犯罪者来说,比特币也是最保险的金钱流通方式。全球目前有一千六百万比特币,2017年3月的数据表示,1比特币约合1万多人民币。
其实类似比特币恶意勒索软件事件屡有发生,但这一次的规模之大、影响之广泛、被黑机构之高层,史无前例。
NSA当然应该反思,虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题:网络安全,到底掌握在谁的手里?
就此次而言,美国政府内部的决策流程更值得被诟病。其内部有个简称为VEP(Vulnerability Equity Process)的流程,其用处是,当NSA或美国其他政府部门发现一个软件的漏洞,要走这个流程,决定是不是把漏洞公开。把漏洞公开,微软等厂商很容易就能制造出补丁,漏洞就消失了;不把漏洞公开,这些政府部门就可以自己留着用,用于“执法、情报收集或者其他’攻击性’利用”。
虽然这一被奥巴马政府创造的流程既不是法律也不是总统令,但从2008年一直实施至今。在美国之外的其他国家人民看来,这一流程显然是有问题的:这一近乎可以被称为“黑箱”的流程,整个世界的网络安全风险全由美国的内部机制决定,其他人不明不白地就被暴露在了风险面前。
对此,微软总裁Brad Smith也在自己的博客上愤怒地说,“如果这些政府部门继续躲在暗处挖掘全球电脑系统的漏洞,然后制成所谓的’武器库’用来攻击别国或是’买卖’,那么你们就是网络犯罪的帮凶!”
从这个意义上说,习近平多次讲“没有网络安全就没有国家安全”,绝对是有的放矢的。试想,这次病毒还是在可控范围内的,下一次如果网络攻击的规模更大、目标更明确呢?
从中国的角度看,在大多数人印象中,上一次如此规模的病毒爆发,大概还要追溯到十几年前的“熊猫烧香”。而像此次的病毒这样,一旦中招几乎无解、面临自身重要资料被“绑架”的严重情况,也属罕见。
而从各地的反应看,对于网络安全的重视程度显然也不一样。国家网信部门,以及上海、北京等省市,几乎在13日就发布了应急通告。15日上午发生的感染,中西部省份则偏多。也有业界专家指出,像政府、企事业单位、校园等机构,很多领导对网络安全的概念还停留在“电脑中毒了就找人杀杀毒”的地步,很多也觉得“有了内网的物理隔绝就没事儿”,观念和防护措施都相当滞后。
事情还未收场,引起的课题和震撼就已经足够多。这就像是一场公共卫生事件,是平时对安全的重视和组织程度,决定了瘟疫能在多大程度上扩散。不得不说,这是一堂非常生动、非常深刻的网络安全教育课。
毕竟,今天我们的个人信息、资产、资料等已经越来越多地与电脑、与网络相联系,而这一过程却不可逆。分析了这么多,此次的比特币勒索病毒幕后黑手究竟是谁?朋友们,你们怎么看呢?