《大西洋月刊》发表文章,称WannaCry勒索病毒上周末席卷欧亚大陆,是美国国安局(NSA)漏洞利用程序参与的第一个全球性危机,但不会是最后一个。它是一连串问题发生反应造成的后果。如果其中任何一个问题得到了解决,这样的危机都不会发生。以下为原文内容:
在一周多以前,一名乔伊斯(Joyce)的女子脚部受了伤。她接下来遇到的事情,和美国国安局、一个有几十年历史的陈旧软件、一个用蹩脚英文进行沟通的黑客团体,以及一个并不高明的勒索病毒在互联网上发生的反应扯上了关系。
一个病人的遭遇
退休电工莱斯利上周日发推说:“我家里的计算机,都比英国公共卫生系统的计算机维护得更好,这真是令人尴尬。”
莱斯利的妻子乔伊斯是一名家庭护工。她本月初离开一名客户的家时被门槛绊倒,乔伊斯知道自己的脚受了伤,于是开车到一家急诊室。她照了X光,打上了石膏,然后安排了复诊。到那时,肿胀已经消退了一些。
在她离开之前,医生安排她在5月12日星期五复诊。结果,英国医疗系统当天成为历史上最大一次勒索病毒攻击的受害者。
当乔伊斯和莱斯利当天下午赶到医院时,“接待护士忙成一团,我听说他们的计算机有点问题。”莱斯利说。“接待处挤满了人——各种年龄的,身体各处打着石膏的病人。”
IT团队让护士站关掉PC,但是情况令人困惑。不久,更多的高级职员出现了。这时候,莱斯利听到有人提到“网络攻击”这个词。
“一个衣着笔挺的女人赶到了,然后他们和大家解释说系统崩溃了,他们无法访问X光片和病人记录。如果我们有时间,我们可以等在这里,看看是否可以修好,要不就重新安排复诊时间。”莱斯利说。 “我们当时认为这只是一个局部性的问题,但后来发现当地的其他几家医院也出了这个问题。”当莱斯利夫妇回到家的时候,这个问题已经扩大到了全国范围,不久之后,这个问题席卷了全球。
美国国安局开发了利用漏洞的程序
这次WannaCry(也称为Wcry和WannaCrypt)袭击的开端,可以追溯到2013年之前,美国国安局的一条走廊上,但我们对当时的细节所知不多。概括来说,就是国安局发现了微软SMB V.1的代码缺陷(或者是花钱买到了这个信息)。SMB V.1是一种陈旧的网络软件,供用户共享文件和资源使用,比如共享打印机。虽然SMB V.1早就被更好更安全的软件所取代了,但很多组织仍然在使用它,这些组织出于各种原因,并没有安装新的软件。
这个缺陷就是人们所说的漏洞,它本身并不是特别有趣。然而,国安局根据这个漏洞,写了另一个程序——漏洞利用程序—— 所以任何存在该漏洞的地方,NSA都可以通过这个程序去利用它。 NSA写的程序被名为“永恒之蓝”(ETERNALBLUE),他们用它来做了一些大事。
美国国安局可以秘密访问欧洲银行交易系统SWIFT,特别是SWIFT在中东的交易。在大多数人都眼中,SWIFT是一种支付系统,用来处理信用卡和转移资金。但如果从另一个角度来看,它是由一大批陈旧的Windows计算机组成的,这些计算机在世界各地的办公室里静静运转,不断地通过互联网来互相通话,当然这种通话使用的是计算机之间的语言。
美国国安局利用“永恒之蓝”来掌握这些机器的控制权。一些安全分析师,比如Comae Technologies创始人马蒂厄·苏彻(Matthieu Suiche)就认为,这几年来,美国国安局可以看到(甚至可以改变)流经中东大部分地区计算机的财务数据。很多人都猜测,为什么国安局要这样做,不过这些猜测从未被证实或否认过。
但是,关于漏洞的信息也只不过是信息而已。国安局并不知道是否有其他人发现了这个漏洞,或者是买下了它的资料。他们也不知道是否有其他人在利用它,除非抓到了现行。这一点对于所有的计算机漏洞来说都是一样的。
在2013年,一个叫“影子经纪人”(Shadow Brokers)的黑客团体不仅获得了 “永恒之蓝”,还弄到了美国国安局的大量计划和文件。“影子经纪人”在公开沟通中使用的英语蹩脚得离奇,所以很多人推测他们的母语其实是英语,只不过在努力伪装成英语不是母语的人——但这也是猜测。无论这些黑客来自哪里,他们都偷走了强大的工具以及众多的漏洞信息,最终,他们把这些内容发布了出来。 WannaCry是利用国安局工具掀起的第一个已知的全球性危机。但毫无疑问,这不会是最后一个。
微软发布漏洞补丁的前因后果
几个月前,在“影子经纪人”发布文件之前,有人告诉微软, NSA手中有利用这个漏洞的工具。这人究竟是谁,也有很多的猜测,可能连微软也不知道是谁告诉了他们这件事。无论如何,微软赶在这个漏洞公开之前发布一个修复SMB V.1漏洞的补丁程序。但是微软无法强制任何人打这个补丁,因为是否安装补丁程序必须由用户来自己来决定。微软也没有为太旧的Windows版本提供这个补丁。因为那些旧版本缺陷太多,微软有充分的理由希望人们停止使用太旧的Windows版本——而不仅仅是希望大家购买新的版软件,以便从中赚钱。
这个已经复杂的事情还有另一个细节: SMB V.1是几十年前推出的,微软知道这个软件不是很好,所以这10年来,他们一直在试图放弃它,用更强大和更有效率的版本取而代之。但是,由于这么多人都还在使用它,所以也无法完全丢弃SMB V.1。 WannaCry开始在全球各地兴风作浪时,微软的SMB负责人发了一条很无奈的推文:
“真的很讽刺:Windows不使用也不需要SMB1已经 10年了。使用它的主要是Linux的系统和固件。”
新旧系统的连接程度越高,一个微小变化就会搞糟所有一切的可能性就越大。
我们生活在一个相互连接的世界中,讽刺的是,这种相互连接可能会让事情变得难以改变。这就是为什么有这么多的系统,多年来一直都处于不安全状态的原因,它们包括全球银行系统、西班牙电信、德国列车系统,以及英国卫生服务机构。
勒索病毒的工作原理
那家医院的计算机感染的是勒索病毒计算机蠕虫WannaCry。 勒索病毒会把你计算机上的所有数据都进行加密,然后告诉你要缴纳赎金,才能获得解密的密钥。这个蠕虫可以扫描网络,把自己复制到其他计算机上,完全无需人工辅助,真的是非常生猛。
扫描,指的是计算机发现互联网上不同地址上有什么东西的方法。计算机可以向一个端口发送数据,等待它的回复。就好像有人来到你的门口,试着用各种语言说“Hello!”,直到你说“ni hao”,这时对方就会明白,你说的是中文。
而WannaCry的攻击者寻找的是“说SMB V.1语言”的机器。攻击者发送这些“Hello”,并等待这种机器的回复。一旦收到回复,就会向这种机器发送NSA写的那个漏洞利用程序,以便能够向机器发送一个新的程序。而当一台计算机中招之后,就会运行攻击者发送的这个程序。而这个新的程序就是WannaCry。
当WannaCry运行时,它以特定的顺序执行一些工作。首先,它查看计算机的内存,检查是否已经有另一个WannaCry在这台机器上运行了,如果找到就停下来。如果找不到,它会采取一个奇怪的步骤——WannaCry会在网上寻找一个域名,如果找到了,它也会停下来,什么事情都不做。但如果内存中没有其他WannaCry在运行,并且也找不到那个神秘的域名,那么它将开始扫描其他使用SMB V.1的计算机,如果发现了其他使用SMB V.1的计算机,那么它就把感染过程再重复一次。
同时,WannaCry开始对它已经占领的计算机上的所有文件进行加密。它不会移动文件,甚至也不会读取它们,它只是将它们置于无法辨认的状态。之后,WannaCry就在屏幕上显示一条消息:你要支付价值300美元的比特币,如果你拖延时间,就得交600美元的比特币了。如果你拖过一周,永远不会得到解密密钥了。一周之后,你的文件都变成了无法解密的文本。
WannaCry攻击者很业余?
有线索显示,WannaCry写得不是很高明。它首次安装时检查的那个域名,是一个决定是否继续感染计算机的开关。 (研究人员@MalwareTech在攻击开始不久就发现了它,他注册了这个域名,并将其指向了他控制的服务器,看看它是做什么用的,从而阻止了第一波感染)。
后来,有人(可能就是攻击者本人)编辑了WannaCry,让它去检查另一个域名。这一次,安全机构Comae Technologies创始人苏彻发现了新的域名,也注册了它并将其指向自己控制的服务器——再次阻止了勒索病毒的感染。之后,这个与域名交织的游戏又经历了几次迭代,但是没有人明白为什么会攻击者会使用域名当开关。当然人们对此也有不少的猜测,WannaCry攻击事件中最不缺的就是猜测。
除了了把域名当开关之外,赎金支付系统也做得很业余。大多数赎金支付系统都是自动化的,但是这次的攻击者尽管设计了可以在创纪录的时间内感染互联网的安防,但在支付系统的设置上却很低级,必须单独处理赎金支付和解密过程。这样做无法扩大规模,满足不了全球性攻击的需要。
责任分析1:公司没有更新系统
像大多数安全领域的专家一样,苏彻也将大部分责任归咎于没有更新软件。他说:“公司需要更好的备份策略和最新的系统!今天我们很幸运,还能及早阻止这个病毒的传播,没有遭受进一步的损失,但是我们需要为明天做好准备!”
但是,对于这种容易受到攻击的大型公司来说,脆弱的不仅仅是计算机网络,还有供应商、服务规则和客户网络。也就是说,更新系统会影响到这个系统,没有哪个中层管理人员愿意关闭服务来更新系统,虽然这可能会避免将来受到黑客的威胁——更新系统抵挡住了WannaCry,老板也不会表扬他们。苏彻说,他理解对这些复杂的系统进行升级并不容易,但是“要在这么大的系统上尝试恢复数据也同样不容易。你需要做出选择”。
虽然他说得没错,但是在真实的全球业务环境中,对于很多安全专业人员,甚至是非常好的安全专业人士来说,“正确,但并不总是有用”都是一个烦恼。
责任分析2:国安局私藏漏洞信息
全球网络可能是一个很容易袭击的猎物,但WannaCry的创作者也不是捕食者。他们只是在美国国安局开发了漏洞利用程序的数年之后开展行动的食腐动物而已。
斯诺登泄露的文件显示,早在2013年,当国安局正在使用这些工具,默默地攻击基于Windows的服务器时,微软正与国安局在“棱镜”项目上开展解密信息的合作。如果美国国安局告诉微软这个漏洞的存在,那么补丁可能在几年前就已经发布了,而影子经纪人黑客团体盗窃这个漏洞的信息,以及随后发布NSA漏洞利用程序,就不会对英国那些患者造成影响了。西班牙电信和德国列车系统也会正常运行。世界各地的系统将不会在广告牌、报亭和销售终端上显示“哎哟你的文件已被加密”了。
美国国安局想左右逢源,结果被卡在了中间。
微软首席法务官布莱德·史密斯(Brad Smith)发表了一项声明:“我们需要政府考虑一下,私藏这些漏洞,并开发这些漏洞的利用程序,可能给平民带来的伤害。”
他表示:“为什么我们要在今年2月份召开的一个新的‘数字日内瓦公约’来处理这些问题,这就是原因之一。公约要求政府向供应商报告漏洞,而不是私藏、销售或利用这些问题。”
WannaCry没有成为灾难,但它可能会成为灾难。这个警世故事显示了当间谍机构、技术债务和计算机文盲发生冲撞时,会出现什么样的状况。一场生态灾难正在等待发生,虽然这个生态系统是人造的。 和处理疾病、污染或环境破坏相比,应对这个问题的重要性不遑多让,只是它并不是那么显眼,因为这个生态是我们自己建造的。
本文转自d1net(转载)
