WannaCry全球黑客攻擊本可以更糟糕得多 - 彭博社

插圖：731在5月12日的早晨，計算機系統被勒索，因為一場網絡攻擊開始在全球範圍內傳播，影響了西班牙的電信公司Telefónica SA、法國汽車製造商雷諾SA以及俄羅斯內政部，並使英國醫院癱瘓。這段惡意代碼已經影響了150個國家的數千家公司中超過300,000台運行微軟Windows的計算機。一切聽起來都很嚴峻。事實上，我們運氣不錯。

WannaCry勒索軟件，即所討論的代碼，工作相當粗糙。它實現了基本功能：通過網絡中的計算機傳播，加密機器上的所有內容，並要求支付以恢復內容的原始形式。但它無法像複雜的惡意軟件那樣逃避調查——複雜的惡意軟件旨在避免被用於檢測危險代碼的系統。根據網絡安全公司Recorded Future的勒索軟件專家艾倫·利斯卡的説法，WannaCry在摧毀計算機上的備份內容時也更加明顯，因此更容易被阻止。另一個幸運的因素：幾小時內，英國的一位安全研究人員發現了惡意軟件中的一個未註冊網址。他能夠註冊該域名，禁用了代碼用於傳播到更多計算機的關鍵機制。WannaCry的業餘性質也體現在其底線。黑客要求以數字貨幣比特幣支付贖金，但截至5月16日，他們為贖金設置的錢包顯示他們僅收集了超過71,000美元。

彭博社商業週刊不是囚犯。尋求庇護者佔據了拜登承諾關閉的監獄美國正在用尋求庇護者填滿臭名昭著的前監獄大學橄欖球需要向大聯盟學習一課那些銷售比職業選手更多棒球棒的網紅兄弟們我們不能再依賴運氣了。這些攻擊正成為21世紀的典型犯罪，毫無掩飾地向我們襲來。這次攻擊在一個多月前就已預示。這時，一個自稱 影子經紀人 的團體發佈了一套針對Windows操作系統的黑客工具，聲稱是從美國國防部的情報機構國家安全局竊取的。研究人員已經警告了數週，犯罪分子將開始在脆弱的系統上使用這套工具。

公司和機構可以做些什麼來避免這些攻擊？理論上這很簡單，安全專家幾十年來一直重複同一句話：“只需打補丁。”也就是説，安裝替換漏洞的代碼，以阻止黑客入侵。微軟公司在3月份發佈了一款“關鍵” 補丁，修復了影子經紀人工具所利用的漏洞。

當微軟、蘋果公司和其他科技製造商自動更新他們的機器時，消費者會立即得到修復。但對於預算緊張的機構來説，這並不簡單。英國國家健康服務體系就是一個例子。它的許多計算機仍在使用Windows XP操作系統——如此陳舊，以至於軟件製造商不再支持，自2014年以來沒有發佈補丁。國家健康服務體系確實支付給微軟以繼續發佈特殊補丁，直到2015年，但在緊縮措施中，它結束了550萬英鎊（710萬美元）的支持協議。當微軟對攻擊做出反應併發布緊急補丁時，為時已晚。患者被困，緊急服務癱瘓。

“你在任何地方都把這扇門敞開，即使你並沒有使用它。總有一天，會有人走進來。” —內森尼爾·格萊徹，奧巴馬政府網絡安全政策主任

公司和政府機構有時有充分的理由不迅速修補。複雜的計算機網絡、脆弱的定製代碼以及單純的官僚慣性意味着組織需要花費很長時間來測試補丁，以確保它們不會破壞任何東西並導致嚴重的網絡停機。而且補丁確實會導致計算機出現故障：一些 用户去年批評 微軟，當升級到Windows 10時“磚化”了他們的電腦，使機器變得毫無用處。金融服務行業——已經是網絡安全最大投資者之一——在其過程中如此徹底和謹慎，以至於從識別漏洞到修復它，平均需要 176天，比幾乎任何其他行業都要長，根據NopSec Labs的研究。

相比之下，醫療機構的平均時間為97天，NopSec表示。醫院和醫生辦公室面臨着平衡安全與提供醫療服務需求的額外挑戰，患者在週末並不會停止前來就診，以便關鍵系統可以下線。大多數時候，改善網絡安全的緩慢步伐只會受到輕微懲罰。在WannaCry和NHS的案例中，結果是一次懲罰——這可能促使改革。

“像這樣的事件提高了公眾的意識，發生得越多，對某種政府反應的需求就越大，”前Gartner Inc.分析師、現MetricStream首席佈道者的法蘭西斯·考德威爾説。MetricStream是一家制作風險分析和合規軟件的公司。“人們必須死去或損失大量金錢，政府才會介入進行監管。”

WannaCry的混亂重新點燃了硅谷關於最終誰應承擔責任的激烈辯論。是客户的錯，因為他們拖延並未能應用微軟標記為“關鍵”的補丁嗎？還是技術供應商的錯，因為他們創造了一個讓古老軟件如Windows XP和Server 2003在願意支付額外費用的用户中無限期維持生命的系統，這種做法只是讓不安全的軟件在市場上流通更久？“可以説，考慮到漏洞的嚴重性，他們應該為XP和Server 2003提供補丁，而不僅僅是為那些支付高額費用以獲得微軟支持其遺留軟件的組織提供，”位於加州桑尼維爾的電子郵件安全公司Proofpoint的網絡安全戰略高級副總裁瑞安·卡倫伯表示，該公司的技術每天掃描10億封電子郵件。“明確來説，微軟更希望公司升級並充分利用最新版本的所有好處，而不是選擇定製支持。安全專家一致認為，最佳保護是使用現代、最新的系統，結合最新的深度防禦創新，”一位微軟發言人在電子郵件聲明中説。

A 博客文章由微軟總裁布拉德·史密斯指出美國政府，稱此次攻擊是對軍事和情報機構的“警鐘”，呼籲他們停止囤積利用潛在網絡對手數字漏洞的工具。這一批評得到了俄羅斯總統弗拉基米爾·普京的呼應，他將WannaCry攻擊歸咎於NSA及其工具包，稱其對他的國家造成了特別嚴重的影響。與此同時，研究人員急於弄清楚勒索軟件背後的黑手，發現WannaCry與針對朝鮮的攻擊中使用的代碼之間存在相似之處。

如果每個人都能更好地準備，犯罪者的身份就不那麼重要了。修補是必要的，但這不是唯一的解決方案，前司法部檢察官和奧巴馬總統任內白宮網絡安全政策主任內森尼爾·格萊徹表示。他現在是Illumio的網絡安全戰略負責人，該公司幫助企業阻止網絡威脅在網絡、數據中心和雲中橫向傳播。那些知道自己脆弱但不想關閉關鍵系統進行修補的公司，可以通過關閉惡意軟件使用的計算機端口來減少潛在影響；在Shadow Broker工具和WannaCry的情況下，就是445端口。防禦者必須更像對待物理安全那樣考慮網絡安全。“你在每個地方都留着這扇門開着，即使你不使用它。在某個時刻，總會有人走進來，”格萊徹説。

安德魯·温斯頓，德克薩斯大學奧斯汀分校的管理科學與信息系統教授，一直在努力展示如果政府更積極地介入評估公司的安全狀態並給予公開評級，可能會發生什麼。他的研究利用來自數千個商業網絡的垃圾郵件和網絡釣魚郵件數據為公司提供安全評級，表明政府政策將促使公司在安全方面投入更多，受到消費者意識的驅動。“假設你必須去醫院，除了檢查醫生，你還會檢查安全級別，”温斯頓説。“如果根據政府的排名，這個地方並不是很安全，你會説，‘好吧，我再開幾英里去一個更安全的地方。’”

沒有簡單的方法可以阻止公司堅持使用有缺陷的過時軟件。但隨着互聯網連接設備在以前無法想象的地方部署，從電錶到心臟起搏器，其中一些沒有內置的安全控制，風險只會越來越高，霍洛網安全公司的創始人弗蘭克·鄒説。這些設備成為新的感染門户。鄒説：“沒有理由不期待未來的攻擊超越醫療保健組織，波及其他關鍵的國家基礎設施，如核能、水處理廠、空中交通控制，或國家的金融或通信系統。”事實上，Shadow Brokers在5月16日聲稱發佈的一份在線聲明承諾提供“本月數據泄露”服務，出售更先進的黑客工具。下次我們需要更好的運氣——或者更好的準備。 (在第九段添加了微軟公司的評論。)

結論： WannaCry計算機黑客攻擊波及150個國家的30萬台機器。情況本可以更糟，更糟。