每日經(jīng)濟新聞 2017-05-17 00:56:14
王健飛
從5月12日開始,一款名為“WannaCry”的比特幣勒索病毒席卷全球。該病毒先是從歐洲爆發(fā),在相繼襲擊了西班牙電信、英國國民衛(wèi)生服務體系、聯(lián)邦快遞等大型機構(gòu)的計算機后迅速蔓延至全球。在國內(nèi),部分高校和企事業(yè)單位的計算機成了WannaCry的第一批受害者。
根據(jù)報告,截至2017年5月15日零時,全球近百個國家超過10萬家組織和機構(gòu)被該病毒攻陷。在我國國內(nèi),僅12~13日兩天時間就有29000個公網(wǎng)IP地址遭到感染,而更多非聯(lián)網(wǎng)IP還是暫時無法監(jiān)測的,這也意味著潛在受害者可能更多。
仿佛是在一夜之間,我們似乎又回到了那個不敢隨便登錄不明網(wǎng)站、在電腦上插入一個U盤就要擔驚受怕的時代。這也警示電腦用戶,所謂互聯(lián)網(wǎng)“變得更安全了”可能只是一種錯覺——互聯(lián)網(wǎng)并沒有越來越安全,只是危險變了花樣。
在WannaCry爆發(fā)之后,很多人提到了“熊貓燒香”病毒。在國人的經(jīng)驗里,似乎自“熊貓燒香”之后,再沒有一款病毒像剛剛爆發(fā)的WannaCry那樣引起社會的廣泛關(guān)注了。
的確,過去數(shù)年來,蠕蟲病毒數(shù)量一直在下降。根據(jù)國家互聯(lián)網(wǎng)應急中心(CNCERT)《互聯(lián)網(wǎng)安全威脅報告》2016年12月(總第72期)顯示,當月中國境內(nèi)總計感染終端281萬個,其中蠕蟲病毒66萬,木馬病毒有215萬之多。
蠕蟲病毒逐漸減少的最重要原因是:制作蠕蟲病毒的作者無法從蠕蟲感染中獲得利潤。
在“熊貓燒香”事件之后,中國的黑客們意識到制造和傳播病毒所存在的巨大風險,因此紛紛轉(zhuǎn)向灰色產(chǎn)業(yè)和黑色產(chǎn)業(yè)以尋求更高的收益,而病毒也不再以“破壞用戶電腦”為主要發(fā)作形式。中了蠕蟲病毒之后,電腦會變慢、文件會打不開、程序會崩潰,可木馬病毒十分追求“用戶體驗”——它靜默地運行在后臺,可以做到讓用戶毫無察覺。
木馬病毒可以控制感染者的電腦,使整個電腦都為黑客所用。在木馬病毒的整個黑色鏈條中,一臺肉雞(被感染的電腦)宛如在一個現(xiàn)代化的雞肉加工流水線上:會有專門的人判斷機器性能如何,是否可以用于攻擊他人的電腦、是否可以用于搜集某些數(shù)據(jù)、是否可以直接盜取機主的銀行或理財信息等。
木馬病毒背后的產(chǎn)業(yè)鏈要做到的是“物盡其用”,在剩余價值被完全榨干之前,病毒一般不會選擇“盜取賬戶”這種會直接引起用戶警覺的行為。這正是讓許多用戶誤以為“自己很久沒中過毒”的原因。甚至于,在WannaCry之前,可能已有其他的木馬病毒入侵了用戶的電腦,但卻沒有引起廣泛注意,因為他們不會影響電腦的正常使用。
在2013年以前,涉及勒索、轉(zhuǎn)賬、匯款的病毒并不是一個好主意。因為黑客在銀行的每一筆支取都是有據(jù)可循的。這會直接讓黑色產(chǎn)業(yè)鏈曝光于陽光之下。直到比特幣出現(xiàn)。
“比特幣勒索病毒”這個媒體創(chuàng)造的名稱,其實很有誤導性。這個名字好像在說“是比特幣勒索了你”,但這個病毒的實質(zhì)是——病毒的生產(chǎn)者勒索了你,它索要的贖金是比特幣——一種可以完全隱藏收款賬戶身份的虛擬貨幣。正是由于比特幣的存在,讓全球勒索相比盜刷信用卡之類的犯罪,變得更加低成本和低風險。
比特幣社區(qū)并不想替黑客背這個黑鍋,但也承認這次勒索病毒肆虐的原因與比特幣的特點有很大關(guān)系。比特幣并不由任何特定機構(gòu)發(fā)行和管理,它像是一個完全透明的銀行機構(gòu)。我們可以從區(qū)塊鏈賬簿(記載著有史以來所有比特幣交易的數(shù)據(jù)庫)中看到有多少人向黑客繳納了“贖金”,但卻無法知道黑客是誰。
在此次“勒索”事件中,目前情況顯示比特幣并沒有大量流入黑客的賬戶,而且這一數(shù)字貨幣的“安全性”確保了沒有人能追回這些贖金。盡管如此,比特幣圈內(nèi)對“直接勒索用戶”這種黑客的新興變現(xiàn)渠道并不看好,原因主要有兩點:其一,對普通人來說,繳納贖金的過程太為復雜;其二,目前很多國家(中國、美國和歐盟一些國家),對比特幣與實體貨幣之間的兌換設(shè)置了實名制關(guān)卡,在比特幣提現(xiàn)過程中會存在一些風險,這對黑客來說并不真的“安全”。
其中第一個問題是比特幣圈內(nèi)認為這次黑客勒索資金規(guī)模并不算大的主要原因——黑客這次按照不同的地區(qū)定制了不同的價格,希望廣撒網(wǎng)“薄利多銷”。但對于普通用戶而言,沒有那么多數(shù)據(jù)重要到能驅(qū)動他們從頭到尾學習如何交易比特幣。而會用比特幣的用戶往往都是“極客”,對電腦的防護比較到位。
在病毒爆發(fā)的第一時間,有人將這次病毒的爆發(fā)指向了落后的操作系統(tǒng)——在最初的報道中,不乏學校機房、企事業(yè)單位的公用電腦成為最早被感染的受害者。病毒爆發(fā)后不久,微軟破例針對已經(jīng)終止后續(xù)維護的Windows XP發(fā)布了修復漏洞的補丁,但對XP以后的系統(tǒng)卻并沒有推出專門的補救措施,原因很簡單:所有在微軟生命周期內(nèi)的Windows系統(tǒng)都已于今年3月的月度安全更新中,修正了這次病毒賴以傳播的漏洞。
這也解釋了國內(nèi)第一批受感染的電腦為什么出現(xiàn)在學校和機關(guān)單位:出于統(tǒng)一部署服務和軟件的需要,這些電腦大多運行著落后的操作系統(tǒng)(XP),安全維護無法做到及時全面。因此,它們的漏洞修補只能是“亡羊補牢”。
但是,Windows7、8的中毒用戶也不在少數(shù),這又是為什么呢?原因竟然是這些用戶主動、或者在安全軟件的“幫助”下關(guān)閉了微軟的自動更新。
許多用戶“沒有及時升級系統(tǒng)”的原因恰是因為“善解人意”的殺毒軟件在看準用戶不想更新系統(tǒng)這個需求,提供了“關(guān)閉Win10系統(tǒng)更新”和“關(guān)閉Windows Defender”等功能——許多殺毒軟件摧毀了系統(tǒng)廠商建立的長城,然后用泥巴糊了一道土墻,讓用戶的系統(tǒng)“看起來”安全。
微軟作為操作系統(tǒng)廠商,比任何第三方殺毒軟件都能更早發(fā)現(xiàn)運行于Windows平臺上的病毒以及系統(tǒng)自身的漏洞,并與系統(tǒng)內(nèi)置的權(quán)限組功能配合對安全問題進行修正。從Windows10開始,微軟強制打開所有用戶的自動更新功能,這也導致了在微博和朋友圈里我們總能看到曬“升級”——Windows不合時宜的系統(tǒng)更新為用戶帶來了不少的困擾,但這確實也帶來了全方位的保護。
另外,微軟早在Windows 7開始便在系統(tǒng)內(nèi)置了名為Windows Defender的殺毒軟件。初期的Windows Defender效果并不是很好,但經(jīng)過幾年的發(fā)展,它已經(jīng)成為Windows平臺上最有效的殺毒軟件之一。
其實,普通的正版Windows用戶只要同時開啟自動更新、內(nèi)置防火墻和Windows Defender,其實很難說是否有安裝第三方殺毒軟件的必要。
可無論是自動更新還是這款免費的殺毒軟件,都不受中國用戶的歡迎——在百度上,你能夠搜到許多關(guān)于“如何關(guān)閉Windows Defender”的提問。在普通用戶的認知里,國內(nèi)的一些安全軟件是可以加速并保護電腦的——因為他們會在右下角彈出提示框展示自己的加速功績。而默默在后臺工作的Windows Defender則成為“電腦卡”的罪魁禍首。
那么國內(nèi)這些安全軟件對這次WannaCry的抵御效果到底如何呢?專業(yè)人士在模擬離線環(huán)境(不更新病毒庫)下,對國內(nèi)多款軟件的公眾版本進行了查殺測試,結(jié)果無一攔截成功——而本次受到WannaCry感染電腦中剛好有大量長期不聯(lián)網(wǎng)的內(nèi)網(wǎng)電腦,而這些電腦又沒有做專門的離線殺毒部署。
從這個意義上講,讓我們暴露在WannaCry病毒之下的,其實很可能正是我們自己。
這次事件可以提醒廣大用戶——去勤快地更新系統(tǒng)吧。
(作者為財經(jīng)專欄作家、品玩PingWest特約觀察員,本文轉(zhuǎn)載自公眾號ID:wepingwest)
如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP