WannaCry全球黑客攻击本可以更糟糕得多 - 彭博社

插图：731在5月12日的早晨，计算机系统被勒索，因为一场网络攻击开始在全球范围内传播，影响了西班牙的电信公司Telefónica SA、法国汽车制造商雷诺SA以及俄罗斯内政部，并使英国医院瘫痪。这段恶意代码已经影响了150个国家的数千家公司中超过300,000台运行微软Windows的计算机。一切听起来都很严峻。事实上，我们运气不错。

WannaCry勒索软件，即所讨论的代码，工作相当粗糙。它实现了基本功能：通过网络中的计算机传播，加密机器上的所有内容，并要求支付以恢复内容的原始形式。但它无法像复杂的恶意软件那样逃避调查——复杂的恶意软件旨在避免被用于检测危险代码的系统。根据网络安全公司Recorded Future的勒索软件专家艾伦·利斯卡的说法，WannaCry在摧毁计算机上的备份内容时也更加明显，因此更容易被阻止。另一个幸运的因素：几小时内，英国的一位安全研究人员发现了恶意软件中的一个未注册网址。他能够注册该域名，禁用了代码用于传播到更多计算机的关键机制。WannaCry的业余性质也体现在其底线。黑客要求以数字货币比特币支付赎金，但截至5月16日，他们为赎金设置的钱包显示他们仅收集了超过71,000美元。

彭博社商业周刊不是囚犯。寻求庇护者占据了拜登承诺关闭的监狱美国正在用寻求庇护者填满臭名昭著的前监狱大学橄榄球需要向大联盟学习一课那些销售比职业选手更多棒球棒的网红兄弟们我们不能再依赖运气了。这些攻击正成为21世纪的典型犯罪，毫无掩饰地向我们袭来。这次攻击在一个多月前就已预示。这时，一个自称 影子经纪人 的团体发布了一套针对Windows操作系统的黑客工具，声称是从美国国防部的情报机构国家安全局窃取的。研究人员已经警告了数周，犯罪分子将开始在脆弱的系统上使用这套工具。

公司和机构可以做些什么来避免这些攻击？理论上这很简单，安全专家几十年来一直重复同一句话：“只需打补丁。”也就是说，安装替换漏洞的代码，以阻止黑客入侵。微软公司在3月份发布了一款“关键” 补丁，修复了影子经纪人工具所利用的漏洞。

当微软、苹果公司和其他科技制造商自动更新他们的机器时，消费者会立即得到修复。但对于预算紧张的机构来说，这并不简单。英国国家健康服务体系就是一个例子。它的许多计算机仍在使用Windows XP操作系统——如此陈旧，以至于软件制造商不再支持，自2014年以来没有发布补丁。国家健康服务体系确实支付给微软以继续发布特殊补丁，直到2015年，但在紧缩措施中，它结束了550万英镑（710万美元）的支持协议。当微软对攻击做出反应并发布紧急补丁时，为时已晚。患者被困，紧急服务瘫痪。

“你在任何地方都把这扇门敞开，即使你并没有使用它。总有一天，会有人走进来。” —内森尼尔·格莱彻，奥巴马政府网络安全政策主任

公司和政府机构有时有充分的理由不迅速修补。复杂的计算机网络、脆弱的定制代码以及单纯的官僚惯性意味着组织需要花费很长时间来测试补丁，以确保它们不会破坏任何东西并导致严重的网络停机。而且补丁确实会导致计算机出现故障：一些 用户去年批评 微软，当升级到Windows 10时“砖化”了他们的电脑，使机器变得毫无用处。金融服务行业——已经是网络安全最大投资者之一——在其过程中如此彻底和谨慎，以至于从识别漏洞到修复它，平均需要 176天，比几乎任何其他行业都要长，根据NopSec Labs的研究。

相比之下，医疗机构的平均时间为97天，NopSec表示。医院和医生办公室面临着平衡安全与提供医疗服务需求的额外挑战，患者在周末并不会停止前来就诊，以便关键系统可以下线。大多数时候，改善网络安全的缓慢步伐只会受到轻微惩罚。在WannaCry和NHS的案例中，结果是一次惩罚——这可能促使改革。

“像这样的事件提高了公众的意识，发生得越多，对某种政府反应的需求就越大，”前Gartner Inc.分析师、现MetricStream首席布道者的法兰西斯·考德威尔说。MetricStream是一家制作风险分析和合规软件的公司。“人们必须死去或损失大量金钱，政府才会介入进行监管。”

WannaCry的混乱重新点燃了硅谷关于最终谁应承担责任的激烈辩论。是客户的错，因为他们拖延并未能应用微软标记为“关键”的补丁吗？还是技术供应商的错，因为他们创造了一个让古老软件如Windows XP和Server 2003在愿意支付额外费用的用户中无限期维持生命的系统，这种做法只是让不安全的软件在市场上流通更久？“可以说，考虑到漏洞的严重性，他们应该为XP和Server 2003提供补丁，而不仅仅是为那些支付高额费用以获得微软支持其遗留软件的组织提供，”位于加州桑尼维尔的电子邮件安全公司Proofpoint的网络安全战略高级副总裁瑞安·卡伦伯表示，该公司的技术每天扫描10亿封电子邮件。“明确来说，微软更希望公司升级并充分利用最新版本的所有好处，而不是选择定制支持。安全专家一致认为，最佳保护是使用现代、最新的系统，结合最新的深度防御创新，”一位微软发言人在电子邮件声明中说。

A 博客文章由微软总裁布拉德·史密斯指出美国政府，称此次攻击是对军事和情报机构的“警钟”，呼吁他们停止囤积利用潜在网络对手数字漏洞的工具。这一批评得到了俄罗斯总统弗拉基米尔·普京的呼应，他将WannaCry攻击归咎于NSA及其工具包，称其对他的国家造成了特别严重的影响。与此同时，研究人员急于弄清楚勒索软件背后的黑手，发现WannaCry与针对朝鲜的攻击中使用的代码之间存在相似之处。

如果每个人都能更好地准备，犯罪者的身份就不那么重要了。修补是必要的，但这不是唯一的解决方案，前司法部检察官和奥巴马总统任内白宫网络安全政策主任内森尼尔·格莱彻表示。他现在是Illumio的网络安全战略负责人，该公司帮助企业阻止网络威胁在网络、数据中心和云中横向传播。那些知道自己脆弱但不想关闭关键系统进行修补的公司，可以通过关闭恶意软件使用的计算机端口来减少潜在影响；在Shadow Broker工具和WannaCry的情况下，就是445端口。防御者必须更像对待物理安全那样考虑网络安全。“你在每个地方都留着这扇门开着，即使你不使用它。在某个时刻，总会有人走进来，”格莱彻说。

安德鲁·温斯顿，德克萨斯大学奥斯汀分校的管理科学与信息系统教授，一直在努力展示如果政府更积极地介入评估公司的安全状态并给予公开评级，可能会发生什么。他的研究利用来自数千个商业网络的垃圾邮件和网络钓鱼邮件数据为公司提供安全评级，表明政府政策将促使公司在安全方面投入更多，受到消费者意识的驱动。“假设你必须去医院，除了检查医生，你还会检查安全级别，”温斯顿说。“如果根据政府的排名，这个地方并不是很安全，你会说，‘好吧，我再开几英里去一个更安全的地方。’”

没有简单的方法可以阻止公司坚持使用有缺陷的过时软件。但随着互联网连接设备在以前无法想象的地方部署，从电表到心脏起搏器，其中一些没有内置的安全控制，风险只会越来越高，霍洛网安全公司的创始人弗兰克·邹说。这些设备成为新的感染门户。邹说：“没有理由不期待未来的攻击超越医疗保健组织，波及其他关键的国家基础设施，如核能、水处理厂、空中交通控制，或国家的金融或通信系统。”事实上，Shadow Brokers在5月16日声称发布的一份在线声明承诺提供“本月数据泄露”服务，出售更先进的黑客工具。下次我们需要更好的运气——或者更好的准备。 (在第九段添加了微软公司的评论。)

结论： WannaCry计算机黑客攻击波及150个国家的30万台机器。情况本可以更糟，更糟。