※ 2017.05.17 觀點—《外交政策》Elias Groll ※
怪來怪去:勒索軟體究竟誰是罪魁禍首?
WannaCry 的作者是誰?目前仍不曉得。但他/她/他們使用美國國家安全局被竊的工具寫出勒索軟體程式。
————————————
上週末以來,英國的醫院因為電腦病毒入侵入業系統,被迫取消手術、門診。法國的雷諾車廠也必須關閉好幾條生產線。在俄國,同一種電腦病毒導致內政部幾千台電腦無法上網。
自從這種病毒首先在上週五發作以來,微軟即把箭頭指向美國國家安全局(US National Security Agency, NSA),說他們幫助這種病毒的誕生。微軟主張,WannaCry 是情報機構不應該囤積電腦弱點(好入侵敵營電腦系統)的最新案例。微軟主張,像美國國家安全局這樣的機構,應該向製造商(即微軟)透露系統的弱點。
然而,微軟誤解了 NSA 在 WannaCry 出現所扮演的角色。該情報機構並不是罪魁禍首,只是不經意地扮演了產婆的角色。
這一個惡意軟體程式,究竟是誰創造的?目前還不曉得。但一些證據指向北朝鮮。防毒軟體公司卡巴斯基實驗室(Kaspersky Labs)的研究人員,指認 WannaCry 的程式碼,與平壤駭客在過去攻擊所使用的程式碼,有一些相似的地方。然而,卡巴斯基在部落格的文章說,此次攻擊事件尚不能蓋棺論定就是北朝鮮所為。
WannaCry 勒索軟體會把受感染電腦的資料加密,要求受害者付款,才給密碼解除封鎖。目前沒有人知道寫作此程式的駭客是何方神聖,但確定的是,他們使用 NSA 首先發展出來的程式工具,專門針對使用微軟系統的電腦下手。到目前為止,此一犯罪集團已經獲得五萬美元的贖金,全球有二十萬台電腦受到感染。
然而這次攻擊可能造成嚴重的後果——英國數家醫院受害後,只能接受重症患者就醫——導致電腦公司、前情報局官員、公民自由團體紛紛開始討論,罪魁禍首究竟是誰。
今年四月,一群自稱為「影子仲介」(Shadow Brokers)的駭客,在網路釋出一堆他們稱為竊取自 NSA 的駭客工具。那一堆工具之中包括一個弱點程式碼,稱之為 Eternal Blue(永遠藍),專門利用 Microsoft Word 的弱點來傳遞惡意軟體到其他的電腦。
於是,WannaCry 的作者利用這個 NSA 的工具,創造出從一台電腦散播到另一台電腦的勒索軟體機制。
簡而言之,NSA 的一件網路武器(cyperweapon),針對微軟所開發的軟體弱點下手,但不幸由政府落入民間,結果被犯罪份子利用,以圖獲取不義之財。
微軟總裁 Brad Smith 在週日的部落格文章中表示:「這次攻擊再度說明,政府囤積(軟體)弱點為什麼會造成這麼大的問題。」他又說:「全世界的政府都應該把此次攻擊視為暮鼓晨鐘。」
公民自由團體大都支持微軟的立場。美國公民自由聯盟(American Civil Liberties Union)的律師,派翠克·圖米(Patrick Toomey)表示:「這些攻擊突顯了電腦作業系統的弱點,不僅會被我們的國安機構利用,也會被全世界各地的駭客與罪犯利用。」
今年二月,Brad Smith 首度呼籲召開網路空間的「日內瓦會議」,主要想立法禁止一個國家攻擊其他國家的重要基礎建設與科技公司,違者即犯法。此外,他還主張,在此國際公約下,各國政府應該在發現軟體弱點時主動通知軟體研發公司——而不是利用這些弱點駭入敵營的電腦——研發公司就可以即使作出補救,發表修補程式。
而這就是讓微軟不舒服的諷刺之處。在「影子仲介」釋出「永遠藍」弱點之前一個月,微軟即發表了一個修補程式,但那並沒有阻止該勒索軟體的散播。雖然微軟、NSA 都沒有證實,但電腦專家認為 NSA 很可能在知道工具被盜走後,馬上通知微軟其軟體的弱點。
為了各種原因,微軟所發表的修補程式從未抵達受害的電腦處。在英國健保局的案例裡,相當多台電腦使用 Windows XP,這是微軟早在 2014 年就停止更新系統的程式。雖然全世界仍然有 5-10% 的電腦仍然倚賴 Windows XP,微軟已經不再釋出更新程式。然而在週五攻擊後,微軟立即在週六釋出一個修補程式。
當然,上週末攻擊的部份責任,屬於電腦使用者以及資訊科技經理人未能即使更新系統。但因為種種原因,即使修補電腦系統弱點都可能造成問題。例如,最近的蘋果軟體更新導致一些
iPad Pros 停止運作。
(在中國,由於電腦使用者熱愛盜版軟體,而盜版軟體通常都無法收到更新,導致 WannaCry 病毒在週一猛烈散播。)
複雜的軟體有時會以看不見的方式跟其組成的原件互動,所以資訊科技經理人往往在未經過一連串測試的情況下,進行電腦系統更新。對於一般的電腦使用者來說,之所以沒有常常進行系統修補,往往是懶惰而已。
然而,即使電腦公司提供更多安全的軟體,也不能保證完全沒有可資利用的弱點。科學家估計,每一千行電腦程式碼中,出現錯誤的比例大概是 15 到 50。
所以電腦軟體的不安全是很廣泛的,微軟的總裁想求 NSA 以及其他的情報部門,藉由主動通知他們所發現的程式弱點,幫忙保護消費者、以及他們的生意。但從 NSA 的角度來說,微軟是在要求情報單位自廢武功,繳械投降,是它不願意做的。
微軟總裁的文章,把 NSA 的駭客工具被竊,類比為美軍的戰斧巡弋飛彈被竊。然而,美軍不可能因為一顆戰斧巡戈飛彈落入敵人手中,就廢除整個導彈系統,NSA 也不會因為一個網路武器不小心遺失,就自廢所有的網路武器。
https://foreignpolicy.com/…/who-is-really-to-blame-for-the…/
※ 2017.05.15 科技 ※
勒索軟體肆虐全球,不容小覷
https://goo.gl/0V2JYd
圖為美國國家安全局(NSA)徽標。
Search