“網(wǎng)絡(luò)9·11”發(fā)出的警告

王林

5月12日開始爆發(fā)的勒索蠕蟲病毒W(wǎng)annaCry已經(jīng)影響到100多個(gè)國(guó)家，導(dǎo)致全球數(shù)十萬電腦主機(jī)被感染。

國(guó)內(nèi)的情況同樣嚴(yán)重，因?yàn)樵馐芾账魅湎x病毒的攻擊，一些信息化的工廠車間被攻陷，企業(yè)不得不停工；部分加油支付系統(tǒng)的終端也中招，用戶加油后無法正常支付；某些大學(xué)生的畢業(yè)論文被鎖死，屏幕上只留下一片攻擊者勒索比特幣的紅色界面。

雖然在病毒爆發(fā)的第二天，一名英國(guó)研究員就無意間發(fā)現(xiàn)Wan-naCry病毒的隱藏開關(guān)（Kill Switch）域名，意外遏制了病毒的進(jìn)一步擴(kuò)散。但5月14日，病毒的升級(jí)版WannaCry 2.0又卷土重來，并取消了Kill Switch。

內(nèi)網(wǎng)不再是安全自留地

“一些號(hào)稱與外網(wǎng)隔離的內(nèi)網(wǎng)，在這次勒索病毒肆虐中成為重災(zāi)區(qū)，在不能連接外網(wǎng)的情況下，只能用效率低下的辦法救援。”5月17日，在針對(duì)WannaCry勒索病毒召開的媒體溝通會(huì)上，360集團(tuán)董事長(zhǎng)兼CEO周鴻祎一語道破了此次網(wǎng)絡(luò)病毒事件帶來的新挑戰(zhàn)：內(nèi)網(wǎng)不再是網(wǎng)絡(luò)安全的自留地。

事后看來，本次勒索病毒的爆發(fā)主要集中在許多使用內(nèi)網(wǎng)隔離的辦法維護(hù)網(wǎng)絡(luò)安全的地方，例如高校、醫(yī)院、政府機(jī)構(gòu)和事業(yè)單位等。此類單位所使用的內(nèi)網(wǎng)大多仍開放用戶使用445端口（支持文件共享的網(wǎng)絡(luò)端口），而我國(guó)個(gè)人網(wǎng)絡(luò)用戶的445網(wǎng)絡(luò)端口大多已被網(wǎng)絡(luò)運(yùn)營(yíng)商屏蔽。

此外，因?yàn)椴荒苓B接外網(wǎng)，所以在本次勒索病毒爆發(fā)之后不能及時(shí)修補(bǔ)漏洞，升級(jí)安全軟件，進(jìn)一步增加了“中招”的概率。騰訊安全實(shí)驗(yàn)室專家馬勁松以高校為例，分析了本次勒索病毒爆發(fā)實(shí)踐中，原本被認(rèn)為能帶來安全保障的內(nèi)網(wǎng)隔離手段不再安全的原因。

馬勁松說，許多高校通常接入的網(wǎng)絡(luò)是為教育、科研和國(guó)際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒有對(duì)445端口做防范處理。而且，一些高校學(xué)生為了打局域網(wǎng)游戲，有時(shí)會(huì)關(guān)閉電腦防火墻，這會(huì)導(dǎo)致電腦接收445端口的數(shù)據(jù)，給黑客攻擊留下可乘之機(jī)。

目前，針對(duì)這次勒索病毒事件，各大網(wǎng)絡(luò)安全廠商都已經(jīng)推出相應(yīng)解決方案。以騰訊電腦管家為例，兩天之內(nèi)連續(xù)發(fā)布“勒索病毒免疫工具”“文件恢復(fù)工具”等，用戶可以此保護(hù)電腦安全。

中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室主任林東岱則認(rèn)為，這次病毒事件對(duì)于用戶和安全廠商來說將帶來網(wǎng)絡(luò)安全觀念上的改變。“以前我們可能用內(nèi)網(wǎng)這類辦法防止網(wǎng)絡(luò)攻擊，但這次的病毒事件說明，他們也可以反過來利用我們自己的技術(shù)手段來攻擊、勒索我們。”

身為信息安全研究專家，林東岱深知此次勒索病毒攻擊，采取的技術(shù)并不新穎。但網(wǎng)絡(luò)攻擊的思路改變后，將提高相應(yīng)的網(wǎng)絡(luò)安全防御成本。他把這次病毒事件的情節(jié)和影響類比為“9·11”事件：以前為了應(yīng)對(duì)劫機(jī)，航空公司會(huì)假定恐怖分子也想活著，所以相應(yīng)的培訓(xùn)都是讓大家盡量別激怒劫機(jī)者，但忽然發(fā)生的“9·11”事件表明，劫機(jī)者也可能根本不想活命，此時(shí)原有的培訓(xùn)反倒可能成為傷害所有人的工具。“永恒之藍(lán)”背后的“永恒漏洞”

病毒爆發(fā)后，網(wǎng)絡(luò)安全界發(fā)現(xiàn)，這款勒索蠕蟲病毒是針對(duì)微軟系統(tǒng)的“永恒之藍(lán)”漏洞進(jìn)行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會(huì)主動(dòng)對(duì)局域網(wǎng)內(nèi)的其他電腦進(jìn)行隨機(jī)攻擊，局域網(wǎng)內(nèi)沒有修補(bǔ)漏洞的電腦理論上將無一幸免地感染該病毒。

在上述媒體溝通會(huì)上，周鴻神也強(qiáng)調(diào)了網(wǎng)絡(luò)漏洞的重要性，他把網(wǎng)絡(luò)漏洞比喻為“網(wǎng)絡(luò)軍火”，一個(gè)大家沒發(fā)現(xiàn)的漏洞就可能引發(fā)全球性病毒的爆發(fā)。同時(shí)，許多專家都認(rèn)為“永恒之藍(lán)”背后所反映的網(wǎng)絡(luò)安全漏洞問題值得反思。在“永恒之藍(lán)”的背后，永恒存在的網(wǎng)絡(luò)漏洞隨時(shí)都是公眾網(wǎng)絡(luò)安全的潛在威脅。

馬勁松表示，此次病毒感染急劇爆發(fā)的主要原因在于，其傳播過程中利用了“永恒之藍(lán)”漏洞。上海斗象科技有限公司市場(chǎng)副總裁、漏洞盒子負(fù)責(zé)人李勇也認(rèn)為，這次病毒大規(guī)模爆發(fā)最大的特點(diǎn)就是利用通用型系統(tǒng)或者設(shè)備的漏洞進(jìn)行攻擊，造成大規(guī)模的危害。

“白帽黑客”華建樂（化名）也對(duì)記者表示，在整個(gè)事件中，作為傳播媒介的微軟系統(tǒng)漏洞MS17-010是最關(guān)鍵的。華建樂認(rèn)為，本次病毒爆發(fā)事件中，攻擊者采取的是敲詐勒索“這種明目張膽的方式來攻擊”，這其實(shí)并不是明智之舉，甚至更像是榨取“永恒之藍(lán)”這個(gè)系統(tǒng)漏洞的最后價(jià)值。

這也就意味著，本次勒索病毒事件和“永恒之藍(lán)”漏洞可能只是冰山一角，還有更多的漏洞和通過漏洞展開的攻擊尚未被人知曉。根據(jù)國(guó)家信息安全漏洞共享平臺(tái)（CNVD）的統(tǒng)計(jì)數(shù)據(jù)，2016年CNVD共收錄通用軟硬件漏洞10822個(gè)，較2015年的漏洞收錄總數(shù)8080環(huán)比增加34%。其中高危漏洞有4146個(gè)（占比38.3%），可用于實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞有9503個(gè)，可用于實(shí)施本地攻擊的漏洞有1319個(gè)。

在CNVD的統(tǒng)計(jì)中，此次勒索病毒事件中被利用的“永恒之藍(lán)”漏洞所屬的“零日”漏洞（OPday）在去年共收錄2203個(gè)。這類安全漏洞又被稱為零時(shí)差攻擊，在被發(fā)現(xiàn)后將立即被惡意利用，因而往往具有很大的突發(fā)性與破壞性。

隨著越來越多智能設(shè)備投入使用，網(wǎng)絡(luò)安全漏洞所帶來的威脅也與日俱增。360互聯(lián)網(wǎng)安全中心發(fā)布的《2016年中國(guó)互聯(lián)網(wǎng)安全報(bào)告》顯示，個(gè)人信息泄露主要是黑客利用網(wǎng)站存在的安全漏洞非法入侵和網(wǎng)站內(nèi)部人員非法盜賣；金融行業(yè)網(wǎng)站漏洞威脅更加復(fù)雜化，傳統(tǒng)的銀行、保險(xiǎn)，新興的第三方支付、互聯(lián)網(wǎng)P2P等領(lǐng)域都曝出不少高危漏洞；網(wǎng)站漏洞實(shí)施掛馬攻擊重新興起，并呈現(xiàn)一定程度爆發(fā)趨勢(shì)。

此外，一個(gè)更加令人擔(dān)憂的問題是，在移動(dòng)互聯(lián)網(wǎng)時(shí)代越發(fā)重要的手機(jī)也存在眾多安全漏洞。上述《報(bào)告》指出，目前大多數(shù)安卓系統(tǒng)手機(jī)都存在安全漏洞，而用戶手機(jī)未能及時(shí)更新而存在安全漏洞的重要原因之一，是手機(jī)廠商普遍未能實(shí)現(xiàn)其定制開發(fā)的安卓系統(tǒng)與安卓官方同步更新，而且延時(shí)較大。

漏洞安全治理急盼良方

為應(yīng)對(duì)與日俱增的網(wǎng)絡(luò)漏洞威脅，目前不少科技公司都設(shè)立了漏洞獎(jiǎng)勵(lì)機(jī)制，只要“白帽黑客”或其他技術(shù)人員發(fā)現(xiàn)并提交漏洞，就會(huì)獲得獎(jiǎng)勵(lì)。而烏云、補(bǔ)天等漏洞反饋、眾測(cè)平臺(tái)也會(huì)接收并公布漏洞，以幫助企業(yè)發(fā)現(xiàn)漏洞并及時(shí)補(bǔ)救。另外，也有一些安全企業(yè)提供代碼審計(jì)類的產(chǎn)品，希望在產(chǎn)品上線之前先發(fā)現(xiàn)是否存在漏洞。

不過，在華建樂看來，在數(shù)量眾多且復(fù)雜多樣的網(wǎng)絡(luò)漏洞威脅面前，上述做法似乎都不太夠用。因?yàn)楦呶Ｂ┒赐枰斯ぐl(fā)掘才能發(fā)現(xiàn)，而且在發(fā)現(xiàn)后很容易就會(huì)被轉(zhuǎn)入地下黑色產(chǎn)業(yè)鏈，直到利用價(jià)值逐漸減低，才逐漸浮出水面。

“三分靠技術(shù)，七分靠制度。”華建樂說，在網(wǎng)絡(luò)漏洞安全防范中，已經(jīng)積累了許多經(jīng)驗(yàn)和技術(shù)，但這些經(jīng)驗(yàn)和技術(shù)的推廣仍受制于現(xiàn)實(shí)的制度障礙和執(zhí)行困難。對(duì)此，林東岱也深有體會(huì)。據(jù)他介紹，企業(yè)（集團(tuán)）漏洞掃描漏洞、等級(jí)保護(hù)測(cè)評(píng)高危漏洞等技術(shù)手段是目前比較合適的網(wǎng)絡(luò)漏洞防范手段，也有一部分企業(yè)在推行。“但很多還是沒做，所以怎么推行到位還是一個(gè)問題。”

為何合適的網(wǎng)絡(luò)漏洞防范技術(shù)難以推行？這跟網(wǎng)絡(luò)安全行業(yè)的特殊性有關(guān)。“出了事都很關(guān)心，不出事大家都不愿去做，這也是我們做安全行業(yè)的人經(jīng)常遇到的一個(gè)苦惱。”林東岱曾接觸過許多企事業(yè)單位的網(wǎng)絡(luò)安全管理部門，他發(fā)現(xiàn)很多企業(yè)在一開始不愿意去做網(wǎng)絡(luò)安全的事，總是把安全放到業(yè)務(wù)和營(yíng)利后考慮。endprint