勒索病毒席卷全球：網絡安全保護迫在眉睫

[雖然wannacry此次僅勒索到8萬美元的贖金，入侵了全球30萬個機構的電腦，破壞程度不及此前conflicker和sobig病毒，但這次襲擊揭露了新型的網際網路世界裡兩個殘酷的現實。]

過去一周，一種名為wannacry的勒索病毒席卷全球網絡系統，加油站、辦公電腦、醫院均受到不同程度的影響。

雖然wannacry此次僅勒索到8萬美元的贖金，入侵了全球30萬個機構的電腦，破壞程度不及此前conflicker和sobig病毒，但這次襲擊揭露了新型的網際網路世界裡兩個殘酷的現實。

首先，計算機的速度、規模和效率是雙刃劍。數字化時代裡，資料是無形而易複制的，而且能在全球範圍裡以極快的速度傳播開來。如果這些資料是有用的，這當然是一個福音，如果是惡意的，後果則不堪設想。

軟體包含的代碼可能有上百萬行，軟體工程師很難保證上百萬行代碼中沒有任何的漏洞。而隻要有一個漏洞，就可能引起上百萬台計算機感染。網際網路賦予了個人能夠在一瞬間讓全世界網絡癱瘓的能力。想象一下如果wannacry是惡意瞄準某一個領域進行攻擊，比如英國醫療系統，那麼後果将更為嚴重。

第二個殘酷的現實是，伴随着物聯網的不斷發展，萬物互聯已經成為一種趨勢，這又是一把雙刃劍。物聯網一方面友善了人們的生活，另一方面也讓安全隐患更容易暴露出來。未來黑客不僅能襲擊計算機，而且也能襲擊我們的汽車、心髒起搏器、冰箱、智能電網等。今天是檔案被加密，明天就可能是汽車門鎖被加密，導緻裡面的人隻有砸壞車窗才能逃脫。

好在人們已經找到了把危害降到最低的途徑。産品的監管者可以要求未來的那些可連接配接的小發明都留有簡單的安全性能，比如可以更新的軟體，以防被攻擊，或者在被攻擊後能采取補救措施，通過安裝更新檔來解決。軟體公司也有責任定期向使用者彙報産品中的缺陷。雖然現在的軟體還不可能做到完全沒有漏洞，但至少軟體公司要提醒使用者定期維護他們的電腦。此外，保險行業還可以通過完善保險政策來鼓勵使用者将系統更新到最新版本。

這次攻擊反映了政府面臨的嚴峻考驗。事實上，wannacry病毒是黑客盜走了多年前美國國土安全部（nsa）發現的微軟系統漏洞後開發出來的反攻擊工具，随後将其作為攻擊手段散布到網上。是以nsa受到了微軟的強烈譴責，原因就是nsa發現了這一漏洞後，并沒有告知微軟，而是利用了這一漏洞進行間諜活動。微軟要求政府部門将來無論發現何種漏洞，都應該第一時間通知軟體公司，進而讓軟體公司能及時開發出相應的更新檔，保護所有網絡使用者的安全。

與此同時，一個新興的行業開始蓬勃發展——“漏洞獵頭”。大型軟體公司為了在全球範圍搜集漏洞，通常會向提供漏洞的人支付一筆價格不菲的獎金，從2萬美元到20萬美元不等，比如谷歌的獎金甚至高達20萬美元。

專業搜集漏洞的經紀公司也應運而生，目前全球範圍有超過20個這樣的經紀公司，它們從自由職業黑客那裡購買漏洞，以更高的價格賣給希望利用這些漏洞的機構，這些客戶就包括美國和歐洲的政府情報部門。比如發現一個攻擊iphone漏洞的獎勵就已經從此前的50萬美元漲到150萬美元，增長了整整兩倍；針對網絡浏覽器的漏洞獎勵也從5000美元左右升至好幾萬美元。

因為計算機安全事故一旦發生，解決方案的成本很高，這也導緻越來越多的聲音呼籲政府與軟體公司共享網絡安全資訊。但政府原本能夠通過所掌握的系統漏洞對有組織的犯罪和恐怖分子進行監視和打擊，這樣能降低間諜活動的成本。

對此，有安全專家指出，政府也能通過其他方法和監視儀器潛入敵方網絡進行間諜活動，并非一定要利用廣泛使用的軟體系統漏洞。因為畢竟當計算機已經無處不在時，保障每個人的安全才是最重要的。

本文轉自d1net（轉載）