就在剛剛過去的週末,凌晨時分我接到英國朋友打來的電話,他略帶驚恐的告訴我,英國數十家醫院的電腦系統受到黑客攻擊陷入癱瘓。醫生不能查看病人病歷、救護車無法派遣、甚至連X光都照不了,英國整個醫務系統都陷入一場史無前例的混亂中。
我此前留學英國學的就是計算機科學(Computer Science),我印象中的英國醫務、乃至整個公共服務系統,還從未發生過如此大規模的網絡黑客攻擊事件。
第一時間去了解事實後,我發現這是一次涉及近百個國家(包括中國在內)的惡性全球信息安全犯罪,包括紐約時報在內的國外主流媒體都在頭版對此事進行了報道,行業社羣中相關的討論也如火如荼——在日漸成熟的互聯網信息社會,黑客已經成爲對人類社會殺傷力最大的“隱形恐怖分子”,威脅越來越大。
先梳理一下整個事件的脈絡:
英國國家衛生服務部門(National Health Service,簡稱NHS)管理所有公立醫院,它的電腦系統存儲和管理着全部醫院的數據。黑客入侵了NHS的電腦系統,使英國各地醫院和衛生部門電腦上的文件都感染了一種新型病毒。這種新型病毒對文件惡意加密,然後要求電腦使用者付款解密文件,從而導致了英國公共服務系統癱瘓。
受害者在“中招”後會看到一個彈窗,要求使用者支付價值300美元的比特幣來解密自己的文件,三天內沒有完成支付,贖金將會翻倍。
不止是英國,西班牙、意大利、葡萄牙、俄羅斯等國家也陸續爆出大量的感染案例,全球有超過74個國家的百萬臺電腦在短時間內遭到感染。
毫無意外的,中國也成了重災區。就在同一天,大量中國電腦的感染案例在網上曝光,全國數十家知名高校、石油系統、公安系統也被波及。電腦受感染後出現的症狀與英國NHS一樣,病毒通過對大學生畢業設計等重要文件進行惡意加密,對受害者實行勒索。
這是一場名副其實的全球IT劫難。由於黑客的主要目的是勒索錢財,這種病毒又被稱爲勒索病毒。而受害者在“中招”後,電腦文件會被加密成後綴爲“.onion”的文件,所以這種病毒在前期被稱爲onion勒索病毒。隨着病毒感染範圍的不斷擴大,幾乎每一臺被感染的電腦都會彈出一個名爲“Wanna Decryptor 2.0”的勒索窗口,因此更多的人把這種病毒稱之爲“WannaCry”,即“想哭”的意思。但很多人可能不知道,勒索病毒還有一個更優雅的名字——“永恆之藍”。
“永恆之藍”的出身頗具神祕色彩。程序猿圈中流行的說法是,它可能與幾年前愛德華·斯諾登(Edward Snowden)曝光的美國國家安全局(National Security Agency,簡稱NSA)祕密監控項目“棱鏡計劃”有着千絲萬縷的聯繫。
2016年8月,一個名爲“Shadow Brokers”的黑客組織疑似獲得了“棱鏡計劃”中的一些機密網絡工具,其中有個叫做“EternalBlue”的網絡攻擊工具,即“永恆之藍”。而“永恆之藍”遭泄露後,一些黑客對這一工具進行了修改,就變成了今天的這個勒索病毒。上文提到的勒索病毒很可能就是“永恆之藍”的一個最新變種。
“永恆之藍”的攻擊特性,是利用搭載微軟系統(Windows)的電腦開放的445端口進行感染;只要Windows電腦開機上網,它就能悄無聲息地植入到電腦或服務器中進行惡意文件加密。這個445端口,本身就是一個譭譽參半的網絡端口——有了它,我們可以在局域網中輕鬆訪問各種共享文件夾或共享打印機;但也正因爲有了它,纔給了黑客可乘之機。
在如今這個互聯網如此發達的年代,我們早就不需要通過445端口來共享文件和控制打印機了,因此一些網絡運營商早在2008年就已對它進行了禁用。而幾乎所有在這次全球性IT劫難中遭到“永恆之藍病毒”攻擊勒索的受害者,中招原因就是因爲開放了445端口。
事到如今,網上已經有了大量關於如何在電腦中關閉445端口的教程。亡羊補牢,也算是可以應付一時的威脅。但是,與其每次都是在傷害發生後再去補救,不如一開始就防微杜漸。
在多年從事企業信息管理與安全服務過程中,我越來越切身感受到,“企業信息化”需要管理者和業務人員轉變傳統IT使用思維,才能真正規避風險、提升效率;也才能擺脫一次次後知後覺的窘境,輕鬆應對下一個類似“永恆之藍”的威脅。
對此,我有以下三點建議。
1、克服對IT的牴觸心理和自身惰性,意識到、並突破不好的用戶習慣。
這次“永恆之藍”事件,微軟早在2017年3月14日就推送了面向vista或以上系統的安全更新補丁,爲什麼還會有那麼多人受害?其中一個重要原因就是,受害者中有相當一部分人還在使用Windows XP這個被淘汰的操作系統。
升級麻煩、舊軟件不兼容、不願學習新的軟件操作、一些競爭廠商的不實宣傳等,導致了現在的結果。但本質上,這是我們的懶惰心理在作祟;或者,用一個好聽一些的說法——我們稱之爲“用戶習慣”。
我一直認爲,推陳出新、堅持作對的事情,而不是一直抱着舊有的、錯誤的習慣不放,本身就是一種可貴的習慣。“習慣於打破舊有習慣”,勇於學習和接納新知識,這是在信息時代立於不敗之地的思想基礎。
2、學習並獨立判斷新技術的價值。
許多唯利益論者認爲,微軟公司之所以每隔幾年就推出一套操作系統,無非是爲了賺錢;現有系統已經完全夠用,沒有升級的必要。
在我看來,“賺錢”的前提是“有沒有帶來價值”,這恰恰是很多人忽略的重點。電腦病毒和外在威脅不斷推陳出新,如果我們依然抱着偏見和舊觀念,不在學習和認知新形勢的基礎上作出獨立判斷,必然會受到傷害,這次肆虐全球的“永恆之藍”事件就給我們敲響了警鐘。
事實上,開啓了Windows10自動更新的電腦,可以對“永恆之藍”免疫,而用戶從舊系統升級到Windows10,微軟公司是給過一年免費升級期的。操作系統在目前微軟的營收總佔比已低於10%,對於微軟來說,雲生態纔是未來盈利的方向。掌握這些IT信息,對管理者作出正確決策至關重要。
3、永遠把“安全”放在保存管理文件的第一位。
我們平日常見的系統安全防衛手段,如殺毒軟件、防火牆、安全補丁等其實是一種被動防護。
我們永遠不知道下一個IT威脅會發生在哪裏,所以只能儘可能封堵風險係數高的漏洞,或者加快應急響應速度。
但對企業來說,一味加強正面安全防衛並不能預防所有威脅,我們也需要一個危機預案,一個兜底的方案去保障文件安全。它的重點在於,哪怕事故發生了,我們也能掌握控制權。對“永恆之藍”事件來說,將文件進行妥善的保管和備份就是一個兜底方案。它可以做到就算文件被黑客惡意加密了,我們還有一套完整的數據可供使用。
對企業的商業機密和個人保密文件來說,若不想在互聯網上有任何文件存留痕跡,我更推薦使用私有云的方式進行保存和備份。
最後我給企業一個小貼士:基於Linux系統的技術原理和其在服務器領域的良好口碑,使用基於Linux系統的私有云要比使用基於Windows系統的私有云要更安全。
▌延伸閱讀
黑客(Hacker)和駭客(Cracker)的區別
黑客最早源自英文hacker,早期在美國的電腦界是帶有褒義的。但在媒體報導中,黑客一詞往往指那些“軟件駭客”(software cracker)。
黑客一詞,原指熱心於計算機技術,水平高超的電腦專家,尤其是程序設計人員。 但到了今天,黑客一詞已被用於泛指那些專門利用電腦搞破壞或惡作劇的傢伙。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。
黑客和駭客根本的區別是:黑客們建設,而駭客們破壞。
黑客一詞一般有以下四種意義:
1、對(某領域內的)編程語言有足夠了解,可以不經長時間思考就能創造出有用的軟件的人。
2、惡意(一般是非法地)試圖破解或破壞某個程序、系統及網絡安全的人。這個意義常常對那些符合條件1的黑客造成嚴重困擾,他們建議媒體將這羣人稱爲“駭客”(cracker)。有時這羣人也被叫做“黑帽黑客”。
3、試圖破解某系統或網絡以提醒該系統所有者的系統安全漏洞的人。這羣人往往被稱做“白帽黑客”或“匿名客”(sneaker)或紅客。許多這樣的人是電腦安全公司的僱員,並在完全合法的情況下攻擊某系統。
4、通過知識或猜測而對某段程序做出(往往是好的)修改,並改變(或增強)該程序用途的人。
