我在演讲中谈论过黑客。

知道吗?很多人做黑客只是为了出风头,赢得一些跟人吹嘘的资本。

未来,黑客技术可能会发展成一个全新的产业。

——Moti Yung,哥伦比亚大学教授、著名密码学家

即便在人才辈出的黑客领域,约瑟夫·波普也是十分独特的存在。他在哈佛大学学习生物学,在非洲研究了15年的狒狒,并在纽约建立了一个蝴蝶保护区。2000年,他自费出版了一本《流行的进化》,在书中,他声称人类存活的唯一原因是“最大化了生殖成功率”。

这一切开始于1989年,头戴纸板箱的波普,正因为黑客攻击的罪名在英国等待审判。

波普发起的不是一般意义上的黑客攻击。在当时,黑客攻击是指窃取主人的保密信息,将其提供给错误的人或是公之于众。而他的一个偶然行为,却在未来永久地改变了黑客的运作模式。他拦截了被黑的电脑,只有受害者支付赎金才能重新访问自己的电脑。

1989年12月,波普发起了一次报复性突袭,事情的起因是他在世界卫生组织的工作面试中落选。而当时,少数商业用途的个人电脑仍在运行Windows的前身系统MS-DOS,而且还不能联网,只有大学里的主机才能联网。由于没有互联网去传播他的恶意软件,他把它们刻进了2万张标记为“艾滋病介绍”的光碟里,并将其发放给了当年参加世界卫生组织举办的世界艾滋病大会的参会者。

波普在其光碟上毫不掩饰自己的意图,随光盘附赠的手册上写着“这些程序将会影响计算机上的其他应用程序,你可能会因此而支付一些费用,而且你的电脑也会停止正常运作”。但即便是在1989年,人们忽视说明书直接使用产品的现象也十分常见。那些不够仔细的人直接将光碟放进了电脑,屏幕上显示了一个看似无害的程序安装界面,“此程序旨在提供有关艾滋病的最新信息”。

几天后,这个程序弹出了一个对话框,“请支付PC Cyborg公司的软件租赁费用”,费用是109美元/年。

那些无视说明书的人,几乎每个都收到了匿名的ASCII(美国信息交换标准代码)信息:

很不幸地通知你,在收集和执行文件的过程中,你偶然遭到了HÜ¢K∑∆(原文)侵入,你会因此倒霉。不可能?不,它确实发生了。一个√îrûs感染了你的系统。你该怎么办?哈哈哈哈。请享受这次体验,并请记住,治疗艾滋病的方法根本不存在。

然后什么都没有发生。至少,没有立刻发生。在电脑重启满90次之后,这个病毒就会启动,通过重命名、加密和隐藏系统上的目录和文件来攻击电脑文件。

不幸的是,波普在编码过程中出了错。尽管加密方式是可靠的,但他将执行加密程序的密钥存储在了同一个文件里。新兴的杀毒软件注意到了这个漏洞,并解决了近乎所有受害者的问题。波普也因可疑的举止,在荷兰阿姆斯特丹史基浦机场受到了审问,随后他在俄亥俄威罗维克的家中被FBI逮捕,并被起诉。

波普消失于历史的舞台,但是勒索软件的创意却席卷了整个世界。黑客的侵入方式从此改变,不再局限于固有的模式。

《异形》

1995年某日,Moti Yung正坐在纽约哥伦比亚大学的计算机科学系办公室里,由他指导硕士论文的学生亚当·扬上门拜访了。他想与Yung探讨有关密码学和计算机病毒的问题,当时这两个话题并无太大的关联。密码学是一门关于编码和破译编码的学科;而计算机病毒则是未经授权的程序,它可以在机器上运行,并在网络上传播。但当时网络的传播范围有限,互联网是个较新的概念。微软的Windows 95能引入互联网连接,但是其配置很复杂,速度仅有3 Mbps宽带线路的2%,其内容和服务都没能体现出现代互联网的魅力。

所以,将计算机病毒跟密码学结合在一起的想法似乎十分抽象。随后Yung向我解释,这类话题的结合其实早就有了先例:

曾经有一个艾滋病病毒(也就是波普写的勒索病毒),它在恶意软件的研究社区里知名度甚广。大家担心会有坏人修改它的缺陷,再投入使用。为了防止社区研究出更完善的恶意软件,我们必须发表这篇论文。

当被问到会不会因为这篇论文而有犯罪分子想与他们合作时,Yung解释道:

我们是这么想的,我们要在专业的领域发表专业的学术论文,只有学者才有权限看到,普通的黑客无法看到。我们会在反病毒社区里宣传这篇论文,让他们了解最新的趋势,并开始全新的思考。

在线加密依赖于公钥加密系统,那时,对两个大素数的乘积进行因式分解十分困难。随着素数值的增大,两个素数产生的数值在计算上就更难,所以,由已知加密密钥推导出解密密钥在计算上是不可行的。

公钥系统将大量的加密密钥存储在公有领域,但不公开解密密钥。公钥系统创建了一个无限大的数字挂锁,只有主人持有的私钥才能解锁。如果没有数字密钥,想要破解计算机可能花上数年也无法达成;而只要拥有了密钥,就能够在微秒内打开数字挂锁。

如果波普当时能用公钥系统加密文件,并通过某种方式保存私钥,他可能已经通过勒索软件赚了很多钱了。

Yung和他的学生开始着重研究波普暴露出的核心漏洞:如何确保你的加密密钥就在自己手边,还不能被黑客发现。

他们的话题范围一下子扩展开来。他们谈论起电影《异形》里的怪物,它能通过产卵感染宿主。而令两人感兴趣的是这种生物保护自己的方式,如果你试图把它拉下来,它就会缠住宿主;如果你想切断它,它就会释放出腐蚀性的酸液。这是一段强制性的共生关系,想要移除病毒,会造成更大的损害。那么在数字和密码领域,谁会是那只“异形”呢?如何制造出这样一只密码异形,让你对它无计可施呢?而在勒索软件的威胁下,你要如何生成密钥,同时不让别人拿到密钥呢?对Yung来说,这些问题的根本就是,最阴险的恶意软件究竟能有多大的破坏力?

最容易联想到的答案是格式化电脑硬盘。但只是格式化硬盘,不足以威胁受害者支付赎金。

话题进一步推进:如果黑客得到了赎金之后仍保留了数据,那会发生什么?“我们发现了首次安全数据绑架攻击,”Yung后来在发表于《美国计算机协会通讯》(CACM)的论文中解释,“我们称之为‘加密敲诈’。”

他们当时讨论的正是如今的勒索软件的敲诈机制。黑客首先创建了公钥及私钥组——无数的“公共”挂锁和单一的“私人”密钥。然后,病毒感染了目标机器,并开始加密文件。但是它不会用公共的挂锁加密,否则那些支付了赎金解锁了系统的人,就能帮助那些中了同样病毒的人。相反,恶意软件能随机生成一个本地密钥来加密文件。然后,它再用黑客原始的“公共”密钥去加密那个本地密钥。受害者只剩下一台装满了加密文件的电脑以及一个可以解锁的文件。解锁文件的密钥被存放在一个“锁上了的保险箱”里,只有黑客才知道如何获取。

如果你想要恢复原来的数据,你只需支付赎金,然后把加密的本地密钥发给黑客。一旦赎金支付完成,黑客就会解锁本地密钥,然后把它发回给你,你的文件就可以解锁了。黑客会综合考虑受害者的现状、时机和支付能力,并根据这些制定交纳赎金的截止日期。

只需要几步操作:让电脑告诉受害者汇款地址,然后建立起汇款设施,就能在不被抓的情况下完成这件事。

1996年的IEEE专题讨论会上,Yung和扬发表了一篇题为《恶意密码学:敲诈勒索的安全威胁及对策》的论文,然而他们的工作却被世人看作一场空想。Yung回想道:

他们认为我们很有创意,同时又有些庸俗。我们发现,公钥密码学能够打破反病毒分析师与攻击者之间的平衡。密码学本用于防御性用途,却也能转换成一种攻击工具。

他们称这一新的攻击方式为恶意密码攻击。

即便他们的想法、观点在全球范围内传播,可若是黑客想要利用这一点,还需要一些额外的技术。对黑客来说,最难的部分不在于密码学,因为病毒跟加密程序的掌握途径十分丰富且易得。最难的部分是不留下线索,通信和支付过程都有可能被警方追踪,这需要匿名的通信和支付系统。

数字加密货币在理想情况下无法被追踪,可完成“隐身”支付,对黑客来说是最好的支付模式。“我们甚至编写了一套匿名电子支付系统,用来收取赎金,”Yung说道,“我们已经开始设想基本攻击所需要的所有支持技术。”

波澜暗涌

到2004年,支付赎金的想法开始引起了一些黑客的关注。但他们所面临的难题是,所有通过银行系统(包括PayPal在内)支付的款项都可以被追踪,这意味着所有利润很快就会被没收。

勒索软件产业开始发展,它们普遍都有技术漏洞。安全公司Quarkslab的一名安全研究员亚历山大·加泽在2008年断定,勒索软件是一场“注定失败的大规模敲诈”,因为“其设计是不合格的”,并且大规模作业无疑会暴露恶意软件的编写者的真实身份。

同年10月,一封加密邮件公开了一篇名为“比特币:一种点对点的电子现金系统”的研究论文。文中列举了创建数字加密货币的过程:该类货币不依托任何实物,也没有真实价值,是一种依靠大数分解创建的数字货币,使用该货币的每笔交易都在全世界数百万台电脑上同时运行,由区块链系统将其紧密联系在一起。这些比特币存储在电子钱包里,就好比电脑里的文件,可以通过普通的法定货币(如美元、人民币或英镑)在线购买与出售,比特币的概念因此产生。

比特币为勒索软件提供了理想的不可追踪的货币系统,这组成了计划的第二阶段。因为每一笔交易都存储在区块链里,尽管人们可以追踪黑客将比特币转移到个人钱包的过程,但洗钱相对容易了,可以交换成比特币,或是将比特币提现成法定货币。“暗黑钱包”(Dark Wallet)也使得交易更加容易,他们会把普通交易与洗钱交易混合在一起,以躲过审计追踪。比特币在2010年成为一种货币交换手段。

作家艾丽娜·西蒙尼在回顾2015年的勒索病毒的演变时提到,Yung和扬的研究“对勒索软件带来的贡献相当于贝西默(首创酸性转炉钢的英国工程师)给钢铁行业带来的贡献”,他们将一门手艺变成了一个产业。

黑暗场所

2016年2月,萨里大学计算机科学系的艾伦·伍德沃德教授开始怀疑,是什么推动了Tor暗网(匿名网站)数量的增长?

Tor暗网和其他网站一样,是运行在电脑上的网络服务器,但它是有效的网络匿名工具。Tor暗网(也就是洋葱路由器)是美国军方于20世纪90年代中期设计出来的,帮助间谍在不受监视的情况下联网,让军方建立起普通人无法浏览的网站,这给间谍创造了完美的网络环境。

和后缀为.com或者.org的网址不一样,后缀为.onion的网址只能通过Tor浏览器(或是装有Tor网桥的普通浏览器)打开。Tor是独立的,拥有自己的出入口,可以连接到更广泛的网络。Tor使网页浏览匿名化。配置正确后,你就可以给机器联网,且不会被人追踪,数据包也不会被窃听,所有的数据都像洋葱一样,被多层加密包裹了起来。

“隐藏的”Tor网站依附在机器里。理论上说,你无法用一种标准的方法识别出运行了.onion网站服务器的机器,而使用Tor网络的痕迹也是无法被追踪的。现实中,那些攻击网站服务器的黑客也会使用.onion,美国FBI也用这种方法封禁虐童图片网站。

除了间谍之外,Tor网站是那些想在暗网上销售非法商品与服务的人的理想选择,它也为黑客提供了存储密钥、联系急需密钥的人的场所。

伍德沃德注意到了Tor网络记录所连接的以.onion为后缀的网站数量,从2016年年初的4万个猛增至2018年2月初的11万个。

其原因就是勒索软件的出现。勒索软件Locky创建了一些新的网站,这让他们离完全匿名更近了一步。付款不仅需要通过比特币,还需要在.onion上完成支付。这无疑是最前沿的技术,给Locky带来了技术上的双重挑战。

Locky软件会给目标邮箱发送一份Word格式的发票。如果你打开了它,执行了宏(macro)代码(一种能简化任务的Microsoft Office内置编程语言),它就能加密你的本地文件。如果你没有执行宏代码,它也会请求执行,并加密你的文件。

Locky主要依靠两种传统技术:传统勒索软件的设计原理、恶意Office系统宏代码。1995年7月,后者的潜在危害得到了一名微软匿名员工的证实,巧合的是,Yung跟扬也在担忧恶意加密所带来的危害。尽管Locky勒索软件所携带的Concept宏病毒不会做任何有害的事,它只会弹出一个数字“1”的对话框,按下默认的OK按键就可以关闭,但它却会影响之后文件的共用模板。一旦感染用户与他人分享了文件,别人的共用模板也会被感染。1995年,Concept宏被纳入了微软的兼容性测试,然后传送给了用户。接下来的4年里,由此引发的恶意攻击事件陆续发生,微软的Office默认设置为启动所有宏(这可能会运行所有具有潜在危险的代码),这意味着除非你将它关掉,否则你打开的文件都会在后台运行宏。

1999年3月,这一明显的安全漏洞衍生了宏病毒“美丽莎”。它以Word文档的形式发送了一封题为“来自××的重要信息”的邮件,这个××通常是接收者认识的人,他们都在发件人的Windows联系人里。

邮件文本中写道,“这是你请求的文件,请勿展示给他人”。附件的文件里有一列色情网站,接收者还未搞清状况,宏已经给用户的联系人发送了同样的邮件,这大大增加了邮件被打开的概率。它还感染了Word的通用模板,用户新建的文件也会被病毒感染。如果你把你的文件发送给没有被美丽莎感染的人,他们也会被感染。

美丽莎以乘数效应飞速传播,尽管它看上去没有造成特别的损害,但它可能已经删除了一些用户的数据。微软在2000年禁用了宏代码,但美丽莎充分展示了其独特的强大——通过引诱或愚弄的形式诱导人们去做一些本该保持警惕的事情,比如打开一份文件,这使得勒索软件重获生机。

邮件附件很快成为扩散恶意软件的主要方法,它要么能嵌入整个系统,要么能在系统中安装一个小程序,并通过该程序联网下载剩余的有效载荷(payload)。

在21世纪早期,通过邮件附着的恶意软件占领他人电脑,或通过浏览器加载有毒软件,已然成为一项庞大的非法商业活动。因为大多数人只收发邮件和浏览网页,所以电脑有足够的网络带宽速度。如果黑客能利用这一点,生成并发送软件,或是向主机发送大量的攻击,就能挣到一大笔钱。黑客建起了僵尸网络攻击,这能让数百万台电脑成为一项按小时收费的生意。

然而想要达成这样的目的,首先需要建立起自己的僵尸网络。黑客将目光放在了安装次数最多、使用最广、缺陷也最多的程序上,他们锁定了Adobe的Flash播放器。超过10亿的个人、办公电脑都装有Flash播放器和IE浏览器,Adobe的Flash播放器运行时,可以让黑客轻松跨越数十亿的浏览器和操作系统抵达用户的桌面,不需要额外安装软件。Adobe的主页在2012年7月声称,“在新版本发布的6周内,已经有4亿台电脑更新了新版的Flash播放器”。也就是说,有6亿台电脑还在运行旧的版本,并还会在未知的一段时间内继续使用,黑客还有可能通过Flash播放器侵入用户的电脑。

严重性与焦虑感

作为传播恶意软件的渠道,Flash播放器究竟有多脆弱呢?答案是:非常不堪一击。Flash播放器一开始只用于展示图片文件,后来又将业务范围拓展到视频与动画游戏,同时用自己的脚本语言编写了Flash应用,还拥有在用户电脑上写入、访问和读取文件的权利。每一个环节都面临着安全性挑战,这是一项很严肃的事情。Adobe一次性做出了太多尝试,这难免会给安全体系留下很大的漏洞。

美国政府资助的米特公司整理了安全漏洞的列表,并介绍了每一个安全漏洞,并为这些漏洞提供了从低到高(1~10)的风险评级。在这个网站上,我们能很清楚地看到Flash的安全记录。

2016年年初,仅Flash播放器就出现了700多个公共漏洞。其中“高度严重”的漏洞(系数在9~10区间内的漏洞会造成严重的伤害,例如在用户电脑上运行攻击者的代码)在2010—2014年期间保持在55个左右。而在最近一次更新的数据中,2015年的漏洞数跃升至294个,2016年则出现了224个漏洞。

尽管研究员(尤其是在谷歌)发现了很多新的漏洞,但他们的修复方案也给黑客提供了帮助。黑客通过回顾修复历史,比较程序的已修复版本和未修复版本,能够找到重要的突破口。

同时,要弥补这么多的漏洞,Adobe及其用户也面临着十分艰巨的挑战,几乎每天都要升级系统。CVE数据库会集中收集每两周或者每个月的系统漏洞,这些漏洞可能已经在新的更新中得到了修正。尽管Adobe鼓吹10亿台设备中有4亿台已更新了系统,但仍有大多数人没有更新,大部分人仍旧有意无意地保留着旧版的Flash播放器。

大多数老牌企业倾向于依赖IE浏览器,它跟电脑还有微软公司绑定在一起,同步更新。恶意软件的编写者对此并不满。2012年IE存在着22个严重的漏洞,而2013年漏洞数跃升到了114个,2014年则达到了217个。你正在运行的是哪个版本并不重要,任何一个版本都有数百个漏洞。

对一般用户来说,除了更新系统、下载补丁所需的时间之外,他们还要重启电脑,这是一项十分繁重的工作。而即便时常更新,你的版本也有可能会落后。许多用户选择依赖杀毒系统,希望它们能探测出一些已知恶意软件的代码模式。当然,只有出现了第一个受害者,杀毒公司才能对恶意软件做出反应。

攻击Windows PC系统很快形成了产业链。只要浏览器打开了被感染的页面,里面的一个小程序就能很快识别出电脑运行了哪款潜在的高危软件,然后远程服务器能匹配出最合适的恶意软件。一旦电脑被侵入了,接下来的事情就取决于恶意软件了——它会把你的电脑变成可以远程控制的机器,或者加密你电脑里的文件,而有时这两件事会同时发生。

数百万浏览量的知名新闻网站,也为黑客提供了可乘之机,危险的页面随处可见。《纽约时报》、英国BBC广播公司和《卫报》都谈及了恶意广告,《卫报》还于2015年12月起发表了长达4年的连载,谈论失控的网络犯罪。

避免的方法就是不使用Windows PC。苹果电脑的操作系统完全不同,这为恶意软件代码的编写者带来了麻烦。也因为用户群相对较小,所以不是黑客的主要攻击目标。不然的话,用户只能持续保持更新Flash播放器和IE浏览器,以防被攻击。

2015年10月,思科网络公司查出了147个给勒索软件提供服务的代理服务器,他们每天会瞄准9万名用户,全年能获得3000万美元的盈利,平均每月有1310万名受害者,约40%的人是被他人感染而遭到攻击的。其中,约60%的受害者平均需要支付300美元赎金,而每100个人里面就会有3个人支付赎金。

及时处理

位于剑桥郡的帕普沃斯医院在英国心肺治疗领域位居前列。1979年,英国首例心脏移植手术在此成功完成。在英国国家卫生服务机构中,它的表现称得上数一数二,每年能接纳24000多名住院患者和73000多名门诊病人。它平均每天要为近300名病人服务,且提供24小时全天治疗。

2016年,医院的IT预算部门计划实施一套新的电子病历系统,总预算为60万英镑。可2018年医院要搬迁至新地址,且要转移数百台电脑和医院的联网医疗系统,这增加了任务的实施难度。不仅实施上困难重重,开支方面也面临着董事会的压力。6名IT人员需要处理60多台服务器和大约18太字节的备份数据,也就是数千个十亿字节的数据。帕普沃斯医院一直在着手推出电子病历系统,并计划将他们的系统从Windows XP升级至Windows 7。

2016年夏天的一个晚上,危机降临了。晚上11点左右,一位临床小组的员工点开了一个网站链接。这启动了一个自动下载程序,恶意软件无声地潜入了电脑,并开始在网络上蔓延,且自我复制到了更多的电脑上。

午夜过后,它开始自动加密服务器文件,包括临床分析科的文件,那里有需要核验的血液报告和其他紧急病患的检测结果。

服务台接到了一级警告,IT员工这才知道发生了什么。当时,管理整个IT团队的简·贝雷津斯基解释道,“病理科告诉IT部的值班人员,他们无法获取病人的病理结果”。而当工程师意识到发生了什么的时候,第一台感染的电脑切断了整个网络连接。更糟的是,帕普沃斯医院当时采用的是相对古老的系统,他们使用的是文件共享服务器,贝雷津斯基后来表示,“这次密码攻击破译了我们的共享文件,并加密了数据”。

凌晨1点,已经有3名IT工程师在工作了,试图确认勒索软件的扩散范围和破坏程度。第二天早上6点,医院宣布,发生了一起“重大事故”。整个IT团队一直工作到第二天晚上9点,贝雷津斯基始终通过短信和邮件与他们保持着联系。

贝雷津斯基后来表示,帕普沃斯医院“非常幸运”。勒索软件的定时机制推迟到午夜才启动,这意味着在恶意软件加密所有文件之前,系统刚刚进行了一次数据备份。

即便如此,数据恢复也用了2天的时间。“这十分重要,关乎临床安全。”贝雷津斯基解释道,“实际上,我们对系统的修复进行得非常快,但是我们需要确保系统完全恢复原样,没有任何改变。所以在正式发布信息前,我们需要对医疗系统进行临床输入和检查。关键问题在于,我们需要核实个人电脑或者服务器里是否存在潜在的危险。”

贝雷津斯基还说道,“我们很幸运,这起事件发生在周末,在当时并没有预约的手术”。她还提起,那个点击了感染链接的人并没有汇报这一行为,如果他早点意识到,问题也许能更早解决。她在当年11月的一次演讲中说,“我们系统的主要弱点在于员工和用户的行为”。

所以,帕普沃斯医院及其患者是否足够幸运呢?“这不是运气,”贝雷津斯基说道,“我们已经进行了一整年的信息和数据安全研究,另外还雇用了网络安全专员,做了很多工作,来加强防御系统。医院的内联网上会显示该做什么、如何回应、该注意些什么。我们不存侥幸心理,该担心的不是事故‘会不会’发生,而是一旦事情发生,我们该‘如何’响应。”

从恢复到存储

虽然遭遇勒索软件攻击是件可怕的事,但是勒索软件也有漏洞,它只能加密它能找到的文件。用户在网络世界中想要卸载并重新安装系统软件十分容易,虽然一些恶意软件能无声地加密文件,但这些文件不可能仅有一个备份。照片通常是最有个人价值的文件,幸运的是,智能手机和云存储保护着这些我们珍视的照片。

对大企业来说,更是这样。2015—2016年,很多英国国民保健医院遭到了勒索软件的攻击。通常情况下,他们会隔离受感染的系统,清除恶意软件,并从备份中恢复数据。因此应对勒索软件攻击的标准做法是,不在个人电脑上存储数据,一切都存储在服务器上。

然而,勒索软件攻击仍可能带来毁灭性的影响。2007年5月3日,星期三,绍斯波特医院和奥姆斯克医院的高层讨论了内部网络的脆弱性。一位主任问起,能否做到数据离线备份,却被告知成本高得“让人望而却步”。尽管已有相应措施,但要加强存储的数据和使用中电脑的安全性,其正式实施需要等到12月。

5月12日,星期五,上午11点30分,绍斯波特医院的一位IT专员接到了一通电话,称他们的系统运行异常。然后,另一通电话也进来了,一位叫梅德韦的人声称自己无法登入电子病历系统。

随后,戏剧性的事发生了。杀毒系统没有勘测出任何危险迹象,CPU完全运行正常,一切看起来没有出现任何问题。

世界上有上千家公司都有过这样的经历,勒索软件正在加密电脑里的内容。屏幕上出现了一项要求比特币赎金的请求,每台电脑的赎金约300美元,受害者需通过Tor网络向所示的账户支付赎金。

在绍斯波特医院,IT团队紧张地在谷歌上搜索新闻,因为他们意识到自己正和其他人一样,被卷入了一场勒索软件攻击事件中。

英国网络安全研究员马库斯·哈钦斯意外地发现了残留在软件中的“kill switch”(手机自动毁灭装置)的随机域名,如果该域名成功连接网络,名为“WannaCry”的勒索软件就会下载至电脑上。尽管活跃时间不到1天,WannaCry勒索软件已经感染了150多个国家超过23万台的机器。

绍斯波特医院是受到严重影响的医院之一,它不得不取消所有的紧急手术,X光无法使用,也无法联系门诊病人,内网也没法用了。与每位受害者一样,他们没有支付勒索软件的赎金,因此恢复正常服务需要6天的时间。

另一家受影响的医院是伦敦的巴特医院。尽管工作人员一发现感染迹象就关闭了系统,但在12110台电脑中仍有2000多台受到了感染,790台服务器中有2台受到了感染。整整6天,巴特医院无法进行急症室的救护车服务。关键的问题是,有200台服务器使用的是旧版的Windows 2003,而2000台个人电脑和医疗诊断系统(如成像扫描仪)都使用的是Windows XP。微软在2014年停止了为这两款产品提供安全补丁支持,但巴特医院没有升级系统,一些系统(例如诊断系统)也无法升级。

该恶意软件借助Windows中的漏洞“永恒之蓝”(Eternal Blue)进行传播,一个叫“影子破坏者”的黑客组织在网上发布了这一信息。

但是在2个月前,也就是3月份,微软免费发布了更新程序,修复了除XP以外的多个Windows版本的漏洞。理论上来说,大多数用户都已经得到了保护。然而实际上,大公司会在更新系统补丁前,测试其与自己系统的兼容性,以防更新的补丁会破坏原有的一些关键服务。比如,永恒之蓝利用了一个广泛存在于SMB协议(用于网络通信)中的漏洞。许多公司都依赖SMB协议,而微软公司的补丁修复会修改这一协议,随之可能会带来无止境的问题。尽管XP系统已经停止了更新,微软还是在2014年发布了一个XP系统补丁。

所以,谁该为黑客的攻击负责呢?有关报告显示,98%的受感染机器都运行了Windows 7,而不是老版的Windows XP,也不是新版的Windows 10,这表明很多公司都没有重视系统的更新问题,这也是让黑客有可乘之机的原因之一。

修理、分类、理解

尽管有16间医院遭到了WannaCry病毒的攻击,可帕普沃斯医院却在这次攻击事件中毫发无损。所有医院的IT小组在周末都会每个小时备份一次内部数据,但这终究是预防性的,无法根治问题。很多遭到WannaCry攻击的医院最终都决定将病人转移到帕普沃斯医院。

“我认为WannaCry病毒攻击事件也有其积极作用,”贝雷津斯基表示,“那就是它提高了人们的警觉意识,强调了这类事件会产生的实际影响。”

如果你回到5年前(也就是2012年),黑客侵入根本不会被提到董事会议程上。而在2年前,它可能会被提上议程,但是仅限于“我们知道这是个问题,但它是IT部的人需要去处理的事情”。而现在,我们更多地认识到,这不仅仅是IT员工的事情,而是事关整个公司的大事。

医院面临着两大安全考验:一是大量临时工作人员的存在,尤指从事护理等基本工作的人员;二是部分医疗设备虽然落后,但仍可使用(且十分昂贵),这些设备只能接入不安全且不受支持的旧操作系统的接口。“我和HR聊过新员工的入职培训,同时提及临时工的培训问题,”贝雷津斯基解释道,“每个人都需要理解他们行为的意义及潜在的后果。”至于第二个考验,她认为WannaCry证明了“供应商对健康服务体系的安全至关重要”。

其他勒索软件造成的损失尚不明朗,但WannaCry的蔓延速度及其突发性已经影响了很多知名公司。Cyence是一家致力于量化网络风险的创业公司,据其预估,全世界因WannaCry受到的损失(包括业务中断造成的损失和恢复成本)在40亿~80亿美元之间。如果美国也受到了波及,其造成的损失将进一步扩大。

无声的战争

Yung对1995年发生的这一连串事件表示并不意外:

在发表了恶意密码学论文后的八九年里,人们都认为恶意密码不过是纸上谈兵。实际上,恶意密码学是恶意软件与密码这两个领域的桥梁。有些人不知道病毒会产生多大的危害,他们无法理解一场攻击能够带来的经济影响,这种影响甚至可以改变局势。

从这种意义上说,恶意密码学拥有的力量,能为侵入者带来巨大的利益。我在演讲中谈论过黑客,他们做黑客只是为了出风头,赢得一些跟人吹嘘的资本。未来,黑客技术可能会发展成一个全新的产业。

公开发表这篇论文会不会引狼入室?勒索软件的出现是Yung和扬的错吗?Yung表示,他们确实有所隐瞒,“大约在2000年,我们意识到反恶意软件社区对我们的概念并不感兴趣,所以我们没有继续分享病毒攻击事件”。也就是说,他们确实想到了一些可能的攻击途径,但是没有继续研究。如果他们研究了下去,能阻止黑客事件的发生吗?

还有其他人也在做这方面的研究,有些内容被我们写进了书里。但我们认为,黑客不会为了获得灵感而去阅读一本数百页的书,这能隔绝一些不怀好意的人。书中提到了一些设想的病毒形态,但它们不曾出现在论文中。例如不可追踪的攻击病毒,它会访问所有的系统存储,但是你不知道它到底偷走了什么。我们在书里写这些东西,是因为我们意识到大会上的一些人对我们的工作是持否定态度的。作为恶意软件的专家,他们尚未发明出这种病毒,所以他们不拿这个当回事儿。那个时候,我做了很多有关理论密码学和基础密码学的研究,并把它们收集了起来。

如果有一个恶意软件病毒能简单地加密你的文件,然后把密钥扔掉呢?“那么它就是破坏性的,”Yung说道,“这意味着信息战争的正式打响。当然如果你手上什么都没有,病毒没有摧毁的对象,那么它就不具备煽动性和经济性。”然而,Yung认为销毁信息的勒索模式并不可靠:

经济学能将这一切都放大,使勒索病毒成为一件可供选择的武器。黑客攻击不属于传统的信息战争,它能毁掉你想毁掉的一切,并帮助你在虚拟世界赢得名声。同时,它也能给你提供筹码。通常情况下,有经济刺激的领域就会形成一个产业,而没有经济刺激的领域也很难有所进展。所以我们认为这一产业会爆炸,并进入大众的视野。

Yung注意到,WannaCry并不是一场机会主义者的投机活动,“有人认为或许这只是一场试水”。

经过几天的追踪,结果初步显示,WannaCry与朝鲜黑客组织有一定的关系。两家知名线上安全公司赛门铁克公司(Symantec)和卡巴斯基实验室(Kaspersky)分别发布报告称,他们研究了WannaCry程序,并找到了蛛丝马迹。

“这种老练的手法并不常见,”卡巴斯基实验室在博客中表示,“这可能出自朝鲜黑客组织‘拉撒路小组’(Lazarus Group)之手。”

2017年6月,英国政府通信总部(GCHQ)悄悄介入其中,并告知BBC,这次攻击是拉撒路小组做的。美国的计算机应急准备小组(US-CERT)也持同样意见,只不过他们称拉撒路小组为“隐藏眼镜蛇”(Hidden Cobra),还说该黑客团队经常利用Adobe的Flash播放器来攻击系统。计算机应急准备小组称这次黑客行动为“无差别攻击”,并表示美国将施加“最大限度的压力”来遏制未来的黑客攻击。然而,进一步的进展还有待观察。

勒索软件从一个人的狂欢,发展成为现在的网络武器,其杀伤力能够使庞大的公司与组织的系统陷入瘫痪。这一切,花了近30年的时间。

小结|勒索软件

勒索软件正在以惊人的速度衍生出新的形式。使用勒索软件的黑客能实施接近完美的犯罪,他们可以轻松地获取赎金,且这笔赎金几乎无法被追踪。他们只需要劫持你迫切需要的某些数据,甚至不需要对数据进行进一步处理。

对付勒索软件的第一道防线是设备,不安全的设备加上未更新的软件等于没有设防。平板电脑等移动设备能提供更好的保护。

对付勒索软件的第二道防线是对用户的培训。不要点击可疑链接(所有的链接都是可疑的)或打开可疑附件(所有的附件也都是可疑的)。确保每位新员工都接受了相应的培训,必要时可以在设备上附上警告。

对付勒索软件的第三道防线是数据备份。当加密系统的数据遭到破坏,从备份中恢复系统是最简单的处理方法。但是,你也需要确保问题的隐患已经消除,否则备份会被一起毁掉。

支付赎金似乎可以解决问题,但是它就像转动俄罗斯轮盘一样,不一定能得到令人满意的效果,并且它还会助长未来的勒索软件的发展。

如果你们需要依赖电脑系统工作,联系你们的供应商,寻找不受勒索软件威胁的产品。供应商必须尽快适应环境,帮助用户应对此类威胁,并预防问题的进一步恶化。

商业杀毒系统也不一定能阻挡所有形式的勒索软件。攻击形式在不断发展,你的系统也许可以抵御旧的攻击形式,但新的攻击仍可能找到破绽。