这次网络攻击给全世界带来了巨大的损失——至今已经有超过150个国家和地区的20万台计算机受到感染。人们意识到:首先,计算机远没有我们认为的那么安全;其次,国家级的网络战军火也有可能会流入民间;最后,心怀不轨的黑客们,哪怕技术水平并不很高,也可以用网上找到的工具,在这个时代发动属于自己的战争。
这是这个时代的新常态。
南方周末特约撰稿 陈谷
一夜之间,世界变得更不安全了。
北京时间2017年5月12日20点左右,许多人发现电脑的屏幕上弹出了一个倒计时窗口。他们发现自己电脑中的大部分文件都被锁定,被告知要支付价值300美元的比特币才能解锁;若是一周内不支付赎金,所有文件都将不可恢复。
一场新的互联网攻击爆发了。
一种叫做“Onion”(洋葱)和另一种叫做“WannaCry”(想哭)的勒索软件传播得很快。按照欧洲刑警组织的计算,至今已经有超过150个国家和地区的20万台计算机受到感染:英国部分医院、中国的部分大学和政府机构、西班牙的几家电信与电力公司、美国的联邦快递公司等等都成了受害者。
短短几天之内,这些恶意软件出现了许多变种,继续在互联网上肆虐。谣言四起,人心惶惶。
而这还只是开始。
在自己家里被勒索
“想哭”已经成了迄今为止最大的勒索软件攻击事件,但它并不是历史上的第一次。
这类蠕虫病毒通过某些方式侵入用户计算机中,获取文件系统的使用权限,然后将特定类型的文件加密;加密方式往往很复杂,复杂到受害者自己无法解开。受害者只有两个选择:或者乖乖缴纳赎金——以比特币方式;或者眼睁睁看着自己计算机里的文件和资料就此消失。
从2005年起,勒索病毒就成了互联网世界中最大的安全威胁,但世界上第一款勒索病毒出现在1989年。早期的勒索病毒采用对称加密方式,相对容易破解,但是它的后继者们就没有那么好对付了。2006年出现的一款木马病毒会将用户“我的文档”中的所有文件采用非对称方式加密,解密要比加密难度大得多。
非对称加密,指的是一些加密容易但解密困难的加密技术,目前已经广泛应用在网络安全领域,保护着我们的个人信息和财产安全。这类加密技术中最广为人知的是 RSA加密算法,它的基本构想很简单:我们可以很容易地将两个大素数乘起来,计算它们的积;但是若把一个很大的数字拆解成两个素数就会困难得多。利用这种特征,就可以创造出在当前计算原理下几乎不可破解的加密方式。
后来的勒索病毒们也都采用了非对称加密方式,让恢复文件变得更加困难。在2006到2015的10年中,这类恶意软件出现了多个变种的多个版本,偶尔会听到受害者在社交网络上的哀嚎,但是并不广为大众所知。
早期的勒索软件往往要求受害者使用不记名充值卡支付赎金,但是最近则大都转向比特币之类的虚拟货币。这类货币往往使用区块链技术构建,没有政府的信用担保,没有中央发行方,每一笔交易都可追溯,可以兑换成其他货币,但是却难以定位到真正的持有人。这种在网络世界中通行的货币简直是支付勒索赎金的最好方式——而且它的价值还在看涨。
这次发起攻击的“想哭”勒索病毒也是如此。勒索者让受害者在3天内支付价值300美元的比特币,否则赎金就要上涨到价值600美元的比特币。若是一周内都不支付赎金,文件将永远无法找回。
面对这样的威胁,受害者们往往只能乖乖支付赎金了事。一些公司甚至已经为了预防这类勒索专门开设了比特币钱包,随时准备支付赎金。被加密的文件往往价值连城,而这些勒索者们隐身在网络后面,并不容易被抓到。
勒索病毒本来只是互联网安全圈子里的话题。“想哭”勒索病毒这次之所以引起这么大的关注,是因为它的传染力度堪称疯狂。赋予它这种传播能力的,是名叫“永恒之蓝”的黑客武器。
而“永恒之蓝”,则普遍认为与美国国家安全局(NSA)有关。
为什么全世界“想哭”
2009年6月或者更早的时候,震网(Stuxnet)病毒就已经在伊朗的核设施工业控制系统中传播开来。这是第一个攻击关键工业基础设施的计算机病毒,目的可能是破坏伊朗的核武器开发计划。
俄罗斯计算机安全厂商卡巴斯基实验室认为,震网病毒是可怕的网络战武器,“除非有国家的支持,否则很难发动如此规模的攻击”。2012年,《纽约时报》获悉,震网病毒是美国国家安全局开发的网络战武器。
几年之后,卡巴斯基实验室发现,开发了震网病毒的黑客组织依然在活跃中。这个组织被叫做“方程式组”(Equation Group),因为他们在自己的软件中喜欢使用复杂精巧的方程式。卡巴斯基实验室认为,这个组织很可能和美国国家安全局有关:或者是受到NSA的资助,或者干脆就是NSA的一部分。这一观点得到许多网络安全人士的认同,但是NSA当然没有承认。
2016年8月,一个名为“暗影掮客”(Shadow Brokers)的黑客组织在全球最大的程序员社区GitHub.com上发布了一批经过加密的黑客工具,声称是从“方程式组”盗来的。暗影掮客计划拍卖这些网络武器,要价100万比特币——按照现在的汇率,约等于100亿人民币。不过几天之后,他们就将这些信息全部删除了。
2017年4月,暗影掮客公开了一些工具,其中就包括此次“想哭”所使用的“永恒之蓝”。这是一个可以在Windows操作系统中传播的攻击工具,利用了一个共享文件和打印机协议的漏洞,可以迅速传遍整个网络中的所有计算机。不到一个月,就有人把这些工具和勒索软件整合起来,也就有了这次让全球恐慌的“想哭”攻击。
虽然微软公司已经在2017年3月推出了针对这个漏洞的补丁,但是对于没有及时升级更新的 Windows用户来说,漏洞依然存在。这次攻击的受害者,就是没有及时修补这个漏洞的用户们。
“永恒之蓝”使用了Windows操作系统中的445端口。一些网络运营商在意识到这个漏洞之后,已经关闭了这个端口;但是并非所有运营商都是如此。那些依然开放445端口的计算机将会成为这种传播工具的通道,进而感染网络中的其他计算机。
“想哭”将传统的勒索病毒装在了“永恒之蓝”上,用新瓶装了旧酒。“方程式组”的武器级攻击工具就这样成了勒索大众的道具,感染了未能及时升级操作系统的计算机——而显然,这类计算机为数众多。
这种无差别攻击的效果,可能连组织这次攻击的黑客们也没有想到。当军用武器库泄露到民间,网民们可以自由下载、改造和使用时,每个掌握一定计算机技能的人,就都拥有了可以攻击大量计算机的武器。
这就像是每个人都有了核武器发射开关。
下一次危机已经爆发
“想哭”的消失和出现一样突然。在肆虐了两天后,一位英国网络安全研究人员以戏剧性的方式终止了它的传播。
这位22岁的网络安全人员在查看“想哭”的代码时,发现了一个奇怪的长网址。他发现这个网址并没有被注册,于是自己花了点钱注册了下来。随后他发现,“想哭”不再传染了。
事后分析认为,这是藏在“想哭”中的一个终止开关。每当感染一台新计算机时,勒索病毒都会尝试去访问这个网址。只要这个网址可以访问,就不再感染其他计算机。这位年轻人的本意只是通过这个网址看看“想哭”的传播范围到底有多大,却意外地终止了一次灾难。
但是,人们并没有放松多少。勒索病毒已经成了一种商业模式,成了网络阴暗面的一种获利方式。虽然“想哭”被阻止了,但更大的危机恐怕才刚刚开始。
果然,更多的勒索病毒变种很快出现,这些变种已经没有了终止开关,没有人能够阻止它们的传播。人们只能寄希望于在被感染之前迅速打好升级补丁、关闭可能被黑客工具利用的端口,以及早日将这次攻击背后的黑客绳之以法。
这是近十年来全球最受关注的一次计算机犯罪行为。各国调查人员都在追查幕后黑手,蒙受损失的各个机构也都在加班恢复,尽可能减少损失。但是事后弥补总是来不及。
这次攻击给全世界带来了巨大的损失,也让人们意识到了几件之前曾经忽略的事情。首先,计算机远没有我们认为的那么安全;其次,国家级的网络战军火也有可能会流入民间;最后,心怀不轨的黑客们,哪怕技术水平并不很高,也可以用网上找到的工具,在这个时代发动属于自己的战争。
这是这个时代的新常态。计算机已经成为人们生活中最重要的工具,但大多数用户并不具备保护计算机、保护个人信息安全的意识和知识。人们依赖计算机,但是计算机本身并不坚固——毕竟越复杂的人造物,就拥有越多缺陷。只是大多数时候,我们宁可不去想到这点。
这并不是第一次网络战军火泄露,也不是第一次勒索病毒攻击。世界已经被互联网连成了一个整体,在光纤和网线中奔腾的不仅有我们赖以生存的商务、娱乐、学习和工作资源,还有暗藏的巨大风险。
我们可能没有办法知道,到底是谁躲在这些病毒背后勒索着全世界。互联网上流动的信息纷繁复杂,想要抽丝剥茧找到源头并不容易。当恶意软件和攻击工具可以在互联网上轻易找到时,任何人都可能是某次网络犯罪的始作俑者。也许他们今天就在街上与你擦肩而过,但是没有人知道。毕竟,在真实世界中,黑客们并不会符合电影中的刻板印象——他们并不总是嘴角黏着披萨渣、戴着深度近视镜的宅男宅女,也不总是穿着黑色长风衣戴着墨镜的大帅哥。
虚拟世界和真实世界一样,光明和黑暗永远同时出现。互联网的阴暗面偶尔会冒出头来袭击我们,在今天这样连成一体的世界里,没有人能置身事外。作为普通网民,我们能够做的其实有限,只有尽可能保障自己的设备和信息安全,努力避免成为攻击的目标。