名为“WannaCry”的网络勒索病毒在全球互联网掀起一波狂潮。
大规模入侵、自动文件加密、比特币勒索、美国国家安全局(NSA)黑客工具泄露、朝鲜黑客组织“拉撒路组”嫌疑加深、民间“白帽黑客”摩拳擦掌……自5月12日被曝光至今,被认为造成互联网史上最大规模病毒入侵事件的“WannaCry”,已在全球范围内激发了高度关注,同时暴露出与互联网发展速度相伴相生的互联网安全隐忧。
为何造成如此大的破坏?
欧洲刑警组织数据显示,从5月12日至5月17日,“WannaCry”陆续感染了全球150个国家超过30万台计算机。它无需引导用户操作,通过Windows系统漏洞,自动加密用户的文件并锁定用户桌面,在弹窗上列出勒索要求:用户需在72小时内支付价值300美元的比特币来解锁文件;72小时后未支付,勒索金额翻倍为600美元;七日后,用户的文件将被永久锁定。
从欧洲部分电脑系统老旧的医疗、教育机构“出发”,“WannaCry”迅速肆虐欧美非大陆,俄罗斯内政部、德国铁路公司、物流运输公司FedEx、俄罗斯电信公司Megafon等机构及公司都受到不同程度的入侵。
“WannaCry”也迅速蔓延至中国大陆网络系统。截至目前为止,湖南株洲市公安局人口与出入境支队办证大厅、珠海市住房公积金管理中心、响水公安局出入境办事处、海口市公安局美兰分局办证中心等政府单位,以及中国石油、中国联通等企事业单位均通过不同渠道确认受到“WannaCry”病毒影响,并因此暂停部分网络相关业务。
5月15日,国家工业信息安全发展研究中心发布紧急通知称,我国石油、交通、教育、质检等涉及国计民生的关键领域已“中招”,影响范围十分广泛,造成后果极其严重,要求各地(市)工信局尽快组织排查和应对工作。
“这个病毒有偶发性。”武汉大学计算机系副教授武小平向《财经》记者介绍,“WannaCry”属蠕虫病毒,借由计算机端口入侵。网络安全人员对常用端口普遍有防护意识,但这次病毒入侵借道的445端口并不常用,非专业用户对它的警惕性很低。
445端口通常用于文件分享,用户能通过该端口在局域网中使用访问共享文件夹、使用共享打印机等功能。而正是由于这个端口便利的“共享”特质,入侵者能较轻松地入侵用户的硬盘,并借此让病毒感染扫描到的其他计算机。
由于“WannaCry”直接攻击的是端口,因此它不需要诱导用户点开任何的链接和应用,计算机界面及文件就会被自动远程锁定。本次“WannaCry”病毒能有波及到全球多个行业的规模,与这个特性密不可分。
武汉大学计算机学院的网络系统设置关闭了445端口,因此在此次病毒入侵中,没有接到电脑中毒的报告。
和木马病毒、灰色软件病毒等相比,蠕虫病毒在网络病毒中并不算高发病毒。据《瑞星2016年中国信息安全报告》显示,2016年瑞星“云安全”系统共截获病毒样本总量4327万个,木马病毒在总体数量中占居首位,约为49%;灰色软件病毒(垃圾软件、广告软件等)占比约为18%;后门病毒占比约为13%;蠕虫病毒为第四大类病毒,占比只有约12%。
更低的感染数量,意味着更低的关注度,也降低了对其的警惕性。《财经》记者随机采访了十数位网民,他们都表示对蠕虫病毒“有所耳闻”,但并不清楚如何防护,但会习惯性使用杀毒软件查杀木马病毒。由于445端口属于TCP端口,用户可以在系统开始菜单的“设置”界面中,找到对应“TCP端口”的设置项进行关闭。关闭端口的过程很简单,但一般用户对此了解不多。
武小平认为,本次事件爆发刚好卡在了几个互联网安全发展节点上:对蠕虫病毒的防护警惕性低、对计算机端口管理意识缺位、网络维护更新疏忽。“下一次可能经由其他端口入侵。但经由本次事件,全球网络安全防护会更严密,对端口安全也更加重视。”武小平说。
公共机构为何最易“中招”?
尽管个人、企业、公共机构网络都受到本次“WannaCry”病毒的波及,但无论从数量还是从程度看,公共机构都毫无疑问是最大的受害者,成为孱弱一环。
英国NHS(英国国家医疗服务体系)的网络系统是第一批被“WannaCry”攻陷的。5月12日,NHS旗下48个医疗机构的网络系统被攻击,医院的急症服务、手术服务等都必须延迟甚至取消,预计有数千患者受到影响。一位名为Jess Laughton的女孩预定在13日接受截肢手术,结果被迫取消;一位名为Ron Grimshaw的前列腺癌病人在接受核磁共振扫描时,医院的网络突然瘫痪,院方告诉他,在网络问题解决后才能继续进行检查。
国内状况同样堪忧。全国多地的中石油加油站无法进行网络支付,只能进行现金交易;中山大学、山东大学、南开大学、西安电子科技大学等多所国内高校的校园网相继沦陷。
游侠安全网站长张百川向《财经》透露,他已经接到了多个公共机构的技术援助邀请,客户以医疗、教育机构为主。张百川分析称,这些公共机构的网络系统大多由局域网组成,只要其中的一台电脑受到感染,病毒会通过漏洞扫描局域网内的其他电脑,使整个局域网内的电脑都难以幸免;此外,公共机构的员工会认为局域网的网络组成非常安全,只要电脑还能运行,他们都不会轻易更新补丁。
以最先受到攻击的英国NHS为例,由于成本较高且程序复杂,其下属的医院电脑大多使用陈旧的Windows XP系统,为“WannaCry”这类蠕虫病毒提供了感染环境。2014年,微软宣布停止对XP的维护,这意味着XP系统的使用者面临着大量的漏洞及巨大的安全隐患,但一批国内高校和医疗机构仍在使用Windows XP系统,未完成Windows7或Windows10的升级。
值得注意的是,“WannaCry”利用的漏洞MS17-010其实早有“死敌”——今年3月微软发布了MS17-010补丁。Windows10系统会自动更新补丁,但由于 Windows XP和部分的Windows7系统用户没有收到或拒绝了这个补丁的更新提醒,遗憾地和这个最大“帮手”擦身而过。
武小平认为,本次病毒勒索事件的目的是尽快获利,因此入侵者会更多地瞄准公共机构进行攻击。这也突出了公共机构网络安全防护的必要性。
攻防战带来的机会
攻击者的咄咄逼人,可能是防御者全面成长的最大推力。
2017年1月,科技部部长万钢在2017年全国科技工作会议上指出,国家网络空间安全作为六个重大科技项目之一被列入“科技创新2030—重大项目”中。
2016年10月,市场分析公司IDC发布的《半年度全世界安全开销指南》预测,全球安全市场需求在2020年将达到1016亿美元。IDC预测,安全服务会成为该市场最受欢迎的服务类别,占据2016年全球网络安全市场的45%;其次为安全软件,用户行为分析类软件增速最高。
IDC安全产品项目副总经理Sean Pike在报告中称:“今天的企业普遍担心自己成为下一次重大网络攻击或敲诈事件的受害者,因此董事会极度重视网络安全防护,对于网络安全预算的有效投入和安全解决方案的高效使用有着极高的需求。”
网络攻防战没有硝烟,但每一次的大规模病毒入侵,都是黑客和安全防护公司之间的激烈角力,网络安全市场也随着战况产生变化——公司企业和公共机构越来越舍得为网络安全花钱,网络安全公司则积极地提供更主动的服务。
在“WannaCry”病毒爆发24小时内,360、腾讯安全、亚信安全等一批国内网络安全公司均发布针对性的病毒防范工具,力图引导用户使用自己的应用,进行病毒的事前防范、事后病毒清理和事后文件恢复。
“入侵事件发生后,我们和一批的安全防护公司也忙了起来。我们会协助一些无法处理相关情况的公共机构完成系统升级、补丁更新以及进一步的病毒预防。”张百川称。随着未来更多的互联网安全挑战到来,让网络安全防护市场前景更诱人。
在武小平看来,本次事件暴露出的问题很多,可以预测国内外公共机构都会开始新一轮的系统升级,这对于日渐严峻的全球互联网安全状况来说,未尝不是一件好事。
《财经》记者 刘浩南 编辑王小
