阿里云安全吴汉清:此次勒索病毒被低估,不重视安全的企业将“猝死”
由于公安网络病毒,需要系统受理的业务无法受理,敬请谅解。
这张北京某地公安机关户籍管理窗口的告示,是对我们网络世界伤痕累累的无奈比喻。 我们总是被恐慌和谣言袭击,但真相却很难挽回。
关于勒索软件的一些真相
据了解,此次爆发的勒索软件作者获得了35万美元的奖金,与其在全球的影响力相比似乎并不多。 但很多人不知道,这种蠕虫病毒是2.0版本,而在之前的1.0版本中,病毒作者已经赚了数千万美元。
吴汉清说出了第一个真相。
这一次,勒索病毒席卷了全球数百个国家,头戴红袖口的朝阳阿姨开始对病毒的残忍描述得淋漓尽致。 但实际上,在大家关注“王宝强的儿子是不是自己的”或者“白百何的小狼狗是谁”的2015年和2016年,勒索病毒已经在全球范围内累计勒索了数千万的赎金。
▲上图为2016年初遭到勒索软件攻击的洛杉矶好莱坞长老会医疗中心
在烟雾笼罩您的身体之前,您的世界将永远是阳光明媚的。
车管所上不了车牌,加油站加油不了,公安局也办不了业务。 这一次病毒似乎无敌了。 但专业黑客和安全研究员吴汉清指出了两个尴尬的巧合。
真相1 | 此次病毒的“走红”源于两个令人震惊的巧合
1.杀学校和政府内网不是病毒的初衷
这次病毒之所以流行,最重要的原因是它攻击了国家的基础设施网络,导致很多公共服务停滞,人心惶惶。
但令病毒作者尴尬的是,这恐怕不是他的本意。
除非发动国与国之间的网络战,否则病毒不会攻击国家设施。
吴汉清说道。
简单来说,“黑客界”类似于黑道,有一个不言而喻的共识:“出来混的,一般都是安安稳稳地赚钱”。 因为有经验的黑客都知道,攻击国家设施肯定会引起政府的注意。 等国家注意了,离黑客被抓到就不远了。
据我了解,目前世界主要国家都在追踪病毒的始作俑者。 我国公安机关和各大安全厂商也不例外。
我可以透露的是,这次病毒攻击更像是一个没有经验的新手在做。 连代码都是在黑市上买来的,估计也没有提前判断出病毒可能带来的灾难性后果。
他说。
▲图为流行勒索病毒Wannacry的勒索界面
一般来说,专业的黑客不会以做大为目的,所以他们会采取各种方法来控制病毒的范围。 但这位不愿透露姓名的黑客显然未能控制局面。 造成这种情况的一个很大原因是由于公共服务网络和一些大公司内部私有网络的脆弱性,超出了黑客的想象。 黑客只是动动手指,高楼已经摇摇欲坠。
那么,为什么公共设施网络和企业专用网络如此脆弱?
这些网络有一个神秘的名字——Intranet。
所谓内网最大的特点就是与外网是分开的。 这种隔离是“物理隔离”,即根本没有网线。 既然“与外界没有联系”,为什么还会有病毒? 吴汉清说:
正是因为迷信所谓的“物理隔离”,很多机构觉得其他安全措施可以搁置一旁,甚至连基本的系统升级都滞后。
但这种老专家们百般提倡的物理隔离,是不堪一击的。
1、U盘。 为了方便使用,很多私有网络和外联网都有切换点,U盘就是其中之一。 病毒、木马可以通过U盘随意进出。 (破坏伊朗核设施的Stuxnet病毒是通过U盘带入核设施网络的)
2.双网卡。 为了合规和方便,许多专用网络使用两张网卡,一张连接到 Internet,一张连接到内部专用网络。 但是两个网络都使用同一台计算机。
3.手机。 有的手机内部连接的是专网,出门后依然使用外网Wi-Fi。 该设备成为病毒进出的大门。
事实证明,这次攻击的受害者几乎都是私有网络。 在此之前,病毒和木马在内网也很猖獗,只是那些病毒没有那么果断,直接锁定电脑进行勒索。 只要这个系统有效,每个人都想维持这种脆弱的平衡。
2.个人很少被感染是侥幸
要知道,这次病毒本来就是针对个人用户的。 但从各大安全厂商的监控数据来看,个人感染该病毒的案例非常少。 为什么是这样?
首先简单介绍一下病毒攻击最关键的一步:扫描用户的445端口。 如果端口是开放的,就可以进行下一次攻击。
然而,没有书就没有巧合。 这里有一个故事。
早在2003年,一种名为“冲击波”的病毒就席卷了全球互联网。 那个时候,全世界都在哀悼,比现在还要血腥一百倍。 巧合的是,Shockwave病毒也是通过445端口传播的。当时国人的网络安全意识几乎为零,只有少数付费杀毒软件占据了市场。 而且几乎每个人都没有见过正版Windows长什么样,更不用说升级和打补丁了。
▲感染Shockwave病毒,系统会自动重启
彪悍的网络运营商见不对劲,直接禁用了自己手中的445端口。 这种锅底抽薪的方式,直接把病毒给杀了,世界瞬间太平了。
如果没有Shockwave病毒的“助攻”比特币勒索能抓到吗,运营商还开放445端口,这个病毒会像海啸一样席卷中国用户。
吴汉清说道。
这四天里,所有人都被勒索病毒洗脑了,就连家长在群里转发的信息也变成了这样:
但吴汉清仍然认为,病毒的影响被大大低估了。
真相2 | 这种病毒的影响被大大低估了
你没看错,被低估了。 吴汉清觉得,这件事可能会成为病毒史上的一个“里程碑”。 可以预见的影响至少有以下两点。
1、勒索病毒本身的破坏性会直接关掉公司。
过去,人们熟悉的攻击方式大多是窃取数据、进行欺诈,或者通过后门控制机器发起攻击。 对系统本身没有那么大的破坏性。 但这一次勒索是毁灭性的,加密算法本身的逻辑保证了加密的不可逆性。
吴汉清告诉雷锋网。
换句话说,一旦被黑客加密,只有黑客手中的秘钥才能救你于世。 如果一家公司的核心数据遭受加密攻击,其影响可能是灾难性的。
也许有的公司会因为数据毁坏而直接倒闭,也许有的行业会因为这样的病毒而直接重新洗牌。
他说。
2. 任何人搞诈骗都可能搞敲诈勒索
这次袭击可能对“黑色产业”的震动最大。
简单说一下这个病毒的三个特点:
(1) 利用微软的漏洞进行传播;
(2) 使用加密软件;
(3) Tor 网络和比特币被用来收取赎金。
吴汉清觉得这三个特性中,很多人都在关注第一个,慌张的希望升级打补丁。 但真正改变世界的可能是 (2) 和 (3)。
因为,以前要写无数剧本,装N个字,一心想拿金马奖的诈骗团伙,似乎找到了一条“光明路”。
对他们来说,勒索攻击是可靠且风险较小的。
这个黑客制造的病毒公然勒索全世界,至今没有被抓到,可见Tor网络(暗网)和比特币匿名性的可靠性。
刚才也说了,这次事情闹大了,可能是手滑吧。 未来如果病毒设计得更好,传播范围是完全可以控制的。 这样一来,无论是针对个人还是针对企业的敲诈勒索,都会像今天的电信诈骗一样成为一个成熟的行业。
这将是一个非常可怕的未来。
吴汉清表示,从这一点来看,未来安全行业的数据备份公司似乎被看好,因为企业的CIO(首席安全官)首先要做的就是备份数据。
真相3 | 只有忘记安全才能进步
除非乱世盛行,否则永远不想学习自卫术。
那时候blaster病毒猖獗,可我们谁学会了按时升级系统呢?
多年来个人安全方面的重大进步客观上来自免费安全软件。 而这些软件出于保护用户和盈利的需要,提供“贴身服务”,让用户感到很困扰。
但有一个事实不言而喻:
就像社区的安全和装甲车的安全一样,安全应该永远是一种服务,而不是一种教学。
你愿意每天在健身房练散打,为家人保驾护航吗? 还是愿意花物业费,在小区门口请保安?
吴汉清觉得,如果企业为了安全单打独斗,由于各种疏漏和技术原因,会存在很大的隐患,利用平台的“安全”服务是个不错的选择。 云计算上的安全就是典型的“安全”,他举了一个发生在阿里云上的例子。
Wannacry病毒利用的漏洞早在4月14日就被泄露。 作为安全人员比特币勒索能抓到吗,我们知道这个漏洞有多严重。 所以从那以后,我们通过各种方式,不断提醒用户修复漏洞,实施网络安全隔离。 包括电子邮件、消息、短信,甚至电话。
有些用户已经修复了它,有些还没有。 所以我们敦促他们再次修复它。 就这样,客户被我们骚扰了好几轮,但还是有少部分客户拒绝。
但是,如果没有多方提醒和协助,这次阿里云上被感染的厂商将不计其数。
由于云服务由专门的安全团队运营,安全治理水平较高,与传统私有网络相比在安全性上存在巨大差距。 这有点类似于个人用户和免费杀毒软件,用户只需要选择一个平台,所有的安全都应该是平台的基本能力。
不懂安全的用户是无罪的,甚至是有功的。
从社会成本的角度,可以比较以下例子:
每个人都带枪是为了可能的自卫,每个人都不带枪,警察和军队有责任保护公民的安全。 谁的社会成本低? 显然是后者。
这就是社会分工的经济意义。
勒索病毒爆发后,各大安全厂商第一时间推出防护产品,并召集骨干研究人员进行攻关。 认为安全供应商正在“制造存在感”是一种廉价的解释。 从更深层次的角度来看,安全厂商看到了进一步细化社会分工的机会,并为此感到鼓舞。
云计算和云安全也是如此。
每天打开水龙头,都要判断水质是否达标; 每天打开电视之前,您必须确认您的稳压器是否正常工作。
这是30年前的中国。 当时的社会分工,远没有今天这样专业可靠。 每个人都不得不放弃自己的一部分精力和专业能力来捍卫自己的生命。
与病毒的斗争似乎在隐喻我们的网络空间也在经历几十年前中国社会的巨大专业化。 在理想的网络世界中,安全可能就像水和电一样,人们每天都在使用它,却从来感受不到它的存在。
今天发生的一切都表明我们做得还不够。 但我相信总有一天,所有的企业只需要专注于自己的业务,安全问题已经在云计算平台内部得到解决。 只有这样勒索软件才会消失。
吴汉清说道。