从 5 月 12 日开始,名为 WannaCrypt 的勒索蠕虫病毒,在全球范围内大规模传播,已经有英国、俄罗斯、意大利近百个国家遭到大规模网络攻击,中国也未能幸免,被攻击者被要求支付比特币解锁。
在英国至少有 40 家医疗机构内网被黑客攻陷,俄罗斯的电信公司 Megafon 等大型企业也中招。类似的情况也出现在中国,高校、国企和政府机构等事业单位,成为了这次病毒的重灾区。
这次的事件中,全国多个城市的中国石油旗下加油站受到波及,一时无法使用支付宝、微信、银联卡等联网支付方式,只能使用现金支付。同时,为防勒索病毒攻击,多家政府机构暂停办理业务。比如,三亚暂停办理交通违法处理、车驾管业务;洛阳暂停办理交警、户政、出入境业务;珠海紧急停办公积金业务……
受伤的政企:危险一直存在,只是终于引起关注了
相较于之前的网络安全事件,这次事件的“特点”似乎在于,这个网络专门在政企专网内大规模爆发。这是怎么回事?
从国内的情况来说,企事业和政府机构中招的直接原因,不少文章指出,这跟 WannaCry 的传播渠道有关,它利用的是 445 端口传播扩散,由于此前发生过多起通过 445 端口入侵电脑,中国运营商已经对个人用户封堵了 445 端口,所以黑客没有办法在因特网上远程连接这些端口,也就直接抑制了 SMB 漏洞被利用。至于物理隔离的校园网和政企内网,都是独立的,没有做相关的设置,因此传播局限在类似专网上。
这次的勒索病毒,利用的是 4 月泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”0day 漏洞,而微软其实早在今年 3 月就已经发布了这个漏洞的补丁。
这可能暴露了国内政府、事业单位和部分企业在企业安全治理的一些误区。国内的很多关键部门,比如石油、地铁、高校等事业单位,出于网络安全考虑,往往设置了物理隔离的专网。
阿里云首席安全研究员吴翰清说:“其实是否使用物理隔离,跟你的安全水平没有关系,但国内却因为迷信物理隔离,自己以为自己很安全。”这也是国内那么多关键部门受影响的原因,因为过于迷信物理隔离,也导致他们在补丁升级和安全响应上,都存在一定的缺陷。他们的内网,可能还用着非常古老的系统,比如 Windows 2000 等,之前看似没有问题,其实只是没有暴露出来,因为没有遇到勒索软件。
他指出,这次遇上了勒索软件,它的破坏力比较大,因为它们没有办法简单地用杀毒软件清除,必须通过重装系统,业务就不得不中断,问题才会暴露出来。这些物理隔离的专网,内部的不安全其实一直存在,它们的古老系统也是一直在带病运行(很可能上面本就有很多病毒),之前一直没有让它们的系统停止服务,这次勒索软件让问题暴露了。
我们去加油站加不了油,去车管所终于上不牌了,才终于引起了社会的关注。
从吴翰清的描述中可以看出,在互联网如此普遍的今天,很少能做到政企专网真正的物理隔离。比如插入电脑的U盘中的资料可能就是通过网络下载的;一些单位的服务器上,安装两块不同的网卡,一块用于内网一块用于外网,但使用的却是同一台电脑,我这些都没起到物理隔离的意义。“这就像是自欺欺人。”
他认为,企业和事业单位应该要建立安全管理制度,这跟是不是物理隔离没有关系,而是要使用最先进的安全治理技术,加大对安全的投入。
有趣的是,阿里云指出了一个现象,这次很多在云上的企业,则没有受到类似的重创。阿里云方面认为,这也反映出了企业上云的一些好处,有专门的安全专家帮用户评估类似的事情,比如关注全球的网络安全情况、研究新出的补丁提醒用户修复。阿里云表示,这次的事件涉及到的漏洞,在 4 月中旬 NSA 失窃事件之后,阿里云就提醒用户去修复。
久违的大规模“疫情”再现?也许未来还有好几起
这几年间,我们可能偶尔有听说过一些企业因为遭受黑客攻击,导致用户信息泄露,包括雅虎、网易邮箱、京东,甚至是最近的小红书,类似的网络安全事件可谓不绝如缕。
只是,回想起来,这么大规模的能“上热搜”甚至让社会媒体纷纷报道的病毒,似乎除了好几年前“熊猫烧香”,也已经很少见。这不禁让人觉得,这次的病毒有什么特别之处?
不过,吴翰清表示,这次的病毒跟很多蠕虫病毒,还有近几年兴起的勒索软件,其实没有太大的区别。这次的特别之处大概在于,用了加密的方式,据公开报道,这个加密算法以目前的科技水平基本上没法破解。
除非杀毒软件能在感染之后被加密之前拦截,对于感染这个勒索病毒的系统,唯一的解决方法只能是快速重装系统和软件,通过已有的备份快速恢复数据,否则就只能找到源头,让其把秘钥交出来,几乎没有其他的办法。
这次出现杀伤力和波及规模都那么大的现象,吴翰清指出,跟两个因素有关。
首先是 4 月中旬出现的 NSA 的“永恒之蓝”0day 漏洞(微软漏洞编号:MS17-101) 泄露直接相关。他表示,之前很少有出现在像 Windows 这样覆盖量那么大的基础软件上的漏洞,这也使得让这个漏洞天生就带有特别大的杀伤力。
其次,这跟勒索软件使用的一些新方式也是有关系的。在黑色产业中,利用漏洞和攻击来勒索长期存在,之前没有用加密的方式去索要赎金,这是最近几年才兴起的。
他说,其实阿里云在去年下半年,通过云上数据监控,就已经预测勒索软件会在今年大规模爆发。如今,勒索软件盛行碰上高危漏洞,两个事件凑在一起,就导致该起事件爆发。他预计,未来出现类似大规模事件的概率,会越来越高:
我可以负责任地说,这绝对不是第一次,这只是刚刚开始,我预计今年还会有还会有三到四次类似规模的事件。
他解释,在去年下半年的时候,勒索软件已经在逐渐抬头,区别只是当时利用的不是 Windows 而是其他软件的漏洞,但他们利用手法和索要赎金的手法也是差不多的。因此,他们预感今年可能会有更多。
对于要企业要做什么样的措施来预防类似事件,吴翰清首先强调,要做好备份。“这是每个 CIO 需要去做的头等大事。”
其次,“今天这个问题不是一个 windows 安全漏洞的问题,是一个整个企业安全治理的问题”。他们去年就观察到,企业使用任何不安全的软件,都有可能会遭遇勒索。因此,未来的勒索软件,利用的可能是系统的其他漏洞,但是它最终的破坏力都是类似的,应该把企业安全看得更加重要,加大对安全的投入。因为网络安全的机会成本是很高的:
除了恢复系统之外,完全没有第二条路,这可能会直接让一家企业倒闭。