未来,网络攻防将变成一个新常态,这将是一个长期的攻防战。但是我们不能因为漏洞就放弃软件,放弃进步。
■本报记者 李惠钰
一波刚平一波又起,刚刚送走“WannaCry”,“Petya”又来了。
6月底,全球遭受新一轮勒索病毒(被称为Petya变种)的攻击,俄罗斯最大的石油公司、乌克兰切尔诺贝利核设施辐射监测系统以及欧美等多国企业纷纷中招。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑。
“未来的世界可能没有我们想象的那么好,我们会面对一个充满漏洞的软件世界。”面对新病毒的袭来,360公司创始人、董事长周鸿祎直戳网络安全事件的要害——不起眼的漏洞一旦被发掘出来,就可以变成国家间网络战的武器。
“因为有漏洞的存在,没有一个系统是不会被攻破的。未来,网络攻防将变成一个新常态,这将是一个长期的攻防战,但是我们不能因为漏洞就放弃软件,放弃进步。”周鸿祎在第二十一届中国国际软件博览会上如是说。
漏洞可变成武器
“一切皆可编程,万物均要互联。”因为物联网把虚拟世界和物理真实世界联系在一起,利用漏洞发起的攻击也便可以从虚拟世界影响到物理世界。
“目前,很多软件的复杂度已经超过了过去十年的总和。但是,所有的软件都是人为编写的,只要是人就一定会犯错误,不管是主观还是客观上的错误,都会留在软件里。”周鸿祎说。
按照统计,软件中平均1000行到1500行代码中就会存在一个漏洞。而现在,智能手机中代码行数多达几千万,自动驾驶汽车代码行数更是高达几亿,可以想象这些产品里会有多少漏洞。
“有一些小Bug,看起来非常无害,甚至不影响软件的正常操作运行,但这些漏洞一旦被犯罪分子和黑客利用,可能带来毁灭性的结果。”周鸿祎表示。
此次爆发的Petya变种病毒事件,攻击方式与WannaCry相同,都是利用“永恒之蓝”漏洞进行传播,并通过微软的实用工具之一PsExec在内网进行渗透。
亚信安全技术总经理蔡昇钦表示,不同于传统勒索软件加密文件的行为,Petya勒索病毒还采用磁盘加密方式,通过加密硬盘驱动器主文件表,使主引导记录不可操作,限制对系统的访问。另外,Petya还巧妙地使用合法的Windows进程Psexec和Windows管理信息的命令行(WMIC)、WMIC扩展WMI(Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。
“归根结底,是因为美国国家武器库泄露了所谓的网络武器。网络武器这个词听起来特别高大上,但本质上就是个Windows 操作系统的漏洞。”周鸿祎说,“可以想象,随着万物皆可互联,我们身边的每一个物品都可以编程,都有智能系统,带来便利的同时意味着每个智能硬件里面都有可能存在着漏洞,这些漏洞防不胜防,一旦被网络犯罪分子利用,带来的攻击力量将会是非常巨大的。”
2016年10月美国东海岸发生的断网事件,背后的原因就是摄像头硬件里的漏洞。黑客利用漏洞控制全球大量的智能摄像头,操纵几十万台摄像头攻击了美国东部的域名系统,直接导致美国多个知名网站服务中断,几乎半个国家的互联网都陷入了瘫痪。
“有一种工控协议,通常用在轨道交通上,简单来说是控制地铁门开启关闭的,如果这些协议存在软件漏洞,遭到了攻击,带来的危害可想而知。”周鸿祎说。
重视漏洞 改变观念
“因为有大量的漏洞依然未被发现,也不能提前预防,所以在未来世界里,网络攻击不可避免。”周鸿祎表示,因为漏洞的存在,未来网络安全可能会长期处在一个不停攻防、猫捉老鼠的循环当中。
那么,应该如何应对充满漏洞的软件世界?在周鸿祎看来,首先就是要重视漏洞,积极发现和挖掘漏洞,及时打补丁。
“挖掘漏洞不能靠360或者某几家安全公司自己来做,我们已经借鉴国外的方法,利用众包的力量,发动全社会的‘白帽子’黑客一起挖掘漏洞。当挖掘出漏洞时,应该迅速地推出补丁,让大家及时打上补丁。再厉害的网络攻击,只要漏洞被堵上了,就没法攻击了。”周鸿祎说。
但是,目前有很多机构与企业对漏洞和补丁的认识不足,觉得不打补丁,系统也没问题,也能正常运行。为此,周鸿祎呼吁这些安全网络管理的负责人,在新的漏洞时代,整个思想观念都要转变。
另外,他还提出,国内的机构与企业也要勇于承认有漏洞甚至被攻击。
“很多时候,国内的机构与企业被攻击了都不太愿意声张,甚至都隐瞒不报。原因有的是自己被攻击了不知道,有的是怕上级发现怪罪批评。但我们要有一个意识,就是被攻击不是我们的错,漏洞是客观存在的。”周鸿祎说。
他希望国内的机构和企业要改变理念,在遭遇攻击之后要积极上报,这样安全公司就可以得到越来越多的数据和证据,能够更快地帮助大家修补漏洞,同时也能够对网络攻击进行分析和溯源,打击犯罪分子的同时,为国家间网络空间的博弈提供证据,进而提升国家整体的网络安全能力。
《中国科学报》 (2017-07-06 第5版 技术经济周刊)