王健飛：互聯(lián)網(wǎng)“變得更安全了”？可能只是一種錯覺

　從5月12日開始，一款名為“WannaCry”的比特幣勒索病毒席卷全球。該病毒先是從歐洲爆發(fā)，在相繼襲擊了西班牙電信、英國國民衛(wèi)生服務(wù)體系、聯(lián)邦快遞等大型機構(gòu)的計算機后迅速蔓延至全球。在國內(nèi)，部分高校和企事業(yè)單位的計算機成了WannaCry的第一批受害者。

　　根據(jù)報告，截至2017年5月15日零時，全球近百個國家超過10萬家組織和機構(gòu)被該病毒攻陷。在我國國內(nèi)，僅12~13日兩天時間就有29000個公網(wǎng)IP地址遭到感染，而更多非聯(lián)網(wǎng)IP還是暫時無法監(jiān)測的，這也意味著潛在受害者可能更多。

　　仿佛是在一夜之間，我們似乎又回到了那個不敢隨便登錄不明網(wǎng)站、在電腦上插入一個U盤就要擔(dān)驚受怕的時代。這也警示電腦用戶，所謂互聯(lián)網(wǎng)“變得更安全了”可能只是一種錯覺——互聯(lián)網(wǎng)并沒有越來越安全，只是危險變了花樣。

　　在WannaCry爆發(fā)之后，很多人提到了“熊貓燒香”病毒。在國人的經(jīng)驗里，似乎自“熊貓燒香”之后，再沒有一款病毒像剛剛爆發(fā)的WannaCry那樣引起社會的廣泛關(guān)注了。

　　的確，過去數(shù)年來，蠕蟲病毒數(shù)量一直在下降。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）《互聯(lián)網(wǎng)安全威脅報告》2016年12月（總第72期）顯示，當(dāng)月中國境內(nèi)總計感染終端281萬個，其中蠕蟲病毒66萬，木馬病毒有215萬之多。

　　蠕蟲病毒逐漸減少的最重要原因是：制作蠕蟲病毒的作者無法從蠕蟲感染中獲得利潤。

　　在“熊貓燒香”事件之后，中國的黑客們意識到制造和傳播病毒所存在的巨大風(fēng)險，因此紛紛轉(zhuǎn)向灰色產(chǎn)業(yè)和黑色產(chǎn)業(yè)以尋求更高的收益，而病毒也不再以“破壞用戶電腦”為主要發(fā)作形式。中了蠕蟲病毒之后，電腦會變慢、文件會打不開、程序會崩潰，可木馬病毒十分追求“用戶體驗”——它靜默地運行在后臺，可以做到讓用戶毫無察覺。

　　木馬病毒可以控制感染者的電腦，使整個電腦都為黑客所用。在木馬病毒的整個黑色鏈條中，一臺肉雞（被感染的電腦）宛如在一個現(xiàn)代化的雞肉加工流水線上：會有專門的人判斷機器性能如何，是否可以用于攻擊他人的電腦、是否可以用于搜集某些數(shù)據(jù)、是否可以直接盜取機主的銀行或理財信息等。

　　木馬病毒背后的產(chǎn)業(yè)鏈要做到的是“物盡其用”，在剩余價值被完全榨干之前，病毒一般不會選擇“盜取賬戶”這種會直接引起用戶警覺的行為。這正是讓許多用戶誤以為“自己很久沒中過毒”的原因。甚至于，在WannaCry之前，可能已有其他的木馬病毒入侵了用戶的電腦，但卻沒有引起廣泛注意，因為他們不會影響電腦的正常使用。

　　在2013年以前，涉及勒索、轉(zhuǎn)賬、匯款的病毒并不是一個好主意。因為黑客在銀行的每一筆支取都是有據(jù)可循的。這會直接讓黑色產(chǎn)業(yè)鏈曝光于陽光之下。直到比特幣出現(xiàn)。

　　“比特幣勒索病毒”這個媒體創(chuàng)造的名稱，其實很有誤導(dǎo)性。這個名字好像在說“是比特幣勒索了你”，但這個病毒的實質(zhì)是——病毒的生產(chǎn)者勒索了你，它索要的贖金是比特幣——一種可以完全隱藏收款賬戶身份的虛擬貨幣。正是由于比特幣的存在，讓全球勒索相比盜刷信用卡之類的犯罪，變得更加低成本和低風(fēng)險。

　　比特幣社區(qū)并不想替黑客背這個黑鍋，但也承認這次勒索病毒肆虐的原因與比特幣的特點有很大關(guān)系。比特幣并不由任何特定機構(gòu)發(fā)行和管理，它像是一個完全透明的銀行機構(gòu)。我們可以從區(qū)塊鏈賬簿（記載著有史以來所有比特幣交易的數(shù)據(jù)庫）中看到有多少人向黑客繳納了“贖金”，但卻無法知道黑客是誰。

　　在此次“勒索”事件中，目前情況顯示比特幣并沒有大量流入黑客的賬戶，而且這一數(shù)字貨幣的“安全性”確保了沒有人能追回這些贖金。盡管如此，比特幣圈內(nèi)對“直接勒索用戶”這種黑客的新興變現(xiàn)渠道并不看好，原因主要有兩點：其一，對普通人來說，繳納贖金的過程太為復(fù)雜；其二，目前很多國家（中國、美國和歐盟一些國家），對比特幣與實體貨幣之間的兌換設(shè)置了實名制關(guān)卡，在比特幣提現(xiàn)過程中會存在一些風(fēng)險，這對黑客來說并不真的“安全”。

　　其中第一個問題是比特幣圈內(nèi)認為這次黑客勒索資金規(guī)模并不算大的主要原因——黑客這次按照不同的地區(qū)定制了不同的價格，希望廣撒網(wǎng)“薄利多銷”。但對于普通用戶而言，沒有那么多數(shù)據(jù)重要到能驅(qū)動他們從頭到尾學(xué)習(xí)如何交易比特幣。而會用比特幣的用戶往往都是“極客”，對電腦的防護比較到位。

　　在病毒爆發(fā)的第一時間，有人將這次病毒的爆發(fā)指向了落后的操作系統(tǒng)——在最初的報道中，不乏學(xué)校機房、企事業(yè)單位的公用電腦成為最早被感染的受害者。病毒爆發(fā)后不久，微軟破例針對已經(jīng)終止后續(xù)維護的Windows XP發(fā)布了修復(fù)漏洞的補丁，但對XP以后的系統(tǒng)卻并沒有推出專門的補救措施，原因很簡單：所有在微軟生命周期內(nèi)的Windows系統(tǒng)都已于今年3月的月度安全更新中，修正了這次病毒賴以傳播的漏洞。

　　這也解釋了國內(nèi)第一批受感染的電腦為什么出現(xiàn)在學(xué)校和機關(guān)單位：出于統(tǒng)一部署服務(wù)和軟件的需要，這些電腦大多運行著落后的操作系統(tǒng)（XP），安全維護無法做到及時全面。因此，它們的漏洞修補只能是“亡羊補牢”。

　　但是，Windows7、8的中毒用戶也不在少數(shù)，這又是為什么呢？原因竟然是這些用戶主動、或者在安全軟件的“幫助”下關(guān)閉了微軟的自動更新。

　　許多用戶“沒有及時升級系統(tǒng)”的原因恰是因為“善解人意”的殺毒軟件在看準用戶不想更新系統(tǒng)這個需求，提供了“關(guān)閉Win10系統(tǒng)更新”和“關(guān)閉Windows Defender”等功能——許多殺毒軟件摧毀了系統(tǒng)廠商建立的長城，然后用泥巴糊了一道土墻，讓用戶的系統(tǒng)“看起來”安全。

　　微軟作為操作系統(tǒng)廠商，比任何第三方殺毒軟件都能更早發(fā)現(xiàn)運行于Windows平臺上的病毒以及系統(tǒng)自身的漏洞，并與系統(tǒng)內(nèi)置的權(quán)限組功能配合對安全問題進行修正。從Windows10開始，微軟強制打開所有用戶的自動更新功能，這也導(dǎo)致了在微博和朋友圈里我們總能看到曬“升級”——Windows不合時宜的系統(tǒng)更新為用戶帶來了不少的困擾，但這確實也帶來了全方位的保護。

　　另外，微軟早在Windows 7開始便在系統(tǒng)內(nèi)置了名為Windows Defender的殺毒軟件。初期的Windows Defender效果并不是很好，但經(jīng)過幾年的發(fā)展，它已經(jīng)成為Windows平臺上最有效的殺毒軟件之一。

　　其實，普通的正版Windows用戶只要同時開啟自動更新、內(nèi)置防火墻和Windows Defender，其實很難說是否有安裝第三方殺毒軟件的必要。

　　可無論是自動更新還是這款免費的殺毒軟件，都不受中國用戶的歡迎——在百度上，你能夠搜到許多關(guān)于“如何關(guān)閉Windows Defender”的提問。在普通用戶的認知里，國內(nèi)的一些安全軟件是可以加速并保護電腦的——因為他們會在右下角彈出提示框展示自己的加速功績。而默默在后臺工作的Windows Defender則成為“電腦卡”的罪魁禍首。

　　那么國內(nèi)這些安全軟件對這次WannaCry的抵御效果到底如何呢？專業(yè)人士在模擬離線環(huán)境（不更新病毒庫）下，對國內(nèi)多款軟件的公眾版本進行了查殺測試，結(jié)果無一攔截成功——而本次受到WannaCry感染電腦中剛好有大量長期不聯(lián)網(wǎng)的內(nèi)網(wǎng)電腦，而這些電腦又沒有做專門的離線殺毒部署。

　　從這個意義上講，讓我們暴露在WannaCry病毒之下的，其實很可能正是我們自己。