上週五開始的勒索軟件 WannaCry 的攻擊導致了全世界至少 20 萬臺 Windows 電腦被黑,攻擊者加密了電腦文件,索要價值 300 美元的比特幣作為贖金。
圍繞著這件事,微軟和被認為是攻擊軟件洩漏源頭的美國安全局(NSA)開始相互推卸責任。微軟指責安全局,安全局也不準備承擔責任。
在本週二創投媒體 TechCrunch 舉辦的 Disrupt NY 2017 大會上,在被問及這次勒索軟件是否源自美國安全局(NSA)時,前安全局主管基思·亞歷山大(Keith Alexander)將軍沒有直接否認,他給出的迴應是:“NSA 沒有使用勒索軟件 WannaCry,是罪犯在用。是有人偷了這工具。”
在進一步解釋中,他認為 NSA、FBI 等政府機構為了保護國家抵抗恐怖襲擊和網絡攻擊這兩種主要的威脅,就需要掌握一些工具作為抵抗能力。他對主持人馬特·伯恩斯(Matt Burns)說:“(NSA)不會囤積漏洞;他們會放出 90% 以上的獲取的漏洞,但為了追蹤恐怖分子,你就需要漏洞。”
這不是官方迴應,但這位 NSA 前主管的話,已經算是比較“正面”地承認 NSA 在這件事上的責任,以及此前的洩漏事件。
基思將軍在 2005-2014 年間執掌 NSA,曾趕上斯諾登洩密事件。退休後,他與人聯合創立了安全公司 IronNet Cybersecurity。
上週日,微軟主席布萊德·史密斯(Brad Smith)在微軟官方發表了反思文章,說了微軟在支持 Windows 系統上的職責,提醒用戶要及時更新電腦系統外,還指責了囤積這些軟件系統漏洞的 NSA 等政府機構是個隱患,稱這次攻擊軟件外洩,可以跟“美國軍方丟失了數枚戰斧導彈”相提並論。
但微軟只為最新的 Windows 10 系統補上漏洞,沒有顧及更早、已經不再賣的操作系統顯然讓攻擊變得更容易了。如果說 Windows XP 老得該死,經微軟授權的 Windows 8 電腦在企業銷售渠道卻是依然有售的,甚至許多有完備 IT 規範的 500 強美國公司都有大批 Windows 8 電腦在使用當中。
事發後,微軟追加了早期操作系統的補丁。
在這週一的白宮媒體會上,美國政府沒有直接否認針對 Windows 漏洞的攻擊軟件的洩漏,但嘗試撇清他們在這件事上的責任。
國土安全顧問湯姆•博塞特(Tom Bossert)稱這些攻擊軟件“不是 NSA 開發來控制勒索數據的。這個工具是由有罪的團隊開發,他們可能是罪犯,或者是外國做的。國土安全顧問獨立於安全局(NSA),隸屬於國土安全委員會。
不過,NSA 囤積這種攻擊、監控軟件已經有相當一段歷史了,最知名的可能就是 NSA 外包技術人員斯諾登在 2013 年將 NSA 監聽項目的文件披露給《衛報》、《華盛頓郵報》。
這次事件中也跟一位 NSA 技術外包人員有關。前 NSA 員工稱,一位名叫 Harold T. Martin III 的人此前偷走了部分文件、軟件代碼,跟 4 月份外洩的漏洞和攻擊工具有相同的部分。攻擊軟件外洩也一度導致部分 NSA 員工擔心,這項被使用了 5 年多的攻擊工具被認為威力過大,NSA 員工還探討過要將漏洞告知微軟的可能。
除去微軟指責 NSA 囤積漏洞、不告知商業公司外,沒法妥善保護好攻擊軟件是目前 NSA 被批評最多的另一點。在 1999-2005 年擔任 NSA 主管的邁克爾·海登(Michael Hayden)稱:“如果一家機構有強力工具但不能控制在自己手裡,我就不能捍衛這家機構。”
現實是情報機構攢了一堆漏洞不說,等著“關鍵時刻”使用,但還沒用上就被黑客拿出來害人了。
題圖來自:Pixabay
相關推薦
