WannaCry勒索病毒關(guān)乎的是商業(yè)模式

責(zé)任編輯:editor006

作者:boxi

2017-05-16 16:16:49

摘自:36kr

編者按:過去的一個(gè)周末所有人都被WannaCry勒索病毒搞得神經(jīng)兮兮,甚至有單位在星期天還在網(wǎng)上緊急發(fā)消息讓大家務(wù)必不要上網(wǎng)。

 

編者按:過去的一個(gè)周末所有人都被WannaCry勒索病毒搞得神經(jīng)兮兮,甚至有單位在星期天還在網(wǎng)上緊急發(fā)消息讓大家務(wù)必不要上網(wǎng)。但究竟誰應(yīng)該為這種勒索病毒的發(fā)作負(fù)責(zé)呢?是操作系統(tǒng)有漏洞的微軟?還是發(fā)現(xiàn)漏洞不報(bào)的NSA?還是不舍得升級(jí)的用戶?知名科技博主Ben Thompson認(rèn)為,其實(shí)這些只是商業(yè)模式錯(cuò)配系統(tǒng)性崩盤的表現(xiàn)。

據(jù)估計(jì),受“WannaCry”勒索病毒感染的計(jì)算機(jī)數(shù)量將近有20萬,而且隨著新變種(原先的病毒已經(jīng)被安全研究人員偶然殺掉了)的出現(xiàn),這個(gè)數(shù)字預(yù)計(jì)還會(huì)上升。對于這些計(jì)算機(jī)的用戶和管理員來說,對這個(gè)病毒的名字所提出的問題,他們的答案是真的很想哭。

WannaCry勒索病毒關(guān)乎的是商業(yè)模式

WannaCry屬于惡意軟件的一種——“勒索軟件”。這種軟件會(huì)對計(jì)算機(jī)的文件進(jìn)行加密,然后要求付費(fèi)來進(jìn)行解密。勒索軟件并不新鮮,但WannaCry的破壞性在于它是基于計(jì)算機(jī)蠕蟲開發(fā)的,后者也是惡意軟件的一種,會(huì)復(fù)制自己到同一網(wǎng)絡(luò)(當(dāng)然這個(gè)網(wǎng)絡(luò)也包括互聯(lián)網(wǎng))的其他計(jì)算機(jī)上。

蠕蟲一直都是最具毀滅性的惡意軟件類型之一——也是最著名的惡意軟件類型:哪怕是不懂技術(shù)的讀者可能都聽說過Conficker (2008年發(fā)作,估計(jì)造成了90億美元的損失),ILOVEYOU (2000年,估計(jì)造成了150億美元的損失),或者M(jìn)yDoom(2004年,估計(jì)造成380億美元損失)??梢粤信e的還要很多,但是最近幾年就沒那么多了:2000年代是蠕蟲肆虐的最佳時(shí)機(jī),帶Windows XP操作系統(tǒng)的數(shù)億計(jì)算機(jī)都開始上網(wǎng)了,這個(gè)操作系統(tǒng)的不安全到可怕的地步,而操作它的用戶習(xí)慣于點(diǎn)擊欺詐病毒然后位置付費(fèi)以便讓可怕的彈出窗口走開。

從Windows XP Service Pack 2開始,微軟對安全的態(tài)度變得認(rèn)真多了,網(wǎng)絡(luò)管理員對于鎖定自己的網(wǎng)絡(luò)也變聰明了很多,而用戶至少變乖了點(diǎn),知道不該點(diǎn)的東西不要點(diǎn)。盡管如此,正如上周末的事件表明,蠕蟲仍然是個(gè)威脅,而且就像以往那樣,每個(gè)人都想找個(gè)替罪羊。但這次卻有了一個(gè)有趣的新目標(biāo):美國政府。

WannaCry時(shí)間線

微軟總裁兼首席法務(wù)官在微軟博客上面并沒有任何的拐彎抹角(“WannaCrypt”是WannaCry的另一個(gè)名字):

始于英國和西班牙的惡意軟件“WannaCrypt”迅速在全球傳播,阻止用戶訪問數(shù)據(jù)除非他們用比特幣支付贖金。攻擊所利用的WannaCrypt漏洞源自從NSA偷來的漏洞。這個(gè)盜用在今年早些時(shí)候曾經(jīng)有過公開報(bào)道。1個(gè)月前的4月14日,微軟已經(jīng)發(fā)布了安全更新對這一漏洞打補(bǔ)丁來保護(hù)客戶。盡管這個(gè)可以保護(hù)打開Windows Updates的更新的Windows操作系統(tǒng),但全球仍然喲葷多計(jì)算機(jī)沒喲端上補(bǔ)丁。因此,醫(yī)院、企業(yè)、政府和家庭的計(jì)算機(jī)都受到了感染。

Smith提到了幾個(gè)關(guān)鍵日期,但把時(shí)間線搞對很重要,所以讓我根據(jù)個(gè)人了解總結(jié)一下:

  • 2001年:上述bug首次被引入Windows XP,從此駐留在Windows的每一個(gè)版本

  • 2001至2015年:NSA在這中間的某個(gè)時(shí)候發(fā)現(xiàn)了這個(gè)bug,然后開發(fā)了一款名為EternalBlue(永恒之藍(lán))的漏洞利用程序,NSA可能用了永恒之藍(lán),也可能沒用。

  • 2012至2015年:據(jù)稱一位NSA承包商偷走了NSA黑客工具庫超過75%的工具

  • 2016年8月:一個(gè)名為ShadowBrokers的組織公布了宣傳出自NSA的黑客工具;該工具似乎出自Equation Group

  • 2016年10月:上述提到的那家NSA承包商被指控偷竊NSA數(shù)據(jù)

  • 2017年1月: ShadowBrokers將若干Windows漏洞利用程序放出來賣,其中包括了一個(gè)針對中小企業(yè)的零日漏洞利用(類似WannaCry里面的“永恒之藍(lán)”),售價(jià)為250比特幣(當(dāng)時(shí)相當(dāng)于22.5萬美元)

  • 2017年3月:微軟在沒有大張旗鼓的情況下對若干bug打了補(bǔ)丁,但是沒有透露是誰發(fā)現(xiàn)的,這其中就有永恒之藍(lán),似乎是NSA向他們發(fā)出的警告

  • 2017年4月:ShadowBrokers發(fā)布了新的一批漏洞利用,其中包括永恒之藍(lán),也許是因?yàn)槲④浺呀?jīng)對它們打了補(bǔ)丁(尤其是極大降低了零日漏洞利用的價(jià)值)

  • 2017年5月:基于永恒之藍(lán)漏洞利用的WannaCry發(fā)布,在其“殺戮開關(guān)”被無疑觸發(fā)前擴(kuò)散到了大約20萬臺(tái)計(jì)算機(jī)上;預(yù)計(jì)會(huì)有新的版本出現(xiàn)。

顯然,惡意軟件作者需要承擔(dān)WannaCry的最終責(zé)任;希望他們最后會(huì)被逮住,并且按最大量刑起訴。

但這之后的事情就有點(diǎn)陰暗了。

責(zé)任擴(kuò)散

這條時(shí)間線第一件要觀察的事情是,就像所有的Windows漏洞利用一樣,一開始要?dú)w咎的是微軟。是微軟開發(fā)了缺乏健壯安全模型的Windows,尤其是網(wǎng)絡(luò)方面,盡管這家公司已經(jīng)做了很多工作去修補(bǔ),但許多根本性的缺陷依然還在。

那些缺陷里面并不是所有的都是微軟的過錯(cuò):對個(gè)人計(jì)算機(jī)的默認(rèn)假設(shè)一直都是讓應(yīng)用無拘無束地訪問整臺(tái)計(jì)算機(jī),所有限制的嘗試都遭致抗議的浪潮。iOS建立了一種新的模式,應(yīng)用被放進(jìn)了沙盒里面,僅限于通過精心定義的鉤子訪問操作系統(tǒng)并對其進(jìn)行擴(kuò)展;但這一模式只是因?yàn)閕OS是新的才有可能。但Windows卻相反,它全部的市場力量均源自于市場現(xiàn)有的應(yīng)用群,也就意味著過度放寬的權(quán)限無法在不破壞微軟商業(yè)模式的情況下逆向撤銷掉。

此外,事實(shí)上軟件是很難的:bug不可避免,尤其是想操作系統(tǒng)這么復(fù)雜的東西更是難免。所以微軟、蘋果以及基本上任何盡責(zé)的軟件開發(fā)者都會(huì)定期發(fā)布更新和漏洞修復(fù);產(chǎn)品事后可以修復(fù)這一事實(shí),不可避免地跟為什么它們需要第一時(shí)間加以修復(fù)是關(guān)聯(lián)在一起的!

為此,需要指出的是,微軟在2個(gè)月前并沒有修復(fù)這一漏洞利用,了解這一點(diǎn)很重要。任何應(yīng)用了3月份的那個(gè)補(bǔ)?。J(rèn)情況下是自動(dòng)安裝的)的計(jì)算機(jī)都可以不受WannaCry的影響;Windows XP是個(gè)例外,但2008年微軟就已經(jīng)停止銷售該操作系統(tǒng)了,并且在2014年停止了對它的支持(盡管如此,微軟上周五還是發(fā)布了針對該漏洞的Windows XP補(bǔ)?。?。換句話說,管理自己計(jì)算機(jī)的最終用戶以及IT組織也一樣有責(zé)任。僅僅是保持更新關(guān)鍵安全補(bǔ)丁就能讓他們保持安全了。

盡管如此,保持更新的代價(jià)依然很高,大型組織尤其如此,因?yàn)楦聲?huì)破壞東西。這個(gè)“東西”也許是關(guān)鍵的業(yè)務(wù)線軟件,可能會(huì)來自第三方供應(yīng)商,外部承包商,或者自己內(nèi)部寫的;這些軟件如此依賴于特定的OS版本本身也是個(gè)問題,所以你也可以把責(zé)任歸咎到這些開發(fā)者身上。硬件及其關(guān)聯(lián)的驅(qū)動(dòng)程序同樣如此:比方說有個(gè)故事說的是英國的國民醫(yī)療保健體系的MRI和X光機(jī)器只能運(yùn)行在Windows XP上面,這是那些機(jī)器制造商制造的一個(gè)致命的錯(cuò)誤。

簡而言之,要指責(zé)的有很多;但有多少要?dú)w咎于這條時(shí)間線的中間段——政府的呢?

政府的責(zé)任

Smith在那篇文章寫到:

這次攻擊提供了政府囤積漏洞如此成問題的又一個(gè)例子。這是一種出現(xiàn)在2017年的新興模式。我們已經(jīng)通過WikiLeaks看到CIA保留的那些漏洞,現(xiàn)在從NSA偷來的這一漏洞已經(jīng)影響到全世界。政府手上的漏洞利用一而再再而三地西樓到公共領(lǐng)域,導(dǎo)致了損失的廣泛擴(kuò)散。常規(guī)武器的一個(gè)相同場景是美軍的戰(zhàn)斧導(dǎo)彈被盜。

坦白說,這樣的比較方式是荒謬的,即便你想引申一下,說WannaCry在醫(yī)院等地方的影響其實(shí)是有可能造成實(shí)際傷害的(盡管比一場武器戰(zhàn)爭造成的傷害要小很多!)

首先,是美國政府制造了戰(zhàn)斧導(dǎo)彈,但這個(gè)bug卻是微軟自己制造的(金邊不是有意為之)。NSA做的只是發(fā)現(xiàn)了這個(gè)bug(然后利用了這個(gè)漏洞),這個(gè)區(qū)別很關(guān)鍵。尋找bug是很艱苦的工作,需要大量金錢和精力。那么為什么NSA煞費(fèi)苦心要做這件事情就值得考慮了,而答案就藏在他們的名字里面:國家安全。還有,正如我們在Stuxnet(震網(wǎng)病毒,破壞了伊朗的核設(shè)施)等例子中看到那樣,這些漏洞利用可以是非常強(qiáng)大的武器。

根本問題是這個(gè):堅(jiān)稱NSA應(yīng)該馬上交出漏洞利用,實(shí)際上與要求NSA不要第一時(shí)間找出bug無異。畢竟,打上補(bǔ)丁的bug就沒那么有價(jià)值了,不管是從(ShadowBrokers發(fā)現(xiàn)的)財(cái)務(wù)上來說還是從軍事上來說均如此,這意味著NSA將沒有理由投入時(shí)間和金錢去尋找漏洞。換句話說,替代的方案不是NSA在幾年前應(yīng)該通知微軟永恒之藍(lán)的事情,而是讓那個(gè)漏洞繼續(xù)不打補(bǔ)丁更長的時(shí)間(也許中國、俄羅斯等其他國家也會(huì)發(fā)現(xiàn),畢竟NSA不是唯一一個(gè)尋找bug的組織)。

實(shí)際上,政府方面真正需要吸取的教訓(xùn)不是NSA應(yīng)該告訴微軟的QA團(tuán)隊(duì),而是發(fā)生(永恒之藍(lán))泄漏這件事情:所以就像去年我就蘋果與FBI之爭的觀點(diǎn)一樣,政府通過命令或者賄賂的方式(而不是發(fā)現(xiàn)現(xiàn)有的漏洞利用)弱化安全的努力是錯(cuò)誤的。這種方式跟Smith筆下的戰(zhàn)斧導(dǎo)彈比喻更加契合,而鑒于攻擊傳播的無差別和即時(shí)性,因?yàn)檫@種做法受害最深的國家恰恰是那些可輸?shù)舻臇|西最多的國家(這次事件中國、美國和俄羅斯受害者最多)。

商業(yè)模式的責(zé)任

盡管如此,即便美國政府需要被指責(zé)的地方?jīng)]有Smith說的那么多,與這些安全災(zāi)難將近20年的纏斗表明這里存在著一個(gè)系統(tǒng)性的失敗,我認(rèn)為這得回過頭來追究商業(yè)模式的責(zé)任。除了各種技術(shù)和戰(zhàn)略層面的因素以外,軟件的致命缺陷在于,在這個(gè)行業(yè)的前幾十年時(shí)間里,軟件是按照預(yù)設(shè)價(jià)格出售的,不管是軟件包還是授權(quán)的模式均是這樣。

這就導(dǎo)致了各方有問題的動(dòng)機(jī)以及糟糕的決策:

  • 微軟被迫支持多套不同的代碼庫,這個(gè)代價(jià)非常高昂而且困難,與任何財(cái)務(wù)激勵(lì)都沒有關(guān)系(因此,比方說,才會(huì)有了終止對Windows XP的支持)

  • 第三方供應(yīng)商堅(jiān)持把特定版本的操作系統(tǒng)視為固定不變的對象:畢竟,Windows 7不同于Windows XP,而這意味著指定只能支持XP是可能的。此外,鑒于第三方供應(yīng)商并沒有升級(jí)自身軟件的財(cái)務(wù)刺激(畢竟錢已經(jīng)拿到手了),他們的這種做法只會(huì)變本加厲。

  • 最成問題的影響在買家身上:計(jì)算機(jī)和相關(guān)軟件被視為資本成本,也就是一次性付錢然后隨時(shí)間來折舊攤銷掉作為購買價(jià)值的實(shí)現(xiàn)。按照這種觀點(diǎn),持續(xù)支持和安全是獨(dú)立于現(xiàn)有價(jià)值的額外成本;為此付錢的唯一理由是避免將來受到攻擊,但發(fā)生的時(shí)間窗口和潛在的經(jīng)濟(jì)傷害是不可能預(yù)測的。

真相是軟件以及安全永遠(yuǎn)都是未竟的事業(yè)。這樣一來一次性付費(fèi)就沒有意義了。

SaaS作為拯救者

4年前我寫過為什么訂閱制對于開發(fā)者和最終用戶來說都要更好,其背景是Adobe從軟件套件模式的轉(zhuǎn)移:

WannaCry勒索病毒關(guān)乎的是商業(yè)模式

那篇文章說的是將Adobe的收入與用戶獲得的價(jià)值進(jìn)行更好的匹配所帶來的好處:服務(wù)的價(jià)格變低了,但隨著時(shí)間的轉(zhuǎn)移Adobe從中析取的價(jià)值與交付給用戶的價(jià)值卻更加一致。還有,正如我指出那樣,“Adobe有很好的動(dòng)機(jī)去維護(hù)應(yīng)用,因?yàn)檫@樣可以減少客戶流失率,而用戶則永遠(yuǎn)都能得到最新版本。”

這正是好的安全之必須:供應(yīng)商需要保持自身應(yīng)用(微軟的情況就是操作系統(tǒng))更新,而最終用戶需要一直使用最新版本。此外,把軟件當(dāng)作服務(wù)來定價(jià)意味著它不再是資本成本,也就沒有了隨之而來的一次性付費(fèi)假設(shè):相反,這是一項(xiàng)包括維護(hù)在內(nèi)的經(jīng)常性支出,不管是由供應(yīng)商還是最終用戶來出(或者可能雙方都要出)。

軟件即服務(wù),以及這一類服務(wù)的涌現(xiàn),加上更寬泛的云計(jì)算,我當(dāng)然認(rèn)為這些是我們可以樂觀的唯一最大的理由,WannaCry只是一個(gè)糟糕商業(yè)模式的茍延殘喘(盡管消化掉所有的沉沒成本并且所有資產(chǎn)全部攤銷完畢可能還需要很長一段時(shí)間)。從長期來看,一般的企業(yè)或者政府在本地跑任何軟件,或者在任何設(shè)備上存儲(chǔ)任何文件都是沒有什么理由的。一切都應(yīng)該放到云端,不管是文件還是app,然后通過持續(xù)更新的瀏覽器來訪問,按照訂購制付費(fèi)。這樣一來激勵(lì)機(jī)制就都?xì)w位了:用戶同時(shí)為安全和實(shí)用性付費(fèi),而供應(yīng)商也有動(dòng)機(jī)去賺取。

就圍繞而言,這家公司很長一段時(shí)間以來都在朝著這個(gè)方向演進(jìn):這家公司不僅把增長聚焦于Azure和Office 365上面,而且甚至其傳統(tǒng)軟件也一直是通過訂閱式的產(chǎn)品來貨幣化的。盡管如此,這種以云為中心的模式對用戶的鎖定還是弱很多的,而在設(shè)備和服務(wù)的靈活性方面則要高得多:事實(shí)上,對于微軟來說,盡管Windows安全問題實(shí)在令人頭痛,但這些問題不可避免地要跟微軟成為有史以來最賺錢的公司之一綁定在一起。

剩下的一大挑戰(zhàn)將是硬件:軟件使能設(shè)備的商業(yè)模式可能仍將是預(yù)付制,這意味著做安全是沒有激勵(lì)的;其代價(jià)將輸出給像Mirai這樣的僵尸網(wǎng)絡(luò)的目標(biāo)來承擔(dān)。這方面預(yù)計(jì)不會(huì)有什么進(jìn)展,會(huì)歸咎到多方,這正是這類錯(cuò)配的商業(yè)模式導(dǎo)致的系統(tǒng)性崩盤的特點(diǎn)。

 

編者按:過去的一個(gè)周末所有人都被WannaCry勒索病毒搞得神經(jīng)兮兮,甚至有單位在星期天還在網(wǎng)上緊急發(fā)消息讓大家務(wù)必不要上網(wǎng)。但究竟誰應(yīng)該為這種勒索病毒的發(fā)作負(fù)責(zé)呢?是操作系統(tǒng)有漏洞的微軟?還是發(fā)現(xiàn)漏洞不報(bào)的NSA?還是不舍得升級(jí)的用戶?知名科技博主Ben Thompson認(rèn)為,其實(shí)這些只是商業(yè)模式錯(cuò)配系統(tǒng)性崩盤的表現(xiàn)。

據(jù)估計(jì),受“WannaCry”勒索病毒感染的計(jì)算機(jī)數(shù)量將近有20萬,而且隨著新變種(原先的病毒已經(jīng)被安全研究人員偶然殺掉了)的出現(xiàn),這個(gè)數(shù)字預(yù)計(jì)還會(huì)上升。對于這些計(jì)算機(jī)的用戶和管理員來說,對這個(gè)病毒的名字所提出的問題,他們的答案是真的很想哭。

WannaCry屬于惡意軟件的一種——“勒索軟件”。這種軟件會(huì)對計(jì)算機(jī)的文件進(jìn)行加密,然后要求付費(fèi)來進(jìn)行解密。勒索軟件并不新鮮,但WannaCry的破壞性在于它是基于計(jì)算機(jī)蠕蟲開發(fā)的,后者也是惡意軟件的一種,會(huì)復(fù)制自己到同一網(wǎng)絡(luò)(當(dāng)然這個(gè)網(wǎng)絡(luò)也包括互聯(lián)網(wǎng))的其他計(jì)算機(jī)上。

蠕蟲一直都是最具毀滅性的惡意軟件類型之一——也是最著名的惡意軟件類型:哪怕是不懂技術(shù)的讀者可能都聽說過Conficker(2008年發(fā)作,估計(jì)造成了90億美元的損失),ILOVEYOU(2000年,估計(jì)造成了150億美元的損失),或者M(jìn)yDoom(2004年,估計(jì)造成380億美元損失)??梢粤信e的還要很多,但是最近幾年就沒那么多了:2000年代是蠕蟲肆虐的最佳時(shí)機(jī),帶Windows XP操作系統(tǒng)的數(shù)億計(jì)算機(jī)都開始上網(wǎng)了,這個(gè)操作系統(tǒng)的不安全到可怕的地步,而操作它的用戶習(xí)慣于點(diǎn)擊欺詐病毒然后位置付費(fèi)以便讓可怕的彈出窗口走開。

從Windows XP Service Pack 2開始,微軟對安全的態(tài)度變得認(rèn)真多了,網(wǎng)絡(luò)管理員對于鎖定自己的網(wǎng)絡(luò)也變聰明了很多,而用戶至少變乖了點(diǎn),知道不該點(diǎn)的東西不要點(diǎn)。盡管如此,正如上周末的事件表明,蠕蟲仍然是個(gè)威脅,而且就像以往那樣,每個(gè)人都想找個(gè)替罪羊。但這次卻有了一個(gè)有趣的新目標(biāo):美國政府。

WannaCry時(shí)間線

微軟總裁兼首席法務(wù)官在微軟博客上面并沒有任何的拐彎抹角(“WannaCrypt”是WannaCry的另一個(gè)名字):

始于英國和西班牙的惡意軟件“WannaCrypt”迅速在全球傳播,阻止用戶訪問數(shù)據(jù)除非他們用比特幣支付贖金。攻擊所利用的WannaCrypt漏洞源自從NSA偷來的漏洞。這個(gè)盜用在今年早些時(shí)候曾經(jīng)有過公開報(bào)道。1個(gè)月前的4月14日,微軟已經(jīng)發(fā)布了安全更新對這一漏洞打補(bǔ)丁來保護(hù)客戶。盡管這個(gè)可以保護(hù)打開Windows Updates的更新的Windows操作系統(tǒng),但全球仍然喲葷多計(jì)算機(jī)沒喲端上補(bǔ)丁。因此,醫(yī)院、企業(yè)、政府和家庭的計(jì)算機(jī)都受到了感染。

Smith提到了幾個(gè)關(guān)鍵日期,但把時(shí)間線搞對很重要,所以讓我根據(jù)個(gè)人了解總結(jié)一下:

2001年:上述bug首次被引入Windows XP,從此駐留在Windows的每一個(gè)版本

2001至2015年:NSA在這中間的某個(gè)時(shí)候發(fā)現(xiàn)了這個(gè)bug,然后開發(fā)了一款名為EternalBlue(永恒之藍(lán))的漏洞利用程序,NSA可能用了永恒之藍(lán),也可能沒用。

2012至2015年:據(jù)稱一位NSA承包商偷走了NSA黑客工具庫超過75%的工具

2016年8月:一個(gè)名為ShadowBrokers的組織公布了宣傳出自NSA的黑客工具;該工具似乎出自Equation Group

2016年10月:上述提到的那家NSA承包商被指控偷竊NSA數(shù)據(jù)

2017年1月:ShadowBrokers將若干Windows漏洞利用程序放出來賣,其中包括了一個(gè)針對中小企業(yè)的零日漏洞利用(類似WannaCry里面的“永恒之藍(lán)”),售價(jià)為250比特幣(當(dāng)時(shí)相當(dāng)于22.5萬美元)

2017年3月:微軟在沒有大張旗鼓的情況下對若干bug打了補(bǔ)丁,但是沒有透露是誰發(fā)現(xiàn)的,這其中就有永恒之藍(lán),似乎是NSA向他們發(fā)出的警告

2017年4月:ShadowBrokers發(fā)布了新的一批漏洞利用,其中包括永恒之藍(lán),也許是因?yàn)槲④浺呀?jīng)對它們打了補(bǔ)?。ㄓ绕涫菢O大降低了零日漏洞利用的價(jià)值)

2017年5月:基于永恒之藍(lán)漏洞利用的WannaCry發(fā)布,在其“殺戮開關(guān)”被無疑觸發(fā)前擴(kuò)散到了大約20萬臺(tái)計(jì)算機(jī)上;預(yù)計(jì)會(huì)有新的版本出現(xiàn)。

顯然,惡意軟件作者需要承擔(dān)WannaCry的最終責(zé)任;希望他們最后會(huì)被逮住,并且按最大量刑起訴。

但這之后的事情就有點(diǎn)陰暗了。

責(zé)任擴(kuò)散

這條時(shí)間線第一件要觀察的事情是,就像所有的Windows漏洞利用一樣,一開始要?dú)w咎的是微軟。是微軟開發(fā)了缺乏健壯安全模型的Windows,尤其是網(wǎng)絡(luò)方面,盡管這家公司已經(jīng)做了很多工作去修補(bǔ),但許多根本性的缺陷依然還在。

那些缺陷里面并不是所有的都是微軟的過錯(cuò):對個(gè)人計(jì)算機(jī)的默認(rèn)假設(shè)一直都是讓應(yīng)用無拘無束地訪問整臺(tái)計(jì)算機(jī),所有限制的嘗試都遭致抗議的浪潮。iOS建立了一種新的模式,應(yīng)用被放進(jìn)了沙盒里面,僅限于通過精心定義的鉤子訪問操作系統(tǒng)并對其進(jìn)行擴(kuò)展;但這一模式只是因?yàn)閕OS是新的才有可能。但Windows卻相反,它全部的市場力量均源自于市場現(xiàn)有的應(yīng)用群,也就意味著過度放寬的權(quán)限無法在不破壞微軟商業(yè)模式的情況下逆向撤銷掉。

此外,事實(shí)上軟件是很難的:bug不可避免,尤其是想操作系統(tǒng)這么復(fù)雜的東西更是難免。所以微軟、蘋果以及基本上任何盡責(zé)的軟件開發(fā)者都會(huì)定期發(fā)布更新和漏洞修復(fù);產(chǎn)品事后可以修復(fù)這一事實(shí),不可避免地跟為什么它們需要第一時(shí)間加以修復(fù)是關(guān)聯(lián)在一起的!

為此,需要指出的是,微軟在2個(gè)月前并沒有修復(fù)這一漏洞利用,了解這一點(diǎn)很重要。任何應(yīng)用了3月份的那個(gè)補(bǔ)?。J(rèn)情況下是自動(dòng)安裝的)的計(jì)算機(jī)都可以不受WannaCry的影響;Windows XP是個(gè)例外,但2008年微軟就已經(jīng)停止銷售該操作系統(tǒng)了,并且在2014年停止了對它的支持(盡管如此,微軟上周五還是發(fā)布了針對該漏洞的Windows XP補(bǔ)丁)。換句話說,管理自己計(jì)算機(jī)的最終用戶以及IT組織也一樣有責(zé)任。僅僅是保持更新關(guān)鍵安全補(bǔ)丁就能讓他們保持安全了。

盡管如此,保持更新的代價(jià)依然很高,大型組織尤其如此,因?yàn)楦聲?huì)破壞東西。這個(gè)“東西”也許是關(guān)鍵的業(yè)務(wù)線軟件,可能會(huì)來自第三方供應(yīng)商,外部承包商,或者自己內(nèi)部寫的;這些軟件如此依賴于特定的OS版本本身也是個(gè)問題,所以你也可以把責(zé)任歸咎到這些開發(fā)者身上。硬件及其關(guān)聯(lián)的驅(qū)動(dòng)程序同樣如此:比方說有個(gè)故事說的是英國的國民醫(yī)療保健體系的MRI和X光機(jī)器只能運(yùn)行在Windows XP上面,這是那些機(jī)器制造商制造的一個(gè)致命的錯(cuò)誤。

簡而言之,要指責(zé)的有很多;但有多少要?dú)w咎于這條時(shí)間線的中間段——政府的呢?

政府的責(zé)任

Smith在那篇文章寫到:

這次攻擊提供了政府囤積漏洞如此成問題的又一個(gè)例子。這是一種出現(xiàn)在2017年的新興模式。我們已經(jīng)通過WikiLeaks看到CIA保留的那些漏洞,現(xiàn)在從NSA偷來的這一漏洞已經(jīng)影響到全世界。政府手上的漏洞利用一而再再而三地西樓到公共領(lǐng)域,導(dǎo)致了損失的廣泛擴(kuò)散。常規(guī)武器的一個(gè)相同場景是美軍的戰(zhàn)斧導(dǎo)彈被盜。

坦白說,這樣的比較方式是荒謬的,即便你想引申一下,說WannaCry在醫(yī)院等地方的影響其實(shí)是有可能造成實(shí)際傷害的(盡管比一場武器戰(zhàn)爭造成的傷害要小很多!)

首先,是美國政府制造了戰(zhàn)斧導(dǎo)彈,但這個(gè)bug卻是微軟自己制造的(金邊不是有意為之)。NSA做的只是發(fā)現(xiàn)了這個(gè)bug(然后利用了這個(gè)漏洞),這個(gè)區(qū)別很關(guān)鍵。尋找bug是很艱苦的工作,需要大量金錢和精力。那么為什么NSA煞費(fèi)苦心要做這件事情就值得考慮了,而答案就藏在他們的名字里面:國家安全。還有,正如我們在Stuxnet(震網(wǎng)病毒,破壞了伊朗的核設(shè)施)等例子中看到那樣,這些漏洞利用可以是非常強(qiáng)大的武器。

根本問題是這個(gè):堅(jiān)稱NSA應(yīng)該馬上交出漏洞利用,實(shí)際上與要求NSA不要第一時(shí)間找出bug無異。畢竟,打上補(bǔ)丁的bug就沒那么有價(jià)值了,不管是從(ShadowBrokers發(fā)現(xiàn)的)財(cái)務(wù)上來說還是從軍事上來說均如此,這意味著NSA將沒有理由投入時(shí)間和金錢去尋找漏洞。換句話說,替代的方案不是NSA在幾年前應(yīng)該通知微軟永恒之藍(lán)的事情,而是讓那個(gè)漏洞繼續(xù)不打補(bǔ)丁更長的時(shí)間(也許中國、俄羅斯等其他國家也會(huì)發(fā)現(xiàn),畢竟NSA不是唯一一個(gè)尋找bug的組織)。

實(shí)際上,政府方面真正需要吸取的教訓(xùn)不是NSA應(yīng)該告訴微軟的QA團(tuán)隊(duì),而是發(fā)生(永恒之藍(lán))泄漏這件事情:所以就像去年我就蘋果與FBI之爭的觀點(diǎn)一樣,政府通過命令或者賄賂的方式(而不是發(fā)現(xiàn)現(xiàn)有的漏洞利用)弱化安全的努力是錯(cuò)誤的。這種方式跟Smith筆下的戰(zhàn)斧導(dǎo)彈比喻更加契合,而鑒于攻擊傳播的無差別和即時(shí)性,因?yàn)檫@種做法受害最深的國家恰恰是那些可輸?shù)舻臇|西最多的國家(這次事件中國、美國和俄羅斯受害者最多)。

商業(yè)模式的責(zé)任

盡管如此,即便美國政府需要被指責(zé)的地方?jīng)]有Smith說的那么多,與這些安全災(zāi)難將近20年的纏斗表明這里存在著一個(gè)系統(tǒng)性的失敗,我認(rèn)為這得回過頭來追究商業(yè)模式的責(zé)任。除了各種技術(shù)和戰(zhàn)略層面的因素以外,軟件的致命缺陷在于,在這個(gè)行業(yè)的前幾十年時(shí)間里,軟件是按照預(yù)設(shè)價(jià)格出售的,不管是軟件包還是授權(quán)的模式均是這樣。

這就導(dǎo)致了各方有問題的動(dòng)機(jī)以及糟糕的決策:

微軟被迫支持多套不同的代碼庫,這個(gè)代價(jià)非常高昂而且困難,與任何財(cái)務(wù)激勵(lì)都沒有關(guān)系(因此,比方說,才會(huì)有了終止對Windows XP的支持)

第三方供應(yīng)商堅(jiān)持把特定版本的操作系統(tǒng)視為固定不變的對象:畢竟,Windows 7不同于Windows XP,而這意味著指定只能支持XP是可能的。此外,鑒于第三方供應(yīng)商并沒有升級(jí)自身軟件的財(cái)務(wù)刺激(畢竟錢已經(jīng)拿到手了),他們的這種做法只會(huì)變本加厲。

最成問題的影響在買家身上:計(jì)算機(jī)和相關(guān)軟件被視為資本成本,也就是一次性付錢然后隨時(shí)間來折舊攤銷掉作為購買價(jià)值的實(shí)現(xiàn)。按照這種觀點(diǎn),持續(xù)支持和安全是獨(dú)立于現(xiàn)有價(jià)值的額外成本;為此付錢的唯一理由是避免將來受到攻擊,但發(fā)生的時(shí)間窗口和潛在的經(jīng)濟(jì)傷害是不可能預(yù)測的。

真相是軟件以及安全永遠(yuǎn)都是未竟的事業(yè)。這樣一來一次性付費(fèi)就沒有意義了。

SaaS作為拯救者

4年前我寫過為什么訂閱制對于開發(fā)者和最終用戶來說都要更好,其背景是Adobe從軟件套件模式的轉(zhuǎn)移:

那篇文章說的是將Adobe的收入與用戶獲得的價(jià)值進(jìn)行更好的匹配所帶來的好處:服務(wù)的價(jià)格變低了,但隨著時(shí)間的轉(zhuǎn)移Adobe從中析取的價(jià)值與交付給用戶的價(jià)值卻更加一致。還有,正如我指出那樣,“Adobe有很好的動(dòng)機(jī)去維護(hù)應(yīng)用,因?yàn)檫@樣可以減少客戶流失率,而用戶則永遠(yuǎn)都能得到最新版本。”

這正是好的安全之必須:供應(yīng)商需要保持自身應(yīng)用(微軟的情況就是操作系統(tǒng))更新,而最終用戶需要一直使用最新版本。此外,把軟件當(dāng)作服務(wù)來定價(jià)意味著它不再是資本成本,也就沒有了隨之而來的一次性付費(fèi)假設(shè):相反,這是一項(xiàng)包括維護(hù)在內(nèi)的經(jīng)常性支出,不管是由供應(yīng)商還是最終用戶來出(或者可能雙方都要出)。

軟件即服務(wù),以及這一類服務(wù)的涌現(xiàn),加上更寬泛的云計(jì)算,我當(dāng)然認(rèn)為這些是我們可以樂觀的唯一最大的理由,WannaCry只是一個(gè)糟糕商業(yè)模式的茍延殘喘(盡管消化掉所有的沉沒成本并且所有資產(chǎn)全部攤銷完畢可能還需要很長一段時(shí)間)。從長期來看,一般的企業(yè)或者政府在本地跑任何軟件,或者在任何設(shè)備上存儲(chǔ)任何文件都是沒有什么理由的。一切都應(yīng)該放到云端,不管是文件還是app,然后通過持續(xù)更新的瀏覽器來訪問,按照訂購制付費(fèi)。這樣一來激勵(lì)機(jī)制就都?xì)w位了:用戶同時(shí)為安全和實(shí)用性付費(fèi),而供應(yīng)商也有動(dòng)機(jī)去賺取。

就圍繞而言,這家公司很長一段時(shí)間以來都在朝著這個(gè)方向演進(jìn):這家公司不僅把增長聚焦于Azure和Office 365上面,而且甚至其傳統(tǒng)軟件也一直是通過訂閱式的產(chǎn)品來貨幣化的。盡管如此,這種以云為中心的模式對用戶的鎖定還是弱很多的,而在設(shè)備和服務(wù)的靈活性方面則要高得多:事實(shí)上,對于微軟來說,盡管Windows安全問題實(shí)在令人頭痛,但這些問題不可避免地要跟微軟成為有史以來最賺錢的公司之一綁定在一起。

剩下的一大挑戰(zhàn)將是硬件:軟件使能設(shè)備的商業(yè)模式可能仍將是預(yù)付制,這意味著做安全是沒有激勵(lì)的;其代價(jià)將輸出給像Mirai這樣的僵尸網(wǎng)絡(luò)的目標(biāo)來承擔(dān)。這方面預(yù)計(jì)不會(huì)有什么進(jìn)展,會(huì)歸咎到多方,這正是這類錯(cuò)配的商業(yè)模式導(dǎo)致的系統(tǒng)性崩盤的特點(diǎn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)