勒索病毒危機最大教訓(xùn)：黑客技術(shù)并非總是掌握在好人之手

騰訊科技訊 5月13日消息，據(jù)外媒報道，世界各地大量醫(yī)院、運輸公司以及電信公司當(dāng)前遭到的大規(guī)模勒索病毒攻擊，實際上是完全可以預(yù)防的。只需要對與攻擊相關(guān)的安全漏洞進行例行更新，在Wanna Decryptor造成任何損失之前，信息技術(shù)管理員就能搞定它。然而，這個與美國國家安全局（NSA）相關(guān)的Windows漏洞已經(jīng)攻擊了數(shù)以萬計的電腦，并迫使它們的主人支付贖金，否則數(shù)據(jù)就可能被刪除。

這是個受教的時刻，不僅僅是對無所不在的電腦用戶，他們可能已經(jīng)習(xí)慣于從提醒他們保持設(shè)備更新的服務(wù)中受益。對于政策制定者來說也同樣如此，因為他們正陷入“電腦漏洞只被好人利用”的誤區(qū)中。正在發(fā)生的勒索病毒危機與2016年科技巨頭同F(xiàn)BI之間的爭論存在模糊的聯(lián)系。問題在于，硅谷是否應(yīng)該被迫為產(chǎn)品建立“后門”，以便執(zhí)法機構(gòu)輕松查看其產(chǎn)品用戶的通訊記錄。支持者認(rèn)為，這是打擊恐怖主義、抓住利用加密工具策劃襲擊的恐怖嫌犯的必要措施。

當(dāng)時，許多決策者認(rèn)為，蘋果、谷歌(微博)以及Facebook等科技巨頭肯定有自己的辦法，可在產(chǎn)品中建立僅被執(zhí)法機構(gòu)利用的特殊通道。然而業(yè)內(nèi)人士和隱私專家表示，這是不可能的。這就像將鑰匙放在門墊之下，好人可以使用鑰匙開門，壞人也同樣可以。美國賓西法尼亞大學(xué)加密技術(shù)專家馬特·布雷澤（Matt Blaze）表示：“技術(shù)界已經(jīng)取得全面共識：即使表面上‘安全’的后門也會讓系統(tǒng)陷入外部攻擊和妥協(xié)的風(fēng)險之中?！?/p>

NSA4月份被泄露的文件表明，即使那些由負(fù)責(zé)國家安全的機構(gòu)控制的漏洞，最終也能在黑市上找到。Wanna Decryptor危機幾乎是所有武器化技術(shù)的縮影：最終，這種技術(shù)會失去控制，并會落入壞人之手。美國加州電腦安全公司Bromium聯(lián)合創(chuàng)始人西蒙·克羅斯比（Simon Crosby）說：“這些襲擊表明，我們不能再說漏洞只會被好人利用?！笨肆_斯比還將NSA黑客工具未經(jīng)授權(quán)泄露比作“向普通罪犯提供核武器”。

從某些方面來看，Wanna Decryptor是不同的，此次危機時人們未能下載適當(dāng)?shù)墓哺略斐傻?。早在在黑客宣稱他們可以利用這個漏洞之前數(shù)周，微軟已經(jīng)發(fā)布更新補丁。NSA的任務(wù)是攻破美國敵人使用的系統(tǒng)，同時數(shù)十億普通人卻也因此陷入危險之中。但這并非確鑿理由，認(rèn)為NSA或其他政府機構(gòu)能夠維持漏洞的控制。美國公民自由聯(lián)盟律師帕特里克·圖米（Patrick Toomey）表示：“這些漏洞不僅被我們的安全機構(gòu)利用，也在被全世界的黑客和犯罪分子利用?！?/p>

然而這并非是有關(guān)NSA好壞的問題，也不是其是否應(yīng)該盡快披露所發(fā)現(xiàn)漏洞的問題，盡管這已經(jīng)成為當(dāng)前爭論的焦點。相反，它提醒我們，就像所有武器那樣，認(rèn)為黑客技術(shù)始終能被控制在“好人”手中是非常愚蠢的。當(dāng)提議為“好人”提供前所未有的數(shù)字權(quán)利時，參與加密技術(shù)討論的決策者應(yīng)該牢牢記住這一點。（編譯/金鹿）