勒索病毒危機最大教訓：黑客技術并非總是掌握在好人之手

騰訊科技訊 5月13日消息，據外媒報道，世界各地大量醫(yī)院、運輸公司以及電信公司當前遭到的大規(guī)模勒索病毒攻擊，實際上是完全可以預防的。只需要對與攻擊相關的安全漏洞進行例行更新，在Wanna Decryptor造成任何損失之前，信息技術管理員就能搞定它。然而，這個與美國國家安全局（NSA）相關的Windows漏洞已經攻擊了數(shù)以萬計的電腦，并迫使它們的主人支付贖金，否則數(shù)據就可能被刪除。

這是個受教的時刻，不僅僅是對無所不在的電腦用戶，他們可能已經習慣于從提醒他們保持設備更新的服務中受益。對于政策制定者來說也同樣如此，因為他們正陷入“電腦漏洞只被好人利用”的誤區(qū)中。正在發(fā)生的勒索病毒危機與2016年科技巨頭同F(xiàn)BI之間的爭論存在模糊的聯(lián)系。問題在于，硅谷是否應該被迫為產品建立“后門”，以便執(zhí)法機構輕松查看其產品用戶的通訊記錄。支持者認為，這是打擊恐怖主義、抓住利用加密工具策劃襲擊的恐怖嫌犯的必要措施。

當時，許多決策者認為，蘋果、谷歌(微博)以及Facebook等科技巨頭肯定有自己的辦法，可在產品中建立僅被執(zhí)法機構利用的特殊通道。然而業(yè)內人士和隱私專家表示，這是不可能的。這就像將鑰匙放在門墊之下，好人可以使用鑰匙開門，壞人也同樣可以。美國賓西法尼亞大學加密技術專家馬特·布雷澤（Matt Blaze）表示：“技術界已經取得全面共識：即使表面上‘安全’的后門也會讓系統(tǒng)陷入外部攻擊和妥協(xié)的風險之中?！?/p>

NSA4月份被泄露的文件表明，即使那些由負責國家安全的機構控制的漏洞，最終也能在黑市上找到。Wanna Decryptor危機幾乎是所有武器化技術的縮影：最終，這種技術會失去控制，并會落入壞人之手。美國加州電腦安全公司Bromium聯(lián)合創(chuàng)始人西蒙·克羅斯比（Simon Crosby）說：“這些襲擊表明，我們不能再說漏洞只會被好人利用。”克羅斯比還將NSA黑客工具未經授權泄露比作“向普通罪犯提供核武器”。

從某些方面來看，Wanna Decryptor是不同的，此次危機時人們未能下載適當?shù)墓哺略斐傻?。早在在黑客宣稱他們可以利用這個漏洞之前數(shù)周，微軟已經發(fā)布更新補丁。NSA的任務是攻破美國敵人使用的系統(tǒng)，同時數(shù)十億普通人卻也因此陷入危險之中。但這并非確鑿理由，認為NSA或其他政府機構能夠維持漏洞的控制。美國公民自由聯(lián)盟律師帕特里克·圖米（Patrick Toomey）表示：“這些漏洞不僅被我們的安全機構利用，也在被全世界的黑客和犯罪分子利用?！?/p>

然而這并非是有關NSA好壞的問題，也不是其是否應該盡快披露所發(fā)現(xiàn)漏洞的問題，盡管這已經成為當前爭論的焦點。相反，它提醒我們，就像所有武器那樣，認為黑客技術始終能被控制在“好人”手中是非常愚蠢的。當提議為“好人”提供前所未有的數(shù)字權利時，參與加密技術討論的決策者應該牢牢記住這一點。（編譯/金鹿）