这条时间线第一件要观察的事情是,就像所有的Windows漏洞利用一样,一开始要归咎的是微软。是微软开发了缺乏健壮安全模型的Windows,尤其是网络方面,尽管这家公司已经做了很多工作去修补,但许多根本性的缺陷依然还在。 那些缺陷里面并不是所有的都是微软的过错:对个人计算机的默认假设一直都是让应用无拘无束地访问整台计算机,所有限制的尝试都遭致抗议的浪潮。iOS建立了一种新的模式,应用被放进了沙盒里面,仅限于通过精心定义的钩子访问操作系统并对其进行扩展;但这一模式只是因为iOS是新的才有可能。但Windows却相反,它全部的市场力量均源自于市场现有的应用群,也就意味着过度放宽的权限无法在不破坏微软商业模式的情况下逆向撤销掉。 此外,事实上软件是很难的:bug不可避免,尤其是想操作系统这么复杂的东西更是难免。所以微软、苹果以及基本上任何尽责的软件开发者都会定期发布更新和漏洞修复;产品事后可以修复这一事实,不可避免地跟为什么它们需要第一时间加以修复是关联在一起的! 为此,需要指出的是,微软在2个月前并没有修复这一漏洞利用,了解这一点很重要。任何应用了3月份的那个补丁(默认情况下是自动安装的)的计算机都可以不受WannaCry的影响;Windows XP是个例外,但2008年微软就已经停止销售该操作系统了,并且在2014年停止了对它的支持(尽管如此,微软上周五还是发布了针对该漏洞的Windows XP补丁)。换句话说,管理自己计算机的最终用户以及IT组织也一样有责任。仅仅是保持更新关键安全补丁就能让他们保持安全了。 尽管如此,保持更新的代价依然很高,大型组织尤其如此,因为更新会破坏东西。这个“东西”也许是关键的业务线软件,可能会来自第三方供应商,外部承包商,开奖,或者自己内部写的;这些软件如此依赖于特定的OS版本本身也是个问题,所以你也可以把责任归咎到这些开发者身上。硬件及其关联的驱动程序同样如此:比方说有个故事说的是英国的国民医疗保健体系的MRI和X光机器只能运行在Windows XP上面,这是那些机器制造商制造的一个致命的错误。 简而言之,要指责的有很多;但有多少要归咎于这条时间线的中间段——政府的呢? 政府的责任 Smith在那篇文章写到: 这次攻击提供了政府囤积漏洞如此成问题的又一个例子。这是一种出现在2017年的新兴模式。我们已经通过WikiLeaks看到CIA保留的那些漏洞,现在从NSA偷来的这一漏洞已经影响到全世界。政府手上的漏洞利用一而再再而三地西楼到公共领域,导致了损失的广泛扩散。常规武器的一个相同场景是美军的战斧导弹被盗。 坦白说,这样的比较方式是荒谬的,即便你想引申一下,说WannaCry在医院等地方的影响其实是有可能造成实际伤害的(尽管比一场武器战争造成的伤害要小很多!) 首先,是美国政府制造了战斧导弹,但这个bug却是微软自己制造的(金边不是有意为之)。NSA做的只是发现了这个bug(然后利用了这个漏洞),这个区别很关键。寻找bug是很艰苦的工作,需要大量金钱和精力。那么为什么NSA煞费苦心要做这件事情就值得考虑了,而答案就藏在他们的名字里面:国家安全。还有,正如我们在Stuxnet(震网病毒,破坏了伊朗的核设施)等例子中看到那样,这些漏洞利用可以是非常强大的武器。 根本问题是这个:坚称NSA应该马上交出漏洞利用,实际上与要求NSA不要第一时间找出bug无异。毕竟,打上补丁的bug就没那么有价值了,不管是从(ShadowBrokers发现的)财务上来说还是从军事上来说均如此,这意味着NSA将没有理由投入时间和金钱去寻找漏洞。换句话说,替代的方案不是NSA在几年前应该通知微软永恒之蓝的事情,而是让那个漏洞继续不打补丁更长的时间(也许中国、俄罗斯等其他国家也会发现,毕竟NSA不是唯一一个寻找bug的组织)。 实际上,政府方面真正需要吸取的教训不是NSA应该告诉微软的QA团队,而是发生(永恒之蓝)泄漏这件事情:所以就像去年我就苹果与FBI之争的观点一样,政府通过命令或者贿赂的方式(而不是发现现有的漏洞利用)弱化安全的努力是错误的。这种方式跟Smith笔下的战斧导弹比喻更加契合,而鉴于攻击传播的无差别和即时性,因为这种做法受害最深的国家恰恰是那些可输掉的东西最多的国家(这次事件中国、美国和俄罗斯受害者最多)。 商业模式的责任 (责任编辑:本港台直播) |