NSA網路武器變勒索軟體WannaCry,究竟誰是罪魁禍首?

Photo Credit: Reuters/達志影像
我們想讓你知道的是

美軍不可能因為一顆戰斧巡戈飛彈落入敵人手中,就廢除整個導彈系統,NSA也不會因為一個網路武器不小心遺失,就自廢所有的網路武器。

文:Elias Groll《外交政策》
譯:觀念座標

上週末以來,英國的醫院因為電腦病毒入侵入作業系統,被迫取消手術、門診。法國的雷諾車廠也必須關閉好幾條生產線。在俄國,同一種電腦病毒導致內政部幾千台電腦無法上網。

自從這種病毒首先在上週五發作以來,微軟即把箭頭指向美國國家安全局(US National Security Agency, NSA),說他們幫助這種病毒的誕生。微軟主張,WannaCry是情報機構不應該囤積電腦弱點(好入侵敵營電腦系統)的最新案例。微軟主張,像美國國家安全局這樣的機構,應該向製造商(即微軟)透露系統的弱點。

然而,微軟誤解了NSA在WannaCry出現所扮演的角色。該情報機構並不是罪魁禍首,只是不經意地扮演了產婆的角色。

這一個惡意軟體程式,究竟是誰創造的?目前還不曉得。但一些證據指向北韓。防毒軟體公司卡巴斯基實驗室(Kaspersky Labs)的研究人員,指認WannaCry的程式碼,與平壤駭客在過去攻擊所使用的程式碼,有一些相似的地方。然而,卡巴斯基在部落格的文章說,此次攻擊事件尚不能蓋棺論定就是北韓所為。

WannaCry勒索軟體會把受感染電腦的資料加密,要求受害者付款,才給密碼解除封鎖。目前沒有人知道寫作此程式的駭客是何方神聖,但確定的是,他們使用NSA首先發展出來的程式工具,專門針對使用微軟系統的電腦下手。到目前為止,此一犯罪集團已經獲得五萬美元的贖金,全球有二十萬台電腦受到感染。

然而這次攻擊可能造成嚴重的後果-英國數家醫院受害後,只能接受重症患者就醫-導致電腦公司、前情報局官員、公民自由團體紛紛開始討論,罪魁禍首究竟是誰。

今年四月,一群自稱為「影子仲介」(Shadow Brokers)的駭客,在網路釋出一堆他們稱為竊取自NSA的駭客工具。那一堆工具之中包括一個弱點程式碼,稱之為Eternal Blue(永遠藍),專門利用Microsoft Word的弱點來傳遞惡意軟體到其他的電腦。

於是,WannaCry的作者利用這個NSA的工具,創造出從一台電腦散播到另一台電腦的勒索軟體機制。

簡而言之,NSA的一件網路武器(cyperweapon),針對微軟所開發的軟體弱點下手,但不幸由政府落入民間,結果被犯罪份子利用,以圖獲取不義之財。

微軟總裁Brad Smith在週日的部落格文章中表示:「這次攻擊再度說明,政府囤積(軟體)弱點為什麼會造成這麼大的問題。」他又說:「全世界的政府都應該把此次攻擊視為暮鼓晨鐘。」

公民自由團體大都支持微軟的立場。美國公民自由聯盟(American Civil Liberties Union)的律師,派翠克・圖米(Patrick Toomey)表示:「這些攻擊突顯了電腦作業系統的弱點,不僅會被我們的國安機構利用,也會被全世界各地的駭客與罪犯利用。」

今年二月,Brad Smith首度呼籲召開網路空間的「日內瓦會議」,主要想立法禁止一個國家攻擊其他國家的重要基礎建設與科技公司,違者即犯法。此外,他還主張,在此國際公約下,各國政府應該在發現軟體弱點時主動通知軟體研發公司——而不是利用這些弱點駭入敵營的電腦——研發公司就可以即使作出補救,發表修補程式。

而這就是讓微軟不舒服的諷刺之處。在「影子仲介」釋出「永遠藍」弱點之前一個月,微軟即發表了一個修補程式,但那並沒有阻止該勒索軟體的散播。雖然微軟、NSA都沒有證實,但電腦專家認為NSA很可能在知道工具被盜走後,馬上通知微軟其軟體的弱點。

為了各種原因,微軟所發表的修補程式從未抵達受害的電腦處。在英國健保局的案例裡,相當多台電腦使用Windows XP,這是微軟早在2014年就停止更新系統的程式。雖然全世界仍然有5-10%的電腦仍然倚賴Windows XP,微軟已經不再釋出更新程式。然而在週五攻擊後,微軟立即在週六釋出一個修補程式。

當然,上週末攻擊的部份責任,屬於電腦使用者以及資訊科技經理人未能即使更新系統。但因為種種原因,即使修補電腦系統弱點都可能造成問題。例如,最近的蘋果軟體更新導致一些iPad Pros停止運作。

(在中國,由於電腦使用者熱愛盜版軟體,而盜版軟體通常都無法收到更新,導致WannaCry病毒在週一猛烈散播。)

複雜的軟體有時會以看不見的方式跟其組成的原件互動,所以資訊科技經理人往往在未經過一連串測試的情況下,進行電腦系統更新。對於一般的電腦使用者來說,之所以沒有常常進行系統修補,往往是懶惰而已。

然而,即使電腦公司提供更多安全的軟體,也不能保證完全沒有可資利用的弱點。科學家估計,每一千行電腦程式碼中,出現錯誤的比例大概是15到50。

所以電腦軟體的不安全是很廣泛的,微軟的總裁想求NSA以及其他的情報部門,藉由主動通知他們所發現的程式弱點,幫忙保護消費者、以及他們的生意。但從NSA的角度來說,微軟是在要求情報單位自廢武功,繳械投降,是它不願意做的。

微軟總裁的文章,把NSA的駭客工具被竊,類比為美軍的戰斧巡弋飛彈被竊。然而,美軍不可能因為一顆戰斧巡戈飛彈落入敵人手中,就廢除整個導彈系統,NSA也不會因為一個網路武器不小心遺失,就自廢所有的網路武器。

文章來源:Who Is Really to Blame for the WannaCry Ransomware?(Foreign Policy)

相關文章︰

本文經觀念座標授權刊登,原文發表於此

責任編輯:翁世航
核稿編輯:楊之瑜

或許你會想看
更多『評論』文章 更多『科技』文章 更多『觀念座標』文章
Loader