国内专家探讨: 勒索病毒凭什么能绑架我们的系统
5月12日晚,全球爆发大规模“勒索”病毒(WannaCry)感染事件,只有缴纳高额赎金(有的要比特币)才能解密被病毒锁定的资料和数据。英国多家医院中招,病人资料受到外泄威胁,同时俄罗斯、意大利等多个欧洲国家,我国大量企业内网也大规模受到感染,有的甚至瘫痪。
那么这个“勒索”病毒怎么来的,为什么这么厉害?被加密的数据还能够解开吗?“勒索”的比特币从哪来、怎么支付?教育网声明其不是重灾区,这次的安全应急响应是否过度?5月16日下午,中国计算机学会青年科技论坛(CCF YOCSEF)联合CCF计算机安全专业委员会共同举行一次“勒索病毒:凭什么能绑架我们的系统?”特别技术论坛,邀请国内信息安全领域内的知名专家、学者进行相关探讨。
勒索到的235个比特币还未被领取
“这是第一例蠕虫型‘勒索’病毒软件。”左磊是北京神州绿盟信息安全公司安全研究部总监,他先给这次爆发的“勒索”软件进行了定义,“蠕虫病毒主要是利用网络进行复制和传播,传染途径一般是通过电子邮件引导用户点击,但这次勒索软件又多了一步,利用漏洞快速传播,加密文件以进行勒索”。
左磊介绍,今年2月就有人在网上宣称发现了这一恶意软件,3月也有人宣布发现。当时还是1.0版本,不具备蠕虫的性质。微软曾经在3月发布过针对漏洞的6个补丁,但一个月之后这一病毒软件2.0版本出现。左磊从技术角度分析了微软操作系统的漏洞是如何被“勒索”软件攻击的。这一软件攻击范围很广,许多系统可以传播。
左磊也看到报道,英国一个年轻的IT专家通过分析“想哭”软件发现,它预设如果访问某个域名就自我删除,而这个域名尚未注册,他通过注册这个域名并进行相关操作,成功阻止了“想哭”软件蔓延。
“这个软件5月14日出现变种,目前已经发现两个变种,第一个变种改动简单已经失效。”左磊说,“勒索”软件影响范围很大,他们监测到,截至5月16日13时有237笔被勒索的支付,包括235个比特币,约5.9万美元,折合41万元人民币,但目前没有人领龋
北京理工大学计算机学院教授祝烈煌则给大家展示了被勒索的比特币是如何形成的,以及它与传统货币的区别、资金流向。他提出,要根据已经查明的3个资金流向地址,在网络世界中建立相应的反制措施。
这是大规模“网络军火”扩散失控事件
安天科技公司副总裁王小丰则把这款新型蠕虫式“勒索”软件称为“魔窟”:“安全从业人员这几天一直都很紧张,进行分析、应对,我们认为这是一起全球大规模‘网络军火’扩散失控事件。”
他说,一个月前,安天就曾发布有关提示:“网络军火”扩散会在全球降低攻击者成本,会带来“蠕虫”回潮。此预警不幸言中。好在,此次国内的网络安全企业反应相对迅速。安天在5月12日晚就拿出了分析报告,并发出相关应对预案。并在随后针对“勒索”软件的防范发布指南,发布了免疫工具。
“‘网络军火’攻击性强、穿透性强,会造成大规模灾难;我们的基础防御水平还很低;要举一反三,现在不是网络更安全了,而是隐蔽性增加了,难以被发现了。”针对此次攻击事件,王小丰有许多思考,他认为今后我们会面临更多“网络军火”攻击和失控的危险,“此次暴露出隔离网内漏洞比较多。过于依赖网络边界防护和物理隔离的安全体系,反而内部网络安全可能疏漏较多,系统安全治理工作也任重道远。”
中标软件副总经理李震宁在论坛上也代表国产操作系统厂商发表了看法:“虽然这次攻击只是针对windows系统而不会影响到Linux,但这个漏洞是被美国国家安全局掌控,被黑客泄露后发动攻击。还有更多没有被公开的漏洞,这才是这个事件中透射的最可怕问题。我们大量的设备是基于这样的系统构建,系统还有多少漏洞后门不得而知。我国提出要在实施信息领域核心技术设备攻坚战略、在操作系统等研发和应用取得重大突破,就是希望能够构建真正安全、可控的信息技术体系。”
此次事件应急处理成功有运气成分
360副总裁、首席安全官谭晓生出示了一张数据监测图,显示5月12日的下午3点开始出现大量感染,晚上进入了高发期,有很多机构中招,包括某石油系统和*某机构网站。“到了5月13日12点以后,无论是*企业还是机构个人都开始进行相关处置,病毒感染开始得到控制。从5月14日早上7点到现在,一直平稳,没有出现大规模的感染。”
由于15日是病毒出现后的第一个工作日,上午11点到12点一个小时中,是过去这些时间段里的最高峰,共有5389次攻击,一共105个用户中招。而在16日下午一个小时内则只有几十个。
“现在用户中病毒会继续传播但不会加密文件,损害基本不存在了。”谭晓生说,这是因为那个英国小伙子注册了域名,把它的危害控制住了。
360的实时监测数据也证明了“教育网不是此次事件的重灾区”。截至5月16日零点,360安全卫士监测到的数据显示,教育网只占国内全部受感染的0.63%。此前的报道,很大程度是由于媒体的数据误读和错误解读。
“我们接近6万台设备,到目前为止没有接到一个学生电脑中毒的报告,也没有接到一个教师受到这次‘勒索’软件影响的报告。全校只是有几台在教室中播放PPT的设备受到感染。”在论坛上,从事信息安全研究的北京大学教授陈钟提供了北京大学目前的数据,以此证明“教育网在此次‘勒索’软件传播中背了黑锅”。
谭晓生认为这次“勒索”软件的传播得到及时控制,有运气成分在其中。“首先是安全产品厂家反映迅速,因为是在‘一带一路’峰会期间,各个部门沟通及时,*连下3个通告,运营商对端口进行封闭,很多企事业单位、机构迅速关闭了445端口,也阻碍了传播。微软也特例给XP和2003系统出了补丁,虽然晚了一点点,但是还是解决了不少的问题。”
“虽然说应急比较成功,但还是有不少需要改进的地方。”谭晓生进行了逐一分析,第一,谷歌3月首先报出那个操作系统的漏洞,如果当时研判这是蠕虫的传播,应该有应急预案,但是没做;第二,有些大企业,特别是有的央企,信息技术能力并不差,有很强大的安全团队,但是为什么也中招?因为他们对安全理解有偏颇。“从这次看,网络终端并非等同于彻底杀毒,终端也可以成为发起攻击的源头,病毒可以进到隔离的网络里去,如果内网安全防范没有做好,照样会被病毒攻击。”
中国青年报·中青在线记者 李新玲