上周五发生了互联网史上规模最大的全球勒索软件攻击事件，全世界都没有处理好。我们才刚刚开始计算WannaCry计划造成的损失——包括美元和医院停工造成的生命损失——但与此同时，我们也在计算责任。

有一长串的责任方，包括罪犯、****局和受害者本身——但最有争议的是微软本身。这次攻击利用了一个Windows网络协议在网络中传播，虽然微软在近两个月前发布了一个补丁，但令人痛苦的是，补丁并没有覆盖所有用户。微软一直在遵循安全方面的最佳实践，但仍让数十万台计算机处于易受攻击的境地，造成了可怕的后果。够好吗？

对一些人来说，答案显然是否定的。社会学家Zeynep Tufekci上周末在《****》上撰文称，微软决定停止支持旧版Windows，这一决定完全归咎于微软。”像微软这样的公司应该放弃这样的想法，即他们可以抛弃使用旧软件的人行业规范是糟糕到可怕的，我们有理由期待一家拥有市场支配地位、靠销售运行关键基础设施的软件赚了这么多钱的公司做得更多。”

ZDNet更严厉。”“这里真正的问题是，几十年来，整个IT行业一直在销售垃圾产品，”一位帖子认为它通过生产一开始就坏掉的产品，并经常直接或间接地向客户收取修理费用，变得非常富有。”

问题的核心是微软的分层支持系统。上周针对的漏洞在Windows 8（引入了SMBv3）之后发布的系统中不存在，因此主要目标是Windows 7和Windows XP。Windows 7用户仍在接收修补程序，但自2014年4月以来，XP一直不受支持。用户仍然可以通过微软的定制支持服务支付更新费用，但该公司并未公开部署补丁，尽管该系统仍在非洲和亚洲广泛使用。该公司上周末发布了一个紧急XP补丁，以防范勒索软件，但对于NHS和无数其他受害者来说，为时已晚。

这听起来可能有些技术性，但结果很简单：仍有数百万台计算机使用Windows XP，而且没有自定义支持，它们都很容易受到攻击——不仅受到最新勒索软件的攻击，而且受到过去三年中发现的数十个其他漏洞的攻击。它们很容易成为僵尸网络、间谍软件和其他几十个犯罪计划的牺牲品，这对于任何试图保护网络安全的人来说都是一个长期存在的问题。

微软最好的辩护理由是XP非常非常古老。XP于2001年发布，2008年不再出现在大多数新电脑上，而像NHS这样的大型客户机在2014年日落前都有足够的警告要切换。windows10是免费的，用户可以尽可能方便地进行切换。上周五受到攻击的大多数网络都有充分的理由不升级——通常是复杂的嵌入式系统，它们很难在补丁中生存，更不用说新的操作系统了——但只要软件有漏洞，这样的系统就会很脆弱。

更广泛的问题是软件升级超过了硬件，这是一个比微软更严重的问题。2007年售出的一台电脑很可能无法运行windows10，数百万台旧电脑仍在使用，这就是为什么XP在市场份额上与windows8.1并驾齐驱的原因，尽管微软尽了最大努力将其淘汰。

Android在更高的速度下已经面临类似的问题。谷歌大约每10个月推出一个新版本的操作系统，但硬件**商跟不上，导致了现在臭名昭著的碎片化问题。只有7%的Android用户使用最新版本，超过十分之一的用户使用的是4个以上版本的不支持版本。部分原因是运营商和原始设备**商没有更新软件，但部分原因与硬件本身有关。一部两岁的**通常没有处理器能力跟上最新的功能，这往往意味着在安全更新方面落后。这一点在2015年变得尤为迫切，当时Android的Webview系统中出现了一系列特别严重的漏洞，需要从头开始重建进程，使得任何比KitKat更古老的东西都无法得到有效保护。

根本问题是修补过程本身的弱点。有些bug比其他bug更容易修补，通常快速修补只会掩盖系统构建中更深刻的弱点。其结果是在健壮的补丁和构建一开始就安全的系统之间产生了巨大的紧张关系。像Stagefright或Heartbleed这样的主要bug可以通过几十种不同的方式被利用，几乎不可能一次屏蔽所有这些漏洞。你可以防范一个漏洞，但别人发现另一个漏洞只是时间问题，而且他们可能不会告诉你他们什么时候发现了。从一个程序员的角度来看，最好的解决办法是把整个系统拆掉，把它建得更坚固，让每个人都知道尽快停止用老方法做事。

这种基础性的重建是谷歌在Webview出现问题后所做的，也是微软在SMBv3上所做的。如果你有最新的硬件，它无疑是最好的保护-但如果你被困在WindowsXP或安卓果冻豆，它可以看起来非常像你被晾干了。尽管如此，很难说清楚谁有错。停止支持是微软的错吗？或者是****局的错在第一时间发现了***？它是一种软件熵吗？它能以最快的速度揭示错误并分解程序？当问题出现在软件升级和硬件发布周期之间的更大的脱节时，对于任何一个参与者来说，这个问题往往都太大而无法解决——这一前景甚至比勒索软件还要可怕。