微軟是網際網路史上最大的勒索軟體攻擊的罪魁禍首嗎?
上週五發生了網際網路史上規模最大的全球勒索軟體攻擊事件,全世界都沒有處理好。我們才剛剛開始計算WannaCry計劃造成的損失——包括美元和醫院停工造成的生命損失——但與此同時,我們也在計算責任。
有一長串的責任方,包括罪犯、****局和受害者本身——但最有爭議的是微軟本身。這次攻擊利用了一個Windows網路協議在網路中傳播,雖然微軟在近兩個月前釋出了一個補丁,但令人痛苦的是,補丁並沒有覆蓋所有使用者。微軟一直在遵循安全方面的最佳實踐,但仍讓數十萬臺計算機處於易受攻擊的境地,造成了可怕的後果。夠好嗎?
對一些人來說,答案顯然是否定的。社會學家Zeynep Tufekci上週末在《****》上撰文稱,微軟決定停止支援舊版Windows,這一決定完全歸咎於微軟。”像微軟這樣的公司應該放棄這樣的想法,即他們可以拋棄使用舊軟體的人行業規範是糟糕到可怕的,我們有理由期待一家擁有市場支配地位、靠銷售執行關鍵基礎設施的軟體賺了這麼多錢的公司做得更多。”
ZDNet更嚴厲。”“這裡真正的問題是,幾十年來,整個IT行業一直在銷售垃圾產品,”一位帖子認為它透過生產一開始就壞掉的產品,並經常直接或間接地向客戶收取修理費用,變得非常富有。”
問題的核心是微軟的分層支援系統。上週針對的漏洞在Windows 8(引入了SMBv3)之後釋出的系統中不存在,因此主要目標是Windows 7和Windows XP。Windows 7使用者仍在接收修補程式,但自2014年4月以來,XP一直不受支援。使用者仍然可以透過微軟的定製支援服務支付更新費用,但該公司並未公開部署補丁,儘管該系統仍在非洲和亞洲廣泛使用。該公司上週末釋出了一個緊急XP補丁,以防範勒索軟體,但對於NHS和無數其他受害者來說,為時已晚。
這聽起來可能有些技術性,但結果很簡單:仍有數百萬臺計算機使用Windows XP,而且沒有自定義支援,它們都很容易受到攻擊——不僅受到最新勒索軟體的攻擊,而且受到過去三年中發現的數十個其他漏洞的攻擊。它們很容易成為僵屍網路、間諜軟體和其他幾十個犯罪計劃的犧牲品,這對於任何試圖保護網路安全的人來說都是一個長期存在的問題。
微軟最好的辯護理由是XP非常非常古老。XP於2001年釋出,2008年不再出現在大多數新電腦上,而像NHS這樣的大型客戶機在2014年日落前都有足夠的警告要切換。windows10是免費的,使用者可以盡可能方便地進行切換。上週五受到攻擊的大多數網路都有充分的理由不升級——通常是複雜的嵌入式系統,它們很難在補丁中生存,更不用說新的作業系統了——但只要軟體有漏洞,這樣的系統就會很脆弱。
更廣泛的問題是軟體升級超過了硬體,這是一個比微軟更嚴重的問題。2007年售出的一臺電腦很可能無法執行windows10,數百萬臺舊電腦仍在使用,這就是為什麼XP在市場份額上與windows8.1並駕齊驅的原因,儘管微軟盡了最大努力將其淘汰。
Android在更高的速度下已經面臨類似的問題。谷歌大約每10個月推出一個新版本的作業系統,但硬體**商跟不上,導致了現在臭名昭著的碎片化問題。只有7%的Android使用者使用最新版本,超過十分之一的使用者使用的是4個以上版本的不支援版本。部分原因是運營商和原始裝置**商沒有更新軟體,但部分原因與硬體本身有關。一部兩歲的**通常沒有處理器能力跟上最新的功能,這往往意味著在安全更新方面落後。這一點在2015年變得尤為迫切,當時Android的Webview系統中出現了一系列特別嚴重的漏洞,需要從頭開始重建程序,使得任何比KitKat更古老的東西都無法得到有效保護。
根本問題是修補過程本身的弱點。有些bug比其他bug更容易修補,通常快速修補只會掩蓋系統構建中更深刻的弱點。其結果是在健壯的補丁和構建一開始就安全的系統之間產生了巨大的緊張關係。像Stagefright或Heartbleed這樣的主要bug可以透過幾十種不同的方式被利用,幾乎不可能一次遮蔽所有這些漏洞。你可以防範一個漏洞,但別人發現另一個漏洞只是時間問題,而且他們可能不會告訴你他們什麼時候發現了。從一個程式設計師的角度來看,最好的解決辦法是把整個系統拆掉,把它建得更堅固,讓每個人都知道儘快停止用老方法做事。
這種基礎性的重建是谷歌在Webview出現問題後所做的,也是微軟在SMBv3上所做的。如果你有最新的硬體,它無疑是最好的保護-但如果你被困在WindowsXP或安卓果凍豆,它可以看起來非常像你被晾幹了。儘管如此,很難說清楚誰有錯。停止支援是微軟的錯嗎?或者是****局的錯在第一時間發現了***?它是一種軟體熵嗎?它能以最快的速度揭示錯誤並分解程式?當問題出現在軟體升級和硬體釋出週期之間的更大的脫節時,對於任何一個參與者來說,這個問題往往都太大而無法解決——這一前景甚至比勒索軟體還要可怕。
- 發表於 2021-05-11 04:54
- 閱讀 ( 45 )
- 分類:網際網路
你可能感興趣的文章
網路戰爭是你安全的下一個威脅嗎?
... 什麼是網路戰(cyberwarfare)? ...
全球勒索軟體攻擊和如何保護您的資料
... 巧合的是,微軟在3月份修補了永恆藍漏洞,隨後影子經紀人的大規模武器級漏洞就登上了頭條。考慮到攻擊的性質,我們知道這個特定的漏洞正在發揮作用,以及感染的快速性,在...
2019年5大網路安全威脅揭曉
... 到目前為止,勒索軟體在過去幾年一直是網路安全的主要威脅。在未來的幾年裡,這將是一個同樣多,甚至更多的問題,而且沒有放緩的跡象。 ...
關於勒索軟體的危險你必須知道的5件事
...檔案是否與特定的驅動器號有關。Locky是另一個可以加密網路驅動器上資料的勒索軟體。這些風險也會影響雲端儲存,儘管有些服務(如Dropbox)會將您的資料恢復到勒索軟體攻擊前的狀態。 ...
關於maze勒索軟體攻擊你需要知道什麼
... 一種被稱為“迷宮”的破壞性勒索軟體正在網路安全領域四處傳播。以下是你需要知道的關於認知迷宮勒索軟體。 ...
致命一擊是怎麼起作用的?
... ping是網際網路技術中非常無辜和無害的一部分,個人電腦每天都在上網。那麼,有人怎麼能把這個無害的工具變成武器呢? ...
微軟加入勒索軟體工作隊夢之隊打擊犯罪企業
微軟正與許多網路安全公司聯手組建勒索軟體特別小組。此次合作將針對全球勒索軟體網路和犯罪企業,旨在更好地保護消費者和企業免受網路犯罪的侵害。 ...
capcom可能遭到勒索軟體攻擊
Capcom已經成為網路攻擊的受害者。它在美國、加拿大和日本的伺服器上儲存的資料都被洩露了。 ...
微軟成為網路釣魚攻擊模仿最多的公司
...害者交出他們的詳細資料。一份報告顯示,騙子現在模仿微軟的可能性比其他任何公司都大。 ...
為什麼要更新所有軟體
...:雖然windows7和windowsxp不再受支援,但直到2023年1月10日,微軟仍然支援windows8.1的安全更新。 Microsoft Office獲得了多年的更新:您不必每次推出Microsoft 365或購買最新版本的Office。例如,如果您擁有Office 2016,則在2024年10月14日之前...
