阿里云安全吳翰清：這次勒索病毒被低估，不重視安全的企業(yè)會“突然死亡”

因公安網(wǎng)遭受病毒，無法受理需要系統(tǒng)受理業(yè)務(wù)，敬請諒解。

這張北京某地公安機(jī)關(guān)戶籍管理窗口上的告示，無奈地隱喻著我們網(wǎng)絡(luò)世界的傷痕。我們總被恐慌和流言擊中，卻難以打撈真相。

采訪 | 吳翰清 阿里云首席安全研究員，人稱道哥、刺

有關(guān)勒索病毒的幾個真相

人們看到，這次爆發(fā)的勒索病毒作者收到了35萬美元，似乎相比它全球的影響力來說并不多。但很多人不知道，這個蠕蟲式傳播的病毒是 2.0 版本，而在之前的 1.0 版本，病毒作者已經(jīng)賺了幾千萬美元。

吳翰清說出了第一個真相。

這次勒索病毒席卷了全球數(shù)百個國家，讓帶著紅袖箍的朝陽阿姨都開始繪聲繪色地描述病毒的兇殘。但事實上，就在你關(guān)心“王寶強(qiáng)的兒子究竟是不是親生的”“白百何的小狼狗到底是誰”的2015、2016年，勒索病毒已經(jīng)在全球累計收割了幾千萬人的贖金。

美國某教會被病毒勒索，七十多歲的神父為了交比特幣贖金，從一個不知道電腦是什么的老頭生生被逼成了技術(shù)宅；

美國某醫(yī)院被病毒鎖機(jī)，所有的檢驗單報告單一律恢復(fù)手寫模式，病人在醫(yī)院排起長龍；

美國某警察局被病毒勒索，懟天懟地懟空氣的全世界最囂張的美國警察都乖乖交了贖金。

以上這些事實，正在讀這篇文章的你可能從來沒注意過。

在霧霾上身之前，你的世界永遠(yuǎn)陽光燦爛。

車管所不能上牌照，加油站加不成油，公安局辦理不了業(yè)務(wù)。這次病毒看起來所向披靡，攻城略地，好不風(fēng)光。但是吳翰清，這個職業(yè)黑客和安全研究員卻指出了兩個讓人感慨的巧合。

真相一 | 這次病毒的“爆紅”，來自于兩個驚天巧合

1、干掉學(xué)校、政府內(nèi)網(wǎng)不是病毒的本意

這次病毒之所以爆紅，最重要的原因就是它攻擊了國家的基礎(chǔ)設(shè)施網(wǎng)絡(luò)，造成很多公共服務(wù)的停滯，人們才產(chǎn)生了極度恐慌。

但讓病毒作者尷尬的是，這很可能不是他的本意。

除非發(fā)動國家間的網(wǎng)絡(luò)戰(zhàn)，否則病毒不會攻擊國家設(shè)施。

吳翰清說。

簡單來說，“黑客界”和黑社會差不多，都存在一個潛規(guī)則共識：“出來混，一般是和氣生財。”因為有經(jīng)驗的黑客知道，攻擊國家設(shè)施一定會引起政府重視，如果把事情鬧大到國家關(guān)注，離黑客被抓就不遠(yuǎn)了。

據(jù)我所知，世界上的主要國家目前都在追蹤病毒的作者。我們國家的公安機(jī)關(guān)和各大安全廠商也不例外。

我可以透露的是，這次病毒的攻擊更像一個沒有經(jīng)驗的新手干的。甚至代碼都是在黑市上買到的，對于病毒可能造成的災(zāi)難性后果，他也很可能沒有提前判斷。

他對雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))宅客頻道(微信搜索：宅客頻道)說。

一般來說，專業(yè)的黑客不會以把事情鬧大為目的，所以會采取各種辦法控制病毒的影響范圍。但是這個無名黑客顯然控制局勢失敗。這其中很大的一個原因要歸功于公共服務(wù)網(wǎng)絡(luò)和某些大公司內(nèi)部專網(wǎng)的脆弱，超越了黑客的想象。黑客僅僅動了動手指，萬丈高樓就已經(jīng)搖搖欲墜。

那么，為什么公共設(shè)施網(wǎng)絡(luò)和企業(yè)專網(wǎng)如此脆弱呢?

這些網(wǎng)絡(luò)，都有一個神秘的名稱——內(nèi)網(wǎng)。

所謂內(nèi)網(wǎng)，最大的特點就是和外網(wǎng)分離，這種分離是“物理隔離”，也就是根本沒有網(wǎng)線相連。既然都和外部“老死不相往來”了，為什么還會有病毒呢?吳翰清說：

正是迷信所謂的“物理隔離”，很多機(jī)構(gòu)覺得其他的安全措施可以放一放，甚至連基本的系統(tǒng)升級都很滯后。

但是這種老專家們百般推崇的物理隔離是不堪一擊的。

1、U盤。出于易用性，很多專網(wǎng)和外網(wǎng)有交換點，U盤就是其中一種。病毒木馬可以通過 U盤隨意進(jìn)出。(當(dāng)年摧毀伊朗核設(shè)施的震網(wǎng)病毒就是通過U盤被帶入核設(shè)施網(wǎng)絡(luò)的)

2、雙網(wǎng)卡。很多專網(wǎng)為了既合規(guī)又方便，使用了兩個網(wǎng)卡，一個連接互聯(lián)網(wǎng)，一個連接內(nèi)部專網(wǎng)。但這兩個網(wǎng)絡(luò)使用的是同一臺計算機(jī)。。。

3、手機(jī)。一些手機(jī)在內(nèi)部連接專網(wǎng)，出門之后還是使用外界的 Wi-Fi 網(wǎng)絡(luò)。這部設(shè)備就成為了病毒進(jìn)出的大門。

事實證明，這次攻擊中招的幾乎都是專網(wǎng)內(nèi)網(wǎng)。而在此之前，內(nèi)網(wǎng)中也是病毒木馬橫行，只是那些病毒沒有做得這么決絕，直接鎖機(jī)勒索。只要系統(tǒng)還能運(yùn)轉(zhuǎn)，所有人都希望維持著這個脆弱的平衡。

2、個人很少感染完全是僥幸

要知道，這次病毒本來是沖著個人用戶去的。但從各大安全廠商的監(jiān)測數(shù)據(jù)來看，個人感染這個病毒的案例少之又少。這是為什么呢?

先簡單科普一下病毒攻擊的最關(guān)鍵步驟：掃描用戶的 445 端口。如果端口在打開狀態(tài)才能進(jìn)行下一步攻擊。

但是，無巧不成書。這里有一個往事。

早在2003年，有一個名為“沖擊波”的病毒橫掃了全球網(wǎng)絡(luò)。彼時全世界哀鴻遍野的狀態(tài)，比現(xiàn)在血腥一百倍。而巧合的地方就在于，沖擊波病毒的傳播也是通過 445 端口。當(dāng)時中國人的網(wǎng)絡(luò)安全意識幾乎為零，只有幾家收費(fèi)的殺毒軟件霸占市場。而幾乎所有人都沒見過正版 Windows 長什么樣子，更別提升級打補(bǔ)丁了。

見狀不對，彪悍的網(wǎng)絡(luò)運(yùn)營商直接在自己的手里就把445端口給禁用了。這樣釜底抽薪的玩法，直接把病毒干得奄奄一息，瞬間天下太平。

如果沒有沖擊波病毒的“助攻”，運(yùn)營商仍然開放445端口，這個病毒將會像海嘯一樣席卷中國用戶。

吳翰清說。

四天以來，所有人都被勒索病毒洗了腦，連爸爸媽媽們轉(zhuǎn)發(fā)到群里的信息都變成了這個路數(shù)：

本文作者史 中（微信：Fungungun），雷鋒網(wǎng)主筆，希望用簡單的語言解釋科技的一切

真相二 | 這次病毒的影響，被大大低估了

你沒看錯，是被低估了。吳翰清覺得，這件事情也許會成為病毒歷史上的一個“里程碑”?？梢灶A(yù)見的影響至少有以下兩點。

1、勒索軟件本身的破壞性會讓公司直接倒閉。

過去人們熟悉的攻擊方式，大多都是偷數(shù)據(jù)、做欺詐，或者通過后門控制機(jī)器對外發(fā)動攻擊。對系統(tǒng)本身的破壞性不是那么大。而這次的勒索是毀滅性的破壞，加密算法本身的邏輯就保證了加密的不可逆性。

吳翰清對雷鋒網(wǎng)宅客頻道(微信搜索：宅客頻道)說。

也就是說，一旦被黑客加密，全世界只有黑客手中的秘鑰可以救你。如果企業(yè)的核心數(shù)據(jù)遭受加密攻擊，就會產(chǎn)生災(zāi)難性的影響。

也許有的企業(yè)會因為數(shù)據(jù)毀滅而直接倒閉，也許有的行業(yè)會因為這樣的病毒直接洗牌。

他說。

2、搞詐騙的可能都去搞勒索

這次攻擊，最為震動的也許是“黑產(chǎn)界”。

簡單說一下這個病毒的三個特點：

（1）利用微軟的漏洞傳播；

（2）利用了加密軟件；

（3）利用了 Tor 網(wǎng)絡(luò)和比特幣收贖金。

吳翰清覺得，這三個特點里，很多人都在關(guān)注第一個，惶恐地希望升級打補(bǔ)丁。但是真正對世界產(chǎn)生影響的可能是(2)和(3)。

因為，之前要寫無數(shù)個劇本，假裝N個角色，恨不得拿金馬獎帝后的詐騙團(tuán)伙似乎找到了一條“康莊大道”。

勒索攻擊對于他們來說，既可靠又風(fēng)險小。

這個黑客搞出的病毒明目張膽地勒索全世界，到目前為止還沒被揪出來，足見 Tor 網(wǎng)絡(luò)(暗網(wǎng))和比特幣的匿名性之可靠。

剛才說過，這次事情搞這么大可能是出于手滑。之后如果病毒設(shè)計精良一些，完全可以控制傳播的范圍，這樣一來，無論是針對個人還是企業(yè)的勒索，都會成為像今天的電信詐騙一樣成熟的產(chǎn)業(yè)。

這將是一個非?？植赖奈磥?。

吳翰清說，由此來看，未來安全行業(yè)中的數(shù)據(jù)備份企業(yè)似乎應(yīng)該行情看漲，因為企業(yè)的 CIO(首席安全官員)要做的第一件事就是備份數(shù)據(jù)。

真相三 | 忘記安全，才會進(jìn)步

除非亂世當(dāng)?shù)?，否則人永遠(yuǎn)不想學(xué)會自衛(wèi)。

當(dāng)年的沖擊波病毒橫行肆虐，但我們之中有誰學(xué)會了按時升級系統(tǒng)?

這些年來，個人安全的重大進(jìn)步客觀上來源于免費(fèi)的安全軟件。而這些軟件出于保護(hù)用戶和變現(xiàn)的需要，進(jìn)行著“貼身服務(wù)”，讓用戶倍感困擾。

但有一個真理不言自明：

就如小區(qū)的保安、運(yùn)鈔車的保衛(wèi)一樣，安全永遠(yuǎn)應(yīng)該是一種服務(wù)，而不是教學(xué)。

你是愿意每天在健身房練習(xí)散打，保衛(wèi)自己的家人；還是愿意花物業(yè)費(fèi)，在小區(qū)門口雇傭保安人員呢？

吳翰清覺得，企業(yè)自己做安全的單打獨斗，會因為各種疏漏和技術(shù)原因存在較大隱患，而利用平臺的“保安”服務(wù)不失為一種好的方法。云計算上的安全就是一種典型的“保安”，他舉了發(fā)生在阿里云上的例子。

這次被 Wannacry 病毒利用的漏洞，早在4月14日就被泄露出來。作為安全人員，我們知道這個漏洞有多嚴(yán)重。于是從那個時候開始，我們就通過各種方式不斷提醒用戶修復(fù)漏洞，進(jìn)行網(wǎng)絡(luò)安全隔離。包括郵件，站內(nèi)信，短信，甚至電話。

有的用戶修復(fù)了，有的還沒有。于是我們就再一次催促他們修復(fù)。這樣下來客戶被我們騷擾了好幾輪，但仍然有少量客戶拒絕。

不過，如果沒有多次的提醒和協(xié)助，這次阿里云上受感染的廠商將不計其數(shù)。

云服務(wù)，因為有專門的安全團(tuán)隊來運(yùn)營，所以安全治理水平比較高，在安全性上和傳統(tǒng)的專網(wǎng)有巨大的差距。這在某種程度上類似于個人用戶和免費(fèi)殺毒軟件，用戶只需要選擇平臺，而所有的安全都應(yīng)該是平臺的基本能力。

不懂安全的用戶無罪，甚至有功。

從社會成本上來看，可以類比以下的例子：

人人都攜帶槍支，用于可能的自衛(wèi)，和人人都不攜帶槍支，由警察和軍隊負(fù)責(zé)保衛(wèi)公民的安全，誰的社會成本更低？顯然是后者。

這便是社會分工的經(jīng)濟(jì)學(xué)意義。

這次勒索病毒爆發(fā)之后，各大安全廠商都在第一時間推出防護(hù)產(chǎn)品，并且聚集主力研究人員進(jìn)行研究。認(rèn)為安全廠商在“刷存在感”，是一種廉價的解釋。從更深層來看，安全廠商看到了社會分工進(jìn)一步細(xì)化的機(jī)會，他們備受鼓舞。

對于云計算和云安全來說，同樣如此。

每天打開水龍頭，都要自己去判斷水質(zhì)是否達(dá)標(biāo)；每天打開電視前，都要確認(rèn)自己的穩(wěn)壓器有沒有工作。

這是30年前的中國。彼時的社會分工遠(yuǎn)沒有今天這樣專業(yè)、可靠。每個人都不得不讓渡出一部分精力和專業(yè)能力，來保衛(wèi)自己的生活。

和病毒的斗爭，似乎隱喻了我們的網(wǎng)絡(luò)空間也在經(jīng)歷幾十年前中國社會巨大的專業(yè)化分工。而理想的賽博世界，安全或許像水和電一樣，人們每天使用，卻不曾感受到它的存在。

今天發(fā)生的一切，都說明我們做得還不夠。但我相信總有一天，所有企業(yè)都只需要關(guān)注自己的業(yè)務(wù)，安全問題在云計算平臺內(nèi)部都已經(jīng)被解決。只有到那個時候，勒索病毒才會走向消亡。

吳翰清說。