一、网络黑手来势汹汹
2017年5月12日,全球大量用户电脑屏幕弹出了一个奇怪的页面。页面上的信息显示:“您的文件已经被加密”,并且警告:“不要浪费时间寻求恢复您的文件,因为除了攻击者没有人能够做到。”页面右下角提供了“解密”按钮,可以让受害者免费恢复一些文件,以验证其可信度。但是,如果要恢复全部文件,受害者必须向他们指定的地址支付价值300美元的比特币。攻击者还规定了付款期限,如果3天内不支付的话,赎金将会加倍到600美金;如果7天内不支付的话,文档就会永久消失。攻击者还提供了某些“人性化”的选项,例如对于异常贫穷的用户他们可以特事特办免费解锁,他们还提供了包括全球所有主要语言在内的27种语言,进行全面的本地化服务。
这款席卷全球的WannaCry恶意软件是一款典型的勒索软件,其运作机理是:攻击者利用Microsoft Windows低版本操作系统存在的SME漏洞,开发了自动化攻击工具“Eternal Blue”(永恒之蓝)进行传播攻击,获取存在漏洞的操作系统的权限,并运用高强度的RSA+AES加密算法对用户数据进行加密,使用户失去对系统和数据的控制权,进而要求受害用户以支付比特币的方式来赎回数据,达到勒索受害用户钱财的目的。该勒索软件短短数天就席卷全球,感染了150多个国家的23万多台电脑,包括美国联邦快递、英国的国民保健局、德国铁路股份公司、俄罗斯联邦内务部、迪士尼公司在内的许多国家的部门和企业相继中招。紧接着,医院瘫痪、铁路停运、加油站无法加油、ATM机无法取款等事件层出不穷。我国部分高校,甚至多地的公安网和政企专网也遭遇了病毒袭击。
二、勒索软件的来龙去脉
作为近年来网络犯罪的主要形态之一,勒索软件已经成为较大的网络犯罪源头。著名网络安全公司卡巴斯基2016年12月发布的加密勒索报告分析显示,截至2016年,全球有114个国家受到加密勒索事件的影响,共发现44000多个勒索软件样本。IBM Security发布报告称,2016年带有勒索软件的垃圾邮件数量同比增长了6000%,近40%的垃圾信息中都带有勒索软件。其中,70%的商业用户受害者向黑客支付了赎金,勒索软件的赎金规模达到10亿美元。
勒索软件并非全新事物,它伴随着网络犯罪技术的发展而发展,此次全球性爆发将其推上了风口浪尖。“你能看见多久的历史,就能看见多远的未来”,回顾网络犯罪演进历史可以让我们更清楚地看清勒索软件的真面目。
20世纪70年代末期,全球出现了有史以来的第一个计算机病毒“Creeper”,其攻击目标是电话公司,而目的仅仅是进行免费的长途通话。此后,随着互联网的广泛普及,网络犯罪亦快速发展。1988年,第一个通过互联网传播的蠕虫病毒Morris出现,此后网络病毒不断演化且日益复杂,影响力和破坏程度也与日俱增,成为影响全球的重大难题。总体来看,网络犯罪划分为以下几个阶段:2004年之前,以恶意代码、木马和高级蠕虫病毒攻击为主;2004年后,身份窃取和钓鱼攻击等方式开始盛行;2007年后,DNS攻击、僵尸网络、SQL注入等方式又开始兴起;2010年之后,社会工程学攻击、勒索软件等逐渐流行。
全球第一次勒索软件攻击最早可以回溯到1989年约瑟夫·波普所写的“艾滋木马(AIDS Trojan)”病毒。该病毒采用对称加密方式,但只加密文件名称,并将其隐藏在硬盘中,随后感染用户会收到某些软件授权已经到期的信息,被并要求通过付款的方式来获得修复工具。
2012年开始传播的Reveton伪装成来自执法机构的警告信息,宣称用户使用的计算机因进行非法活动而被锁定,用户必须支付罚金才能解锁系统。
2013年开始传播的CryptoLocker病毒是近年来非常典型的勒索软件,该病毒威胁用户如果不在指定时间内付款,就会删除用户加密的数据,CryptoLocker最终勒索到了300万美元。WannaCry勒索软件明显是借鉴了它的方式,只是在支付方式上从现金变成了比特币。
2014年,一款名为CryptoWall的勒索软件震惊了网络世界,该软件利用恶意广告将受到感染的文件安装到用户的电脑系统中,最终收到的勒索金额估计高达1800万美元。
随着移动互联网和物联网的普及,勒索软件的战场也从电脑端蔓延到移动端,甚至更广泛的智能设备。例如,Fusob是一款专门针对手机的勒索软件,攻击者将该病毒嵌入到一个色情视频播放器中,并伪装成执法机构,要求用户支付100到200美元的赎金。据著名网络安全公司赛门铁克和迈克菲发布的2017年安全趋势预测,未来智能汽车和云基础设施会成为勒索软件下一个攻击目标,利用物联网设备发起DDoS攻击已被成功实践,恶意软件可通过智能设备窥探用户隐私并进行相关勒索,无人机劫持风险显露,可被用于网络犯罪。
三、肆虐全球事出有因
近年来,勒索软件攻击进入了高发期,攻击次数快速上升,影响范围持续扩大,经济损失呈指数级上升。美国联邦调查局在2016年4月份曾发布了一个勒索软件预警,称其为近年来最主要网络犯罪形态之一。相较于其他网络犯罪形态,勒索软件依托独特的技术和经济背景,因此近年在全球兴起有其必然性。
首先,数据
价值的凸显让勒索攻击具有了广阔市场。大数据时代,几乎各类经济社会活动都依托于互联互通的网络和开放共享的数据。无论对企业、政府还是普通用户而言,数据都是其最为核心的资产,一旦数据泄露或是损毁,将造成无法挽回的损失,一些关键敏感数据的丢失对企业来说甚至意味着灭顶之灾。因此,攻击者针对用户数据的劫持意味着控制了用户的经济命脉,企业为了避免生产瘫痪以及更大数量的经济损失,向勒索者支付一定数量的金钱就成为无可奈何的选项。
其次,黑客技术全球泛滥降低了勒索攻击的技术门槛。以WannaCry为例,这起全球性的网络勒索事件源于著名黑客组织影子经纪人(Shadow Brokers)攻击了美国国家安全局漏洞武器库,并通过维基解密等平台进行发布,导致了包括“永恒之蓝”等黑客攻击武器的外泄,而WannaCry采用的256位密钥的AES(高级加密标准)加密方式是美国联邦政府采用的商业及政府数据加密标准,以现有的计算能力,本身在理论上就不可破解,而且据分析WannaCry还使用了非对称加密算法RSA 2048加密随机密钥,并且每个文件都使用一个随机密钥,这就使得破解基本不可能,即使能够破解,其成本也会高得惊人。这些军用和政府技术的泄露和泛滥,使得各类网络犯罪分子可以轻易掌握先进的网络犯罪武器,极大地降低了网络犯罪的门槛。
再次,网络攻击不对称性使得网络勒索的收益凸显。随着互联网和物联网的发展,网络规模越来越大,联网设备的种类越来越多,大量关键基础设施也都已经网络化,这就使得攻击的潜在影响力和收益能力越来越高,网络攻击只需要很小的成本就可以造成巨大的影响和损失。以资本市场为例,WannaCry的攻击造成与网络安全相关的股票全线飙涨,全球股市大幅波动。仅5月15日一天,中国A股上市的网络安全股市值就增加了140多亿元,全球的安全股票同样大幅飙升。设想一下,如果网络攻击者在攻击之前预先买入网络安全股票或市场波动率期权,那么其收益至少可以以亿计。类似的盈利方式还有不少,影响力可以很方便地转化为收益。网络勒索的成本可能只有数万元,但其收益可能动辄以亿计。成本和收益这种巨大的不对称性使得全球黑客趋之若鹜。
最后,比特币和暗网等技术使得网络勒索难以溯源。比特币是一种基于区块链的分布式加密虚拟货币,它与传统货币最大的不同在于,它是一种去中心化的,不受各国政府和中央银行控制的虚拟货币。攻击者之所以选择比特币,很重要的原因在于其具有匿名性和实时性,可以有效掩盖黑客身份,避开各国政府的侦察和监管。除了支付手段以外,网络勒索也越来越多地利用暗网进行信息交互。例如WannaCry的开发者就利用洋葱网络(Tor)来传输解锁信息,当受害者向攻击者提供的地址支付300美元等值的比特币后,网络勒索者就可以通过洋葱网络的匿名通信链路收到付款者的相关信息,随后就会通过同一匿名网络将密钥发还给受害者,为其文件解密。洋葱网络是目前最强大的匿名网络之一,有趣的是,它并不是一个非法的网络,其专利目前归美国海军所有,专利号为US Patent No. 6266704 (1998)。洋葱网络可以有效保护消息发送者和接受者的通信隐私,并隐藏消息传输路径。为了实现这一目的,洋葱网络在信息传输过程中通过路由进行不可预测的转向,而且对所有的路径都进行加密,即使中间有不可靠的路由节点也无法影响整体信息传输的可靠性,这就使得追踪信息的传输变得几乎不可能。正是这些先进技术的使用,使得各国很难对网络勒索进行溯源。以此次攻击为例,幕后黑手到底是谁,依然众说纷纭。
微软怪罪于美国国家安全局,但美国国土安全顾问博瑟特则公开否认美国国家安全局对此负有责任。谷歌研究员麦赫塔发现WannyCry的源代码与Lazarus集团曾经使用的APT攻击代码非常类似,而Lazarus据信与某国有密切联系。但是,肇事者到底是谁,迄今尚无定论,大家都难以拿出令人信服的确凿证据,可能未来也永远查不清楚,这就无形中助长了网络犯罪的肆虐。
机遇永远和风险并存。网络安全的发展总是滞后于网络的发展,这是客观规律。网络的发展使得网络威胁带来的危害呈指数级上升。每次的网络事件都是一记警钟,提醒我们发展勿忘安全。世上永没有绝对的安全,安全和发展就像量子纠缠态一样,你中有我,我中有你,不断砥砺对方前行。
来源:《光明日报》(2017年06月07日)
(作者:王滢波上海社会科学院信息研究所)