2017年5月12日早上,全球經歷一場有史以來最嚴重的網路攻擊事件之一。勒索軟體WannaCry在短短數個小時內旋風般席捲超過150個國家。
未能即時更新的Windows電腦螢幕凍結並跳出紅色的警示頁面,上面寫:「你的電腦已被加密」,要求被勒索者支付價值新台幣約9,000元的比特幣,否則電腦內的資料將被刪除。
這場擴及到政府部門、國際大廠、金融機構等重要單位的網攻事件引起全球駭客爭相較勁,比賽誰能先破解這個病毒程式碼。終於,來自英格蘭鄉間小鎮,22歲的Marcus Hutchins找到病毒的漏洞,啟動「銷毀開關(Kill Switch)」,成功阻止WannaCry的擴散。
相關人員很快發現,這個癱瘓全球超過30萬台電腦、造成全球約80億美元損失的WannaCry,起始源頭正是美國國家安全局(NSA)。原本為NSA機密級駭客工具的WannaCry,在事件爆發數週前遭不明人士盜取並放上網路,成為非法駭客的免費軍火庫。
然而,兩年過去,WannaCry的慘痛經驗,似乎仍舊再造成傷害。
百萬台老舊設備不更新,台灣為全球第五大感染風險國
雖然微軟早已提供更新檔填補作業系統中的漏洞,還是有許多消費者及公司繼續使用老舊且未更新的機台,導致世界各地時不時仍傳出WannaCry災情。
根據專門檢驗全球資料庫及伺服器有無資安漏洞的搜尋系統Shodan,全球目前有上百萬個連網機台仍舊有被WannaCry攻擊的風險,其中台灣有4,5000多台高風險設備,名列第五名,是全球重災區。然而,若再加上透過有漏洞的伺服器連線的手機、電腦等設備的話,真正受威脅的人數恐怕還要更多。
去年8月,被稱為台灣史上最大資安事件的台積電產線中毒事件,其罪魁禍首就是WannaCry的變形種。這次攻擊導致台積電損失約新台幣26億元,是台灣有史以來損失金額最高的資安事件。資安專家指出,台積電受感染的機台使用的是最容易受威脅的Windows 7,而台積電遲遲未能更新並修補漏洞,是這次攻擊的一大主因。
此外,研發網路武器的NSA也引來爭議。應用於WannaCry裡,由NSA流出的「永恆之藍」(Eternal Blue)漏洞不斷被駭客拿來使用,攻擊情境更是五花八門:潛入用戶電腦裡盜取電腦計算能力進行挖礦、劫持頻寬來執行癱瘓網路的阻斷服務攻擊等。近來甚至又傳出NSA再次外流另一項木馬程式,並被中國情報單位拿來使用。
人們質疑,NSA無法保管好自己研發的網路武器,導致網路攻擊者無節制濫用。但截至目前,美國政府仍沒有相應配套措施來降低這方面的風險。
阻止WannaCry的英雄遭求償25萬美元,引發資安人士打抱不平
至於阻止WannaCry的大功臣Hutchins,他的人生在這兩年也經歷戲劇般的波折。他在解決了WannaCry危機後三個月赴美參加駭客大會時遭逮捕。他被指控在他17歲時編寫了一個能夠潛入銀行進行竊盜的惡意軟體Kronos,並以數千英鎊的價格把程式賣給詐騙集團。他雖已獲保釋,但被禁止離開美國境內。
在上個月底,Hutchins在法庭上承認自己在成為一個「白帽」駭客前,曾編寫過惡意程式,並針對十項控訴中的兩項認罪。Hutchins的每一項指控都是最高5年的監禁以及25萬美元的罰款。
美國資安公司Rendition Infosec創辦人Jake Williams為Hutchins打抱不平。他認為,Hutchins所阻止的WannaCry攻擊事件遠大過他曾經造成的。「這就像是拿一般公寓去比摩天大樓一樣。如果他在17歲時犯了錯,他在那之後所做的努力早就已經彌補了,」他說。
Hutchins在司法上受到的打擊引發寒蟬效應。白帽駭客Kevin Beaumont就說,他不會打算把自己發現到的情資提供給警方。英國郵報報導中表示,資安圈內有許多人認為「改邪歸正」的白帽駭客是打擊網路犯罪的重要人才,因為過去合法的網路駭客教育資源有限,許多有技術的人過去都曾參與過網路犯罪。
不過,Hutchins最近在自己的Twitter上表示,要成為資安專家不代表你必須蹚入渾水,這是一個錯誤的認知。但他同時也承認:「但是在過去,要能學會特定技能卻不和壞人交涉,確實是一件困難的事。」
WannaCry全球網攻兩週年,上百萬台設備仍舊未完成更新而暴露在風險下、NSA始終無法保證自己研發的網路武器不會再因外流而遭濫用,而Hutchins的訴訟案,則使得部分駭客對政府失去信任。至於要如何有效預防下一場可能發生的全球性網路攻擊?或許各方單位都需要比現在再做得更多一些。
資料來源:Techcrunch、Telegraph、Shodan
