WannaCry勒索病毒横扫世界,其实起点并不是5月12日,而是4月15日,微软的漏洞利用工具被公告天下时。那一天,行动起来的黑客有两种,一种在准备血洗全世界的网络,另一种试图发出预警阻止战争。虽然勒索病毒事件让国内众多一线网络安全公司股票全线飘红,但对试图阻止战争的黑客来说,战争早就发生了,他们并没有获得胜利。
未被重视的预警
“3月的补丁,4月的预警,早知道的事情……”这是陈宇森在病毒事件爆发一周后发的朋友圈。这句话看起来有“事后诸葛亮”之嫌,但他的确有资格这么说。他的团队早在4月15日就作为国内首家,发出过跟这次事件相关的公开详细预警,他们当时预估,“这次事件影响力堪称网络大地震”,一语成谶。
陈宇森是一家叫长亭科技的网络安全创业公司CEO,因公司在应用层安全领域的技术突破和市场表现,今年名列福布斯“30 Under 30排行”。4月15日,公司高级安全工程师李昌志在知乎专栏发表了一篇文章“方程式又一波大规模0day攻击泄漏,微软这次要血崩”,称黑客组织“方程式”放出了一批微软漏洞利用工具,所有Windows服务器将暴露在危险之中,堪称“核弹级爆炸”。
方程式据称是美国国家安全局下属的黑客组织,握有大量的顶级网络漏洞利用工具。2016年8月,一个名叫“影子”的黑客组织号称入侵了方程式,盗窃了大量工具,希望公开拍卖,要价100万比特币(价值接近5亿美元)。或许是为了证实自己握有工具,“影子”团队曾陆续放出部分工具作为先声。在拍卖一直无法成功的情况下,“影子”团队放出了更多的漏洞利用工具。
漏洞是一个网络安全术语,指网络硬件和软件的设计缺陷,黑客可以根据这些漏洞,开发出专门的工具,任何人都可以下载这些工具,使用漏洞进行入侵。0day攻击则通常是指使用未知漏洞进行攻击。虽然文章中的部分漏洞,微软已经在3月给出了最新补丁,但是泄露出来的工具生产时间是2011年,之前一直在使用未知漏洞,所以仍然称得上“0day攻击”。而因为工具被公开,对没有及时升级补丁或使用特定端口的所有用户来说,立刻如赤膊现于重炮之下。
关于“影子”团队放出漏洞利用工具的消息,长亭科技内部是几名实习生最早在Twitter上看到的,时间是4月14日晚上10点左右。因为预感事态严重,公司安全团队连夜组织了员工讨论,一边确认消息的准确性,一边开始组织测试。测试完毕,团队将危害的等级确认为最高,随即写文章在知乎发布。长亭科技确定危害等级主要是从两个维度,一是危害程度,二是影响范围。而根据长亭科技团队的经验,国内众多政府机关、国企、高校甚至部分互联网公司依然在使用未升级的老版本Windows,使用的也正是几个易被攻击的端口,需要特别注意。到4月16日,国内还有其他网络安全公司如360也给出了简短的预警信息。
但也许是因为预警太专业,也许是缺乏一线运维安全人员,对包括多所著名高校和部分地方公安在内的网络系统,这些预警信息并没有发挥作用。清华大学计算机安全中心倒是于4月15日贴出过一则“预防攻击、关闭相关端口”的公告,在病毒爆发后的微博和朋友圈里火了一把,成为“为什么要努力考清华”的新梗。
当然,无论长亭科技还是其他安全公司的预警,都没有提到“病毒”两个字,因为他们也无法预知其他黑客下载这些工具会如何使用,实际上,勒索病毒只利用了那批工具中的一小部分,根据美国网络安全公司Proofpoint的调查,在勒索病毒爆发之前,黑客已经利用这些工具入侵了全球数十万台PC和服务器,远程操控这些设备进行数字货币挖矿,入侵规模可能比勒索病毒更大,只是无人察觉,正如安全圈内流传的那句名言,“互联网世界里,只分被黑过的和不知道自己被黑过的”。
毕竟对普通用户和媒体来说,“漏洞利用工具”是一个陌生的名词,病毒才是可以理解的。在勒索病毒事件爆发之初,甚至有媒体将之冠名为“比特币病毒”,虽然比特币只是黑客要求的支付手段而已。更多的人则将这款病毒与“熊猫烧香”联系起来,看起来,那个屏幕上弹出来的红框和10年前无数人电脑里弹出来的熊猫颇有相似性。
鲜为人知的漏洞
但勒索病毒和“熊猫烧香”除了名声,几乎没有可比性。熊猫烧香是用蠕虫侵入个人电脑,修改文件,损人不利己,更像一场“事件营销”。勒索病毒却直接指向经济收益,是一门可观的生意。并且,随着以比特币为首匿名支付手段日渐成熟,从2014年开始,这门生意的市场就在持续翻倍增长,目标则逐渐从个人用户向高价值机构用户转移,带来影响更广泛的公共影响。
除了动机不同,勒索病毒与“熊猫烧香”的不同还在于,熊猫烧香是通过用户主动在网站上下载的文档植入计算机并传染,可以预防也可以治理。勒索病毒则是,利用“方程式”已经为攻击者找到并铺好道路的Windows漏洞,横扫所有符合攻击条件的用户,快速传播,直接开启了上帝模式。
陈宇森介绍,挖掘并利用类似的漏洞,也是所有从事网络安全攻防的黑客的核心技能。1992年出生的陈宇森毕业于浙江大学竺可桢学院求是科学班,从大学时代进入网络攻防领域,曾是源自清华大学的著名网络安全技术竞赛和研究团队“蓝莲花战队”的一员。陈宇森的创业公司伙伴也大多来自这个战队。
如果利用病毒入侵网络只需要一个简单程序,那高水平的漏洞挖掘和利用,则需要掌握系统的计算机知识,从编程、汇编到操作系统,以及逆向工程,都要有所涉猎,同时还需要如同排雷手般丰富的经验。虽然媒体经常曝光一些“天才少年”,以后者入侵了大型重要网站为例彰显他们的水平,黑客圈也充斥着各种掌握极大量数据的传奇黑客。但在陈宇森看来,这些人都算不上真正的或者说顶级黑客。
对,和大众的固有印象不同,相比安全人员这个标签,陈宇森更希望称自己是一名黑客。对他来说,黑客应该如同其英文母词“hacker”一样,是对计算机有狂热爱好和深入研究者的中性描述。他引用第一个破解iPhone的著名黑客Geohot的话,说黑客精神的核心是:“我渴望权力,不是针对人的权力,而是针对自然力量和技术目标的权力。我只是想知道这一切是如何运作的”。
在黑客圈内,黑客也有白帽黑客和黑帽黑客之分,两者都会挖掘漏洞,这也是他们交手的主战场。不同的是,白帽黑客将漏洞交予厂商和第三方平台,帮助修复产品;黑帽黑客则利用漏洞获得非法收益。陈宇森也不知道为什么,在中国,黑客直接成了一个负面词语,“有点逼良为娼的意思”。