專家：補丁和備份是對付勒索病毒的“消極武器”

在剛過去的幾天，WannaCry勒索病毒席卷全球，影響了150多個國家和地區，超過30萬台使用微軟Windows係統的電腦受損。微軟發表官方回應稱，大家應該緊急動起來，給係統打上補丁，堵住漏洞，保障安全上網。有安全人士認為，這明顯是一種誤導！這一周應該是微軟應該感到內疚的一周，微軟也不要再抱怨那些沒有把你們劣質產品（Windows係統）中的漏洞堵上的用戶，因為補丁並不能幹掉勒索軟件。

微軟公司的董事長兼任公司的法律總顧問，法布拉德.史密斯認為，被用於勒索攻擊的WannaCry漏洞，是網絡黑客從美國國家安全局（NSA）中竊取出來的漏洞，黑客把這一漏洞當作武器。

他表示，一個月以前，今年的3月14日，微軟公司已經針對這一漏洞發布了一個安全更新，以修補這一漏洞，保護我們的客戶。電腦已然能夠應用Windows這個最新的升級係統。在全球範圍內，很多電腦仍未被修複。因此，醫院，工商企業，政府以及家用計算機都受到了影響。

這次攻擊表明，從某種程度來說，網絡安全已成為科技公司和客戶之間的一個共同責任。 事實是，在發布補丁的兩個月後，有如此多的電腦仍然是易受攻擊的，說明了這一點。

史密斯進一步指責NSA。他說，此次攻擊提供了為什麼政府會囤積漏洞，才會有這樣的問題的又一個例子。當然，NSA無法回應這一本質上的政治論點。

所以，大家都知道，NSA製造了這個勒索病毒，而它被卻犯罪分子所利用，微軟公司已經解決了這個問題。我們做了我們應該做的事，但是一些客戶卻沒有做他們應該做的事。

史密斯也重複了微軟公司的提倡：一個數字日內瓦公約, 而這附和了澳大利亞的要求，國際網絡規範，以及信息安全專家尤金.卡巴斯基提倡網絡武器控製。

網絡安全專家在周末向勒索軟件發起者進行了海嘯般的譴責。受打擊最嚴重的一些組織是醫院,包括一些由英國的國家醫療服務（NHS）機構運營的一些醫院。為什麼他們沒有修補他們所有的機器呢？為什麼沒有把所有的東西備份呢？

Pinboard（本質上隻是一個瀏覽器書簽服務網站）的擁有者給出了答案。我是一家醫院，並非一家高科技公司，並且你們的更新升級破壞了我的軟件。

Pinboard補充說：“對於使用過時的軟件而譴責人們的確是不可思議的事情”。除了IT環境，沒有一個環境，要求我們不斷地更換能夠用的東西。

當你經營一家充滿醫療設備的醫院的時候，這些設備出了故障。而你無法承擔會殺死設備當中的備份軟件的一次更新升級，因為那樣換回來的結果，對人來說是致命的，說明環境很重要。

另一個信息安全專家mzbat寫到，我在美國國家航空和宇宙航行局工作的工作經曆告訴我，補丁會使專業的光學儀器、低溫設備以及激光係統無法操作。對於醫院來說，情況可能是類似的。

正如Rendition Infosec創始人傑克.威廉姆斯指出，我真的沒有發帖說，如果NHS（英國國家醫療服務體係）使用Mac或Linux操作係統，勒索軟件的攻擊不會發生。他們也會這樣做，因為Windows是他們專業醫療設備和管理軟件上運行的係統。

在現實世界中，超負荷工作的係統管理員在有限的預算內工作。在許多組織中，情況是令人悲哀的，但是確是事實。對持續可用性的需求超過了安全性。

此時真正的問題是幾十年來，總體上看IT行業一直在銷售垃圾產品。首先通過製造這些有問題的產品，並且再經常直接或間接地向客戶收費，來維修這些產品，使得這個行業變得極其富有。

被輸送的技術存在如此多的漏洞，這個行業的很大一部分是一大批訓練有素的專業人士全力以赴，以堵住所有的漏洞。然後，當客戶不可避免地滑入並陷進故障的洪流中的時候，供應商和網絡安全專家確責怪他們不會遊泳。

這看起來合乎道德嗎？當然，操作係統不是唯一的問題。某人必然會問為什麼呢，假設醫療軟件也是如此劣質的。

史密斯認為，WannaCry勒索軟件的攻擊對於我們所有人來說是一個警鍾。我們意識到了我們的責任，就會幫助我們回應這個警鍾。並且微軟公司已承諾會盡其所能。

那麼，我們已經收到了很多網絡警告，自2007年以來。你甚至可以說，第一次警鍾的響起開始於29年前的莫裏斯蠕蟲，雖然那時我們並沒有把它叫做網絡。

我認為，公平地說微軟公司真的沒有盡其所能。的確，在過去的30年中，幾乎沒有一家公司一直致力於做好他們自己的事。

紐約時報的記者澤伊內普·圖菲克希寫到，最低限度上，微軟公司顯然應該在三月份向所有用戶提供重要的更新補丁，而不是隻向那些支付了額外費用的客戶提供重要的升級。

確實，支付額外的錢給我們或我們將保留重要的安全更新可以被看作為微軟公司自己的勒索軟件形式。

圖菲克希認為，擁有超過1000億美元的現金儲備，微軟就有能力幫助機構和用戶升級到更新的軟件，特別是那些運營基本服務的機構。

她說，行業規範糟透了，並期盼一家公司獲得市場支配地位是合情合理的。因為這樣的公司會通過銷售那些會影響重要的基礎設施運行的軟件，就能賺到很多的錢。

考慮到這些因素，在最新的勒索軟件浪潮的背景下,那些補丁和備份包，從網絡技術人員的角度來說並不是特別有用。無法解決在IT行業中的深層次結構和態度問題。

這個事情將會發生嗎？可能不會。

技術人士認為，每個問題都有一種純粹的技術解決方案，而方案恰好符合他們自己的技能。另外，盡管你自己知道你的具體需求，你也不能按照他們的計劃走，因為你不明白這個技術。

本文由網安視界（網絡空間安全情報站和智庫）獨家創作整理，轉載請注明出處。