張健:對勒索病毒事件的一些思考
責編:mhshi |2017-06-15 14:50:15
事件回顧
這個病毒是MS17-010等于是3月14日在微軟公布的,永恒之藍黑客工具是在4月14日整個病毒在WannaCry爆發是在5月12日,這是整個的時間軸,它本身還是利用系統的漏洞,通過蠕蟲的方式來傳播,實際上這個時因為我過去一直在做病毒,最早是在國家病毒應急處理中心我在2001年的時候就開始處理包括像沖擊波、振蕩波等很多的病毒。只不過它可能是和勒索軟件這些新的方式疊加在一起,也就是說蠕蟲疊加了一些新的模式,其他沒有太多的東西。針對這個事情我們回顧一下從12號開始出現了這個病毒,我們國內包括了全球也有100多個國家受到了這種攻擊,360也給了監測的報告,有2.9萬多個機構都會感染,國內有一些醫院和公安等很多相關的行業像中石油都出了一些問題。
5月14日恰好是我們國家“一帶一路”峰會召開的時間,我們國家遇到重大的事件都要啟動網絡安保。包括G20峰會以及在奧運會的時候我們就開始了這項工作。這幾年隨著網絡的重要性越來越強,針對重大事件的時候我們都有一些相關的部門一直對網絡加強安全防范,這個病毒恰好是屬于我們在高度警惕和戒備期間出現的。當然也有很多人說病毒是不是和我們的一些大事相關,這個我們先不好評說,但是通過它發生的時段和我們國內當時對我們的警戒的級別是處于高警戒級別的狀態。這時候我們應該處理得是比較快的,而且對整個的事件可以有很好的反應的速度,包括后期會降低它造成的影響和破壞,它不像原來的病毒是在放假期間出現的病毒的攻擊,上班之后造成了很多的破壞。正好它時間是比較特殊的。這里面可以看一下,可以看一下整體的各個部門的反應,因為中央網信辦是在5月13日的時候接受了一個采訪,提到了很多相關行業受到的攻擊和破壞,而且有相應的360等很多的企業提供的一些數據,各個部門按照行業的管理也都是在自己所屬的行業范圍內開展了相應的應急處置工作。但還有一些地方受到了攻擊和破壞。
這是工信部的安全中心,這邊應該是5月13日的時候發布了相應的處理的情況,這里面也提到了,360、安天等相關企業的報告,還有他們自己監測的數據對下面的分析和相應的處置意見。這是我們國家網絡與信息安全信息通報中心,這個中心是在我們公安部的網安局,專門對國內出現的重大的一些事件要及時進行通報,所以是在5月13日的時候正式發布了一個相應的處置的意見,12號出了這個病毒要求安裝補丁提供了一些建議。國家病毒應急除了中心這里面也是在5月13日發布了相應的預警,同時下面也提供了安天的、360等7家安全企業所提供的一些處置的包括工具和現在的一些方法。前面這幾個都是國家隊所做相應的一些反應,后面這里面專門提到了國家隊里面有幾個地方分別提到了安天和360,我又把他們兩家的情況提取了出來,因為在事件過程中,這兩家發揮的作用確實是比較大。安天這兒專門提到了有一個說明,為什么選用了魔窟作為WannaCry的名字。他們在這個報告中提到了經過跟360這些友商協議了之后決定以魔窟為名字,這是安天和其他的廠商協商確定而不是前面的幾個國家隊決定的。360叫的名字叫“永恒之藍”,美國利用了漏洞為網絡站的工具,所以起名字叫“永恒之藍”,這里面也公布了一些處置的意見和建議。這里面可以看一下我們通過這個事件簡單地進行回顧,我們都有哪些存在的問題。我這里面也梳理了一下。
第一是說名稱的問題,名稱不統一,這不是今天的新問題我在過去一直在做病毒的應急處置,在那個時候我們就已經意識到,病毒在大規模的事件爆發之后,它的處置必須得要有一個統一的名稱,甚至我們還建議中文的命名是不是要搞一個標準和規范,那時候反病毒的企業我們都形成了一種機制,這種機制實際上到現在并沒有真正地落實運行起來。所以現在我們可以看到整個在實踐的過程中,媒體有很多的名字,我們的廠家也有不同的名字。不同的名字對于應急處置就會帶來一個問題很多人不知道到底是一個事還是兩個事,所以這是現在亟待解決的,未來可能還會出現各類的安全事件。這個事件應該是由誰來做,我覺得將來是由國家相關的部門來組織和認定,而不是說像剛才提到的幾個廠家大家商量了一個名字作為一個官方的名字來使用。
第二是預防措施的不到位。從4月份、5月份,3月14日正式出來的我發布了不定了,一直到5月份這個病毒才出現,中間有2個月的時間,包括了展覽以及很多的地方都有介紹,我們有各類的威脅橫暴的系統,這些系統究竟在發揮什么作用,我們有很多的單位都做了安全的等級保護的測評,建立了新的安全制度,出了預警之后,應該有相應的措施。我們可能有很多時候都是在轉發,我把相應的一些安全的報告或者是一些預警相應的渠道轉發給各個單位了。但各個單位是不是真正落實了,誰來抓落實和落定還有一個監管的問題,誰來監管?是病毒來監管,只要是沒有真正落實,逃不過病毒的魔爪,只要是落實了,防范體系就會存在問題。
第三,病毒分析不夠深入。包括最早對這個病毒的分析我們都能看到很多時候各個廠家確實都發揮了很大的作用。這次病毒的處置在前幾個國家隊了都提到了,很多公司的名字都能看得到。但是,我們可以看到在分析的報告里有很多是亦步亦趨,是跟著國外的一些分析機構包括一些安全研究的人員,他們發現了說里面有一個KillWeat(音)就有一個安全域名的問題,到后來有一個密碼的問題,本身病毒有一個漏洞,這也是包括我們有很多的廠家在報告里也如實地聲明了,確實是按照國外分析者的發現,我們作出了相應的工具。這里里面可以看到,一是預防沒有到位,而是真正出現了問題之后,我們的分析能力,像總書記在4·19講話中提到的要有殺手锏技術,要有自己核心的技術,可是我們目前看出來還是技不如人,還有很大要做的工作。
第四,管理部門的問題,任務職責不明確,協作分工也不夠有相應的統一協調的機制,目前不健全,我現在也舉了一個例子,我覺得各個部門都是全科醫生。為什么?每個部門,包括行業主管都提到了,要管好你的行業,得從病毒的分析、預警、發布包括督促落實,后期的應急處置都要全做。有很多相應的,甭管是剛才提到了很多的國家隊、很多的部門,也都是同樣做的同樣的工作大家身上有高度的融合。這些相關的部門在做工作的同時可以看到背后的技術支撐是來源于誰?來源于幾個核心的反病毒的企業和安全的企業。自身在能力的建設,包括很多的工作這方面可能還存在諸多不盡如人意的地方。
第五,缺乏全球的協作機制。我們也可以看到,一個病毒來了不是針對一個國家,而是針對全球的網絡,全球究竟是如何進行信息的共享和相互的協作,共同處置我們共同的敵人?現在看也許這種機制還遠遠不夠,過去我們有一個First組織,但國際間是不是應該有針對政府的合作有官方的組織來做這項工作,現在來看也許沒有真正地浮現出來。
所以我們總結有這么幾個問題。我提到我們要走入一個新的時代,應急工作從1.0的時代過渡到2.0的時代。1.0時代我是這樣定義的,過去我們對病毒認為是一些黑客、組織或者是個人的工具,現在的應急工作可能已經發生了質的變化,因為網絡空間已經發生了質的變化已經變成了人類社會重要的組成部分。各類的攻擊和破壞未必是一種黑客的行為,也可能是一種國家行為,或者就是一種網絡站的行為。我們在應急的同時,可不是像過去簡單地只是說打補丁、殺毒,重新把網絡恢復起來,極有可能對你的攻擊是關鍵基礎設施的攻擊,有可能造成國家整個的癱瘓帶來重大的災難,所以我們應該有一個新的2.0的時代,我們應該重新去反思,重新去認識我們應該如何去應急,不是一種簡單的技術的應急,還應該有更高層面的應急。
我們可以回顧一下剛才提到的網絡空間,可以看到從第一代計算機一直到現在第五代計算機,形成了真正現在的網絡空間。網絡空間這個詞最早可以追溯到科幻小說里,在網絡空間中相關的定義,ISO給了一個定義,不以任何物理形式存在的,通過信息設備和網絡,相互銜接的互聯網中人和軟件服務相互作用形成的復雜環境。
我們國內現在也有一個定義,因為很多時候不同的地方、不同的國家都有不同的定義。這個定義也可以看,一方面強調是有很多是一個人造的電磁空間,有很多的設備連接起來,更重要的是這里面又有一些對數據進行創造、存儲、改變、傳輸、使用、展示等相關的工作,來實現特定的信息通信工作的活動。也就是說人類電磁空間中有一些數據的活動,進行交換存儲的服務,把它稱之為網絡空間。
我們國家去年專門發布了國家的網絡空間戰略,戰略中對網絡空間也有很明確的一些定義,這里面就提到了是互聯網通信網、計算機系統、自動化控制系統、數字設備機器承載的應用服務等組成的網絡空間,而且網絡空間在戰略里明確地提到是我們信息傳播的新渠道,生產生活的新空間,經濟發展的新引擎,文化繁榮的新載體,社會治理的新平臺,包括交流合作的新紐帶和國家主權的新疆域,這是對網絡空間的一個定義。從這個定義可以看到,網絡空間確確實實不是虛擬社會,是真正人類社會未來的發展,而且對人類社會的影響將來是越來越大。
在這種情況下,網絡空間的安全如何來定義,ISO里也有這樣的定義,主要是強調保密性、完整性和可用性。在網絡空間戰略中也提得很高,事關人類的共同利益,事關世界和平和發展,事關各國的國家安全,是維護我國的網絡安全是協調推進全面建成小康社會,全面深化改革、全面依法治國、全面從嚴治黨戰略布局的重要舉措,是實現兩個一百年奮斗目標的一個任務。這是在網絡空間和網絡戰略里的定義。網絡空間對國家和人類的發展都是至關重要的。
我們也可以再回溯一下這次“敲詐者”木馬。早年的時候我們可以追溯到2006年,我們齊名叫敲詐者木馬,當然也是把硬盤的數據加密,給你一個工商銀行的賬號,讓你打91塊錢或者是51塊錢,我們覺得這像是網絡綁票一樣,所以齊名叫“敲詐者”,我們國家應急處理中心很快把相應的除了提供了出來。從敲詐開始到結束票渣合計人民幣是7061.05元,最后被判了有期徒刑4年,這是銀行加上人民幣就悲劇了。銀行是實名的我可以追溯它,要的是人民幣也需要是真正的貨幣,這樣在實名的情況下很快會悲劇,最后很快可以把人抓住。同時利用了比特比和Tor,Tor+比特幣黑客就可以數錢了。Tor網絡是美國海軍研發的一種網絡,現在這兩樣結合在一起,就成為了一種不能追溯、不能溯源的一種攻擊的方式,這種方式只是用于勒索就非常有效,它形成了一種有效的盈利模式而且是安全的。過去如果是通過安全找你要直接的貨幣是不安全的,因為容易讓人抓獲,所以整個技術發展的趨勢。
這樣看來我們整個人類社會實際上在網絡空間的發展過程中,面臨著諸多的問題,一個是像網絡事故,可以看到很多時候一個下去把施工和光纜給鏟斷了,我們也可以看到網絡的犯罪,包括網上盜竊利用木馬的攻擊,已經是常年可見并且花樣翻新,破壞性越來越強。而且網絡恐怖活動也是越來越多,最重要是網絡站實際上已經是迫在眉睫了,很多時候已經看到了在有一些地方已經發生了網絡站相關的蹤跡了。
隨著整個網絡空間的發展,可以看到一個是它的泛在化、智能化、融合化的趨勢,同時針對的是軍事化、政治化、碎片化。很多國家利用網絡來達到自己獨霸全球的目的。各國為了保護自身的利益,可能要和互聯網斷開,變成孤立的網,所以我們有很多不同的看法,實際上它就是一種碎片化的表現。
網絡空間可以這樣去看待,它不再是一個純粹的技術樂園,最早是一個技術的產物,也不是我們純粹的精神的家園和虛擬的社會,是真正人類社會的延伸,網絡空間也不是法外之地,對國家有主權,對個人來說有隱私權、財產權,我們需要有法律的規則和標準來維護我們的權益。
我這了也有一個想法,原始是共產主義社會,大家可以進行信息的共享,大家可以彼此交流,好像其樂融融對人類經濟和文化的發展起到了推動的作用。可是隨著1.0的“原始社會”是不是會像進入人類的奴隸社會、封建社會、資本主義社會以及共產主義社會,我們網絡是不是已經進入到了新的階段和新的級別,有待大家討論,形成新的共識。
全球在網絡空間的治理說是博弈加劇,美國一直說把網絡作為全球的工具,不愿意網絡是有邊界的,它可以通過網絡可以自由地去傳播各類的信息和觀點,這是它以利益相關方的形式來維護網絡的發展。北約從另一個角度專門出來了一個《塔林手冊》,對網絡戰交戰的規定做了一些界定,要承認有網絡的網絡是有主權的。
對我們國家網絡空間的發展、網絡安全的發展,在419的時候總書記有重要的講話和精神,這里面都提到了,維護網絡安全,要求首先要找出漏洞,及時通報關于應急處置里面有很多重要的觀點,是很高的要求。但我們現在通過這次的事件,究竟做到了哪些?還有哪些差距和問題?
網絡安全法對監測預警和應急處置做了規定,國家要建立相應的一些預警和信息的通報制度,國家的網信部門應該統籌相應的一些信息的搜集分析以及發布安全預警,所以法理要受誰可以做,不是任何的單位都可以隨便地發預警,這會造成社會的混亂。這次的事件很多媒體發布的信息是不準確的,有時候是夸大其詞的。后面都有關鍵信息基礎設施部門應該建立它的職責是有哪些,網信部門應該建立相應的風險評估和應急的機制,制定這種預案,定期組織演練,而且負責關鍵信息基礎設施的部門,應該有自己本行業的要有相應的預案,要組織演練,所以這里都提到了很多很明確的要求。
反觀這次事件我們也提到了很多的問題,離我們這次的網安法和4·19講話,雖然處置的效果還是不錯,但還有很多不盡如人意的地方,和我們法律的要求,和總書記對網絡安全的要求,可能還有很大的一些差距。這里面正好最近也有很多的一些微信群都在傳,美國專門是在應急響應上有這樣一個計劃,這個計劃里特別強調了一些各個部門之間的協同分工,所以我就覺得這里面確實是他山之玉可以攻石。借助國外的一些經驗和做法對我們實際上還是有作用的,這里面專門提到了幾個工作,一個是威脅響應的領先部門是美國司法部,這里面強調了,要將它下述的FBI包括國家網絡調查聯合工作組要開展工作,對這個威脅要及時進行判定,同時采取相應的證據的留存。實際上我們為什么剛才一直在講這個問題現在很重要,因為它2.0的應急工作,有可能我們遭受的是網絡戰的攻擊,必須要有一個真正的協同部門和牽頭部門對來的事件做準確的判定,而不是說單純的技術應急,也許確實不是狼來了,而是真正的狼來了,另外對我們國家的關鍵基礎設施發動了攻擊,如果我們還按照現有的應急體制,將來會出大問題了。美國已經想到這兒了,有領銜的司法部來做這個工作,我們包括情報的支持還有很多重大事件涉及到的相關的部門甚至是包括了私營企業都有一套機制來保證。
這個報告和計劃實際上我覺得有很高的參考價值,美國人也是在應對未來可能會遭受的網絡戰的攻擊上有了相應的考慮。按照剛才網絡安全法的相應的要求,我們覺得里面已經涉及到,但還可能需要有很多的具體的措施來真正落實到位,而不是說現在都是全科醫生,什么都要做,相互之間沒有協同和合作,必須得要根據自己承擔的職責有專門化的團隊來做專業的工作,然后來形成合力,對一個網絡發生的事件做出準確的判定、及時的相應和實施的相應。
我也做一個小廣告,我本身也是網絡空間安全協會,這個協會是在去年3月25日正式成立的,主要是由行業各類的從業人員、研究機構包括大學共同來組建成立的。這是在3月25日成立的大會,王秀軍部長來參加的。我們的發起單位有257個,會員單位190多個,現在會員數一直在不斷地增加,這次都是安全界的朋友和同業的人員,希望大家可以加入這個協會,共同利用協會的平臺促進社會的發展,維護國家網絡空間的安全。中央網信辦對協會也有具體的要求,這個協會上級的主管部門就是中央網信辦,我們有很多的工作也要配合中央網信辦來開展和實施。我們專門搞了一個“網安中國行”的系列活動,在天津已經正式啟動了,包括我們有相應的高端論壇,同時我們目前還積極開展了一個網絡社會的評議的活動,希望網民都來參加了解和形成一個網絡安全的晴朗指數,我們知道到底網絡安全不安全,通過這個活動來實施的,同時我們結合網絡安全法的貫徹,組織協會的會員開展對照網安法對查的工作。作為行業的相關單位,我們率先垂范率先執行網安法,哪些責任我們的行業要率先去做。
這里我也希望通過平臺的會議,也希望這個會今后開得越來越成功,我們也希望整個中國的網絡空間的安全能得到有效的保障,促進我們整個網絡安全行業的發展,因為行業現在實際上還比較弱,我們希望通過各種各樣的平臺和機會來推動行業的發展,讓行業真正做大,只有網絡空間的行業做大了,安全才能真正地得到保障。
