勒索病毒肆虐,微軟批情報部門「囤積」漏洞

勒索病毒肆虐,微軟批情報部門「囤積」漏洞
我們想讓你知道的是

近日感染大量電腦的勒索病毒,利用了源自美國中情局發現但未有匯報的漏洞,微軟認為政府不應「囤積」系統漏洞,因為這會影響平民安全。

近日勒索病毒WannaCrypt入侵了多國大量電腦,令不少人無法存取檔案。雖然有研究人員意外發現阻止大幅病毒散播的方法,但黑客仍然可以修改程式推出不受影響的更新版(暫時未能確認是否存在)。

跟過往的加密勒索軟件不同,就算你非常小心不亂按連結、不打開電郵附件,仍然有機會感染WannaCrypt。因為WannaCrypt使用的「EternalBlue」漏洞,容許病毒在無需打開連結、檔案以至任何動作的情況下感染電腦,並散播至其他未有修補漏洞的電腦。

這個漏洞在今年4月中被黑客團隊「The Shadow Brokers」公開,他們自稱是從跟美國國安局(NSA)有關的黑客組織「Equation Group」處偷取了不少入侵工具,當中包括一些針對微軟Windows系統的漏洞。

雖然微軟在漏洞公開前一個月已經推出修補檔,以堵塞相關漏洞,不過顯然很多電腦系統都沒有定期更新,以致受到WannaCrypt攻擊(也有部份是因為使用已停止更新的Windows XP——微軟在病毒爆發後才破例推出更新)。

微軟主席及首席法務官Brad Smith撰文,指出在修補檔推出後兩個月,仍然有大量電腦存在漏洞,顯示數碼安全已經成為科技公司以及顧客的共同責任。現時數碼罪犯的技術越來越高超,使用者必須定期更新系統才能保護自己。

另外,微軟認為今次攻擊再次顯示政府「囤積」漏洞會造成極大問題。不少情報部門發現系統漏洞時,不會匯報相關的公司以及公開漏洞,反而收起來「自用」——用作入侵電腦、監控特定對象等。

微軟指已經多次出現類似情況︰政府手上的系統漏洞洩漏公開,然後造成大量破壞。Smith認為如果跟傳統武器相比,這就等同美軍的導彈被盜。而今次攻擊標誌着現時網絡保安的兩大威脅︰國家支持的(網絡攻擊)行動以及有組織犯罪行為。

Smith認為各國政府應視今次攻擊為警號,需要像對待傳統武器一樣對待「數碼武器」,考慮到囤積及使用系統漏洞會傷及平民。微軟在今年2月提出需要「數碼日內瓦公約」以規管有關行為,包括要求政府向(系統)供應商匯報漏洞,而非囤積、販賣或利用這些漏洞。

相關文章︰

資料來源︰