NSA網路武器變勒索軟體WannaCry，究竟誰是罪魁禍首？

文：Elias Groll《外交政策》
譯：觀念座標

上週末以來，英國的醫院因為電腦病毒入侵入作業系統，被迫取消手術、門診。法國的雷諾車廠也必須關閉好幾條生產線。在俄國，同一種電腦病毒導致內政部幾千台電腦無法上網。

自從這種病毒首先在上週五發作以來，微軟即把箭頭指向美國國家安全局（US National Security Agency, NSA），說他們幫助這種病毒的誕生。微軟主張，WannaCry是情報機構不應該囤積電腦弱點（好入侵敵營電腦系統）的最新案例。微軟主張，像美國國家安全局這樣的機構，應該向製造商（即微軟）透露系統的弱點。

然而，微軟誤解了NSA在WannaCry出現所扮演的角色。該情報機構並不是罪魁禍首，只是不經意地扮演了產婆的角色。

這一個惡意軟體程式，究竟是誰創造的？目前還不曉得。但一些證據指向北韓。防毒軟體公司卡巴斯基實驗室（Kaspersky Labs）的研究人員，指認WannaCry的程式碼，與平壤駭客在過去攻擊所使用的程式碼，有一些相似的地方。然而，卡巴斯基在部落格的文章說，此次攻擊事件尚不能蓋棺論定就是北韓所為。

WannaCry勒索軟體會把受感染電腦的資料加密，要求受害者付款，才給密碼解除封鎖。目前沒有人知道寫作此程式的駭客是何方神聖，但確定的是，他們使用NSA首先發展出來的程式工具，專門針對使用微軟系統的電腦下手。到目前為止，此一犯罪集團已經獲得五萬美元的贖金，全球有二十萬台電腦受到感染。

然而這次攻擊可能造成嚴重的後果－英國數家醫院受害後，只能接受重症患者就醫－導致電腦公司、前情報局官員、公民自由團體紛紛開始討論，罪魁禍首究竟是誰。

今年四月，一群自稱為「影子仲介」（Shadow Brokers）的駭客，在網路釋出一堆他們稱為竊取自NSA的駭客工具。那一堆工具之中包括一個弱點程式碼，稱之為Eternal Blue（永遠藍），專門利用Microsoft Word的弱點來傳遞惡意軟體到其他的電腦。

於是，WannaCry的作者利用這個NSA的工具，創造出從一台電腦散播到另一台電腦的勒索軟體機制。

簡而言之，NSA的一件網路武器（cyperweapon），針對微軟所開發的軟體弱點下手，但不幸由政府落入民間，結果被犯罪份子利用，以圖獲取不義之財。

微軟總裁Brad Smith在週日的部落格文章中表示：「這次攻擊再度說明，政府囤積（軟體）弱點為什麼會造成這麼大的問題。」他又說：「全世界的政府都應該把此次攻擊視為暮鼓晨鐘。」

公民自由團體大都支持微軟的立場。美國公民自由聯盟（American Civil Liberties Union）的律師，派翠克・圖米（Patrick Toomey）表示：「這些攻擊突顯了電腦作業系統的弱點，不僅會被我們的國安機構利用，也會被全世界各地的駭客與罪犯利用。」

今年二月，Brad Smith首度呼籲召開網路空間的「日內瓦會議」，主要想立法禁止一個國家攻擊其他國家的重要基礎建設與科技公司，違者即犯法。此外，他還主張，在此國際公約下，各國政府應該在發現軟體弱點時主動通知軟體研發公司——而不是利用這些弱點駭入敵營的電腦——研發公司就可以即使作出補救，發表修補程式。

而這就是讓微軟不舒服的諷刺之處。在「影子仲介」釋出「永遠藍」弱點之前一個月，微軟即發表了一個修補程式，但那並沒有阻止該勒索軟體的散播。雖然微軟、NSA都沒有證實，但電腦專家認為NSA很可能在知道工具被盜走後，馬上通知微軟其軟體的弱點。

為了各種原因，微軟所發表的修補程式從未抵達受害的電腦處。在英國健保局的案例裡，相當多台電腦使用Windows XP，這是微軟早在2014年就停止更新系統的程式。雖然全世界仍然有5-10％的電腦仍然倚賴Windows XP，微軟已經不再釋出更新程式。然而在週五攻擊後，微軟立即在週六釋出一個修補程式。

當然，上週末攻擊的部份責任，屬於電腦使用者以及資訊科技經理人未能即使更新系統。但因為種種原因，即使修補電腦系統弱點都可能造成問題。例如，最近的蘋果軟體更新導致一些iPad Pros停止運作。

（在中國，由於電腦使用者熱愛盜版軟體，而盜版軟體通常都無法收到更新，導致WannaCry病毒在週一猛烈散播。）

複雜的軟體有時會以看不見的方式跟其組成的原件互動，所以資訊科技經理人往往在未經過一連串測試的情況下，進行電腦系統更新。對於一般的電腦使用者來說，之所以沒有常常進行系統修補，往往是懶惰而已。

然而，即使電腦公司提供更多安全的軟體，也不能保證完全沒有可資利用的弱點。科學家估計，每一千行電腦程式碼中，出現錯誤的比例大概是15到50。

所以電腦軟體的不安全是很廣泛的，微軟的總裁想求NSA以及其他的情報部門，藉由主動通知他們所發現的程式弱點，幫忙保護消費者、以及他們的生意。但從NSA的角度來說，微軟是在要求情報單位自廢武功，繳械投降，是它不願意做的。