从“想哭”勒索病毒看操作系统安全何在

   最近一周,来自网络的“想哭”勒索病毒(Wannacry Ransomware)在世界各地同时上演了一部绑匪大片,全球各国无不为之动容。一时间,各种关于“想哭”病毒的传闻也火爆网络,我们并不准备跟风刷屏,只打算本着实事求是的精神,科学的探讨一下如何在日益险恶的网络环境中能保持微笑。

   “想哭”病毒的前世今生

   首先,让我们先简要回顾一下主角“想哭”病毒的前世今生。

   “想哭”病毒是基于已有网络攻击框架二次开发的结果,它利用了NSA(美国国家安全局)网络武器库中的永恒之蓝(ETERNAL BLUE) 模块,针对Windows SMB服务的实现漏洞植入恶意代码,再结合自己的“创新”:加密用户文件和显示勒索声明完成的。从病毒本身的设计流程来看,并不需要高深的编码技巧或深厚的理论根基,这也恰恰是这一事件中最值得我们警惕的地方:NSA泄漏的攻击模块远不止永恒之蓝一种,借助已有攻击框架进行二次开发的难度又如此之低,所以,可以预期,一大波未知的病毒正在来袭的路上。

  是不是细思极恐?所谓“知彼知己,百战不殆”,接下来我们先了解一下什么是病毒?病毒是如何危害系统安全的?又是怎样进入我们的系统的?

   病毒是一类特殊的计算机程序,广义上称为恶意软件。与自然界病毒的最大不同之处在于,它们不是天然存在的,而是由人恶意开发出来的。通常它们的危害表现形式各异,有的会破坏你的系统运转,有的会窃取你的隐私信息,还有的会眨眼间转走你银行卡上的的现金......

   那么病毒又是如何入侵操作系统的呢?无外乎两个途径:主动和被动。所谓主动是病毒针对目标系统尝试发起扫描和攻击,一般是远程发起,当发现了相应的漏洞之后,就通过一定的技术手段攫取系统权限,进而将恶意代码注入宿主系统中伺机作恶。

   病毒入侵的另一种方式,我们称之为被动方式。这种方式并不需要系统存在漏洞或缺陷,需要的是用户的经验或常识存在缺陷。它们通过各种伪装诱骗用户去打开或运行自己,包括形形色色让你心动的邮件、链接、不明来源的安装程序等等,一旦获得机会运行,它们会悄无声息的在你的系统中安营扎寨、留下多道后门,然后为所欲为,这类病毒又被形象地称为(特洛伊)木马。

   如何应对各种病毒威胁

   了解了病毒的来龙去脉之后,我们就可以开始讨论如何应对各种病毒层出不穷的威胁了。

   对于大多数用户,良好的使用习惯是第一位的。堡垒往往从内部被攻克,再安全的操作系统,再强大的安全机制,都难以抵挡用户使用过程中的陋习。而良好的使用习惯中最重要的,是安全更新。要理解这一点先要谈一下操作系统漏洞的由来。

  漏洞实际是软件缺陷的一种,也就是俗称的bug,是由于软件开发人员的疏忽而导致程序没有按照预期的方式运行。软件缺陷多种多样,也并不都会对系统安全构成威胁。那些侥幸逃脱多轮测试修复、随着软件的发布进入用户系统的bug,一旦被黑客们发现,并利用它们在系统内部的有利位置,攻破系统安全屏障时,就成为软件系统的公敌:漏洞。越是庞大和复杂的软件越容易产生漏洞,不幸的是操作系统就是一类极其庞大而复杂的软件系统。

   虽然操作系统漏洞常常难以完全避免,然而某个漏洞一旦被发现,开发厂商都会在第一时间发布安全更新对问题进行修复。以这次勒索病毒为例,针对被利用的SMB服务漏洞,事实上早在一个月前微软就公布了漏洞警告和补丁,提供了安全更新,那些开启自动更新并及时修复了漏洞的系统完全对这次攻击免疫。所以,操作系统安全更新非常重要,不论个人用户、企业用户还是系统管理员,不论服务器,桌面还是移动终端,不论Windows,Linux还是MacOS,都应该尽可能及时地从操作系统厂商处获取安全更新。

   其次,杀毒软件也可以在一定程度上起到安全增强的作用,多数杀毒软件可以借助病毒库对已有病毒的特征进行分析比对,一旦发现用户即将运行的程序中含有病毒或恶意程序,会及时提醒用户,或者自动清除。因此,杀毒软件可以在很大程度上防御已知的、以被动方式入侵系统的病毒。

   那么,积极地安全更新、安装杀毒软件就可以解决所有病毒威胁了么?

   很不幸,事实并非如此。安全更新和杀毒软件之于病毒威胁的关系正如强身健体之于疾病隐患,可以大幅降低几率,却难以完全避免。原因要从零日(0-day)漏洞说起。