漏洞产业：意识、管理和程序的三重疏忽

发现系统漏洞并在对手觉察之前采取行动，是实现网络攻击的重要手段。无论是国家层级的网络作战部队、网络情报机构，或是机构层级的网络安全公司和黑客组织，还是个体黑客和“独狼”式网络犯罪分子，寻找系统漏洞并在漏洞被封堵之前侵入系统，是他们最重要的网络攻击方式。

人们掌握的安全漏洞知识越多，就越认识到及时发现并封堵漏洞对于网络安全工作的重要意义。一般会通过安装网络防火墙、入侵检测系统和防病毒软件等方式，保护关键业务的信息基础设施和重要系统免遭外来攻击，这些方式为系统提供了重要的保护。但由于从漏洞被发现到被封堵之间存在着时间差，这期间的系统安全有很大的不确定性，故即使网络安全人员想方设法保护，仍不免会遭受“零日漏洞”攻击。

“零日漏洞”是被攻击者首先发现并加以利用的漏洞，又称零时差攻击。攻击者利用的是系统安全漏洞从被发现到被纠正的时间差，即安全漏洞被发现后，补丁程序还没开发出来，或补丁程序已经发布，但并不是所有用户都在第一时间执行了补丁的下载和安装。攻击者在很短时间内，开发出利用这个漏洞的入侵程序侵入系统，但通常不会立即实施破坏。而安全技术人员或系统预警程序一旦发现系统被入侵，就会立即展开分析，找出可能存在的漏洞。零时差攻击具有突发性与破坏性，威胁系统安全和用户财产。黑客非常善于在发现安全漏洞后立即加以利用，为此还建立了专门的组织和团队，一起合作寻找漏洞和利用漏洞。以往安全漏洞从发现到被利用一般需要几天到数月时间，随着漏洞成为存在巨大利润的产业，协同制造攻击工具的时间也大大缩短，从发现漏洞到实施攻击的间隔已减少到一两天甚至数小时。因为攻击者最明白“时间就是金钱”的道理，一旦用户打了补丁，漏洞就失去了利用价值。

2017年3月14日，微软公司发布了一个漏洞公告（图3-2），这个漏洞编号为MS17-010，标记为“严重”等级，微软通过官方网站发布和邮件通知的方式通知用户安装更新。这是微软发现漏洞后的通常做法，一般而言，微软的漏洞公告发布后，联网用户打开电脑后会自动收到安装补丁的提示，注册用户也会收到包含漏洞风险及弥补措施详细步骤的邮件。

图3-2　微软安全公告（图片来源：微软网站http：//www.microsoft.com）(www.xing528.com)

2017年5月12日，一种名为“想哭”（WannaCry）的勒索病毒袭击了全球150多个国家和地区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业，数十万台电脑遭到勒索病毒的攻击、感染。中国许多用户遭受感染，校园网内用户首当其冲，大量实验室数据和毕业设计被锁定加密。很多企业和机构的应用系统和数据库文件被加密后，正常业务无法正常进行，存储数据无法使用。

黑客正是利用此前微软公告中的漏洞执行了攻击，而利用漏洞的技术却来自美国国家安全局。美国国家安全局很早就发现微软视窗操作系统存在一个漏洞，一旦用户开启文件和打印共享功能，就可以通过这个漏洞将恶意程序植入到系统中，安全局的技术人员针对这个漏洞来进行网络攻击，设计了一个名为“永恒之蓝”的攻击程序，保存在国家安全局的网络武器库中。没料到，“螳螂捕蝉，黄雀在后”，一个自称“影子经纪人”的黑客组织侵入美国国家安全局的网络武器库，将包含这个程序的多个黑客工具席卷一空。“影子经纪人”随后将这些黑客工具在网上兜售，攻击者买下“永恒之蓝”，将它改造升级，加入要求受害者支付赎金的功能后在网上传播，造成了巨大的破坏。

这里有两个问题值得深思：

第一，既然美国国家安全局发现了漏洞，为何不通知微软或告知公众？这就体现了各方对漏洞的态度差异。国家安全局是一个情报机构，包括通过网络窃密和网络攻击来获取情报，因此发现漏洞并加以利用是职责所在。然而作为一个政府部门，如此漠视公众利益，还是引发了众怒。微软就公开发出控诉，“我们的政府需要好好想想，私藏这些漏洞以待日后可用的做法，会让平民受到多大伤害！”

第二，既然微软也已经发现了漏洞，且在攻击发生之前就发布了补丁程序，为何还是没能避免病毒传播和损失发生？微软的公告说明得非常清楚，该漏洞可能允许远程执行代码，并标记为“严重”等级，公告也详细列举了受到影响的操作系统的名称和版本。事实上，受勒索病毒感染的电脑，或是主动关闭了自动更新程序，或是位于不直接接入互联网的内网系统，比如医院科室、学校机房、加油站、银行系统等，导致被感染的原因都是因为没有按照微软的漏洞公告进行更新。

由此可见，意识上不够重视、管理制度没有跟上和操作程序的疏忽，也是一种“漏洞”，也是易被攻击者利用的可乘之机。