新聞事件:5月12日晚,WanaCrypt0r 2.0勒索軟體在全球爆發(簡稱WCry2.0),在無需用戶任何操作的情況下,Wcry2.0即可掃描開放445文件共享埠的Windows機器,從而植入惡意程序。黑客則通過鎖定電腦文件來勒索用戶交贖金,而且只收比特幣。
1.固有的安全缺陷
信仰決定架構,架構決定技術,技術決定安全。
從網際網路架構設計的角度看,安全問題必然層出不窮,難以根除,並且以後還會發生。
網際網路信仰的是「人人參與」的理念,即開放、平等和自由等。根據這一信仰,工程技術人員設計出了「端到端透明」的架構,即將與通信相關的部分(IP網絡)與高層應用(端點)分離,最大限度地簡化IP網絡的設計,將儘可能多的複雜性和控制放在用戶終端上。
這一架構的基本假設,就是控制在終端,網絡的負責最小化。表現在安全方面,就是安全責任歸用戶。這就要求,每位網民都必須成為計算機專家,成為安全專家,為自己計算機的升級、維護和安全負責。
在網際網路還用於教育科研的階段,在還沒有商用的階段,用戶主要是學者和大學生,這一假設是成立的:用戶是專家,用戶彼此信任。
但現在,讓全球30億網民都成為計算機專家和安全專家的假設,假設用戶彼此信任,明顯就不成立。微軟今年3月就發布了補丁,今年4月信息被公開,如果你不是計算機安全專家,又怎麼會注意到呢?
有兩種思路來解決這一安全問題。一是「自己不懂也不動」,找安全專家幫忙,比如為自己的計算機和智慧型手機,安裝值得信任的360、騰訊等的安全軟體。二是「自己不懂但搬家」,用戶把應用和數據遷移到雲端,託管到安全防護能力更強的雲端,比如阿里雲等。
歷史上,我們只有私有的保鏢、護衛等「私有安全防護」,幾乎沒有公共安全服務,現代社會「公安機關」提供了一般型安全服務。在網際網路的設計中,也沒有公共安全服務的位置,安全只能靠自己,但現在雲計算出現了,可以為託管到雲端的數據,提供公共安全服務了。
「公安機關」和「雲計算的安全」服務,一個虛擬世界,一個物理世界,提供的都是一般性公共安全服務。如果需要更高層級的安全,還需要「雲保安」、「雲圍牆」、「雲防盜門」、「雲護衛」等。
2.比特幣的匿名性
在現代金融體系的設計中,需要無條件的信任央行。但2008年金融危機後,各國央行開始放水,於是去中心化發行貨幣的比特幣,2009年誕生了,從信任央行改為信任軟體和算法。
比特幣已經形成了「幣圈」。2017年以來,比特幣價格已累計上漲80%,總市值超過500億美元。比特幣是商品還是貨幣,各國政策觀點不一。
區塊鏈是比特幣的底層技術,目標是發展成一種通用的平臺型的分布式資料庫技術,也正在形成自己的「鏈圈」。
比特幣和區塊鏈的優勢,包括了去中心化、匿名和不可篡改等,這些信念還生活在理想國,只因比特幣和區塊鏈還沒有長大。
1996年的2月,在瑞士達沃斯,電子前線基金會(ElectronicFrontier Foundation)的創始人之一約翰·佩裡·巴洛,發表了「網際網路宣言」:「工業世界的政府們,你們這些令人生厭的鐵血巨人們,我來自網絡世界——一個嶄新的心靈家園。作為未來的代言人,我代表未來,要求過去的你們別管我們。在我們這裡,你們並不受歡迎。在我們聚集的地方,你們沒有主權……」
而比特幣和區塊鏈所標榜的這些理想和信念,幾乎與21年前的「網際網路宣言」完全一致。去年爆發的theDAO事件,暴露了「不可篡改」與現實世界的衝突;現在爆發的「比特幣勒索病毒」,又反映了匿名化帶來的新問題。
區塊鏈的理想和宣言,也會像21年前《網際網路宣言》一樣的結果嗎?
3.誰來背黑鍋
這次事件是WanaCrypt0r 2.0病毒在勒索,卻被很多媒體稱為「比特幣勒索」,或許是因為病毒真實名稱難以記憶,或者是為了方便傳播吸引眼球,或者是別有目的。
黑客利用病毒勒索比特幣,就像不法分子利用手機騙錢的「電信詐騙」。
每次去銀行營業廳,都會得到「謹防電信詐騙」的提示;每次去電信營業廳,得到的仍然是「謹防電信詐騙」,而不是「謹防金融詐騙」的提示。這類詐騙,金融業不背黑鍋,只能是電信業背了。
利用電信和網際網路等工具,從事金融詐騙,叫「電信詐騙」。按這一邏輯,利用Windows漏洞和病毒等工具,從事比特幣的金融勒索,應該叫「WCry2.0病毒詐騙」。
不讓病毒背黑鍋,而是讓比特幣背黑鍋,還是傳統金融業贏了!
《網際網路的基因》已再版完成,歡迎掃碼進入「言如玉」微店購買。音頻朗讀版也已在「喜馬拉雅」電臺上線,歡迎搜索「網際網路的基因」收聽。