cwlogo

切換側邊選單 天下全閱讀 切換搜尋選單
切換會員選單

勒索病毒肆虐 微軟的責任在哪裡?

精華簡文

勒索病毒肆虐 微軟的責任在哪裡?

圖片來源:shutterstock

瀏覽數

15913

勒索病毒肆虐 微軟的責任在哪裡?

Web Only

利用微軟漏洞的勒索病毒侵襲全球數十萬台電腦,你也中標了嗎?微軟把責任踢給美國國安局,但部分安全專家認為,微軟也必須遭到問責。

15年前,惡意軟體首次成為嚴重網路問題的時候,多數人都同意,除了病毒碼作者,最大的罪魁禍首就是微軟。

隨著新勒索病毒持續肆虐全球,微軟再次成為究責爭議的中心。但這次,微軟相信還有其他人也應該一起負責,儘管這波攻擊是鎖定微軟作業系統漏洞。

這波勒索病毒攻擊始於上週五,影響150多國,包括英國國民保健署(National Health Service)。駭客利用從美國國家安全局(NSA)竊走的技術,鎖定微軟主宰市場的Windows作業系統。勒索病毒會挾持電腦檔案,要求72小時內用比特幣支付300美元贖金。

微軟總裁兼法務長史密斯(Brad Smith)譴責國安局要為此事負責。國安局的技術原本是為了對付美國政府的敵人,結果這些漏洞公諸於世後,就被駭客利用。3月中情局(CIA)數千份文件外洩,暴露蘋果、三星和Google智慧手機、電視、軟體的漏洞,顯示美國政府的保安功夫似乎有待加強。

週日,微軟總裁兼法務長史密斯(Brad Smith)在部落格表示,微軟致力阻止勒索病毒的散播,包括不尋常地釋出很久以前就不再支援的舊版Windows安全更新。史密斯表示:「身為科技公司,微軟的我們有處理這些問題的第一責任。」

史密斯強調,這波攻擊顯示「網路安全已成為科技公司和客戶共有的責任」,聲稱使用者如果想要受到保護,就必須更新系統。他也責難情報單位,因為最新的漏洞似乎是從國安局外洩。

微軟發言人週一婉拒置評。

哥倫比亞大學騎士第一修正案學會的阿布杜(Alex Abdo)表示,怪到國安局頭上當然對微軟很有利,但微軟還是應該接受部分責任。

阿布杜說:「科技公司本來就欠客戶一個修補安全漏洞的可靠程序。」

「如果一台車子發現設計缺陷,車廠會召修。然而,在軟體上發現安全漏洞的時候,很多公司反應遲緩,或說這不是他們的問題。」

駭客從國安局竊走技術後,微軟3月公布這個漏洞的更新,但有些企業沒有使用,其他公司則使用微軟不再支援的舊版Windows作業系統。

市場研究公司Gartner Inc分析師楊恩(Greg Young)表示,微軟將承受更多壓力,在日後發生類似網路攻擊時,免費發布舊系統的安全更新,而其他公司也會照做,這會變得更常見。

部分情報專家也質疑微軟對國安局的批評,說微軟要求政府停止利用系統漏洞進行情蒐和攻擊敵人毫無道理。

英國政府通訊總部(GCHQ)前副部長羅德(Brian Lord)說:「微軟要求政府停止利用微軟產品的漏洞,實在很天真。」

「要維持世界和平,就得幹這些事。」

為應對客戶的怒火,微軟執行副總裁艾索夫(Judson Althoff)週日寄電郵給微軟的現場銷售團隊,鼓勵他們支援受到攻擊的客戶與注意到問題的客戶。

艾索夫寫道:「除了技術指導,我希望你們確定自己有花足夠的時間去瞭解客戶的關切,讓他們知道我們會幫忙。」

微軟承認,大約從2002年以來,網路安全問題一直帶給微軟麻煩。2002年,一波惡意軟體開始感染連網的Windows個人電腦後,前執行長比爾蓋茲在公司內發布聲明,呼籲大家準備開戰。

蓋茲當時在電郵中表示:「隨著軟體變得愈來愈複雜、獨立、相通,本公司的名聲也愈來愈脆弱。」

蓋茲表示,建立大家對微軟的信任,是首要任務。他說:「微軟單一產品、服務或政策的缺陷,不只會影響我們整體平台和服務的品質,也會影響客戶對本公司的看法。」

在那之後,微軟注資數十億美元、雇用3500多名工程師,致力改善安全。今年3月,微軟發布更新,處理勒索病毒WannaCry利用的漏洞,保護Windows 10等作業系統。

然而舊版Windows的安全漏洞依然存在。微軟不再定期更新Windows XP,除非顧客付錢購買特定服務,而部分觀察家認為這讓使用者陷入風險。上週五,微軟採取不尋常的行動,替XP等舊版作業系統免費發布針對WannaCry的安全更新。

北卡羅來納大學圖資學院副教授圖費克西(Zeynep Tufekci)說:「微軟等公司不該認為他們可以放棄使用舊版軟體的用戶。」

「他們從那些客戶身上賺走的錢可沒過期,修補缺陷的責任也一樣。」

但安全專家挑戰這項論點,主張不該期待微軟無限期更新舊版軟體。安全公司F-Secure研究長希波嫩(Mikko Hypponen)認為,提供舊版系統的更新,可能讓用戶失去更新作業系統的動力,從而使得電腦更不安全。

希波嫩說:「我瞭解WannaCry災情發生後,有必要緊急更新XP,但一般來說,我們應該任憑XP死去。」

安全服務公司Trustwave安全研究副總裁馬多爾(Ziv Mador)WannaCry這波疫情來得又強又猛,但其實過去幾年,大規模爆發惡意病毒的情形愈來愈少見,主因微軟改善了系統安全性。

然而,罪犯能透過勒索軟體等惡意病毒碼賺到的大筆利潤,足以保證這個問題永遠不會消失。馬多爾說:「即使勒索愈來愈難,動機還是會一直增加。」

(資料來源:NYTBloomberg
 

關鍵字:

好友人數

文章下載

PDF下載 付費閱讀
 
本月還可閱讀6

訂閱全閱讀,全站通行