当前位置:安全行业动态 → 正文

何宝宏:“比特币勒索病毒”的三个思考

责任编辑:editor006 |来源:企业网D1Net  2017-05-15 16:40:53 本文摘自:通信世界网

5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称WCry2.0),在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。

1.固有的安全缺陷

信仰决定架构,架构决定技术,技术决定安全。

从互联网架构设计的角度看,安全问题必然层出不穷,难以根除,并且以后还会发生。

互联网信仰的是“人人参与”的理念,即开放、平等和自由等。根据这一信仰,工程技术人员设计出了“端到端透明”的架构,即将与通信相关的部分(IP网络)与高层应用(端点)分离,最大限度地简化IP网络的设计,将尽可能多的复杂性和控制放在用户终端上。

这一架构的基本假设,就是控制在终端,网络的负责最小化。表现在安全方面,就是安全责任归用户。这就要求,每位网民都必须成为计算机专家,成为安全专家,为自己计算机的升级、维护和安全负责。

在互联网还用于教育科研的阶段,在还没有商用的阶段,用户主要是学者和大学生,这一假设是成立的:用户是专家,用户彼此信任。

但现在,让全球30亿网民都成为计算机专家和安全专家的假设,假设用户彼此信任,明显就不成立。微软今年3月就发布了补丁,今年4月信息被公开,如果你不是计算机安全专家,又怎么会注意到呢?

有两种思路来解决这一安全问题。一是“自己不懂也不动”,找安全专家帮忙,比如为自己的计算机和智能手机,安装值得信任的360、腾讯等的安全软件。二是“自己不懂但搬家”,用户把应用和数据迁移到云端,托管到安全防护能力更强的云端,比如阿里云等。

历史上,我们只有私有的保镖、护卫等“私有安全防护”,几乎没有公共安全服务,现代社会“公安机关”提供了一般型安全服务。在互联网的设计中,也没有公共安全服务的位置,安全只能靠自己,但现在云计算出现了,可以为托管到云端的数据,提供公共安全服务了。

“公安机关”和“云计算的安全”服务,一个虚拟世界,一个物理世界,提供的都是一般性公共安全服务。如果需要更高层级的安全,还需要“云保安”、“云围墙”、“云防盗门”、“云护卫”等。

2.比特币的匿名性

在现代金融体系的设计中,需要无条件的信任央行。但2008年金融危机后,各国央行开始放水,于是去中心化发行货币的比特币,2009年诞生了,从信任央行改为信任软件和算法。

比特币已经形成了“币圈”。2017年以来,比特币价格已累计上涨80%,总市值超过500亿美元。比特币是商品还是货币,各国政策观点不一。

区块链是比特币的底层技术,目标是发展成一种通用的平台型的分布式数据库技术,也正在形成自己的“链圈”。

比特币和区块链的优势,包括了去中心化、匿名和不可篡改等,这些信念还生活在理想国,只因比特币和区块链还没有长大。

1996年的2月,在瑞士达沃斯,电子前线基金会(ElectronicFrontier Foundation)的创始人之一约翰·佩里·巴洛,发表了“互联网宣言”:“工业世界的政府们,你们这些令人生厌的铁血巨人们,我来自网络世界——一个崭新的心灵家园。作为未来的代言人,我代表未来,要求过去的你们别管我们。在我们这里,你们并不受欢迎。在我们聚集的地方,你们没有主权……”

而比特币和区块链所标榜的这些理想和信念,几乎与21年前的“互联网宣言”完全一致。去年爆发的theDAO事件,暴露了“不可篡改”与现实世界的冲突;现在爆发的“比特币勒索病毒”,又反映了匿名化带来的新问题。

区块链的理想和宣言,也会像21年前《互联网宣言》一样的结果吗?

3.谁来背黑锅

这次事件是WanaCrypt0r 2.0病毒在勒索,却被很多媒体称为“比特币勒索”,或许是因为病毒真实名称难以记忆,或者是为了方便传播吸引眼球,或者是别有目的。

黑客利用病毒勒索比特币,就像不法分子利用手机骗钱的“电信诈骗”。

每次去银行营业厅,都会得到“谨防电信诈骗”的提示;每次去电信营业厅,得到的仍然是“谨防电信诈骗”,而不是“谨防金融诈骗”的提示。这类诈骗,金融业不背黑锅,只能是电信业背了。

利用电信和互联网等工具,从事金融诈骗,叫“电信诈骗”。按这一逻辑,利用Windows漏洞和病毒等工具,从事比特币的金融勒索,应该叫“WCry2.0病毒诈骗”。

不让病毒背黑锅,而是让比特币背黑锅,还是传统金融业赢了!

关键字:勒索病毒theDAO

本文摘自:通信世界网

x 何宝宏:“比特币勒索病毒”的三个思考 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

何宝宏:“比特币勒索病毒”的三个思考

责任编辑:editor006 |来源:企业网D1Net  2017-05-15 16:40:53 本文摘自:通信世界网

5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称WCry2.0),在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。黑客则通过锁定电脑文件来勒索用户交赎金,而且只收比特币。

1.固有的安全缺陷

信仰决定架构,架构决定技术,技术决定安全。

从互联网架构设计的角度看,安全问题必然层出不穷,难以根除,并且以后还会发生。

互联网信仰的是“人人参与”的理念,即开放、平等和自由等。根据这一信仰,工程技术人员设计出了“端到端透明”的架构,即将与通信相关的部分(IP网络)与高层应用(端点)分离,最大限度地简化IP网络的设计,将尽可能多的复杂性和控制放在用户终端上。

这一架构的基本假设,就是控制在终端,网络的负责最小化。表现在安全方面,就是安全责任归用户。这就要求,每位网民都必须成为计算机专家,成为安全专家,为自己计算机的升级、维护和安全负责。

在互联网还用于教育科研的阶段,在还没有商用的阶段,用户主要是学者和大学生,这一假设是成立的:用户是专家,用户彼此信任。

但现在,让全球30亿网民都成为计算机专家和安全专家的假设,假设用户彼此信任,明显就不成立。微软今年3月就发布了补丁,今年4月信息被公开,如果你不是计算机安全专家,又怎么会注意到呢?

有两种思路来解决这一安全问题。一是“自己不懂也不动”,找安全专家帮忙,比如为自己的计算机和智能手机,安装值得信任的360、腾讯等的安全软件。二是“自己不懂但搬家”,用户把应用和数据迁移到云端,托管到安全防护能力更强的云端,比如阿里云等。

历史上,我们只有私有的保镖、护卫等“私有安全防护”,几乎没有公共安全服务,现代社会“公安机关”提供了一般型安全服务。在互联网的设计中,也没有公共安全服务的位置,安全只能靠自己,但现在云计算出现了,可以为托管到云端的数据,提供公共安全服务了。

“公安机关”和“云计算的安全”服务,一个虚拟世界,一个物理世界,提供的都是一般性公共安全服务。如果需要更高层级的安全,还需要“云保安”、“云围墙”、“云防盗门”、“云护卫”等。

2.比特币的匿名性

在现代金融体系的设计中,需要无条件的信任央行。但2008年金融危机后,各国央行开始放水,于是去中心化发行货币的比特币,2009年诞生了,从信任央行改为信任软件和算法。

比特币已经形成了“币圈”。2017年以来,比特币价格已累计上涨80%,总市值超过500亿美元。比特币是商品还是货币,各国政策观点不一。

区块链是比特币的底层技术,目标是发展成一种通用的平台型的分布式数据库技术,也正在形成自己的“链圈”。

比特币和区块链的优势,包括了去中心化、匿名和不可篡改等,这些信念还生活在理想国,只因比特币和区块链还没有长大。

1996年的2月,在瑞士达沃斯,电子前线基金会(ElectronicFrontier Foundation)的创始人之一约翰·佩里·巴洛,发表了“互联网宣言”:“工业世界的政府们,你们这些令人生厌的铁血巨人们,我来自网络世界——一个崭新的心灵家园。作为未来的代言人,我代表未来,要求过去的你们别管我们。在我们这里,你们并不受欢迎。在我们聚集的地方,你们没有主权……”

而比特币和区块链所标榜的这些理想和信念,几乎与21年前的“互联网宣言”完全一致。去年爆发的theDAO事件,暴露了“不可篡改”与现实世界的冲突;现在爆发的“比特币勒索病毒”,又反映了匿名化带来的新问题。

区块链的理想和宣言,也会像21年前《互联网宣言》一样的结果吗?

3.谁来背黑锅

这次事件是WanaCrypt0r 2.0病毒在勒索,却被很多媒体称为“比特币勒索”,或许是因为病毒真实名称难以记忆,或者是为了方便传播吸引眼球,或者是别有目的。

黑客利用病毒勒索比特币,就像不法分子利用手机骗钱的“电信诈骗”。

每次去银行营业厅,都会得到“谨防电信诈骗”的提示;每次去电信营业厅,得到的仍然是“谨防电信诈骗”,而不是“谨防金融诈骗”的提示。这类诈骗,金融业不背黑锅,只能是电信业背了。

利用电信和互联网等工具,从事金融诈骗,叫“电信诈骗”。按这一逻辑,利用Windows漏洞和病毒等工具,从事比特币的金融勒索,应该叫“WCry2.0病毒诈骗”。

不让病毒背黑锅,而是让比特币背黑锅,还是传统金融业赢了!

关键字:勒索病毒theDAO

本文摘自:通信世界网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^