专家：补丁和备份是对付勒索病毒的“消极武器”

在刚过去的几天，WannaCry勒索病毒席卷全球，影响了150多个国家和地区，超过30万台使用微软Windows系统的电脑受损。微软发表官方回应称，大家应该紧急动起来，给系统打上补丁，堵住漏洞，保障安全上网。有安全人士认为，这明显是一种误导！这一周应该是微软应该感到内疚的一周，微软也不要再抱怨那些没有把你们劣质产品（Windows系统）中的漏洞堵上的用户，因为补丁并不能干掉勒索软件。

微软公司的董事长兼任公司的法律总顾问，法布拉德.史密斯认为，被用于勒索攻击的WannaCry漏洞，是网络黑客从美国国家安全局（NSA）中窃取出来的漏洞，黑客把这一漏洞当作武器。

他表示，一个月以前，今年的3月14日，微软公司已经针对这一漏洞发布了一个安全更新，以修补这一漏洞，保护我们的客户。电脑已然能够应用Windows这个最新的升级系统。在全球范围内，很多电脑仍未被修复。因此，医院，工商企业，政府以及家用计算机都受到了影响。

这次攻击表明，从某种程度来说，网络安全已成为科技公司和客户之间的一个共同责任。 事实是，在发布补丁的两个月后，有如此多的电脑仍然是易受攻击的，说明了这一点。

史密斯进一步指责NSA。他说，此次攻击提供了为什么政府会囤积漏洞，才会有这样的问题的又一个例子。当然，NSA无法回应这一本质上的政治论点。

所以，大家都知道，NSA制造了这个勒索病毒，而它被却犯罪分子所利用，微软公司已经解决了这个问题。我们做了我们应该做的事，但是一些客户却没有做他们应该做的事。

史密斯也重复了微软公司的提倡：一个数字日内瓦公约, 而这附和了澳大利亚的要求，国际网络规范，以及信息安全专家尤金.卡巴斯基提倡网络武器控制。

网络安全专家在周末向勒索软件发起者进行了海啸般的谴责。受打击最严重的一些组织是医院,包括一些由英国的国家医疗服务（NHS）机构运营的一些医院。为什么他们没有修补他们所有的机器呢？为什么没有把所有的东西备份呢？

Pinboard（本质上只是一个浏览器书签服务网站）的拥有者给出了答案。我是一家医院，并非一家高科技公司，并且你们的更新升级破坏了我的软件。

Pinboard补充说：“对于使用过时的软件而谴责人们的确是不可思议的事情”。除了IT环境，没有一个环境，要求我们不断地更换能够用的东西。

当你经营一家充满医疗设备的医院的时候，这些设备出了故障。而你无法承担会杀死设备当中的备份软件的一次更新升级，因为那样换回来的结果，对人来说是致命的，说明环境很重要。

另一个信息安全专家mzbat写到，我在美国国家航空和宇宙航行局工作的工作经历告诉我，补丁会使专业的光学仪器、低温设备以及激光系统无法操作。对于医院来说，情况可能是类似的。

正如Rendition Infosec创始人杰克.威廉姆斯指出，我真的没有发帖说，如果NHS（英国国家医疗服务体系）使用Mac或Linux操作系统，勒索软件的攻击不会发生。他们也会这样做，因为Windows是他们专业医疗设备和管理软件上运行的系统。

在现实世界中，超负荷工作的系统管理员在有限的预算内工作。在许多组织中，情况是令人悲哀的，但是确是事实。对持续可用性的需求超过了安全性。

此时真正的问题是几十年来，总体上看IT行业一直在销售垃圾产品。首先通过制造这些有问题的产品，并且再经常直接或间接地向客户收费，来维修这些产品，使得这个行业变得极其富有。

被输送的技术存在如此多的漏洞，这个行业的很大一部分是一大批训练有素的专业人士全力以赴，以堵住所有的漏洞。然后，当客户不可避免地滑入并陷进故障的洪流中的时候，供应商和网络安全专家确责怪他们不会游泳。

这看起来合乎道德吗？当然，操作系统不是唯一的问题。某人必然会问为什么呢，假设医疗软件也是如此劣质的。

史密斯认为，WannaCry勒索软件的攻击对于我们所有人来说是一个警钟。我们意识到了我们的责任，就会帮助我们回应这个警钟。并且微软公司已承诺会尽其所能。

那么，我们已经收到了很多网络警告，自2007年以来。你甚至可以说，第一次警钟的响起开始于29年前的莫里斯蠕虫，虽然那时我们并没有把它叫做网络。

我认为，公平地说微软公司真的没有尽其所能。的确，在过去的30年中，几乎没有一家公司一直致力于做好他们自己的事。

纽约时报的记者泽伊内普·图菲克希写到，最低限度上，微软公司显然应该在三月份向所有用户提供重要的更新补丁，而不是只向那些支付了额外费用的客户提供重要的升级。

确实，支付额外的钱给我们或我们将保留重要的安全更新可以被看作为微软公司自己的勒索软件形式。

图菲克希认为，拥有超过1000亿美元的现金储备，微软就有能力帮助机构和用户升级到更新的软件，特别是那些运营基本服务的机构。

她说，行业规范糟透了，并期盼一家公司获得市场支配地位是合情合理的。因为这样的公司会通过销售那些会影响重要的基础设施运行的软件，就能赚到很多的钱。

考虑到这些因素，在最新的勒索软件浪潮的背景下,那些补丁和备份包，从网络技术人员的角度来说并不是特别有用。无法解决在IT行业中的深层次结构和态度问题。

这个事情将会发生吗？可能不会。

技术人士认为，每个问题都有一种纯粹的技术解决方案，而方案恰好符合他们自己的技能。另外，尽管你自己知道你的具体需求，你也不能按照他们的计划走，因为你不明白这个技术。

本文由网安视界（网络空间安全情报站和智库）独家创作整理，转载请注明出处。