新聞類別
港聞
詳情#
【明報社評】近日黑客勒索程式「WannaCry」(下稱Wcry)肆虐全球,影響逾150國家及地區,波及逾30萬台電腦,香港亦未能倖免,錄得至少31宗個案。今次網絡勒索規模之大前所未見,襲擊主謀身分尚待調查,惟追究禍源,美國情報機關和微軟均有不容推卸的責任。微軟主席批評華府發現電腦保安漏洞後,沒有即時告知軟件商及用戶,反而秘密研發網絡入侵工具,最後落在不法之徒手上,為禍全球。各國政府必須汲取教訓,盡快磋商國際條約,規限網絡武器研發和使用,不得將電腦保安漏洞資料,當成網絡武器原材料據為己有。
朝鮮涉事證據欠充分
追查真兇勿忘吸教訓
Wcry病毒四處蔓延,俄羅斯成為頭號重災區,歐美中國印度等亦受到不同程度影響,英國公立國民保健服務(NHS)的急症室和手術室設施等首當其衝,不少手術被迫取消,數以千計病人受影響。相比下,香港災情已算輕微,只有3宗涉及商業用戶,政府電腦系統未受攻擊。Wcry最厲害之處,是它能夠將電腦內各類型檔案加密封鎖。施襲者威脅若遲遲不繳贖款,就會刪掉檔案,幸好有英國保安專家意外發現阻止病毒擴散的方法,加上世界各地視窗用戶紛紛更新保安軟件,災情才受到控制,迄今黑客勒索所得贖金只有5萬美元,全球累計損失估計數億美元,較預期為少,也沒釀成人命傷亡,實屬不幸中之大幸。
有美俄防毒軟件公司分析,Wcry可能與朝鮮黑客組織有關;不過歸根究柢,美國國家安全局(NSA)和微軟對於Wcry肆虐,均需負上很大責任。電腦專家指出,黑客利用NSA針對視窗系統漏洞所研發的入侵工具「永恒憂鬱」(Eternal Blue),研製出Wcry入侵勒索程式。NSA負責網絡情報工作,自2013年中情局前僱員斯諾登揭破美國秘密監控全球網絡通訊後,備受國際關注。華府除了被揭要科網巨企在電腦系統「開後門」,以便情報人員監控通訊外,NSA也會暗中蒐集各式電腦系統的漏洞弱點,研製種種「入侵工具」,實際就是網絡攻擊武器,未料去年有黑客組織成功突破防線,取得一批由NSA研製的入侵工具,並於上月網上公開,當中包括「永恒憂鬱」,令不法分子有機會利用它們來作奸犯科。微軟主席史密斯便形容,相關失竊的嚴重程度,「如同美軍戰斧巡航導彈被盜」。
病毒擴散微軟成幫兇
美研入侵工具難卸責
NSA入侵工具曝光後,微軟急忙提供程式更新堵塞視窗漏洞,惟視窗XP等舊版最初並未在修補之列。由於全球仍有不少公私營機構廣泛使用XP系統,沒有花巨款購買新版視窗,結果令Wcry有機可乘,英國NHS便是因此遭殃。過去微軟最為人詬病之處,就是透過停止支援舊版作業系統,變相逼客戶付錢升級系統,從而大賺一筆。今次Wcry能夠肆虐全球,微軟是間接幫兇。
雖然華府堅稱,今次勒索軟件並非由國安局開發,責任全在黑客,然而正如史密斯所言,今次網絡勒索暴露了華府暗中蒐集電腦保安漏洞,卻不通知軟件商及用戶,猶如囤積網絡武器,稍一不慎失竊,隨時可釀巨禍。華府明知這些漏洞事關重大,影響萬千民眾,不僅未有負責任地提供資料,反而默不作聲,暗中利用它們編寫惡意入侵程式甚或網絡攻擊武器,自然惹來美國民權組織抨擊,有國會議員亦主張修例,強制政府就漏洞問題通知軟件商。
近年國際網絡間諜和攻擊活動愈趨激烈,賊喊捉賊屢見不鮮。今年初史密斯曾呼籲,國際社會應參考《日內瓦公約》保護戰時平民的做法,磋商《數碼日內瓦公約》,確保和平時期平民免受網絡攻擊傷害,簽署國須承諾不會向私營部門和關鍵民生基建發動網絡攻擊,不得採取黑客手段竊取知識財產,倘若發現重大保安漏洞必須通知生產商,而非暗中囤積、出售或利用。條約還應授權成立獨立國際機構,處理網絡安全問題,一如國際原子能機構推動核能和平利用、防止核武擴散的角色。
史密斯的倡議值得支持,關鍵是美俄中國等擁有強大網絡攻擊力的國家會否配合。例如數年前,一批西方專家曾研究如何將國際法套用到網絡戰爭之中,北約和美國網戰司令部均有派出觀察員,令外界頗有期待,然而研究出來的首份文件《塔林手冊》,對網絡攻擊定義詮釋彈性之大,連2007年美國以Stuxnet電腦病毒攻擊伊朗核設施,也有機會詭辯不違國際法,令人不禁懷疑大國會否真的願意接受約束。今次Wcry為禍未如預期嚴重,已令全球抹一把汗,國際社會不應等到出現網絡巨災,蒙受慘痛教訓後,才明白有必要攜手防止網絡攻擊。
歡迎回應 editorial@mingpao.com
朝鮮涉事證據欠充分
追查真兇勿忘吸教訓
Wcry病毒四處蔓延,俄羅斯成為頭號重災區,歐美中國印度等亦受到不同程度影響,英國公立國民保健服務(NHS)的急症室和手術室設施等首當其衝,不少手術被迫取消,數以千計病人受影響。相比下,香港災情已算輕微,只有3宗涉及商業用戶,政府電腦系統未受攻擊。Wcry最厲害之處,是它能夠將電腦內各類型檔案加密封鎖。施襲者威脅若遲遲不繳贖款,就會刪掉檔案,幸好有英國保安專家意外發現阻止病毒擴散的方法,加上世界各地視窗用戶紛紛更新保安軟件,災情才受到控制,迄今黑客勒索所得贖金只有5萬美元,全球累計損失估計數億美元,較預期為少,也沒釀成人命傷亡,實屬不幸中之大幸。
有美俄防毒軟件公司分析,Wcry可能與朝鮮黑客組織有關;不過歸根究柢,美國國家安全局(NSA)和微軟對於Wcry肆虐,均需負上很大責任。電腦專家指出,黑客利用NSA針對視窗系統漏洞所研發的入侵工具「永恒憂鬱」(Eternal Blue),研製出Wcry入侵勒索程式。NSA負責網絡情報工作,自2013年中情局前僱員斯諾登揭破美國秘密監控全球網絡通訊後,備受國際關注。華府除了被揭要科網巨企在電腦系統「開後門」,以便情報人員監控通訊外,NSA也會暗中蒐集各式電腦系統的漏洞弱點,研製種種「入侵工具」,實際就是網絡攻擊武器,未料去年有黑客組織成功突破防線,取得一批由NSA研製的入侵工具,並於上月網上公開,當中包括「永恒憂鬱」,令不法分子有機會利用它們來作奸犯科。微軟主席史密斯便形容,相關失竊的嚴重程度,「如同美軍戰斧巡航導彈被盜」。
病毒擴散微軟成幫兇
美研入侵工具難卸責
NSA入侵工具曝光後,微軟急忙提供程式更新堵塞視窗漏洞,惟視窗XP等舊版最初並未在修補之列。由於全球仍有不少公私營機構廣泛使用XP系統,沒有花巨款購買新版視窗,結果令Wcry有機可乘,英國NHS便是因此遭殃。過去微軟最為人詬病之處,就是透過停止支援舊版作業系統,變相逼客戶付錢升級系統,從而大賺一筆。今次Wcry能夠肆虐全球,微軟是間接幫兇。
雖然華府堅稱,今次勒索軟件並非由國安局開發,責任全在黑客,然而正如史密斯所言,今次網絡勒索暴露了華府暗中蒐集電腦保安漏洞,卻不通知軟件商及用戶,猶如囤積網絡武器,稍一不慎失竊,隨時可釀巨禍。華府明知這些漏洞事關重大,影響萬千民眾,不僅未有負責任地提供資料,反而默不作聲,暗中利用它們編寫惡意入侵程式甚或網絡攻擊武器,自然惹來美國民權組織抨擊,有國會議員亦主張修例,強制政府就漏洞問題通知軟件商。
近年國際網絡間諜和攻擊活動愈趨激烈,賊喊捉賊屢見不鮮。今年初史密斯曾呼籲,國際社會應參考《日內瓦公約》保護戰時平民的做法,磋商《數碼日內瓦公約》,確保和平時期平民免受網絡攻擊傷害,簽署國須承諾不會向私營部門和關鍵民生基建發動網絡攻擊,不得採取黑客手段竊取知識財產,倘若發現重大保安漏洞必須通知生產商,而非暗中囤積、出售或利用。條約還應授權成立獨立國際機構,處理網絡安全問題,一如國際原子能機構推動核能和平利用、防止核武擴散的角色。
史密斯的倡議值得支持,關鍵是美俄中國等擁有強大網絡攻擊力的國家會否配合。例如數年前,一批西方專家曾研究如何將國際法套用到網絡戰爭之中,北約和美國網戰司令部均有派出觀察員,令外界頗有期待,然而研究出來的首份文件《塔林手冊》,對網絡攻擊定義詮釋彈性之大,連2007年美國以Stuxnet電腦病毒攻擊伊朗核設施,也有機會詭辯不違國際法,令人不禁懷疑大國會否真的願意接受約束。今次Wcry為禍未如預期嚴重,已令全球抹一把汗,國際社會不應等到出現網絡巨災,蒙受慘痛教訓後,才明白有必要攜手防止網絡攻擊。
歡迎回應 editorial@mingpao.com
回應 (0)
