示意圖,與新聞事件無關。

上周五WannaCry勒贖軟體在網路上爆發引發嚴重災情,微軟法務長Brad Smith周末譴責美國政府發展監控情資的攻擊工具庫難辭其咎。 

安全專家相信,WannaCry起於遭影子掮客公佈的一系列國安局(National Security Agency, NSA)攻擊工具。其中一項攻擊程式開採NSA發現、但對微軟知情不報的Windows作業系統SMB漏洞,使電腦門戶大開遭勒贖軟體WannaCry入侵及綁架。

微軟早在3月即已發佈修補程式使Windows10等較新電腦及勤做更新的用戶倖免於難,然而全球仍有醫療、政府、金融及個人用戶未及時更新到最新版Windows的電腦遭到綁架勒索比特幣。周五起已有數十國家淪陷,造成了史上最大勒贖軟體攻擊,台灣甚至名列第三大攻擊目標 

基於災情嚴重,微軟於周末緊急發佈例外修補程式修補已不支援的作業系統,包括Windows XP 、8及Windows Server 2003,以及更新微軟安全工具Windows Defender。 

Smith同時發文譴責,表示多次事件證明政府蒐集軟體弱點的作法是問題元凶。從維基解密公開中情局(CIA)的駭客工具資料庫計畫,到這次NSA隱瞞的漏洞害全球用戶遭殃,美政府發展的攻擊工具一再被上傳網路也引發大規模災情。

他表示,政府手握的攻擊武器外流危險性等同美國軍方的戰斧飛彈失竊,這次攻擊突顯全球兩種最嚴重的網路安全威脅,包括國家級行動及組織化的網路犯罪無意但令人憂心的結合。他認為全球政府都必須以此為鑒正視問題。為此,微軟於二月間呼籲召開數位日內瓦會議討論這些問題,包括要求政府對廠商通報軟體弱點,而非反過來囤積、販賣或開採這些漏洞。 

經過周末,許多安全專家相信周一上班日才是第二波全球災情的開始。而美國政府周末也召集大批安全專家共商對策。 

Smith補充,這件事再次讓人了解今天IT基礎架構的複雜及多元性,以及更新軟體對許多客戶來說是一件很艱鉅的挑戰。他表示除了以現有的測試及分析策略加速IT基礎架構的更新,微軟現在也正在積極發展更進步的方法,以確保安全更新能立即部署到所有IT環境。 

無獨有偶,Google也於上周宣佈Project Treble,希望能加速Android裝置更新作業系統的速度,以洗清Android手機、平板比iOS裝置不安全的名聲。


Advertisement

更多 iThome相關內容