一波剛平一波又起，剛剛送走“WannaCry”，“Petya”又來了。

　　6月底，全球遭受新一輪勒索病毒（被稱為Petya變種）的攻擊，俄羅斯最大的石油公司、烏克蘭切爾諾貝利核設施輻射監測系統以及歐美等多國企業紛紛中招。在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000余臺電腦。

　　“未來的世界可能沒有我們想象的那么好，我們會面對一個充滿漏洞的軟件世界?！泵鎸π虏《镜囊u來，360公司創始人、董事長周鴻祎直戳網絡安全事件的要害——不起眼的漏洞一旦被發掘出來，就可以變成國家間網絡戰的武器。

　　“因為有漏洞的存在，沒有一個系統是不會被攻破的。未來，網絡攻防將變成一個新常態，這將是一個長期的攻防戰，但是我們不能因為漏洞就放棄軟件，放棄進步?！敝茗櫟t在第二十一屆中國國際軟件博覽會上如是說。

　　漏洞可變成武器

　　“一切皆可編程，萬物均要互聯?！币驗槲锫摼W把虛擬世界和物理真實世界聯系在一起，利用漏洞發起的攻擊也便可以從虛擬世界影響到物理世界。

　　“目前，很多軟件的復雜度已經超過了過去十年的總和。但是，所有的軟件都是人為編寫的，只要是人就一定會犯錯誤，不管是主觀還是客觀上的錯誤，都會留在軟件里?！敝茗櫟t說。

　　按照統計，軟件中平均1000行到1500行代碼中就會存在一個漏洞。而現在，智能手機中代碼行數多達幾千萬，自動駕駛汽車代碼行數更是高達幾億，可以想象這些產品里會有多少漏洞。

　　“有一些小Bug，看起來非常無害，甚至不影響軟件的正常操作運行，但這些漏洞一旦被犯罪分子和黑客利用，可能帶來毀滅性的結果?！敝茗櫟t表示。

　　此次爆發的Petya變種病毒事件，攻擊方式與WannaCry相同，都是利用“永恒之藍”漏洞進行傳播，并通過微軟的實用工具之一PsExec在內網進行滲透。

　　亞信安全技術總經理蔡昇欽表示，不同于傳統勒索軟件加密文件的行為，Petya勒索病毒還采用磁盤加密方式，通過加密硬盤驅動器主文件表，使主引導記錄不可操作，限制對系統的訪問。另外，Petya還巧妙地使用合法的Windows進程Psexec和Windows管理信息的命令行（WMIC）、WMIC擴展WMI（Windows管理工具），提供了從命令行接口和批命令腳本執行系統管理的支持。

　　“歸根結底，是因為美國國家武器庫泄露了所謂的網絡武器。網絡武器這個詞聽起來特別高大上，但本質上就是個Windows 操作系統的漏洞?！敝茗櫟t說，“可以想象，隨著萬物皆可互聯，我們身邊的每一個物品都可以編程，都有智能系統，帶來便利的同時意味著每個智能硬件里面都有可能存在著漏洞，這些漏洞防不勝防，一旦被網絡犯罪分子利用，帶來的攻擊力量將會是非常巨大的?！?/p>

　　2016年10月美國東海岸發生的斷網事件，背后的原因就是攝像頭硬件里的漏洞。黑客利用漏洞控制全球大量的智能攝像頭，操縱幾十萬臺攝像頭攻擊了美國東部的域名系統，直接導致美國多個知名網站服務中斷，幾乎半個國家的互聯網都陷入了癱瘓。

　　“有一種工控協議，通常用在軌道交通上，簡單來說是控制地鐵門開啟關閉的，如果這些協議存在軟件漏洞，遭到了攻擊，帶來的危害可想而知?！敝茗櫟t說。

　　重視漏洞 改變觀念

　　“因為有大量的漏洞依然未被發現，也不能提前預防，所以在未來世界里，網絡攻擊不可避免?！敝茗櫟t表示，因為漏洞的存在，未來網絡安全可能會長期處在一個不停攻防、貓捉老鼠的循環當中。

　　那么，應該如何應對充滿漏洞的軟件世界？在周鴻祎看來，首先就是要重視漏洞，積極發現和挖掘漏洞，及時打補丁。

　　“挖掘漏洞不能靠360或者某幾家安全公司自己來做，我們已經借鑒國外的方法，利用眾包的力量，發動全社會的‘白帽子’黑客一起挖掘漏洞。當挖掘出漏洞時，應該迅速地推出補丁，讓大家及時打上補丁。再厲害的網絡攻擊，只要漏洞被堵上了，就沒法攻擊了?！敝茗櫟t說。

　　但是，目前有很多機構與企業對漏洞和補丁的認識不足，覺得不打補丁，系統也沒問題，也能正常運行。為此，周鴻祎呼吁這些安全網絡管理的負責人，在新的漏洞時代，整個思想觀念都要轉變。

　　另外，他還提出，國內的機構與企業也要勇于承認有漏洞甚至被攻擊。

　　“很多時候，國內的機構與企業被攻擊了都不太愿意聲張，甚至都隱瞞不報。原因有的是自己被攻擊了不知道，有的是怕上級發現怪罪批評。但我們要有一個意識，就是被攻擊不是我們的錯，漏洞是客觀存在的?！敝茗櫟t說。

　　他希望國內的機構和企業要改變理念，在遭遇攻擊之后要積極上報，這樣安全公司就可以得到越來越多的數據和證據，能夠更快地幫助大家修補漏洞，同時也能夠對網絡攻擊進行分析和溯源，打擊犯罪分子的同時，為國家間網絡空間的博弈提供證據，進而提升國家整體的網絡安全能力。

責任編輯：韓希宇