您可以在百度里搜索“中信出版2020年度好书-经济管理（套装共12册） 艾草文学(www.321553.xyz)”查找最新章节！

　　第四章 网络安全：唤醒沉睡世界的闹铃

　　2017年5月12日，帕特里克·沃德被推进伦敦市中心的圣巴塞洛缪医院的手术准备室。这座庞大的医疗中心被当地人简称为巴特，距离圣保罗大教堂只有几个街区，它始建于1123年亨利一世统治时期。在希特勒对伦敦的大轰炸中，这家医院一直没有停止运作。尽管炸弹如雨点般在它的四周落下，有时甚至正中其身，但这座美丽的地标建筑自豪地经受住了第二次世界大战的考验。在巴特近900年的历史中，从未有任何一枚炸弹比这个周五早上扔下的炸弹造成更大的破坏。

　　沃德花了三个小时才从家里赶到医院，他住在多塞特郡的一个小镇，靠近英格兰南部海港城市普尔。从19世纪末开始，他的家族一直住在这个风景如画的海滨小镇，以务农为生。沃德的工作与他所居住的静谧田园非常般配。他长期担任精品冰激凌制造商珀贝克冰激凌的销售总监。他热爱自己的工作，告诉我们说：“我靠聊天和吃冰激凌就能挣钱，这两个都是我所擅长的。”

　　他排了两年的队，才在巴特医疗中心等到一个手术床位，来治疗一种被称作心肌病的严重心脏病。这种遗传性疾病令他的心脏壁增厚，使这位原来经常徒步和踢足球的健壮中年英国人无法完成大部分日常行动。那天早上，沃德的胸毛被剃光，并接受了一系列身体检查。他躺在医院的轮床上休息，等待他期待已久的手术，外科医生过来告诉他：“再等几分钟，很快就会轮到你了。”但沃德并未被推入手术室，他一直在等待。

　　一个多小时后，医生又过来说：“我们遭到了黑客攻击，医院的整个系统都崩溃了，所以我没法做手术。”这家在第二次世界大战期间一直开放的医院突然因成为网络攻击的目标而陷入瘫痪。它所有的计算机系统都崩溃了。当天的急诊病人被转走，预约被取消，手术服务也全部停止。这次袭击使英国1/3的国家卫生服务机构瘫痪，而这些机构提供了英格兰大部分的医疗保健服务。

　　Zinc的攻击

　　那天上午晚些时候，微软的高管团队正在雷德蒙德举行每周五的例会，每周例会的参会者包括萨提亚·纳德拉和14位直接向他汇报的高管，每次都遵循常规流程。早上8点，例会在公司的董事会会议室准时开始，我们中有几个人的办公室就在那一层。我们将在会上依次讨论各项产品和业务计划，会议会一直持续到下午3点左右。但2017年5月12日的会议并不是一次常规例会。

　　我们还没讨论完第二个议题，萨提亚就中断了讨论。他说：“我收到了很多封电子邮件，都说我们的客户受到广泛的网络攻击。这到底是怎么回事？”

　　我们很快了解到，微软的安全工程师一直在忙于接听客户的电话，并试图找出原因和评估这一快速蔓延的网络攻击的影响。到中午时，已经很明显可以看出这不是普通的黑客攻击。微软威胁情报中心的工程师很快把恶意软件与一个代号为Zinc（锌）的黑客组织在两个月前试验过的代码匹配成功。微软威胁情报中心在内部简称为MSTIC（其发音为“mystic”，即“神秘的”），它按照元素周期表中的元素给各个国家/地区的黑客组织指定代号。一年半前，Zinc攻击了索尼影业的电脑网络。

　　从技术角度来看，Zinc最新一次攻击异常先进，在最初的“Zinc”软件中添加了新的恶意软件代码，使得感染可以自动从一台计算机蔓延到另一台计算机。一旦感染，该代码将加密并锁定电脑硬盘，然后显示一条勒索信息，要求支付300美元，以换取电子密匙来恢复数据。如果没有密钥，用户的数据将被永久冻结且不可访问。

　　这一网络攻击始于英国和西班牙，并在几小时内传遍世界各地，最终影响了150多个国家/地区的30万台计算机。随着它在全球迅速蔓延，人们会记住它的名字WannaCry（想哭），这个恶意的软件代码串不仅让IT管理员想哭，还成为唤醒全世界的闹铃。

　　《纽约时报》很快报道说，WannaCry恶意代码中最先进的一段由美国国家安全局开发，可利用微软Windows操作系统中的漏洞入侵电脑。美国国家安全局很可能是为渗透敌方的电脑而开发出该软件代码的。显然，这个恶意软件被盗取，并通过“影子经纪人”在黑市上出售。影子经纪人是一个匿名组织，在网上发布病毒代码，以造成严重破坏。影子经纪人已经把国家安全局的这一先进病毒武器提供给任何知道在哪里找到它的人。虽然该组织尚未与特定的个人或组织有明确的联系，但威胁情报界专家怀疑它代表着某一个国家攻击者。这一次，Zinc在美国国家安全局的一段代码上增加了一个强大的勒索软件，制造出一个席卷整个互联网的强大病毒武器。

　　正如我们的安全团队的一位主管所说：“美国国家安全局研制了一枚火箭，而有人把它变成了一枚导弹，其区别只在于头上那点东西。”本质上讲，美国研制了一种先进的网络武器，又失去了对它的控制。

　　我们没有时间来思忖这个情况多么具有讽刺性。我们不得不立即行动，努力帮助客户辨别哪些系统受到了感染，阻止恶意软件的传播，并恢复被禁用的电脑。到了中午，我们的安全团队得出结论，由于我们两个月前已经发布了一个补丁，新的Windows系统可以免受攻击，但运行旧版Windows XP系统的电脑则可能受到攻击。

　　这不是一个小问题。全球仍有一亿多台电脑在运行Windows XP系统。几年来，我们一直试图说服客户升级他们的电脑，并安装更新版本的Windows操作系统。正如我们指出的，Windows XP在2001年即已发布，比第一代苹果手机要早6年，比第一部iPod早6个月。虽然我们可以发布针对特定漏洞的补丁，但它使用的老旧技术已无法应对当前的安全威胁。希望一个已经发布16年的软件能够抵御今天的军事级别的网络攻击，无异于通过挖地道防御导弹攻击。

　　尽管我们一再敦促并提供折扣和免费升级，但一些客户仍然坚持使用旧的操作系统。在努力推动现有客户群体更新系统的同时，我们最终决定继续为旧系统开发安全补丁，但与新版本不同，我们要求客户购买这些补丁，作为订阅服务的一部分。我们的目标是创造一种经济激励，促使客户转向更安全的Windows版本。

　　尽管在大多数情况下，这种做法是合理的，但5月12日的攻击有所不同。WannaCry病毒的“蠕虫”特性使这一恶意软件的传播速度极其惊人。我们必须阻止其破坏性。这在微软内部引发激烈的争论。我们是否应该让全世界所有Windows XP用户，即不仅面向我们的网络安全服务订户，也包括运行盗版操作系统的电脑用户都可获得针对这个病毒的补丁？萨提亚打断争论并拍板，我们将免费向所有用户提供补丁。微软内部一些人反对这个决定，认为此举会削弱鼓励人们弃用XP的努力，后来萨提亚以一封电子邮件压下了反对意见，他表示：“现在不是讨论这个问题的时候，攻击的影响面实在太大了。”

　　在我们从技术上逐步控制和清除WannaCry病毒的同时，事件的政治后果也在不断发酵。西雅图时间星期五晚上，即北京时间星期六上午，中国政府官员联系了我们在北京的团队，并通过电子邮件向Windows部门的负责人特里·迈尔森询问了针对Windows XP补丁的状态。

　　我们对这一问询并不感到意外，因为中国安装和运行Windows XP的电脑比其他任何国家都多。由于恶意软件发动攻击时恰逢当地时间星期五晚上，大多数办公电脑已经因周末而关机，中国在很大程度上躲过了最初一轮攻击，但使用过时Windows XP的电脑仍然面临被攻击的风险。

　　XP补丁并不是中国唯一想要的东西。那位给特里发邮件的官员询问了当天《纽约时报》报道提出的一个观点。那篇报道称，美国政府一直在搜集软件中存在的漏洞，但对此保密，而不是通知科技公司进行修补。这位官员希望了解我们的反应。我们表示，他们应该和美国政府讨论这个问题，而不是和我们。但毫无疑问的是，我们或者其他科技公司绝对不欢迎这种做法。相反，我们长期以来一直敦促各国政府披露它们所发现的软件漏洞，以便这些漏洞及时得到修复，并使所有人受益。

　　我们知道，这仅仅是一个开始，随后我们还会收到来自世界各地的人的更多问题。到星期六早上，我们意识到我们需要做的不仅仅是向受到感染的客户提供技术支持，还需要更加公开地应对这一新兴的地缘政治问题。那天早上，萨提亚和我通过电话讨论了下一步的工作。我们决定公开回应下一轮有关WannaCry病毒的问题。

　　我们不再谈论这场攻击的细节，而是关注更广泛的网络安全形势。我们明确表示，微软和科技领域的其他公司负有保护客户免受网络攻击的第一责任。这是一个既定事实。但我们认为，同样重要的一点是应强调客户也应共同承担网络安全的责任。我们当然应该确保客户能够更加便捷地更新和升级他们的操作系统，但这一事件给我们带来一个教训，即如果客户不使用我们更新的技术，那么一切努力都将是徒劳的。

　　我们还提出了第三个观点，即WannaCry病毒的攻击已经证明，随着越来越多的政府致力于发展先进的攻击型武器，更需要对网络武器加以控制。正如我们所说：“如果换作常规武器，这就好比美国军方的战斧导弹失窃。”网络武器只需一个小小的拇指驱动器就可以被盗走或者存储，这既让对它们进行保护更加困难，也让保护它们变得更加重要。

　　白宫和美国国家安全局的一些官员对我们将此事比作战斧导弹不太高兴，英国政府一些官员也附和他们的观点，他们认为，“把WannaCry病毒比作步枪，而不是战斧导弹，要准确得多”。不过，有哪种步枪能在150个国家/地区同时发动攻击？这些根本不是我们讨论的重点，它只是反映了网络安全官员多么不善于面对媒体直接谈论这些问题，或者面对公众为自己的做法辩护。

　　有种理论将这次攻击指向了东亚国家，虽然WannaCry病毒进行的是无选择性全面攻击，但有没有可能这正是重点所在？

　　WannaCry病毒攻击在以下几个方面支持这个理论。

　　第一，攻击首先针对欧洲的目标发起，当时东亚的人们都已关闭电脑回家过周末了。随着太阳西移，其他大陆的企业和政府工作人员开始一天的工作，病毒感染也迅速蔓延。但是对东亚大部分地区来说，在人们星期一返回工作岗位之前，还有一个周末的时间来回应。

　　第二，此次攻击还增加了安全专家所称的“毁灭开关”，使得阻止恶意软件进一步传播成为可能。这个“毁灭开关”指示恶意软件查找一个尚未存在的特定网址，只要网址还没有被注册，WannaCry就会继续蔓延。但是，一旦有人注册并激活了这个网址（这只是一个简单的技术步骤），代码就会停止复制。

　　5月12日晚些时候，英国的一名安全专家分析了代码并发现了这个“毁灭开关”。他只花了10.69美元的低价注册并激活网址，就阻止了WannaCry进一步传播。有人怀疑这反映出WannaCry的制造者技术不精。但万一事实恰恰相反呢？万一制造WannaCry的人的目的就是确保他们可以在周一早上之前关闭这个恶意软件，从而避免在特定区域造成太大破坏呢？

　　第三，WannaCry显示的勒索信息和方法也颇为可疑。正如我们的安全专家所指出的，个别国家以前曾使用过勒索软件，但使用方式有所不同，选择的是银行等高价值目标，并以聪明的方式索取大笔资金。因此，不加区别地要求支付300美元来解锁一台机器至少意味着彻底抛弃了以前的做法。那么，有没有可能整个勒索要求只是一种掩盖，以便误导媒体和公众，让他们无法了解真相，而美国和盟国的官员们则对真相早已心知肚明？

　　如果真的是这样，那么整个事件的严重性就远远超过人们所看到的。它是我们经历过的最接近全球性“热”网络战的情况，意味着在这次网络攻击中，平民所遭受的影响不再仅是附带损害，而是预期的效果。

　　越来越大的危险

　　不管答案如何，它反映了一个严重的问题。过去10年中，网络武器已经取得巨大发展，重新定义了现代战争的可能范畴，但网络武器的使用方式掩盖了正在发生的真相。公众还没有充分认识到应该关注的风险或者急需解决的公共政策问题。在这些问题大白于天下之前，我们将面临越来越大的危险。

　　如果还有人对网络战的威胁心存怀疑，那么6周后的网络炸弹攻击应该会打消他们的怀疑。

　　2017年6月27日，一场网络攻击突然降临乌克兰，此次的恶意软件同样使用了从美国国家安全局窃取的软件代码，导致乌克兰全国大约1/10的电脑陷入瘫痪。此次攻击事件后来被美国、英国和其他5个国家的政府归咎于俄罗斯。安全专家将此次攻击命名为NotPetya，因为它与已知勒索软件Petya（必加）共享代码。Petya是一种武器卫星的名字，它是1995年的詹姆斯·邦德电影《黄金眼》中虚构出的苏联“黄金眼”武器之一。这种武器可以摧毁半径30英里内的所有电子通信设备。

　　在2017年的现实世界里，NotPetya攻击的范围更广。它波及整个乌克兰，严重破坏了企业、运输系统和银行系统，然后蔓延到国界以外，渗透到包括联邦快递、默克和马士基在内的跨国公司。马士基这家丹麦航运巨头眼睁睁地看着自己的全球计算机网络陷入瘫痪。

　　当微软的安全工程师来到马士基伦敦办公室帮助他们恢复电脑时，迎接他们的是以21世纪的标准看来极其怪异的场景。马克·恩普森是一位身形高大、快人快语的微软现场工程师，他是第一个到达现场的人。他说：“（在办公室里）你总是会听到电脑、打印机和扫描仪发出的各种声音，但在这里你什么都听不到，到处一片死寂。”

　　当恩普森走在马士基公司的走廊上时，他感觉办公室好像已经死了。他说：“首先，我们要走一通标准的故障排除步骤，‘好吧，出了什么情况？哪些服务器死机了？还剩下什么？’答案是机器都已经死了。”他继续追问：“‘好吧，那电话呢？’‘死了。’‘互联网呢？’‘不行，也死了。’”

　　这是一个鲜明的写照，表明我们的经济和生活在多大程度上依赖信息技术。在一个万物相连的世界里，任何事物都可能被破坏。部分由于这个原因，我们必须严肃看待当今针对电网发动的网络攻击。

　　如果一个城市失去了电力、电话、输气管道、供水系统和互联网，它几乎像是被抛回了石器时代。如果这发生在冬天，人们可能会冻僵；如果发生在夏天，人们可能会暑热难耐；那些依赖医疗设备生存的病人可能会失去生命。再设想一下，未来自动驾驶的汽车如果正在高速公路上行驶，汽车的控制系统突然遭遇一场网络攻击会造成什么后果。

　　所有这些都是提醒，让我们对自己生活的新世界更加警醒。在NotPetya之后，马士基采取了不同寻常的步骤，向公众保证其船只仍由船长控制。这种保证的必要性说明了世界对计算机的依赖程度，以及网络攻击的破坏力。

　　软件现在已经普遍应用在我们的社会基础设施中，这是越来越多的政府不断加强攻击性网络武器开发的部分原因。与早期的青少年黑客及他们后来在国际犯罪组织中的继任者相比，各国政府的运营规模和复杂程度完全不同。美国是最早投资于这一领域的国家，目前仍然是该领域的领导者。但其他一些国家已经快速跟上，包括俄罗斯、中国、朝鲜和伊朗，这些国家都积极投身于这场网络武器竞赛。

　　WannaCry和NotPetya攻击代表着全球日益增长的网络武器能力的大规模升级。然而，几个月后的情况表明，世界各国政府显然并没有注意到这个唤醒闹铃。

　　在与各国外交官的讨论中，我们听到了同样的怀疑：“没有人被杀害。这些甚至不是针对人身的攻击，而只是机器攻击机器而已。”

　　我们还发现，或许比以往任何武器技术进步都更明显的是，不同年龄段的人对于网络安全的观点大相径庭。年青的一代出生于数字时代，他们的整个生活似乎都由技术驱动，攻击他们的设备就像攻击他们的家，这对他们而言有着切肤之痛，但年长一些的人并不总是以同样的眼光看待网络攻击的影响。

　　这向我们提出了一个更加严峻的问题：我们能在一场数字“9·11”袭击之前唤醒世界吗？还是说，政府会继续按下“止闹”按钮？

　　在NotPetya之后，我们希望向世界展示乌克兰发生的一切，这个国家已遭受过多次网络攻击。虽然乌克兰因NotPetya陷入瘫痪，但该国以外的媒体对此报道很少。我们决定派遣一组微软员工去采访基辅市民，了解到底发生了什么。他们采访了那些失去生意、客户和工作的人，拿到了第一手资料。他们与因信用卡和ATM（自动取款机）停止工作而无法购买食物的乌克兰人交谈。他们采访了通信网络瘫痪时无法找到孩子的母亲。这显然还不是“9·11”，但它揭示了世界的发展方向。

　　乌克兰人乐于坦率地讲述他们的经历，不过通常情况下，网络攻击的受害者往往会保持沉默，因为他们对未能保证自己的网络安全感到尴尬。这种态度会使问题一直存在，而不是得到解决。微软也遇到过同样的问题。2017年，我们的律师提议在英国起诉两名成功入侵我们Xbox网络的犯罪分子。虽然这样做会带来一些令我们尴尬的问题，但我还是对公开此事开了绿灯。如果我们自己不能展示更大的勇气，那么我们永远不可能为公众做出表率。

　　我们不仅需要说得更多，还需要做得更多。

　　欧洲各国的外交官都对此表示同意。一位欧洲大使在联合国日内瓦办事处对我说：“我们知道还需要做很多事，但我们不知道具体应该做什么。而且即使我们采取行动，在目前的情况下，让各国政府就任何问题达成一致也并不容易。在这个问题上科技公司应该发挥主导作用。这是让各国政府行动的最佳方式。”

　　这个机会很快出现。一个安全工程师团队做出判断，如果几家公司共同采取同步行动，我们将可以打掉Zinc的大部分恶意软件能力，就是这个组织应该对WannaCry攻击负责。我们可以针对Zinc试图利用的漏洞发布补丁，清理受影响的个人电脑，并在我们各自的服务器中统一关闭攻击者正在使用的账户。这样做虽然不能一劳永逸，但会对该组织的能力造成打击。

　　我们在微软、脸书和其他地方详细讨论了是否可以采取行动，以及应如何推进。这一行动将使我们成为更大的目标。我和萨提亚进行了深入讨论，并在11月与微软董事会分享了我们的行动计划。我们认为，无论是在法律上，还是在其他方面，我们都有坚实的基础，并且如果我们与其他公司合作，这是一个值得一试的行动。

　　我们还得出结论，我们需要通知联邦调查局、国家安全局以及美国和其他国家的相关机构。我们不是要征求它们的同意，只是简单地将我们的计划知会它们。我们希望确保没有一个情报机构正在借助我们准备禁用的用户账户来应对Zinc的威胁。

　　几天后，我来到华盛顿特区，并在白宫待了大半天的时间。我在白宫西翼的地下办公室会见了总统国土安全顾问汤姆·博塞特和白宫网络安全协调员罗布·乔伊斯，向他们通报了我们的计划。当时我们已经计划在下一周采取行动。

　　他们分享说，在特朗普总统的大力支持下，他们很快就可以正式宣布，对网络攻击表示反对并宣布负责方。这是关键的一步，它开始公开地认定某国政府对某次网络攻击负责。博塞特指出，美国政府正式对这种“不受控制和不加选择”的网络攻击表示反对十分重要。在这种情况下，白宫正积极与其他国家合作，以便能够第一次与这些国家站在一起。

　　博塞特首先要求我们推迟行动。“我们要等到一周后才能够发布我们的公告，如果我们同时行动会更好。”我表示，我们不能推迟我们的行动，因为它必须与补丁发布同时进行，而公众预期我们将在12月12日发布该补丁。众所周知，我们在每个月的第二个星期二发布补丁，我们称之为补丁星期二。

　　我提出了另一个选择：“我们可以探讨推迟对外沟通我们行动的可能性，也许我们可以在此方面合作。”

　　有关政府对WannaCry攻击的反应，这次讨论还揭示了重要但非常讽刺的一点。正如博塞特向我解释的那样（他后来在新闻发布会上重申了这一说法），考虑到已经实施的所有制裁措施，美国政府对这一事件可做的反应很有限。他公开表示：“特朗普总统几乎已经采取了所有能利用的手段，以促使他们改变自己的行为。”

　　尽管政府稍后也得出结论，其可以对网络攻击做出更大的反应，但显然科技行业更为主动，可以采取一些政府不能采取的措施。科技公司可以轻易地破除该恶意软件能力的一些关键部分。因此，如果我们能同时发布这两个公告，将对国家攻击者造成更大的威慑。

　　我们在两条战线上协调推进，一条是行动的执行，另一条是公开宣布。微软、脸书和另一家希望匿名的科技公司的安全团队在12月12日上午（补丁星期二）共同工作，破坏了Zinc的网络攻击能力。行动进展得十分顺利。

　　但公开宣布此次行动的努力更为复杂。几乎所有领域的安全专家通常都不愿公开谈论他们所做的事情。在某种程度上，这是因为他们的文化就是要屏蔽而不是共享信息。而且采取主动行动总是会带来一些风险，例如报复性攻击。但是，如果我们希望国家主导的网络攻击采取有效的行动，必须克服这种不情愿。

　　我们还面临另一个复杂局面，即科技行业与特朗普领导下的白宫的复杂关系。最近几个月，除了其他问题之外，我们正因移民新政与政府交恶。这使得一些人不愿公开承认他们与政府有任何关系。但我觉得，在必要时我们应该与政府合作，即使这意味着与我们的基本立场不符。网络安全是一项共同的事业，如果我们想取得真正的进展，那么我们不仅可以合作，而且需要合作。

　　白宫表示将于12月19日公开对外发布消息。我们迅速告诉脸书和另一家公司，如果大家同意共同行动，我们将愿意公开针对Zinc采取的行动。但直到发布会前一天的早上，我们仍然孤独地等待着另外两方做出决定。我下定决心，如果必要，我们将独自上台。我认为，要有效地阻止国家参与网络攻击，唯一的方法是我们显示出越来越强的应对能力。必须有人第一个站出来，我们愿意充当先行者。

　　那天晚上，我们终于等来了好消息，脸书将与我们一起公开我们所采取的集体行动。第二天早上，博塞特在白宫的新闻发布会上发布了一个更好的消息。他解释说，美国与另外5个国家，即澳大利亚、加拿大、日本、新西兰和英国，共同公开认定了攻击者的国家归属。这是多个国家首次通过多边合作，公开指责另一个国家对网络攻击负责。他随后宣布，微软和脸书在上周已经采取了具体行动，破坏了该黑客组织的部分网络攻击能力。

　　政府和科技公司通过共同行动，取得了任何一方都难以取得的成就。这显然并不是应对全球网络安全威胁的灵丹妙药，甚至不能算是一场胜利，但它是一个新的开始。 中信出版2020年度好书-经济管理（套装共12册）