勒索軟體肆虐,究竟是誰的責任?
圖片來源: Microsoft
勒索病毒 WannaCry 侵襲全球數十萬台電腦,造成損失無數 – 不只是金錢損失,還包括醫院停機時的生命損害。儘管這波攻擊是鎖定微軟作業系統漏洞,微軟難辭其咎,但微軟堅稱還有其他人也應該一起負責,包括發現漏洞卻知情不報的美國國家安全局(NSA)。
微軟總裁兼法務長 Brad Smith 在部落格表示,微軟致力阻止勒索病毒的散播,包括不尋常地釋出很久以前就不再支援的舊版 Windows 安全更新:「身為科技公司,微軟的我們有處理這些問題的第一責任。」 他強調,這波攻擊顯示「網路安全已成為科技公司和用戶共有的責任」,聲稱使用者如果想要受到保護,就必須更新系統。他也責難情報單位,表示WannaCry 的技術就是來自於國安局根據此漏洞所研發的駭客攻擊武器。
就在 WannaCry 肆掠之前兩個月,微軟才發布了一項修補程式。只是這項修補程式只涵蓋 Windows 7 之後系統的使用者。自 2014 年 4 月之後,微軟官方便停止支援 Windows XP,不再公開發布任何修補程式。使用者需付費購買特定服務才能接受更新。儘管微軟這次緊急發佈 XP 修補程式以防止勒索軟體攻擊,但對於無數受害者來說,為時已晚。
社會學家 Zeynep Tufekci 在紐約時報撰寫的週末專欄中,認為微軟要為這次事件負大部分的責任,因為微軟決定停止支持舊版 Windows。「微軟這類公司不應該認為他們可以放棄使用舊版軟體的用戶,」 Tufekci 認為「他們從那些客戶身上賺走的錢可沒過期,修補缺陷的責任也一樣。」
微軟公司的抗辯理由是 XP 已經相當老舊。自 2008 年後出產的電腦便已不再搭載 XP,而且 他們已經盡責提醒客戶需在 2014 年之前更新系統。Windows 10 一開始採取免費策略,目的就是要盡可能讓使用者願意轉換系統。然而,被 WannaCry 攻擊的網路都有不升級的正當理由 — 它們通常是複雜的嵌入式系統,沒辦法使用修補程式,更不要說升級新的作業系統。只要其上運作的軟體有缺陷,系統就很容易遭到攻擊。
更麻煩的問題在於,電腦硬體趕不上軟體升級。2007 年的電腦已經沒辦法運行 Windows 10,而這些舊電腦還在使用中,數量以百萬計。這也是為甚麼不管微軟已盡全力揚棄 XP,但 XP 市場佔有率仍與 Windows 8.1 不相上下。
Android 也面臨到相同問題。Google 大概每 10 個月推出一次新版作業系統,但硬體製造商無法迎頭趕上,導致現在系統破碎化問題嚴重。只有 7% 的 Android 使用者正在使用最新版本系統,而有十分之一以上的使用者還在用已經不被支援的舊系統。一部分原因在於硬體廠造商沒有更新軟體,而另一部分原因在於硬體本身的效能。兩年前生產的手機所採用的處理器,到今日已不足以運作最新系統功能,更不要提安全性更新進度落後。
修補程式不能解決所有問題。像 Stagefright 或 Heartbleed 這類漏洞可以透過幾十種不同的方法來攻擊,幾乎不可能一次阻止。今天防範了一個漏洞,遲早又會再出現一個漏洞。從程式設計者的角度來看,最完整的解決方案是撤換整個系統,重新建立更穩固的骨幹,且要求所有人儘早停止使用舊系統,這也是 Google 與微軟現在正在做的事。若使用者還要堅持使用 Windows XP 或 Android Jelly Bean 等舊系統,可能要有後果自負的心理準備。