Sin Chew Daily - Sarawak Edition (Miri)
網絡勒索華府有責磋商條約保障平民 病毒擴散微軟成幫兇
近日駭客勒索程式“WannaCry”(下稱“想哭” )肆虐全球,影響逾150國家及地區,波及逾30萬台電腦,今次網絡勒索規模之大前所未見,襲擊主謀身分尚待調查,惟追究禍源,美國情報機關和微軟均有不容推卸的責任。微軟主席批評華府發現電腦保安漏洞後,沒有即時告知軟件商及用戶,反而秘密研發網絡入侵工具,最後落在不法之徒手上,為禍全球。各國政府必須汲取教訓,盡快磋商國際條約,規限網絡武器研發和使用,不得將電腦保安漏洞資料,當成網絡武器原材料據為己有。
朝鮮涉事證據欠充分
追查真兇勿忘吸教訓
有美俄防毒軟件公司分析, “想哭”可能與朝鮮駭客組織有關;不過歸根究柢,美國國家安全局( NSA)和微軟對於“想哭”肆虐,均需負上很大責任。
電腦專家指出,駭客利用NSA針對視窗系統漏洞所研發的入侵工具“永恒憂鬱” ( Eternal Blue),研製出“想哭”入侵勒索程式。華府除了被揭要科網巨企在電腦系統“開後門”,以便情報人員監控通訊外, NSA也會暗中蒐集各式電腦系統的漏洞弱點,研製種種“入侵工具”,實際就是網絡攻擊武器,未料去年有駭客組織成功突破防線,取得一批由NSA研製的入侵工具,並於上月網上公開,當中包括“永恒憂鬱”,令不法分子有機會利用它們來作奸犯科。微軟主席史密斯便形容,相關失竊的嚴重程度,“如同美軍戰斧巡航導彈被盜”。
美研入侵工具難卸責
NSA入侵工具曝光後,微軟急 忙提供程式更新堵塞視窗漏洞,惟視窗XP等舊版最初並未在修補之列。由於全球仍有不少公私營機構廣泛使用XP系統,沒有花巨款購買新版視窗,結果令“想哭”有機可乘。過去微軟最為人詬病之處,就是透過停止支援舊版作業系統,變相逼客戶付錢升級系統,從而大賺一筆。今次“想哭”能夠肆虐全球,微軟是間接幫兇。
雖然華府堅稱,今次勒索軟件並非由國安局開發,責任全在駭客,然而正如史密斯所言,今次網絡勒索暴露了華府暗中蒐集電腦保安漏洞,卻不通知軟件商及用戶,猶如囤積網絡武器,稍一不慎失竊,隨時可釀巨禍。
華府明知這些漏洞事關重大,影響萬千民眾,不僅未有負責任地提供資料,反而默不作聲,暗中利用它們編寫惡意入侵程式甚或網絡攻擊武器,自然惹來美國民權組織抨擊,有國會議員亦主張修例,強制政府就漏洞問題通知軟件商。
近年國際網絡間諜和攻擊活動愈趨激烈,賊喊捉賊屢見不鮮。今年初史密斯曾呼籲,國際社會應參考《日內瓦公約》保護戰時平民的做法,磋商《數碼日內瓦公約》,確保和平時期平民免受網絡攻擊傷害,簽署國須承諾不會向私營部門和關鍵民生基建發動網絡攻擊,不得採取駭客手段竊取知識財產,倘若發現重大保安漏洞必須通知生產商,而非暗中囤積、出售或利用。條約還應授權成立獨立國際機構,處理網絡安全問題,一如國際原子能機構推動核能和平利用、防止核武擴散的角色。
史密斯的倡議值得支持,關鍵是美俄中國等擁有強大網絡攻擊力的國家會否配合。今次“想哭”為禍未如預期嚴重,已令全球抹一把汗,國際社會不應等到出現網絡巨災,蒙受慘痛教訓後,才明白有必要攜手防止網絡攻擊。