從5月12日開始�����,“勒索病毒”在全球各國爆發(fā)�,受病毒影響的不僅有千千萬萬個人用戶����,更有學(xué)校、醫(yī)院等重要的社會機構(gòu)�,帶來了嚴(yán)重的社會後果。在英國���,為5000萬人提供服務(wù)的國家醫(yī)療服務(wù)體系(National Health Service)遭受重創(chuàng)��,大量醫(yī)院電腦系統(tǒng)癱瘓����,救護車無法派遣,診斷設(shè)備無法使用�����,手術(shù)被迫推遲�。由此造成的不僅是財産損失,更有性命之憂����。
需要為這些後果負直接責(zé)任的當(dāng)然是勒索病毒的製作者,但是我們也需要關(guān)注兩個重要的組織在這次病毒爆發(fā)中的角色�����。
一個組織是美國國家安全局(NSA)���。實際上��,此款勒索病毒利用的系統(tǒng)漏洞���,正是NSA發(fā)現(xiàn)的。利用這些漏洞�����,NSA可以開展入侵攻擊,打擊美國政府的敵人����。然而,NSA開發(fā)的入侵工具Eternal Blue被盜�,以此為基礎(chǔ),駭客開發(fā)出了此次為害全世界的勒索病毒����。
對於NSA扮演的角色,微軟總裁兼首席法務(wù)官Brad Smith發(fā)表聲明説:“此次網(wǎng)路攻擊事件再一次説明����,為什麼政府機構(gòu)蒐集����、貯備安全漏洞是一個巨大問題,這一風(fēng)險在2017年以後便逐漸顯露……一次又一次���,來自政府機構(gòu)掌握的漏洞攻擊被洩露到公眾領(lǐng)域���,製造了大規(guī)模的危害。這種危害堪比美國軍隊的‘戰(zhàn)斧導(dǎo)彈’被盜���?�!?/p>
然而�����,當(dāng)微軟批評NSA的時候����,也有很多人指出:微軟公司自身也應(yīng)為此次病毒爆發(fā)負責(zé)——這家公司也正是我們在觀察此次事件時需要關(guān)注的第二個重要組織。
實際上���,在NSA發(fā)現(xiàn)自己開發(fā)的入侵工具被盜之後��,它便向包括微軟��、思科在內(nèi)的科技公司提出了預(yù)警����,提醒他們開發(fā)安全補丁�。微軟也確實開發(fā)了補丁,然而�,這款補丁並不向使用舊款作業(yè)系統(tǒng)Windows XP的用戶免費提供——除非他們購買了昂貴的客戶支援服務(wù)。
這也正是英國醫(yī)療服務(wù)體系“中招”的原因——很多醫(yī)院使用的依然是Windows XP系統(tǒng),因為作業(yè)系統(tǒng)的升級給整個醫(yī)院系統(tǒng)帶來的不穩(wěn)定性太大了�;而它們又往往沒有足夠的資金可以購買客戶服務(wù)。因此����,這些醫(yī)院沒能做好防護準(zhǔn)備,在病毒面前沒有任何招架之力�。
這就為科技公司,尤其是開發(fā)作業(yè)系統(tǒng)的科技公司提出了一個問題:對於付費購買了舊款作業(yè)系統(tǒng)的用戶���,公司是否可以就這樣撒手不管了���?雖然微軟的作業(yè)系統(tǒng)已經(jīng)更新?lián)Q代了很多次,但Windows XP依然在世界很多國家被廣泛使用�。微軟是否對這些用戶的安全依然負有責(zé)任?
哥倫比亞大學(xué)第一修正案研究所(Knight First Amendment Institute)的法律專家Alex Abdo打了個比方:當(dāng)汽車被發(fā)現(xiàn)存在設(shè)計缺陷時�,製造商需要實施召回����,即便這是所謂“老款汽車”。那麼�����,當(dāng)軟體中被發(fā)現(xiàn)存在嚴(yán)重漏洞時�����,科技公司是否需要被要求強制提供補丁和升級服務(wù)呢?
在美國現(xiàn)行的法律框架下��,微軟是沒有責(zé)任的——實際上�����,根據(jù)美國法律���,自從作業(yè)系統(tǒng)被用戶購買之後的第一天起��,微軟就不需要為任何後果承擔(dān)責(zé)任了���。也就是説,此次勒索病毒爆發(fā)���,微軟並不會有法律上的風(fēng)險����。
但是���,微軟作為一家商業(yè)公司所遭受的品牌傷害是實際可見的���。這款勒索病毒並未影響蘋果作業(yè)系統(tǒng)的用戶��,受傷的只是微軟用戶���,這樣的對比會進一步加深人們對微軟作業(yè)系統(tǒng)“不可靠”、“不安全”的印象����。而微軟“拋棄”Windows XP用戶的行為,也引發(fā)了輿論的廣泛批評����。
病毒爆發(fā)後,微軟“破例”為所有Windows XP用戶提供了免費的安全補丁���。但很多人認(rèn)為��,這不應(yīng)該是“破例”行為���。北卡羅來納大學(xué)學(xué)者Zeynep Tufekci就在《紐約時報》撰文指出:作業(yè)系統(tǒng)對於微軟而言是一項帶來鉅額利潤的業(yè)務(wù)�,微軟理應(yīng)將其中一部分利潤用於保護用戶的安全,尤其是醫(yī)院、學(xué)校這樣事關(guān)社會運轉(zhuǎn)的關(guān)鍵機構(gòu)��。為所有用戶提供安全補丁�,應(yīng)該是微軟的責(zé)任。
Zeynep Tufekci還警告説:下一步�����,受到威脅的將不僅僅是電腦作業(yè)系統(tǒng)而已�����,還包括我們生活中的一切智慧設(shè)備�����。在這個“物聯(lián)網(wǎng)”時代�,我們身邊的許多事物都在智慧化,而這些設(shè)備的安全性是很成問題的����,生産廠商也往往不能提供足夠的安全保護。很有可能��,各類智慧設(shè)備上的病毒爆發(fā)將成為今後的常態(tài)���,而科技公司在其中將同時面臨著社會責(zé)任和品牌形象�、商業(yè)利益的考驗。
?。ㄗ髡邽閭鞑W(xué)博士候選人)
京ICP證130248號京公網(wǎng)安備110102003391