WannaCry病毒是纸老虎，炒作多于技术含量

2017-05-17 14:09

黑客.jpeg

最近WannaCry病毒席卷全球，也让其成为了媒体焦点，而国内的各个杀毒软件公司也趁机出动，帮助用户拦截病毒，确实做了很多好事。
虽然是好事，但我依然认为最近一轮的PR做的有点多，甚至拉动了整个杀毒概念股，这多少有点误导，所以这篇文章从产业和技术的角度再来谈谈WannaCry病毒这件事。
1
根据最新消息，比特币检测机构的数据显示WannaCry的制作者们目前获得了7万美元的赎金。
而造成如此全球大规模的破坏，最终只获得了7万美元的赎金，黑客们还要像淘宝客服一样一个个发货，清点仓库，不断研究新病毒，想想也真不容易。
简单的说，造成如此大规模破坏，与其最后的收益多少是不成正比的，就这点赎金，真的还不如卖上几个G的大公司数据库赚钱。
这种规模不经济背后，反应的是PC到移动的产业链变革，以及技术的变迁。
2
先聊聊过去的黑客产业，确实非常发达。
以前的黑客都喜欢建立长期价值，更多都是在制作木马病毒，并实现对用户电脑的控制，业内简称“抓肉鸡”，这样就可以通过各种黑产来变现，我这里举3个关键产业。
CPA赚钱：即给各路软件，金山毒霸、360、9158等等进行每台机器的安装，每安装一台就会分成0.5-3元。
CPC赚钱：一般都是在利用肉鸡制造虚假的广告流量点击，或者用于服务器攻击，搜索引擎关键词欺骗，恶意点击对手关键词等等，总之都是在做违法流量。
盗号赚钱：比如说，淘宝上最早的半价QQ会员、黄钻、红钻、蓝钻、QB这些，都是黑客通过入侵宽带账号，对其进行的宽带费盗刷的结果。
当然，最赚钱的还是游戏账号，通过安装各类游戏密码，截获各游戏账号，当年比较火热的传奇、梦幻西游、仙剑、DNF等等。黑客一般都是先改密码再转移装备，在游戏中与其他玩家交易成金币后，然后放到淘宝上卖金币，最后还会再观察这个账号是否还会被找回，如果不被找回，那么就会也拿出来卖。
可以说，以前的PC时代，有着非常多的黑产变现手法，通过控制一台电脑，就能获得相当多的收益。
蠕虫病毒都是一波流，媒体一曝光全都见光死，漏洞补上就没机会了，高手黑客都是做木马病毒，控制电脑建立长期价值。
现在的黑客开始对PC电脑进行一波流的收割，是因为PC的商业时代过去了，都集中在移动手机了。
3
既然智能手机的产业那么大，那黑客为什么不入侵安卓，IOS？
这里我再从技术角度谈谈为什么智能手机大规模入侵为什么那么少。
因为权限问题。
PC电脑需要应对用户无数需求，编程需求、图像处理需求、显卡更换需求、内存更换需求.......
这些无数种乱七八糟的需求，导致了微软不得不做成极度开放的系统，让用户可以自由操控底层权限，自由拔插各种软硬件，这也导致了黑客更容易找到漏洞。
找到不是问题，问题是，一次入侵后就可以实现全面的掌控，比如你在国内安装一个软件，往往安装的都是全家桶，你随便点击一个“确定”，一堆软件就到桌面上了，任何软件都有能力操控底层代码，这是由于过分开放导致的必然结果。
智能手机的权限就比较严格。
安卓和苹果本质上都差不多，给软件的权限都非常严格，比如你要读取个通讯录是需要用户允许的，你要连接个wifi是需要用户允许的，你要后台跑流量还是需要用户允许的.......
这样就导致了杀毒软件只能在既定的范围内行事，能做的事情比较少，之前360由于越界还被苹果下架过，UBER也做出过出格行为被苹果约谈，可以看出苹果的监控有多严格。
这就保证了真正的底层权限都甚至不会被用户掌握，也自然不会下放给其他软件，你安装一个软件，也不会出现安装全家桶的现象。
对于智能手机而言，用户没事不会去换主板、换CPU、换各种设备，也不会用手机编程，需要底层环境变量配置，需要取得各种底层权限，因此智能手机的权限可以对用户实行全面封闭，即使root权限，也依然受到严格限制。
而这种权限设计，也导致了没有那么多的漏洞需要补，黑客入侵也非常困难。
4
当然，没有不能攻破的系统，智能手机的权限再严格，只要有利益在，还是挡不住黑客的。
智能手机稍有入侵，还有个原因在于，黑产也受到了智能手机的冲击，很多黑产给断了。
比如CPC、CPA这种广告联盟变现逻辑，就很难通过强行静默安装的方式实现，因为没有权限。
而盗号产业，现在大家都是用手机注册各种账号，黑客必须实现短信拦截，这就导致了需要建伪基站，或者入侵用户的线上短信接收平台，等等，成本极高，机会也少。
当然，这么做最终依然无法实现盗号，因为账号都与手机绑定，一个验证码就能找回，根本不能永久拿下。
所以智能手机的黑产集中在了盗刷层面，之前网易邮箱账号泄露，就有大批的Appstore的账号被盗刷，被用于购买了各种游戏装备，但是只要用户通过合理的申诉，还是能够通过苹果找回，黑客弄了半天，其实很容易竹篮打水一场空。
另外，苹果手机此前也出现过勒索局面，黑客通过获得苹果账号，设置icloud丢失锁定手机，来要求用户赎回苹果账号。当然这和入侵无关，是低级的暴库行为，主要是下游产业链完成，没技术含量的。
所以，智能手机除了封锁权限，还把黑产财路也截断了很大一部分。
5
PC和智能手机两边都在截断黑产收入，在这两边的收入锐减情况下，此次CY病毒选择了一波收割。
但我依然认为CY只是纸老虎，一波收割的蠕虫病毒，不是建立对电脑的暗中长期控制，没什么吓人的。
公司或者机构电脑上可能会有值钱的资料，但是普通个人用户有多少值钱的资料？我认为绝大多数的人资料基本不会超过300美元，如果绝大多数人的电脑资料超过300美元，那么此次黑客们都要赚翻了。
举个例子，比如说论文这种东西吧，300美元这么贵，在国内完全都可以找人代写了代发了，重写就行了，绝大多数人不会交这个赎金。
另外，现在都是云端时代，很多人都已经把资料放到云端，是云端实时备份的，电脑中毒对于这些已经备份云端的人群来说，一点都不重要。
再说学校机、加油站、出入境管理处的电脑中毒，我认为也不是什么大事，所有资料都在服务器里面，黑客入侵的不是后端服务器，一个前端电脑坏了重装就行了，用户的信息没丢就根本不是什么大事。
大惊小怪的往往是外行。
6
说了这么多，既然手机的病毒木马都没啥怕的，都是纸老虎，那么真老虎是啥？
真老虎是服务器入侵。
TOC越来越难以收割，因此这波黑产已经全面进入到TOB阶段，靠入侵各个公司，盗取数据库资料，这是远比非标准化的个人PC和智能收机入侵更赚钱的事情。
比如之前icloud的明星艳照，就非常值钱，刚开始能卖好多钱。再比如之前泄露的网易邮箱数据库、雅虎数据库、优酷数据库，58简历数据库等等，都是非常值钱的。
尤其是邮箱数据库，很多黑客可以通过邮箱数据库去盗刷各个游戏账号，锁定用户的icloud勒索，自己用完后最后再倒卖几波，虽然产业链下游的人辛苦点，但整个产业还是能赚很多。
不过以上依然不算是太严重的破坏。
各位想想，这次入侵只不过是在逼你删掉一些本来就没用的文件，但是如果这次攻击的不是PC电脑，而是服务器，黑客把各个国家公民的数据锁了（甚至连同各地备份服务器数据一起锁住），把你的房产信息锁了，那该有多可怕？
不过幸运的是，这次依然是低级入侵，其只不过是在利用微软3月份就已经打过补丁的漏洞在做事，高级的入侵是直接入侵服务器，大面积的入侵全球服务器的漏洞，这才是能够令人恐慌的。
7
所以我认为，未来值得警惕的是服务器安全。
但是这和360这些杀毒公司半毛钱都没有，因为现在都是云服务器，是AWS和阿里云的天下，要做好安全把控的是这些云服务商。
但对于这些云服务商来说，他们做的其实非常不错，一旦发现漏洞，就会立即全网打补丁，这种中心化的控制，不会错过一台电脑。相比于混乱的个人电脑，这种中心化的管理，更能够防御黑客的漏洞入侵。
所以云服务器的安全才是未来整个安全行业的焦点，这次如果要是aws和阿里云如果被入侵了，事情的严重程度就比较高了。
这次杀毒概念股疯长，我认为需要冷静，未来的安全攻防战一定是服务器端的，而不是用户端，杀毒软件依然是用户端产品。
8
黑客可以制造出这么严重的全球性破坏，却只收获了几万美元，还要充当客服角色，反映的是当前的黑产的整体萧条状况。
不过无论怎么样，杀毒软件们做的事情是对的，但是这种短期PR有些过头，个人安全并不是未来的发展方向，服务器安全才是，而杀毒软件要想获得全新的增长，则必须找到自己全新的增量。
而作为个人，将自己的资料同步到云端，其实比安装一个杀毒软件更重要。

共有评论0条