在经历了CrowdStrike蓝屏和某品牌CPU“缩缸”事件后,愈发感觉计算机世界更像是一个薄皮大馅的存在,寥寥几行代码错误,就会导致大面积的硬软件故障,那么站在历史的高度回看过去,我们经历过那些荒谬又奇葩的“小问题引发大故障”的安全事件呢?
01
CIH病毒,“物理超度”你的主板和硬盘
对于大多数70、80后而言,“CIH病毒”是一个久远但又记忆犹新的名字,当时的电脑被CIH病毒感染后不会立即爆发,而是会潜伏到一个特定的日期才会爆发——1999年的4月26日,CIH病毒全面爆发,仅在中国就有超过36万台计算机受损,涉及企业、事业单位和个人用户,直接经济损失超过十亿元人民币,而韩国的损失更为严重,约有25万台电脑中毒,经济损失在当时就超过了2.5亿美元。除了亚洲地区,欧美和日本也受到了影响会。
CIH病毒会导致电脑突然死机或无法开机的问题,虽然即便是现在来看这些问题也非常常见,无非就是系统故障或是哪个硬件接口松了之类的,但CIH病毒的目的要歹毒许多,因为不仅可以破坏硬盘数据,还能破坏主板BIOS固件。
现在我们还可以从github等平台下载到CIH病毒的源代码
BIOS是控制电脑基本输入/输出的一段程序,比Wndows操作系统更为底层,存储在主板上的一个小芯片里,需要使用一颗纽扣电池为其单独供电,在开机时BIOS最先运行,只有它检测到键盘、显示器等正常工作,你接下来才能正常使用电脑。
而CIH 病毒会调用CPU的最高权限,尝试将垃圾信息写入硬盘和BIOS,会直接导致固件升级失败,主板和硬盘直接“变砖”。
从代码来看,CIH病毒并不复杂,作者陈盈豪在完成这个病毒时也只有23岁,而整个操作最核心的一步就是通过修改中断描述符表,获得CPU的ring0,也就是最高权限。
在后来的WinNT操作系统中,中断描述符表所指向的内存已经无法修改,无法再通过执行这段代码来获取最高权限,所以Windows NT/2000/XP及以后的系统对CIH天然免疫……总结起来其实就是软件厂商稍微改动一下设置就能弥补的问题,却因此闯下了一场大祸。
02
美国国家安全局漏洞泄露导致的“赛博勒索事件”
2017年5月12日,WannaCry蠕虫病毒利用Windows系统基于445端口的SMB漏洞MS17-010(永恒之蓝)进行传播,全球范围至少150个国家的30万名用户中招,造成的直接经济损失就达到了80亿美元。
勒索病毒的目标很单纯,就是要钱
WannaCry蠕虫病毒通过漏洞获取系统最高权限后,首先会通过恶意代码扫描互联网和局域网环境中开放445端口的Windows系统,这是因为445端口中有个空连接,也就是没有固定文件夹的共享,只要是打开445端口的电脑,就意味着只要可以破获对方的密码,就能在局域网中轻松访问各种共享文件夹,并在对象用户完全无感的情况下完成传播。
接下来病毒会使用使用非对称加密算法RSA 2048对电脑里包含照片、视频、EXE文件的文件夹进行加密,而且每个文件各使用独立的随机密钥,这种加密方式目前是无法暴力破解的,然后病毒会弹出一个勒索界面,非常嚣张地告诉你不可能有人能够破解密码,并于要求你在三天内以比特币等形式支付解锁费用,时间拖得越久,费用就越高。
那么问题如何解决呢?只需要安装微软MS17-010安全更新就能直接填上这个漏洞,但已经感染病毒的企业和个人用户可就遭了殃。
虽然如阿里云安全团队等安全机构在第一时间就开发了针对WannaCry的“一键解密和修复”工具,该工具可以在未重启操作系统的情况下恢复被加密的文件,适用于Windows Server 2003和Windows Server 2008等操作系统用户,但即便如此也无法保证完全恢复文件,因此该病毒的“后劲”相当足。所以在WannaCry蠕虫病毒发生之后,企业用户都开始注重数据持续保护系统的构建,简单来说就是实时备份数据,在病毒感染后可以第一时间恢复,在最短时间内,最大程度减少数据丢失的风险。
从根源来看,“永恒之蓝”这个系统漏洞的源头是是美国国家安全局,他们开发的这个漏洞利用程序原本是用于监听用户,但该漏洞被黑客组织泄露,从而引发了这场赛博浩劫。
03
病毒为何逐渐不“流行”了?
那么时过境迁,为什么现在电脑没有病毒了?
电脑病毒的数量在减少,这是因为现在的杀毒软件和系统越来越智能化,能够更好地检测和清除病毒。此外,随着人们对网络安全意识的提高,越来越多的人开始使用杀毒软件和防火墙等安全工具来保护自己的电脑。甚至电脑系统自带的防火墙以及管家也在做电脑的防御体系。
但实际上,电脑病毒并没有完全消失,它们仍然存在并且经常出现。但是,现在的电脑病毒与过去相比已经发生了很大的变化,主要表现在以下几个方面:
1.病毒的传播方式发生了变化 。过去,病毒主要通过电子邮件和文件共享进行传播,而现在,社交网络、云存储和移动设备成为了病毒传播的主要途径。例如,恶意软件可能会通过社交媒体应用程序、云存储服务和移动应用程序等方式进行传播。 当然,黄赌毒这种,基本会在云后台查杀,其智能程度无需我多说,精确到每帧。
2.病毒的攻击目标发生了变化。过去,病毒主要针对 Windows 操作系统,而现在,macOS、Linux 和移动设备也成为了病毒攻击的目标。特别是企业的主机和服务器成为了他们的攻击目标。因为这些才有价值,普通的用户普通的电脑一般也没有太大的价值可以挖掘出来的,所以做商业才更有价值。此外,病毒还可能针对特定的行业和领域,如医疗保健、金融和政府等。
3.不做无利的买卖。过去,病毒可能窃取用户数据、进行勒索和进行网络攻击等。或者卖弄哈技术就被逮进去踩缝纫机的,比如熊猫烧香这类。随着云计算的兴起,这种靠绑架肉鸡来骗钱的方式,只能说是原始人才干的事情。如果有新的诈骗方式来钱更快,很显然不会轮到给电脑下毒,更令人值得防范的是电信诈骗。
