上周五開始的勒索軟件WannaCry的攻擊導(dǎo)致了全世界至少20萬(wàn)臺(tái) Windows 電腦被黑，攻擊者加密了電腦文件，索要價(jià)值 300 美元的比特幣作為贖金。

圍繞著這件事，微軟和被認(rèn)為是攻擊軟件泄漏源頭的美國(guó)安全局(NSA)開始相互推卸責(zé)任。微軟指責(zé)安全局，安全局也不準(zhǔn)備承擔(dān)責(zé)任。

在本周二創(chuàng)投媒體 TechCrunch 舉辦的 Disrupt NY 2017 大會(huì)上，在被問(wèn)及這次勒索軟件是否源自美國(guó)安全局(NSA)時(shí)，前安全局主管基思·亞歷山大（Keith Alexander）將軍沒有直接否認(rèn)，他給出的回應(yīng)是：“NSA 沒有使用勒索軟件 WannaCry，是罪犯在用。是有人偷了這工具。”

　　美國(guó)安全局(NSA)前主管基思·亞歷山大將軍｜圖片來(lái)自：維基百科

在進(jìn)一步解釋中，他認(rèn)為 NSA、FBI 等政府機(jī)構(gòu)為了保護(hù)國(guó)家抵抗恐怖襲擊和網(wǎng)絡(luò)攻擊這兩種主要的威脅，就需要掌握一些工具作為抵抗能力。他對(duì)主持人馬特·伯恩斯（Matt Burns）說(shuō)：“(NSA)不會(huì)囤積漏洞；他們會(huì)放出 90％ 以上的獲取的漏洞，但為了追蹤恐怖分子，你就需要漏洞。”

這不是官方回應(yīng)，但這位 NSA 前主管的話，已經(jīng)算是比較“正面”地承認(rèn) NSA 在這件事上的責(zé)任，以及此前的泄漏事件。

基思將軍在 2005-2014 年間執(zhí)掌 NSA，曾趕上斯諾登泄密事件。退休后，他與人聯(lián)合創(chuàng)立了安全公司 IronNet Cybersecurity。

上周日，微軟主席布萊德·史密斯(Brad Smith)在微軟官方發(fā)表了反思文章，說(shuō)了微軟在支持 Windows 系統(tǒng)上的職責(zé)，提醒用戶要及時(shí)更新電腦系統(tǒng)外，還指責(zé)了囤積這些軟件系統(tǒng)漏洞的 NSA 等政府機(jī)構(gòu)是個(gè)隱患，稱這次攻擊軟件外泄，可以跟“美國(guó)軍方丟失了數(shù)枚戰(zhàn)斧導(dǎo)彈”相提并論。

但微軟只為最新的 Windows 10 系統(tǒng)補(bǔ)上漏洞，沒有顧及更早、已經(jīng)不再賣的操作系統(tǒng)顯然讓攻擊變得更容易了。如果說(shuō) Windows XP 老得該死，經(jīng)微軟授權(quán)的 Windows 8 電腦在企業(yè)銷售渠道卻是依然有售的，甚至許多有完備 IT 規(guī)范的 500 強(qiáng)美國(guó)公司都有大批 Windows 8 電腦在使用當(dāng)中。

事發(fā)后，微軟追加了早期操作系統(tǒng)的補(bǔ)丁。

在這周一的白宮媒體會(huì)上，美國(guó)政府沒有直接否認(rèn)針對(duì) Windows 漏洞的攻擊軟件的泄漏，但嘗試撇清他們?cè)谶@件事上的責(zé)任。

國(guó)土安全顧問(wèn)湯姆?博塞特（Tom Bossert）稱這些攻擊軟件“不是 NSA 開發(fā)來(lái)控制勒索數(shù)據(jù)的。這個(gè)工具是由有罪的團(tuán)隊(duì)開發(fā)，他們可能是罪犯，或者是外國(guó)做的。國(guó)土安全顧問(wèn)獨(dú)立于安全局（NSA），隸屬于國(guó)土安全委員會(huì)。

不過(guò)，NSA 囤積這種攻擊、監(jiān)控軟件已經(jīng)有相當(dāng)一段歷史了，最知名的可能就是 NSA 外包技術(shù)人員斯諾登在 2013 年將 NSA 監(jiān)聽項(xiàng)目的文件披露給《衛(wèi)報(bào)》、《華盛頓郵報(bào)》。

這次事件中也跟一位 NSA 技術(shù)外包人員有關(guān)。前 NSA 員工稱，一位名叫 Harold T. Martin III 的人此前偷走了部分文件、軟件代碼，跟 4 月份外泄的漏洞和攻擊工具有相同的。攻擊軟件外泄也一度導(dǎo)致部分 NSA 員工擔(dān)心，這項(xiàng)被使用了 5 年多的攻擊工具被認(rèn)為威力過(guò)大，NSA 員工還探討過(guò)要將漏洞告知微軟的可能。

除去微軟指責(zé) NSA 囤積漏洞、不告知商業(yè)公司外，沒法妥善保護(hù)好攻擊軟件是目前 NSA 被批評(píng)最多的另一點(diǎn)。在 1999-2005 年擔(dān)任 NSA 主管的邁克爾·海登(Michael Hayden)稱：“如果一家機(jī)構(gòu)有強(qiáng)力工具但不能控制在自己手里，我就不能捍衛(wèi)這家機(jī)構(gòu)。”

現(xiàn)實(shí)是情報(bào)機(jī)構(gòu)攢了一堆漏洞不說(shuō)，等著“關(guān)鍵時(shí)刻”使用，但還沒用上就被黑客拿出來(lái)害人了。