勒索病毒的启示|No.31
上周一,办公室半天断网,原来是因为“想哭”病毒。看个新闻,有些人只能看到表象,有些人就非要分析出一千字。
打上系统补丁不够,分析出责任链,下次让病毒无孔可入,不枉费经历一次攻击。不总结,中毒千万次也只是活该。尽请对号入座生活中的各种“病毒”。
▌精选导读
1.WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。
2.责任链模式(Chaîne de responsabilité):编程用语。责任链模式是一种对象的行为模式。在责任链模式里,很多对象由每一个对象对其下家的引用而连接起来形成一条链。请求在这个链上传递,直到链上的某一个对象决定处理此请求。发出这个请求的客户端并不知道链上的哪一个对象最终处理这个请求,这使得系统可以在不影响客户端的情况下动态地重新组织链和分配责任。
En génie logiciel(软件工程上), le patron de conception chaîne de responsabilité permet à un nombre quelconque de classes d'essayer de répondre à une requête sans connaître les possibilités des autres classes sur cette requête. Cela permet de diminuer le couplage entre objets. Le seul lien commun entre ces objets étant cette requête qui passe d'un objet à l'autre jusqu'à ce que l'un des objets puisse répondre. Ce patron de conception permet aussi de séparer les différentes étapes d'un traitement et d'implémenter facilement les relations d'héritage.
译闻回顾
Cyberattaque : les leçons de WannaCry
网络攻击:勒索病毒的启示
Les pirates ont utilisé un logiciel malveillant pour prendre le contrôle d'objets connectés afin de saturer les serveurs visés.
黑客利用恶意软件控制联网电脑,攻击目标服务器。
La cyberattaque des 12 et 13 mai est hors normes. WannaCry a frappétous les espritset constitue déjà une date majeure dans l’histoire du crime : jamais encore une attaque informatique n’avait eu cette vitesse fulgurante et cette puissance incroyable de diffusion, se propageant en Europe, en Asie, touchant plus de 150 pays et de centaines de milliers d’ordinateurs, paralysant des activités économiques presque partout dans le monde.
5月12日和13日爆发的网络攻击史无前例。WannaCry病毒震惊四座,称霸犯罪史。此次网络攻击能力和传播速度空前,在欧洲和亚洲迅速蔓延,超过150个国家的成千上万台电脑中招,几乎导致全球经济活动瘫痪。
C’est totalement inédit et c’est, dans le registre informatique,une arme de destruction massive. Les Etats, les entreprises, et les assureurs cherchent maintenant à établirla chaîne de responsabilitésqui a rendu possible ce type d’attaque. C’est le début d’une onde de chocqui vaconcernerbeaucoup de monde.
勒索病毒可谓是史无前例的大规模杀伤性网络武器。国家,企业,承保方现在试图建立责任链,找出此类袭击的始作俑者和责任方。这一波冲击将牵扯到很多人。
La chaîne des responsabilités责任链
Il y a d’abord ceux qui ont pensé, conçu et lancé cette attaque criminelle, car il ne s’agit pas d’une erreur de manipulation, mais bien d’une intention criminelle : cela prendra du temps, peut-être même beaucoup de temps, pourremonter la piste, sans qu’on sache même si les enquêteurs y parviendront.
首先是网络攻击的策划和实施者。因为这并不是一次操作失误,而是蓄意犯罪。追踪找出始作俑者可能需要很长时间,即使找到也可能不让大众所知。
Ensuite, on se tourne déjà du côté deséditeurs de logiciels. Ils sont le premierchaînonqui peut permettre ou même faciliter ce genre d’attaque. Quelle est leur part de responsabilité ? Microsoft connaissait par exemplela faille informatiqueutilisée par les auteurs de l’attaque. Pourquoi Microsoft n’a pas pu, n’a pas su, n’a pas voulu l’anticiper ? Y a-t-il une faute, une défaillance de l’entreprise ? Cette seule question est déjà dévastatrice.
其次是软件开发者。他们是责任链的第一节,系统漏洞让攻击有机可乘,甚至促使了攻击的发生。他们应承担哪部分责任?比如微软承认系统漏洞被黑客利用,他们为什么没能做到,了解并提前做出行动?企业是否存在过错?仅此一个问题就能产生毁灭性后果。
Tout aussi incompréhensible est l’absence de mise à jour systématique de nombre d’ordinateurs d’entreprises ou d’administrations. Et cette question devrait déjà susciter un plan d’action et une réplique d’envergure pour mieux protéger nos systèmes informatiques.
令人难以理解的是,众多企业和行政机构没有及时更新电脑程序。面对微软的系统漏洞,应该有行动计划更好保护我们的信息系统才对。
Il y a ensuite un autre champ de responsabilités, celui des Etats. La numérisation accélérée de nos vies impose une extension des obligations de sécurité informatique. La mise en pratique d’un principe de précaution informatique va coûter cher. Les enjeux sont énormes et c’est une responsabilité nouvelle etcolossalepour toutes les politiques publiques.En aval, mais aussien amont: cette faille informatique qui a rendu l'attaque possible avait d’abord été découverte par laNSA, l’une des grandes agences de sécurité américaine. Pendant des années, la NSA semble même s’en être servie, sansavertirMicrosoft. Et c’était manifestement jouer avec le feu.
国家也需要承担责任。人民生活数字化进程加快,信息安全的责任范围也随之扩大。信息安全预防措施需大量投入,这是所有上下级公共职能部门面对的巨大全新挑战。美国国家安全局(NSA)首先发现了此次网络攻击的系统漏洞。但多年以来,作为美国最大的安全机构之一,NSA似乎并没有充分发挥作用,没有提醒微软公司。这明显就是在玩火嘛!
Tout au bout de la chaîne, il y a nous, pauvres utilisateurs, et nous sommes aussi souvent de pauvres pécheurs, car il nous revient aussi de veiller à notre sécurité informatique : effectuer les mises à jour, les sauvegardes, ne pas télécharger n’importe quoi, choisir un bon mot de passe et en changer régulièrement… Et c’est un peu la même chose que pour la santé, chacun a aussi sa part de responsabilité.
责任链的末端,是我们这些可怜的用户。我们也是可怜的罪人。我们应该也警惕自身的信息安全:经常更新系统,使用防火墙,不乱下载,设好密码经常更新...和身体健康一样,每个人都有自己的责任。
Les "acts of men", hantise des assureurs
人为风险——承保人的烦扰
Enfin, les assureurs s’inquiètent aussi. Ilsont coutume declasser les risques qui nous menacent dans trois grandes familles, avec une métaphore. Il y a d’abord les "acts of god", c’est-à-dire ce qui est dans la main de dieu : ce sont les catastrophes naturelles, lescrues, les tremblements de terre, les volcans en éruption, etc. Ensuite, il y a les "acts of devil", les actes du diable : ceux qui frappent et tuent intentionnellement des hommes. C’est le terrorisme, et même ce que les assureurs nomment désormais le risque de l’hyper-terrorisme. Et puis, entre ces deux familles, il ya les "acts of men", les actes des hommes. Ce sont les risques technologiques que nous créons, et de plus en plus, au point qu’ils peuvent devenir systémiques, comme dans cette dernière cyberattaque.
最后,承保人也担忧。在保险行业,习惯将风险分为三类。首先是“天灾”,即“上帝行为”,包括自然灾害,洪水、地震、火山爆发等。其次是“恶魔行为”,比如蓄意杀人,恐怖主义,现在称之为超级恐怖主义风险。在这两类风险之间,还有一类“人为风险”。是由人类创造的技术产生的风险不断增加,演变成系统性风险,此次的网络攻击就是例子。
La technologie est souvent formidable, on ne pourrait pas s’en passer, mais elle est aussi unpourvoyeurde risque extraordinaire. C'est un paradoxe : plus nos sociétés contemporaines sont développées, et plus notreaversion au risque se développe. Et cela induit une énorme demande de sécurité, tout azimuts. Tout l’enjeu aujourd’hui est de garder la tête froide, de ne pas céder aux réponsesdémagogiques, mais d’identifier les risques, de travailler à les réduire, autant que possible.
技术具有强大力量,我们不可能不使用科技,但技术有可能产生很大风险。矛盾在于,我们的社会越发展,我们就越厌恶风险,对各方面的安全需求激增。现在的关键是要保持头脑冷静,不被煽动,鉴别风险,尽可能降低风险。
(中文译文原创编译,1000字)
关于译趣美
译:提供高质量的口笔译服务及有趣的英法语言培训课程。
趣:分享让学习和生活变有趣的方法,组织多彩读书会。
美:相信自律自控努力为美,努力实践。