勒索软件的开源真的有利于信息安全的发展吗?
把勒索软件的源代码上传到GitHub?安全研究专家现在也无法确定这样做是否真的有利于信息安全的发展。根据我们的调查,当我们发表了第一篇关于这一话题的文章之后,安全研究专家MaksymZaitsev(CryptoTrooper的作者)就决定要删除他托管在GitHub中的项目了。接下来,我们要在这篇文章中深入分析一下到底应不应该开源勒索软件。
CryptoTrooper–【GitHub传送门】
CryptoTrooper是一款专门用于构建Linux勒索软件的开源工具,而在“勒索软件是否可以开源”的这一话题上,这款工具的诞生也将信息安全社区划分成了两个阵营。在此之前,UtkuSen所开发的EDA2和Hidden Tear这两款勒索软件就已经引发了信息安全社区的广泛讨论。这一话题的核心无非就是两个问题:首先,安全研究专家是否应该以“教育”为目的去开发勒索软件?其次,他们是否真的应该将勒索软件的源代码公布在GitHub上?
你可能会认为这个问题的答案绝对是“否定”的,但事实并非如此。为了广泛采集安全社区人员的意见,我们专门在Twitter上发起了一次投票。投票内容为:勒索软件的开源会让我们更好地检测和防范勒索软件,还是会让目前的安全现状变得更加糟糕?
令人感到惊讶的是,这两种观点的持有人数基本持平。大约有54%的人选择了“毫无帮助”,而46%的人选择了“有帮助”。
Twitter上的这次投票再次引发了人们关于“勒索软件开源”的讨论
这次投票吸引了大量安全研究人员的参与,我们总共收集到了513次投票。不仅如此,在投票窗口下方的讨论栏中,意见双方也展开了激烈的讨论。
Softpedia网站会定期发布关于勒索软件的最新信息,当某一款新型的勒索软件出现之后,我们便会在第一时间将关于这款勒索软件的信息提供给广大用户。当然了,我们也曾报道过EDA2和Hideen Tear这两款具有“教育意义”的勒索软件。实际上,这两款勒索软件与CryptoTrooper十分类似,这些勒索软件的开发人员旨在通过开源勒索软件的代码来向其他的安全研究人员展示勒索软件的工作机制。
开源勒索软件的弊端
将勒索软件开源之后,犯罪分子不仅可以直接使用这些勒索软件,而且还可以在原本代码的基础上开发新的恶意代码。在去年,总共有12款勒索软件使用了Hidden Tear的源码(8lock8、Blocatto、Cryptear、Fakben、GhostCrypt、Globe、HiBuddy!、Job Crypter、KryptoLocker、MireWare、PokemonGO和Sanction),而EDA2的恶意代码也出现在了10种不同的勒索软件中(Brazilian、DEDCryptor、Fantom、FSociety、Magic、MM Locker、SkidLocker、SNSLocker、Strictor和Surprise)。
虽然Utku Sen(土耳其安全研究专家,HiddenTear和EDA2的作者)在Hidden Tear的加密算法和EDA2的后台Web控制面板中加入了后门,但是有的犯罪分子在获取到了它们源代码之后,修复了其中的漏洞。
实际上,Utku Sen之所以决定要移除这两个托管在GitHub上的项目,主要是因为他发现很多犯罪分子会利用他的源代码来进行恶意的攻击行为,而这与他之前的想法背道而驰了。再加上安全社区中没有多少人支持他的这一做法,所以迫于压力他才不得不移除GitHub上的这两个项目。
CryptoTrooper也不得不“下架”
CryptoTrooper项目已经在GitHub中存在了七个月之久了,随着Twitter上的这一次投票,CryptoTrooper也成为了人们此次讨论的焦点。考虑到去年有如此之多的恶意软件使用了Hidden Tear和EDA2的源代码,所以如果接下来又出现了大量使用CryptoTrooper的恶意软件的话,想必也没有人会觉得惊讶吧?
当然了,在得到了此次投票的最终结果之后,我们每个人都惊呆了,因为谁也没有想到最后的投票结果竟然如此的接近。
但是根据Softpedia透露的信息,在他们所采访的安全研究人员中,所有人都反对将勒索软件开源。因为他们均认为开源勒索软件不会给我们带来任何的好处,而且甚至连一个支持Zaitsev的人都没有。
在Softpedia所采访的人员中,只有FabianWosar同意我们公布他的观点。众所周知,Wosar是Emsisoft公司的恶意软件分析专家,而他也被业界人士称为“勒索软件的头号杀手”。在此之前,Wosar成功破解了大量的勒索软件,并且还开发了很多免费的勒索软件解密程序。因此,有的恶意软件甚至还会以他的名字来命名勒索软件,例如Fabiansomware。
Wosar在接受Softpedia的采访时说到:
“实际上,勒索软件的开源并没有多大的教育意义。你见过哪个医生为了学习医术而在大街上胡乱开枪打人的吗?”
除了Wosar之外,其他的安全研究人员都希望可以保持匿名。有的人认为“当我们往GitHub上传代码时,我们一定要为自己的代码负责,因为别人很可能会将你的代码用于恶意目的。”而有的人则认为Zaitsev的想法非常幼稚,他的这种行为完全是在误导别人。实际上,大约有一半的受访人员并不认为Zaitsev开发这些项目有何不妥,只不过他们认为Zaitsev不应该将勒索软件的源代码上传至GitHub。
英雄自然心心相惜,至少Zaitsev还有UtkuSen的支持
Utku Sen在接受采访时表示:
“我们在开源的勒索软件中故意留下了后门,这样做主要有两个好处。首先,当犯罪分子使用我们的源码时,我们就可以通过后门来解密数据。当然了,并不是所有的犯罪分子都会直接使用我们的源码,但是人们会逐渐开始意识到勒索软件是可以被解密的,最后就没人会为勒索软件付钱了。只要能够让用户不为勒索软件付钱,我们就可以让犯罪分子无利可图了。
其次,开源勒索软件的另一个好处就是可以摧毁勒索软件的销售链。去年,在各大暗网论坛和黑产市场中还有很多人在出售勒索软件,但是当HiddenTear和EDA2问世之后,几乎已经没人再会出售或购买勒索软件了。”
总结
不幸的是,虽然投票结果非常接近,但是UtkuSen和Zaitsev的这种乌托邦式的想法却没有得到大家的支持。至于勒索软件的开源是否能够促进信息安全技术的发展,这就得看你从哪个方面来考虑了。但是信息安全就是这样,攻防两端永远都处于一种不断提升的状态,而攻击者和防御者也永远在玩“猫捉老鼠”的游戏。