勒索軟體肆虐，究竟是誰的責任？

                                                                                                         圖片來源: Microsoft

勒索病毒 WannaCry 侵襲全球數十萬台電腦，造成損失無數 – 不只是金錢損失，還包括醫院停機時的生命損害。儘管這波攻擊是鎖定微軟作業系統漏洞，微軟難辭其咎，但微軟堅稱還有其他人也應該一起負責，包括發現漏洞卻知情不報的美國國家安全局（NSA）。

微軟總裁兼法務長 Brad Smith 在部落格表示，微軟致力阻止勒索病毒的散播，包括不尋常地釋出很久以前就不再支援的舊版 Windows 安全更新：「身為科技公司，微軟的我們有處理這些問題的第一責任。」 他強調，這波攻擊顯示「網路安全已成為科技公司和用戶共有的責任」，聲稱使用者如果想要受到保護，就必須更新系統。他也責難情報單位，表示WannaCry 的技術就是來自於國安局根據此漏洞所研發的駭客攻擊武器。

就在 WannaCry 肆掠之前兩個月，微軟才發布了一項修補程式。只是這項修補程式只涵蓋 Windows 7 之後系統的使用者。自 2014 年 4 月之後，微軟官方便停止支援 Windows XP，不再公開發布任何修補程式。使用者需付費購買特定服務才能接受更新。儘管微軟這次緊急發佈 XP 修補程式以防止勒索軟體攻擊，但對於無數受害者來說，為時已晚。

社會學家 Zeynep Tufekci 在紐約時報撰寫的週末專欄中，認為微軟要為這次事件負大部分的責任，因為微軟決定停止支持舊版 Windows。「微軟這類公司不應該認為他們可以放棄使用舊版軟體的用戶，」 Tufekci 認為「他們從那些客戶身上賺走的錢可沒過期，修補缺陷的責任也一樣。」

微軟公司的抗辯理由是 XP 已經相當老舊。自 2008 年後出產的電腦便已不再搭載 XP，而且 他們已經盡責提醒客戶需在 2014 年之前更新系統。Windows 10 一開始採取免費策略，目的就是要盡可能讓使用者願意轉換系統。然而，被 WannaCry 攻擊的網路都有不升級的正當理由 — 它們通常是複雜的嵌入式系統，沒辦法使用修補程式，更不要說升級新的作業系統。只要其上運作的軟體有缺陷，系統就很容易遭到攻擊。

更麻煩的問題在於，電腦硬體趕不上軟體升級。2007 年的電腦已經沒辦法運行 Windows 10，而這些舊電腦還在使用中，數量以百萬計。這也是為甚麼不管微軟已盡全力揚棄 XP，但 XP 市場佔有率仍與 Windows 8.1 不相上下。

Android 也面臨到相同問題。Google 大概每 10 個月推出一次新版作業系統，但硬體製造商無法迎頭趕上，導致現在系統破碎化問題嚴重。只有 7% 的 Android 使用者正在使用最新版本系統，而有十分之一以上的使用者還在用已經不被支援的舊系統。一部分原因在於硬體廠造商沒有更新軟體，而另一部分原因在於硬體本身的效能。兩年前生產的手機所採用的處理器，到今日已不足以運作最新系統功能，更不要提安全性更新進度落後。

修補程式不能解決所有問題。像 Stagefright 或 Heartbleed 這類漏洞可以透過幾十種不同的方法來攻擊，幾乎不可能一次阻止。今天防範了一個漏洞，遲早又會再出現一個漏洞。從程式設計者的角度來看，最完整的解決方案是撤換整個系統，重新建立更穩固的骨幹，且要求所有人儘早停止使用舊系統，這也是 Google 與微軟現在正在做的事。若使用者還要堅持使用 Windows XP 或 Android Jelly Bean 等舊系統，可能要有後果自負的心理準備。