来自赎金软件到大流行的战斗节奏课程

目前，北卡罗来纳州（北卡罗来纳州）只有四分之一的燃气站报告说他们有任何气体。赎金软件攻击关闭了提供这些车站的关键管道。这次攻击会成为醒来的电话吗？我对此表示怀疑。对于这么长的时间来说，这个问题已经很明显，我担心我们不会真正解决威胁，直到存在真正的灾难。

在大流行之前，我写了很多关于数字安全的。好吧，缺乏。我曾经将我们正在做的事情与“在代码中建立摩天大楼贫民区”。它仍然是相同的，我们只是听到更远的隆隆声。

数字不安全感和赎金软件的动态和相关威胁是令人惊叹类似于大流行的引入。就像大流行一样，警报已经响起数字安全数十年，但我们只是击中贪睡而不是唤醒并处理威胁。当然，虽然在威胁的性质和一些动态方面的平方相当醒目，但具体情况是不同的，而重要的是很多。

虚构的战斗法甘达系列解释了一个关键的相似性：网络系统易受攻击。这艘船幸存下来的初始攻击（人形机器人）只是因为它是老的，并且刚刚在被转变为博物馆的过程中被退役。年龄较大，它从未被联网进入过系统。攻击者发送的“关机”命令从未达到过，而且，与人舰队中的其他所有战舰不同，因此备受净化。

对于Digital（In）安全性，我们拥有的是棘手的组合，建立在我们扩大的联网基础设施之上：技术复杂性和“债务”（更多就在其中的债务）达到了负面的外部性，现在已经遇到过的负面的外部性，嗯...比特币。

从技术上讲，我们的软件基础架构没有通过安全性建立。这部分是因为很多这取决于旧层，而且还因为长期没有令人振奋的激励来构建优先考虑安全性的软件基础架构。操作系统可能有（并且应该具有）以不同的功能构建，如“沙盒”：这是一个程序只能在一个名为“沙箱”的定义的寨区中，其中它无法达到其他任何东西。因此，如果该计划是恶意的，它才能达到的唯一伤害是在那个沙箱中 - 只有在那个沙箱中。 （这类似于“空中拍打”的想法：基本上，从网络上拔下基础设施的关键部分。

事实后，很难增加安全性的数字系统。在我们周围有很多所谓的“技术债务”。这些是工作的程序，而是很快或有时是几十年前的。我们不触摸这些摇摇晃晃的层，因为它会非常昂贵，难以做到，与他们搞乱可能会导致其他一切崩溃。

技术债务：很多新代码写得非常快，因为这就是硅谷的当前软件开发（和天使投资者/风险投资模型）的交叉口迫使人们进行。资助者希望公司快速扩大，并在其空间中扩大垄断，如果他们可以通过网络效果 - 一个人使用平台的系统，它越有价值。软件工程师尽可能快地执行它们。基本上，代码中有很多相当于“导管磁带”，将内容保持在一起。如果完成，该代码最终将被修正，评论（编写说明，所以下一个程序员知道Heck Up的内容）并移植到基于右尺度的系统 - 之前 - 在存在危机之前。这做了多久一次？我赌注很多人等待系统是否崩溃，需要修复。到那时，你可能太大了，不能下降太久，所以有更多的管道胶带的诱惑。等等。

此外，我们最终没有为此建造的全球网络。这是2018件：

早期的互联网旨在连接那些已经相互信任的人，如学术研究人员或军事网络。它从未拥有今天的全球网络需求的强大安全性。随着互联网从数千用户到超过30亿用户，由于成本，短视和竞争利益，试图加强安全性被迟钝。将日常物体连接到此摇摇欲坠，不安全的基础将创建克定的东西。这是不负责任和潜在的灾难性。

此外，忘记了昂贵和困难的技术，我们甚至没有停止许多普通的设备，以获得基本上从预先存在的列表中汲取的密码，其中包括“密码”等非常难以破解的特殊性，“1234 ,,和”默认。“这是2019件我对巨型僵尸婴儿监视器连锁店写到了用于跛行基础设施的克利普利基础设施（如利比里亚的细胞通信）或审查记者：

问题是痛苦的简单又极大的棘手，它与全球化，法律和责任同样多的技术。我们的大多数Gizmos依赖于通用硬件，其中大部分在中国生产，用于全球消费产品。要执行工作，这些设备运行软件并具有可以登录的用户配置文件来配置它们。不幸的是，许多制造商已经选择了允许简单且已经广泛的已知密码，如“密码”，“通过”，“1234”，“admin，”默认“或”guest“以访问设备。

在一个简单但毁灭性的攻击中，有人汇总了61个这样的用户名/密码组合的列表，并编写了一个扫描互联网的程序，了解使用它们的产品。一旦进来，软件迅速安装自己，并且在狡猾的扭曲中，扫描设备的其他众所周知的恶意软件并删除它，以便它可以是唯一的寄生虫。被称为Mirai的恶意计划，然后将数百万这些易受攻击的设备连接在一起进入僵尸网络 - 一种受感染的计算机网络。当Zombie Baby的巨型部位监视器，打印机和相机同时平时地平时，目标网站变得不堪重负，因此可以避免，除非它采用昂贵的保护。

这一切如何？为什么这个问题没有修复？好吧，一个关键问题是经济学家称之为负面的外部性：基本上，它是免费的，即将这样的软件或设备播放，并且可以修复出现的任何问题。采取更昂贵的路线没有立即奖励。这就像告诉工厂，他们可以像他们想要的那样污染，把废物倾倒入空中或附近的河流，或者他们可以选择安装昂贵的过滤系统，在污染不可通过气味快速地看到污染的情况下或外观。好吧，猜猜会发生什么？公司不担心，因为他们没有，即外部化。这是2017年的F ROM：

作为提醒的是股权，携带生病儿童的救护车被转移，心脏病患者通过赎金软件攻击转向英国的手术。这些医院可能永远不会得到他们的数据。这样的最后一个大蠕虫，Conficker，在2008年的近200个国家感染了数百万个电脑。我们更依赖于今天的关键职能的软件，并没有保证下次会有杀戮切换。

现在是时候考虑当前的监管设置是否允许所有软件供应商为其客户提供零责任的所有缺陷和问题的成本，需要重新审查。这也是最有利可图的软件行业的时间，这取决于其产品的机构和委托他们的公民安全和基础设施的基础设施的政府机构，果断地审判和行动。

更好的问题是，如果问题已经如此普遍存在，为什么不发生数字黑客和赎金仓单？从一个意义上，它发生了很多。黑客之后，Hack盗窃了盈利数据（如Equifax Hack），以及被链接在一起的设备，用于拒绝服务攻击，如僵尸婴儿监视器件中解释的那样。遗憾的是，也没有缺乏规模的责任。

此外，当然，就像大流行一样，数字漏洞的根源是一个带耦合漏洞的连接网络：生物病毒可以在我们做的（并且在大流行前，我们做的，而不是以往任何时候）和恶意软件软件病毒可以通过互连的网络（现在无处不在，随着软件吃世界）。耦合基本上意味着当有一件级别出现问题时，它通常会达到拖动其他东西。众所周知，紧密耦合的系统容易出现级联故障，其中一个故障基本上触发了雪崩。 （更多的是在未来写作中）。

但是以前缺少的一件事是一种简单或明显的方式，可以通过货币化所有这些数字渎职行为。与软件不同，金融部门在全球范围内相当严重监管。尽管有可能在这里和那里转移钱，但如果在几个扼流点的监管机构已经死于它，那么在全球金融系统中获得赚钱就会很容易。一些检查站包括Swift Monover Transion Systems，美国财政部和OFAC计划，以及纽约南部的美国律师，纽约市中心位于华尔街。窒息点令人惊讶的是，很少，他们中的大多数人都会回到美国。

输入比特币。由于人们可能认为使用比特币来将真正大量的钱从系统中搬出来播出，而且可以用它来购买东西，或将其变成现金。少量，肯定。那种将使大规模欺诈具有吸引力的总和？并不真地。 （未来的一个较长的一块，为什么这是：如果有的话，它可能是由区块链基础设施的更加困难）。但是，比特币肯定会让它更诱人尝试，即使是小额的总和。许多赎金软件尝试不适合庞大的总和。因此，比特币和Crypto硬币生态学已经给予了一个可扩展的商业模式，至少在其“企业家”的思想中。它使攻击值得尝试，即使是小额的总和，因为尝试它很容易。

这是希望吗？不，但我们是诚实的：这是修复的一个非常昂贵的问题。它不会解决自己。解决方案将要求我们的政府改变其优先事项。我们需要一个监管环境来鼓励和强制不同的做法，将资源投入到问题。和更多。这是我在纽约时报写道的另一件2015件::

这并不毫无希望。我们可以使程序更可靠，数据库更安全。应孤立在互联网连接对象上的关键函数，并要求外部审计提前捕获问题。但这需要初步投资来防止未来的问题 - 与当前的企业冲动完全相反。它也可能是不是一切都需要网络，并且漏洞的权衡不值得。

修复数字不安全的危机将需要关注金融方面。这将是最简单的修复。但是，最后提出了棘手的问题，最后是关于“加密”乐器周围的投机资产泡沫。 Crypto问题与大规模的全球不平等的棘手问题有关，我们的金融系统周围大量的现金晃动，以及在几只手中的集中。

解决数字不安全也需要提高技术堆栈的更好规则，以便负责的外部性成为公司的内部内容 - 因此他们负责解决他们创造的问题。在运送产品之前，这些公司必须至少做他们可以做的简单事项。我们必须对我们的基础设施的重做部分进行大规模投资，包括将其关键部分与弱势网络，建立冗余和保障措施隔离，甚至重写其中的重写。 （是的，你可以停止笑或哭泣，或两者）。

更有可能的情况是，财务方面会有一些举措（使得越来越难以得到大笔资金）和国家/地区（你可以减弱另一个政府，相互互动，但它更难做到这一点到独立的球员）。可能还有一些努力“制定一个例子”的一些高调的尝试：跟踪人们并递交大规模的句子。这并不像听起来那么困难，但它需要资源。如果赎金软件尝试激增，则惩罚不会与威慑力量有效，因为大多数人不会被捕获，因为许多人都在尝试。这基本上为赎金软件人员建立了灾难彩票：大多数人可能不会被捕获，但少数将被压碎。

但只要这很容易导致数字浩劫并希望从中获利，只要没有被抓住或受到惩罚的小额总和，它将再次又一次地尝试。尽管他们可能是可怕的后果，但即使它们不是非常有利可图，也很难解决分散的威胁。

这有点像大流行于2020年之前对我来说是我的：我们知道一个主要的威胁正在发生，而我们的基础设施缺乏。我们在2003年有SARS，我们在2014-2016赛中获得埃博拉危机，我们曾与20世纪80年代开始的艾滋病毒/艾滋病灾难。我们搬到了它吗？我们没有。所以我们又来了。与此同时，我的本田思域有一半的气体，所以我现在我会没事的。我对网络世界的未来并不是那么肯定。