Embed below code to your site
不久前,自媒体报道深圳某公司上千台Win7、Win10电脑被锁死,锁屏界面显示“贵公司不能使用微软产品”。铁流咨询了数位业内人士,得到的回复是否定的,行业人士告知,“如果买了序列号都不算数了,这会被告死的,这涉及商业信誉问题”。虽然千台Win7、Win10电脑被锁死的事情很可能是假消息,但从全球海量电脑“莫名其妙”被升级到Win10来看,微软确实有远程控制电脑的能力,有鉴于微软对Windows具有超强的掌控能力,我们必须予以高度重视和警惕。
2017年,永恒之蓝席卷全球,超过90个国家遭到攻击,海里电脑因永恒之蓝而被锁死。永恒之蓝席卷全球,其实是利用了微软的MS17-010漏洞。黑客利用漏洞把蠕虫病毒植入被攻击电脑,被控制的电脑又会去扫描其他电脑,最终以多米诺骨牌的方式不断感染其他电脑。当年,一些不要说家庭用户和商业公司的电脑被大量感染,即便是有较高安全防护,或使用内外网隔离的机关单位,很多安装Windows的电脑也被病毒感染。未安全Windows系统的电脑反而在这次风波中豁免,比如Mac。一位朋友告知,当时单位里的龙芯+中标麒麟的电脑就未受影响。
由于现在的和操作系统是一个非常复杂的系统,但代码依旧是由人来编写的,这就很难不出现失误或者疏忽,从而产生漏洞。加上美国科技公司有配合政府收集情报的惯例——斯诺登就披露了微软、雅虎、Google、Facebook、Paltalk、YouTube、Skype、美国在线、苹果等公司先后加入了棱镜项目。这样一来,就很难保证国外的软件或者硬件列没有刻意植入的后门。
从永恒之蓝等病毒爆发的情况看,微软的操作系统很可能就事先预留了后门。
在事件发生后,微软总裁史密斯猛烈抨击美国政府,要求当局停止这种偷偷私藏安全漏洞留待日后使用的做法。以及黑客从美国国家安全局(NSA)盗取攻击工具的事实,很显然,这些攻击武器是美国国家安全局的御用黑客工具。
微软的这种做法,颇有把责任甩给美国政府,以摆脱信誉危机的嫌疑。以永恒之蓝为例,受该病毒影响的操作系统包括 Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0、Windows 10早期版本。很难想象微软在这么长的时间里,将存在漏洞的代码一直保留至今,而没有修改或重写。考虑到棱镜事件的先例,永恒之蓝这个漏洞很有可能是微软给美国情报部门留的御用漏洞。
根据维基解密,CIA针对从Windows XP覆盖至Windows 10的间谍攻击计划——优先组代号雅典娜,后备组代号赫拉。雅典娜和赫拉由CIA和Siege Technologies合作开发。目前,雅典娜的攻击范围从Windows XP至Windows 10;赫拉的的攻击范围从Windows 8到Windows10。
可以说,机关单位和国企采用Windows是存在一定安全风险的。此前,Windows8就因为存在安全隐患被机关单位禁止采购。由于Windows10和Windows8属于同一个架构,因而同样存在安全风险。倪光南院士指出,Win10系统存在被监控、被劫持、被攻击、被禁售、密钥和证书失控、无法加固、无法打补丁、不支持国产CPU等安全风险。
权威测评机构对Win10也做过分析、测评,证明Win10和Win8属于同一架构,名称的不同只是为了销售的需要,因此政府采购早些时候对Win8的禁令适用于Win10。特别是Win10捆绑微软可信技术,其内涵违反《电子签名法》和《商用密码管理条例》。
不仅倪光南院士还在多个场合批判过所谓的Windows10。沈昌祥院士也表示:审查小组提出3个原则,电子证书系统国产化、应使用中国的商用密码系统、应使用中国的可信计算技术(原可信计算技术下,第三方软件要经过微软的认证才能运行),由于违背这3个原则,Win10系统并未审查通过。
由于中国的党政军(办公)、金融、能源、工控、医疗、交通、教育等诸多领域大多采用国外的基础软硬件。一旦将来爆发网络战,由国家级攻击者使用美国情报部门开发的黑客工具进行攻击,则很有可能瘫痪中国经济社会的正常运行。
当下,Windows的风险不容小觑。Windows XP及Windows Server 2003的源码已经外泄放到网上供人下载,Win7则在2019年就停服,Win8和Win10明确存在安全风险。何况,微软对我们并不友好,在2019年,微软和断供国内某ICT巨头,使其无法预装Windows系统。一旦川普发飙,微软没准会采取更加极端的措施。
虽然有个别厂商试图引进Windows标榜自主,并试图将其打入政府采购名录,但从微软近年来的所作所为,以及Windows爆出漏洞来看,过分依赖微软是非常威胁的,在操作系统上必须实现国产化替代。
我国自主软硬件厂商经过十几年的积累,已掌握了部分核心技术,建设了初步的产业生态体系,具备了在部分关键领域进行国产化替代以及在部分市场上参与竞争的能力,可以说正处于持续发展的艰难爬坡期。在这个关键时期,本土国产厂商需要国家对自主产业强化政策和资金扶持,在与国家信息安全相关的敏感部门及关键行业优先考虑采用自主产品,通过财政和税收等手段支持这些企业的科研投入。而穿上国产化马甲的国外产品,则很有可能凭借其技术成熟度和背后的势力抢占党政军市场,扼杀来之不易的自主技术。