以下文章经许可转载自The Conversation,这是一个报道最新研究的在线出版物。
名为“WannaCry”的全球勒索软件攻击,上周开始并持续至今,如果人们(和公司)保持他们的计算机软件更新,本可以避免,或者至少可以大大减轻其严重性。这次攻击的蔓延表明,在超过150个国家/地区,有数十万台计算机运行着过时的软件,这使得它们容易受到攻击。受害者包括英国国家医疗服务体系、物流巨头联邦快递、西班牙电信巨头Telefonica,甚至还有俄罗斯内政部。
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过 订阅来支持我们屡获殊荣的新闻报道。通过购买订阅,您将帮助确保关于塑造我们当今世界的发现和想法的具有影响力的故事的未来。
允许这次攻击发生的安漏洞在三月份已被微软修复。但是,只有保持计算机更新的人才受到保护。该漏洞的详细信息在四月份被名为“影子经纪人”的黑客组织公开,该组织称他们从美国国家安全局窃取了这些信息。
攻击者通过这个漏洞进入计算机并加密用户的数据,要求任何想再次使用数据的人支付赎金。但他们并没有在利用该漏洞的竞赛中获胜,而是人们和计算机公司集体失败了。我们人类的倾向和公司政策对我们不利。包括我自己在内的研究告诉我们原因,并为如何在下一次不可避免的攻击之前解决这个问题提供了一些建议。
更新是一件麻烦事
所有人为了避免遭受 WannaCry 攻击,只需要更新他们的软件。但人们常常不这样做,原因有很多。2016 年,爱丁堡大学和印第安纳大学的研究人员要求 307 人讨论他们安装软件更新的经验。
将近一半的人表示他们在更新软件时感到沮丧;只有 21% 的人有积极的评价。研究人员强调了一位参与者的回应,他指出 Windows 更新频繁发布——总是在每个月的第二个星期二,并且偶尔会在这些定期更改之间发布。更新可能需要很长时间。但是,即使是短暂的更新也会中断人们的正常工作流程,因此该研究的参与者(无疑还有许多其他人)会尽可能避免安装更新。
有些人可能还会担心更新软件可能会导致他们经常使用的程序出现问题。对于运行专用软件的大量计算机的公司来说,尤其如此。
有必要吗?
也很难判断新更新是否真的必要。修复 WannaCry 漏洞的软件是在正常的第二个星期二更新中发布的,这可能使其看起来更加常规。研究告诉我们人们会忽略重复的安全警告消息。因此,这些每月更新可能特别容易被忽略。
发布更新的公司也并不总是能提供帮助。在 3 月 14 日微软发布的 18 个更新中,包括 WannaCry 修复程序,一半被评为“关键”,其余被标记为“重要”。这给用户留下了很少的信息,可用于确定他们自己的更新的优先级。例如,如果明确跳过特定更新会使使用者容易遭受危险的勒索软件攻击,那么人们可能会同意中断他们的工作来保护自己。
即使安全专家也很难确定优先级。在修复程序发布当天,微软观察员 Chris Goettel 建议优先考虑 18 个更新中的 4 个,但不包括修复 WannaCry 的更新。安全公司 Qualys 也未能将该特定更新纳入其3 月份最重要的更新列表中。
安全专家和其他人
最常见的建议是立即更新所有内容。但人们就是不这样做。谷歌在 2015 年的一项调查发现,超过三分之一的安全专业人员没有保持他们的系统处于最新状态。只有64% 的安全专家自动更新他们的软件或在收到新版本可用通知后立即更新。只有更少的常规用户这样做——仅为 38%。
另一个研究项目分析了 840 万台计算机的软件更新记录,发现具有一些计算机科学专业知识的人员往往比非专业人员更新得更快。但这仍然很慢:从更新发布之时起,平均需要 24 天的时间,软件工程师所属的计算机才能更新一半。普通用户花费的时间几乎是两倍,在其中一半完成相同的更新之前,经过了 45 天。
使更新更容易
专家可能更新得更快,因为他们更了解更新可能修复的潜在漏洞。因此,他们可能更愿意忍受中断工作和多次重启的烦恼。
软件公司正在努力使更新更加无缝且更少中断。例如,谷歌的 Chrome 网络浏览器静默且自动地安装更新,在后台下载新信息,并在用户退出然后重新打开程序时进行更改。目标是让用户甚至不知道发生了更新。
但这并不是所有类型更新的正确选择。例如,为防止 WannaCry 攻击所需的 Windows 更新需要重新启动计算机。用户不会容忍他们的计算机在没有任何警告的情况下关闭和重新启动。
发出消息
因此,计算机公司必须尝试说服我们——我们必须说服自己——更新是重要的。我自己的研究侧重于通过制作和评估有关计算机安全的娱乐性和信息性视频来实现这一点。
在评估视频的第一个实验中,我们进行了一项为期一个月的调查,将我们的视频与安全公司 McAfee 的建议文章进行了比较。与 McAfee 文章相比,该视频对我们更多的参与者有效。总体而言,我们的视频在改善人们的更新习惯方面也同样或更有效。尝试新的安全行为教学方法,例如我们的寓教于乐视频,甚至安全漫画,可能是帮助我们在线保持更安全的第一步。
本文最初发表在The Conversation上。阅读原始文章。