2017年5月16日

4分鐘閱讀

為什麼安裝軟體更新會讓我們“想哭”

所有人為了避免遭受全球 WannaCry 勒索軟體攻擊,只需要更新他們的軟體。但人們常常不這樣做,原因有很多。

作者:Elissa RedmilesThe Conversation US

Getty Images

以下文章經許可轉載自The Conversation,這是一個報道最新研究的線上出版物。

名為“WannaCry”的全球勒索軟體攻擊,上週開始並持續至今,如果人們(和公司)保持他們的計算機軟體更新,本可以避免,或者至少可以大大減輕其嚴重性。這次攻擊的蔓延表明,在超過150個國家/地區,有數十萬臺計算機執行著過時的軟體,這使得它們容易受到攻擊。受害者包括英國國家醫療服務體系、物流巨頭聯邦快遞、西班牙電信巨頭Telefonica,甚至還有俄羅斯內政部

關於支援科學新聞

如果您喜歡這篇文章,請考慮透過 訂閱來支援我們屢獲殊榮的新聞報道。透過購買訂閱,您將幫助確保關於塑造我們當今世界的發現和想法的具有影響力的故事的未來。

允許這次攻擊發生的安漏洞在三月份已被微軟修復。但是,只有保持計算機更新的人才受到保護。該漏洞的詳細資訊在四月份被名為“影子經紀人”的駭客組織公開,該組織稱他們從美國國家安全域性竊取了這些資訊。

攻擊者透過這個漏洞進入計算機並加密使用者的資料,要求任何想再次使用資料的人支付贖金。但他們並沒有在利用該漏洞的競賽中獲勝,而是人們和計算機公司集體失敗了。我們人類的傾向和公司政策對我們不利。包括我自己在內的研究告訴我們原因,併為如何在下一次不可避免的攻擊之前解決這個問題提供了一些建議。

更新是一件麻煩事

所有人為了避免遭受 WannaCry 攻擊,只需要更新他們的軟體。但人們常常不這樣做,原因有很多。2016 年,愛丁堡大學和印第安納大學的研究人員要求 307 人討論他們安裝軟體更新的經驗

將近一半的人表示他們在更新軟體時感到沮喪;只有 21% 的人有積極的評價。研究人員強調了一位參與者的回應,他指出 Windows 更新頻繁釋出——總是在每個月的第二個星期二,並且偶爾會在這些定期更改之間釋出。更新可能需要很長時間。但是,即使是短暫的更新也會中斷人們的正常工作流程,因此該研究的參與者(無疑還有許多其他人)會盡可能避免安裝更新。

有些人可能還會擔心更新軟體可能會導致他們經常使用的程式出現問題。對於執行專用軟體的大量計算機的公司來說,尤其如此。

有必要嗎?

也很難判斷新更新是否真的必要。修復 WannaCry 漏洞的軟體是在正常的第二個星期二更新中釋出的,這可能使其看起來更加常規。研究告訴我們人們會忽略重複的安全警告訊息。因此,這些每月更新可能特別容易被忽略。

釋出更新的公司也並不總是能提供幫助。在 3 月 14 日微軟釋出的 18 個更新中,包括 WannaCry 修復程式,一半被評為“關鍵”,其餘被標記為“重要”。這給使用者留下了很少的資訊,可用於確定他們自己的更新的優先順序。例如,如果明確跳過特定更新會使使用者容易遭受危險的勒索軟體攻擊,那麼人們可能會同意中斷他們的工作來保護自己。

即使安全專家也很難確定優先順序。在修復程式釋出當天,微軟觀察員 Chris Goettel 建議優先考慮 18 個更新中的 4 個,但不包括修復 WannaCry 的更新。安全公司 Qualys 也未能將該特定更新納入其3 月份最重要的更新列表中。

安全專家和其他人

最常見的建議是立即更新所有內容。但人們就是不這樣做。谷歌在 2015 年的一項調查發現,超過三分之一的安全專業人員沒有保持他們的系統處於最新狀態。只有64% 的安全專家自動更新他們的軟體或在收到新版本可用通知後立即更新。只有更少的常規使用者這樣做——僅為 38%。

另一個研究專案分析了 840 萬臺計算機的軟體更新記錄,發現具有一些計算機科學專業知識的人員往往比非專業人員更新得更快。但這仍然很慢:從更新發布之時起,平均需要 24 天的時間,軟體工程師所屬的計算機才能更新一半。普通使用者花費的時間幾乎是兩倍,在其中一半完成相同的更新之前,經過了 45 天。

使更新更容易

專家可能更新得更快,因為他們更瞭解更新可能修復的潛在漏洞。因此,他們可能更願意忍受中斷工作和多次重啟的煩惱。

軟體公司正在努力使更新更加無縫且更少中斷。例如,谷歌的 Chrome 網路瀏覽器靜默且自動地安裝更新,在後臺下載新資訊,並在使用者退出然後重新開啟程式時進行更改。目標是讓使用者甚至不知道發生了更新。

但這並不是所有型別更新的正確選擇。例如,為防止 WannaCry 攻擊所需的 Windows 更新需要重新啟動計算機。使用者不會容忍他們的計算機在沒有任何警告的情況下關閉和重新啟動。

發出訊息

因此,計算機公司必須嘗試說服我們——我們必須說服自己——更新是重要的。我自己的研究側重於透過製作和評估有關計算機安全的娛樂性和資訊性影片來實現這一點。

在評估影片的第一個實驗中,我們進行了一項為期一個月的調查,將我們的影片與安全公司 McAfee 的建議文章進行了比較。與 McAfee 文章相比,該影片對我們更多的參與者有效。總體而言,我們的影片在改善人們的更新習慣方面也同樣或更有效。嘗試新的安全行為教學方法,例如我們的寓教於樂影片,甚至安全漫畫,可能是幫助我們線上保持更安全的第一步。

本文最初發表在The Conversation上。閱讀原始文章

© .