一、黑客盗了索尼的互联网之梦
索尼向互联网战略转型(剥离制造业,收购内容资源,重组以突出游戏与娱乐内容及网络服务平台业务)伊始,发生了一起可能是迄今为止最为严重的个人用户信息泄露事件。
2011年4月17日至19日间,索尼PS3网络受攻击,七千多万PS Network和Qriocity的用户个人信息被黑客盗走(后来连续发生的攻击事件,使被盗的用户身份信息超过一亿),索尼声称不排除信用卡信息也被盗 ——而互联网上已经有黑客放出风声说手头有220万信用卡号……
2011-01-02,George Hotz发布了破解PS3的Root Key,玩家在PS3上运行任何破解的游戏和代码成为可能;
2011-01-11,索尼以Hotz违反《数字千年版权法案》(Digital Millennium Copyright Act )和《计算机欺诈与滥用法案》(Computer Fraud Abuse Act)为由起诉;通过法院,索尼得到了Hotz在Paypal的帐户信息、所有访问geohot.com网站的用户IP,还试图让Youtube交出所有看过Hotz上传视频的网民的IP地址——因为这些人都涉嫌破解PS3……
2011-03-24,索尼称Hotz为了逃避诉讼,躲到南美;
2011-3-31,索尼在线游戏在线解雇了205名员工,差不多是部门的1/3;
2011-04,逃亡南美的Hotz与索尼达成和解。和解协议中Hotz保证不再针对索尼主机从事破解活动,后者则答应就此罢手不再追究;
2011-04,黑客组织Anonymous黑了索尼的一个网站,写上了“索尼恭喜你!你已经得到了Anonymous的关注。你近期对我们的黑客伙伴乔治.霍茨的起诉,着实让我们醍醐灌顶,你的所做所为绝对不可原谅。”;
2011-04,Anonymous对Sony PlayStationNetwork和其一些网站进行DDoS攻击;
2011-04-17,索尼PS Network和Qriocity用户信息被盗;
2011-04-26,索尼北美承认受到攻击;
2011-05-02,索尼关闭Sony Online Game,无尽的任务,龙与地下城和自由国度等游戏均受影响;
2011-05-04,索尼聘请三家独立机构协助调查黑客入侵事件;
2011-05-10,到了索尼承诺Playstation Network重新恢复的时间,跳票了……
2011-05-30,索尼称已掌握黑客如何入侵其在线网络,将在6月2日出席美国国会听证会。
之后就是索尼各种被攻击的事件被陆续报导,有老外总结了一下,至少有五起:
1) PSN hack
2) SOE hack
3) Sweepstakes hack
4) PSN password glitch
5) Phishing site on sony.co.th
索尼承诺5-31完全恢复PSN网络正常运转,但这次一系列的黑客攻击事件,使用户对索尼PSN的信任度大大降低,除了直接损失(游戏停机、法律诉讼、漏洞修补等费用)外,最大的伤害估计是信用——许多用户开始质疑索尼“不注重保护用户隐私,只关心保护自己的利润”。#p#
二、为什么是索尼?
对“为什么是索尼?”这个问题,笔者不负责任地猜测,黑客们之所以把攻击的目标集中到索尼头上,导火索是索尼起诉著名的黑客乔治·霍兹(George Hotz),并且试图追究所有“看过破解视频的人”的法律责任——这越过了“黑客社区”的底线——随之而来的是:
黑客社区的愤怒,最直接的是“anonymous组织”对索尼的拒绝服务攻击,估计还伴随着大量的“入侵尝试”;
只要锄头挥得好,不怕墙角挖不倒——至少到目前为止,互联网上没有绝对的安全,索尼也不例外,黑客们的集中攻击,索尼PSN网络陷落了;
新闻一出,刺激了更多的黑客——甚至包括一些初级小孩,所谓的“脚本小子”也加入了对索尼的围攻,于是索尼的分子公司纷纷落马……
Hotz对索尼信息安全工作的评价其实很到位:索尼主管们,居然想要与整个黑客界对抗,这无疑是在自寻死路。他们更应该投入大量的资源聘请安全专家去巩固系统,而不是找来一堆律师到处抓黑客打官司。
本身信息安全/黑客领域是保持着微妙平衡的,而索尼一根筋地“追杀黑客”,甚至要“追杀看过破解视频者”,这显然“踩过线”了——估计是索尼内部的法务部门极其强势带来的直接“业绩”,从法律上看,这样做当然没问题,但社区并不理会这一套。最直接的例子就是,索尼曾试图将库什科·杜塔(Koushik Dutta)——首个破解摩托罗拉Xoom平板电脑的黑客,招致麾下,但是被拒绝。库什科·杜塔说:“很高兴他们能够联系到我,这个工作机会听起来也确实很有趣。但是鉴于索尼目前对另一名黑客George Hotz采取的措施,我实在不能昧着良心为索尼工作。”#p#
三、“被索尼”后怎么办?
如果你是IT主管/首席安全官,需要思考两个问题:
1、怎样避免“被索尼”?
2、如果“被索尼”了,该怎么应对?
互联网上,有安全专家评价索尼“缺少一整套完善的数据管理和安全保护预案”,笔者看来,不仅如此。
微软出版《SDL: A Process for Developing Demonstrably More Secure Software》一书中,作者——微软的安全研究部门的2位高级经理写道:“你总会为你产品的安全漏洞付出代价的,或迟或早而已。为什么我能这么肯定呢?因为我们深受其苦,微软就曾经为安全问题付出过很多惨痛的代价”。或许作者还应该加上一句:“你总会为你掩盖安全漏洞事实,诋毁安全社区付出代价的,或迟或早而已”。
微软后来做了哪些举动来弥补这一切呢?举办蓝帽会议、邀请安全社区的人来讲座、出席blackhat号召黑客测试vista、在拉斯维加开酒会招待黑客、高薪聘请LSD的成员到微软工作……不是一个单一的举动,而是在统一策略下的一系列措施,从中可以看出微软在痛定思痛之后对安全社区态度的转化。
如果要避免“被索尼”,至少要做:
1、从公司战略层面注重信息安全(有高层直接主管,而不是光让法务部门起诉忙);
2、注重与安全/黑客社区之间的互动(以最大的善意对待善意的漏洞发现者,当然,对“越界”的“盗窃者”也不必客气,把握好度);
3、技术上的建设,包括数据管理和安全保护、应急响应预案;
如果已经“被索尼”了,美国众议院商业,制造业及贸易小组委员会(U.S. House Commerce, Manufacturing and Trade Subcommittee)有关索尼数据泄漏的所有13个问题,对思考“下一步该怎么做”非常有参考价值,这13个问题如下:
1.你们什么时候意识到有未经许可/违规地访问的?
2.你们是如何确认这次泄漏事件的?
3.什么时候上报相关的组织机构的?
4.被盗的数据和所有用户有关还是一部分用户?多少用户受到这次事件影响?你们是如何确认受影响用户数目的?
5.你们为什么不及时通知用户这次泄漏事件?
6.你们确认了泄漏是如何发生的吗?
7.有确认这次事件的个人责任吗?
8.是什么个人数据被泄漏?你们如何确认的?
9.多少用户向Sony Network提供信用卡信息?
10.你们声称没有迹象证明信用卡信息泄露,但也不能排除可能性。请解释为什么你们认为信用卡数据没有泄露,和如何得出没有被盗的结论的?
11.采取和计划了什么样的步骤去防止将来此类事件发生?
12.现在有无数据安全和保留期限的企业政策和规定?如果没有,为什么?准备怎么修改相关政策和规定?
13.采取、计划了什么样的步骤去减小这次的损失?是否有计划提供信用监视和其他服务来保护事件涉及的用户?
笔者在网上搜索了一下,索尼在信息安全方面的“纪录”,网上能找到的还有:
1、2004年索尼中国网站被黑;
2、索尼采用ROOTKIT技术进行音乐版权保护掀起轩然大波;
3、索尼对PS游戏机破解者法律诉讼;
如果您的企业遇到类似的安全事件,如果您是首席安全官,您会怎么做?
参考资料:
Hotz的Wikipedia简介:http://en.wikipedia.org/wiki/George_Hotz
Sony PlayStation Network网络服务被攻击:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=24&fromuid=1
黑客大战索尼通俗演义:http://www.guokr.com/article/20493/
索尼rootkit事件追踪:http://bbs.unnoo.com/forum.php?mod=viewthread&tid=25&fromuid=1