前一段时间,小编对索尼被黑事件做了跟踪报道,想来这起今年最著名的数据泄漏事件大家都是耳熟能详的了。就在今天,又有名为LulzSec的黑客组织宣称采用了SQL注入的方式,攻破了索尼电影公司的网站并窃取了多达100万名账户的资料和密码,还有75000个音乐获取码及350万个音乐优惠券。索尼今天刚刚宣布饱受摧残的PSN恢复正常,这起泄密事件无疑又狠狠的扇了其信息安全部门一个大耳光。
无疑,此事件会更加严重的打击索尼的声望,如果说之前的调查中还只有一小部分用户对索尼产生了不信任,那么此次泄露事件则可能从根本上动摇了用户对索尼的信心。那么,是什么导致了黑客对于索尼这么无止尽的怨念?面对危机,索尼又该何去何从?
小编认为,索尼此次应该吸取的最大的教训就是:低调做安全&别惹黑客。
SQL注入是最常见的信息盗取方式,为什么索尼还是中招?
今天“取胜”的黑客组织LulzSec声称,索尼保护用户密码的方式竟然是纯文本方式,而且没有任何加密,这让他们觉得不可思议的同时,也为索尼感到羞耻。事实上,换了任何人,可能都会对这件事感到不可思议。毕竟索尼是五百强级别的大公司,几十年来创造了居于世界前列的流行技术,并且与盗版势力做着艰苦卓绝的斗争,最终却输在了这种地方。前一段时间遭到入侵之后,索尼宣布聘请了几家世界顶级的信息安全公司来协助解决问题。现在看来,明显还没有收到成效。说到底,还是索尼高层对信息安全的重视程度不够。一直以来,相比用在信息安全上的资源,索尼显然将更多的精力投入到了与各种破解大师的斗争中,从PSP到PS,还有原来的DVD。
不与黑客妥协,但要注意方法
一直以来,索尼对于黑客的态度似乎是极其明确的:杀无赦。今年所有这些事件的导火索,被认为起因于年初索尼对于PS3的破解者George Hotz的“追杀”。被逼躲去南美的George Hotz确实承诺以后不再破解,同时,也为索尼打开了潘多拉的魔盒。
与黑客作斗争,从商业道义上来说,当然是无可厚非的。从PSP、PS到电影、音乐,索尼所售卖的,说到底不是某种有形的机器或者光盘,二是无形的智力资产。黑客和破解的存在,当然会引起严重的经济利益损失,因此索尼投入巨额资源的反盗版研究和法律诉讼也是有其价值所在。
然而,黑客是一个很特别的处在灰色地带的群体,更是一个不能轻易招惹的群体。大部分的黑客,都崇尚自由、共享的精神,更糟糕的是,对于技术的无限狂热是他们投入黑客阵营的前提,也为他们提供了无比强大的武器。因此,任何阻止了他们对于自由与技术的极端追求的行为,都被其视为挑战,与索尼等大公司的反盗版策略进行长期的斗争,也被他们视为乐趣。大部分的黑客就像一群万圣节恶作剧的小孩子,trick or treat,就是这么简单,而索尼对于黑客的步步紧逼,则让这些“孩子”更加倾向于trick。
另外不容忽视的一点,黑客阵营也很复杂,当中有上面提到的恶作剧的小孩子,也有有组织的以经济或其他利益为诉求的黑客组织。这一类组织有其目标和诉求,是更加危险的群体。当类似George Hotz这一类事件发生时,刚好为其提供了发动“圣战”的借口。恰恰是这类群体,对组织的信息安全构成了最重大的威胁。
索尼应该向微软学习
像索尼一样,微软也一直面临着巨大的盗版和黑客挑战。然而,除了偶尔会发生的法律维权事件,目前还没有特别重大的针对微软的攻击事件,这很大程度上得益于微软对于黑客的态度,那就是:以合作代替对抗。
Windows本身是个巨大的靶子,每天都有漏洞被人发现,利用,还有想尽办法但还是一出来就被攻破的反盗版机制。黑客显然为这些漏洞和盗版方法贡献了很多力量,但微软聪明的地方在于,他们不会对这些黑客采取极端的措施,相反,他们鼓励这些黑客进行技术研究,并与黑客和各种安全组织合作来发现潜在的安全威胁,黑客收获了成就感,微软收获了安全,双赢的结果,显然要比索尼更好。
前一段时间,一位14岁的天才黑客在攻击了微软的Xbox Live服务之后,并未受到微软的惩罚,反而得到了微软的正规训练。这显然与George Hotz从索尼获得的待遇有天差之别。微软态度的转变,带来了黑客阵营对于微软的态度转变。
结语:诚然,微软也不是总是以和事佬的姿态出现,该采取行动的时候,他们也毫不手软,比如针对中国网吧盗版的集中行动等,这其中的区别在于,微软知道什么人该惹,什么人不该惹,分寸也拿捏的很好。信息安全,本身就是一个充满了对抗的领域,有时称之为战争也不为过。高姿态的宣战,本身并不能取得战役的胜利,反而可能为自己树立更多强大的敌人;信息安全,还是应该低调的把更多的心思放在技术和策略上。