二、为什么是索尼? 对“为什么是索尼?”这个问题,笔者不负责任地猜测,黑客们之所以把攻击的目标集中到索尼头上,导火索是索尼起诉著名的黑客乔治·霍兹(George Hotz),并且试图追究所有“看过破解视频的人”的法律责任——这越过了“黑客社区”的底线——随之而来的是: 黑客社区的愤怒,最直接的是“anonymous组织”对索尼的拒绝服务攻击,估计还伴随着大量的“入侵尝试”; 只要锄头挥得好,不怕墙角挖不倒——至少到目前为止,互联网上没有绝对的安全,索尼也不例外,黑客们的集中攻击,索尼PSN网络陷落了; 新闻一出,刺激了更多的黑客——甚至包括一些初级小孩,所谓的“脚本小子”也加入了对索尼的围攻,于是索尼的分子公司纷纷落马…… Hotz对索尼信息安全工作的评价其实很到位:脑残的索尼主管们,居然想要与整个黑客界对抗,这无疑是在自寻死路。他们更应该投入大量的资源聘请安全专家去巩固系统,而不是找来一堆律师到处抓黑客打官司。 本身信息安全/黑客领域是保持着微妙平衡的,而索尼一根筋地“追杀黑客”,甚至要“追杀看过破解视频者”,这显然“踩过线”了——估计是索尼内部的法务部门极其强势带来的直接“业绩”,从法律上看,这样做当然没问题,但社区并不理会这一套。最直接的例子就是,索尼曾试图将库什科·杜塔(Koushik Dutta)——首个破解摩托罗拉Xoom平板电脑的黑客,招致麾下,但是被拒绝。库什科·杜塔说:“很高兴他们能够联系到我,这个工作机会听起来也确实很有趣。但是鉴于索尼目前对另一名黑客George Hotz采取的措施,我实在不能昧着良心为索尼工作。” 三、“被索尼”后怎么办? 如果你是IT主管/首席安全官,需要思考两个问题: 1、怎样避免“被索尼”? 2、如果“被索尼”了,该怎么应对? 互联网上,有安全专家评价索尼“缺少一整套完善的数据管理和安全保护预案”,笔者看来,不仅如此。 微软出版<SDL: A Process for Developing Demonstrably More Secure Software>一书中,作者——微软的安全研究部门的2位高级经理写道:“你总会为你产品的安全漏洞付出代价的,或迟或早而已。为什么我能这么肯定呢?因为我们深受其苦,微软就曾经为安全问题付出过很多惨痛的代价”。或许作者还应该加上一句:“你总会为你掩盖安全漏洞事实,诋毁安全社区付出代价的,或迟或早而已”。 微软后来做了哪些举动来弥补这一切呢?举办蓝帽会议、邀请安全社区的人来讲座、出席blackhat号召黑客测试vista、在拉斯维加开酒会招待黑客、高薪聘请LSD的成员到微软工作……不是一个单一的举动,而是在统一策略下的一系列措施,从中可以看出微软在痛定思痛之后对安全社区态度的转化。 |
