一、黑客盜了索尼的互聯(lián)網(wǎng)之夢

索尼向互聯(lián)網(wǎng)戰(zhàn)略轉(zhuǎn)型（剝離制造業(yè)，收購內(nèi)容資源，重組以突出游戲與娛樂內(nèi)容及網(wǎng)絡(luò)服務(wù)平臺業(yè)務(wù)）伊始，發(fā)生了一起可能是迄今為止最為嚴(yán)重的個人用戶信息泄露事件。

2011年4月17日至19日間，索尼PS3網(wǎng)絡(luò)受攻擊，七千多萬PS Network和Qriocity的用戶個人信息被黑客盜走（后來連續(xù)發(fā)生的攻擊事件，使被盜的用戶身份信息超過一億），索尼聲稱不排除信用卡信息也被盜 ——而互聯(lián)網(wǎng)上已經(jīng)有黑客放出風(fēng)聲說手頭有220萬信用卡號……

2011-01-02，George Hotz發(fā)布了破解PS3的Root Key，玩家在PS3上運(yùn)行任何破解的游戲和代碼成為可能；

2011-01-11，索尼以Hotz違反《數(shù)字千年版權(quán)法案》（Digital Millennium Copyright Act ）和《計算機(jī)欺詐與濫用法案》(Computer Fraud Abuse Act)為由起訴；通過法院，索尼得到了Hotz在Paypal的帳戶信息、所有訪問geohot.com網(wǎng)站的用戶IP，還試圖讓Youtube交出所有看過Hotz上傳視頻的網(wǎng)民的IP地址——因為這些人都涉嫌破解PS3……

2011-03-24，索尼稱Hotz為了逃避訴訟，躲到南美；

2011-3-31，索尼在線游戲在線解雇了205名員工，差不多是部門的1/3；

2011-04，逃亡南美的Hotz與索尼達(dá)成和解。和解協(xié)議中Hotz保證不再針對索尼主機(jī)從事破解活動，后者則答應(yīng)就此罷手不再追究；

2011-04，黑客組織Anonymous黑了索尼的一個網(wǎng)站，寫上了“索尼恭喜你！你已經(jīng)得到了Anonymous的關(guān)注。你近期對我們的黑客伙伴喬治.霍茨的起訴，著實(shí)讓我們醍醐灌頂，你的所做所為絕對不可原諒。”；

2011-04，Anonymous對Sony PlayStationNetwork和其一些網(wǎng)站進(jìn)行DDoS攻擊；

2011-04-17，索尼PS Network和Qriocity用戶信息被盜；

2011-04-26，索尼北美承認(rèn)受到攻擊；

2011-05-02，索尼關(guān)閉Sony Online Game，無盡的任務(wù)，龍與地下城和自由國度等游戲均受影響；

2011-05-04，索尼聘請三家獨(dú)立機(jī)構(gòu)協(xié)助調(diào)查黑客入侵事件；

2011-05-10，到了索尼承諾Playstation Network重新恢復(fù)的時間，跳票了……

2011-05-30，索尼稱已掌握黑客如何入侵其在線網(wǎng)絡(luò)，將在6月2日出席美國國會聽證會。

之后就是索尼各種被攻擊的事件被陸續(xù)報導(dǎo)，有老外總結(jié)了一下，至少有五起：

1) PSN hack

2) SOE hack

3) Sweepstakes hack

4) PSN password glitch

5) Phishing site on sony.co.th

索尼承諾5-31完全恢復(fù)PSN網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)，但這次一系列的黑客攻擊事件，使用戶對索尼PSN的信任度大大降低，除了直接損失（游戲停機(jī)、法律訴訟、漏洞修補(bǔ)等費(fèi)用）外，最大的傷害估計是信用——許多用戶開始質(zhì)疑索尼“不注重保護(hù)用戶隱私，只關(guān)心保護(hù)自己的利潤”。#p#

二、為什么是索尼？

對“為什么是索尼？”這個問題，筆者不負(fù)責(zé)任地猜測，黑客們之所以把攻擊的目標(biāo)集中到索尼頭上，導(dǎo)火索是索尼起訴著名的黑客喬治·霍茲(George Hotz)，并且試圖追究所有“看過破解視頻的人”的法律責(zé)任——這越過了“黑客社區(qū)”的底線——隨之而來的是：

黑客社區(qū)的憤怒，最直接的是“anonymous組織”對索尼的拒絕服務(wù)攻擊，估計還伴隨著大量的“入侵嘗試”；

只要鋤頭揮得好，不怕墻角挖不倒——至少到目前為止，互聯(lián)網(wǎng)上沒有絕對的安全，索尼也不例外，黑客們的集中攻擊，索尼PSN網(wǎng)絡(luò)陷落了；

新聞一出，刺激了更多的黑客——甚至包括一些初級小孩，所謂的“腳本小子”也加入了對索尼的圍攻，于是索尼的分子公司紛紛落馬……

Hotz對索尼信息安全工作的評價其實(shí)很到位：索尼主管們，居然想要與整個黑客界對抗，這無疑是在自尋死路。他們更應(yīng)該投入大量的資源聘請安全專家去鞏固系統(tǒng)，而不是找來一堆律師到處抓黑客打官司。

本身信息安全/黑客領(lǐng)域是保持著微妙平衡的，而索尼一根筋地“追殺黑客”，甚至要“追殺看過破解視頻者”，這顯然“踩過線”了——估計是索尼內(nèi)部的法務(wù)部門極其強(qiáng)勢帶來的直接“業(yè)績”，從法律上看，這樣做當(dāng)然沒問題，但社區(qū)并不理會這一套。最直接的例子就是，索尼曾試圖將庫什科·杜塔(Koushik Dutta)——首個破解摩托羅拉Xoom平板電腦的黑客，招致麾下，但是被拒絕。庫什科·杜塔說：“很高興他們能夠聯(lián)系到我，這個工作機(jī)會聽起來也確實(shí)很有趣。但是鑒于索尼目前對另一名黑客George Hotz采取的措施，我實(shí)在不能昧著良心為索尼工作。”#p#

三、“被索尼”后怎么辦？

如果你是IT主管/首席安全官，需要思考兩個問題：

1、怎樣避免“被索尼”？

2、如果“被索尼”了，該怎么應(yīng)對？

互聯(lián)網(wǎng)上，有安全專家評價索尼“缺少一整套完善的數(shù)據(jù)管理和安全保護(hù)預(yù)案”，筆者看來，不僅如此。

微軟出版《SDL: A Process for Developing Demonstrably More Secure Software》一書中，作者——微軟的安全研究部門的2位高級經(jīng)理寫道：“你總會為你產(chǎn)品的安全漏洞付出代價的，或遲或早而已。為什么我能這么肯定呢？因為我們深受其苦，微軟就曾經(jīng)為安全問題付出過很多慘痛的代價”?；蛟S作者還應(yīng)該加上一句：“你總會為你掩蓋安全漏洞事實(shí)，詆毀安全社區(qū)付出代價的，或遲或早而已”。

微軟后來做了哪些舉動來彌補(bǔ)這一切呢？舉辦藍(lán)帽會議、邀請安全社區(qū)的人來講座、出席blackhat號召黑客測試vista、在拉斯維加開酒會招待黑客、高薪聘請LSD的成員到微軟工作……不是一個單一的舉動，而是在統(tǒng)一策略下的一系列措施，從中可以看出微軟在痛定思痛之后對安全社區(qū)態(tài)度的轉(zhuǎn)化。

如果要避免“被索尼”，至少要做：

1、從公司戰(zhàn)略層面注重信息安全（有高層直接主管，而不是光讓法務(wù)部門起訴忙）；

2、注重與安全/黑客社區(qū)之間的互動（以最大的善意對待善意的漏洞發(fā)現(xiàn)者，當(dāng)然，對“越界”的“盜竊者”也不必客氣，把握好度）；

3、技術(shù)上的建設(shè)，包括數(shù)據(jù)管理和安全保護(hù)、應(yīng)急響應(yīng)預(yù)案；

如果已經(jīng)“被索尼”了，美國眾議院商業(yè)，制造業(yè)及貿(mào)易小組委員會（U.S. House Commerce, Manufacturing and Trade Subcommittee）有關(guān)索尼數(shù)據(jù)泄漏的所有13個問題，對思考“下一步該怎么做”非常有參考價值，這13個問題如下：

1.你們什么時候意識到有未經(jīng)許可/違規(guī)地訪問的？

2.你們是如何確認(rèn)這次泄漏事件的？

3.什么時候上報相關(guān)的組織機(jī)構(gòu)的？

4.被盜的數(shù)據(jù)和所有用戶有關(guān)還是一部分用戶？多少用戶受到這次事件影響？你們是如何確認(rèn)受影響用戶數(shù)目的？

5.你們?yōu)槭裁床患皶r通知用戶這次泄漏事件？

6.你們確認(rèn)了泄漏是如何發(fā)生的嗎？

7.有確認(rèn)這次事件的個人責(zé)任嗎？

8.是什么個人數(shù)據(jù)被泄漏？你們?nèi)绾未_認(rèn)的？

9.多少用戶向Sony Network提供信用卡信息？

10.你們聲稱沒有跡象證明信用卡信息泄露，但也不能排除可能性。請解釋為什么你們認(rèn)為信用卡數(shù)據(jù)沒有泄露，和如何得出沒有被盜的結(jié)論的？

11.采取和計劃了什么樣的步驟去防止將來此類事件發(fā)生？

12.現(xiàn)在有無數(shù)據(jù)安全和保留期限的企業(yè)政策和規(guī)定？如果沒有，為什么？準(zhǔn)備怎么修改相關(guān)政策和規(guī)定？

13.采取、計劃了什么樣的步驟去減小這次的損失？是否有計劃提供信用監(jiān)視和其他服務(wù)來保護(hù)事件涉及的用戶？

筆者在網(wǎng)上搜索了一下，索尼在信息安全方面的“紀(jì)錄”，網(wǎng)上能找到的還有：

1、2004年索尼中國網(wǎng)站被黑；

2、索尼采用ROOTKIT技術(shù)進(jìn)行音樂版權(quán)保護(hù)掀起軒然大波；

3、索尼對PS游戲機(jī)破解者法律訴訟；

如果您的企業(yè)遇到類似的安全事件，如果您是首席安全官，您會怎么做？

參考資料：

Hotz的Wikipedia簡介：http://en.wikipedia.org/wiki/George_Hotz

Sony PlayStation Network網(wǎng)絡(luò)服務(wù)被攻擊：http://bbs.unnoo.com/forum.php?mod=viewthread&tid=24&fromuid=1

黑客大戰(zhàn)索尼通俗演義：http://www.guokr.com/article/20493/

索尼rootkit事件追蹤：http://bbs.unnoo.com/forum.php?mod=viewthread&tid=25&fromuid=1