[新闻] 基情四射：索尼与黑客们的恩怨情仇

一、黑客盗了索尼的互联网之梦
索尼向互联网战略转型（剥离制造业，收购内容资源，重组以突出游戏与娱乐内容及网络服务平台业务）伊始，发生了一起可能是迄今为止最为严重的个人用户信息泄露事件——

2011年4月17日至19日间，索尼PS3网络受攻击，七千多万PS Network和Qriocity的用户个人信息被黑客盗走（后来连续发生的攻击事件，使被盗的用户身份信息超过一亿），索尼声称不排除信用卡信息也被盗 ——而互联网上已经有黑客放出风声说手头有220万信用卡号……

作者：anonymous@unnoo.com
关键字：sony,索尼,防泄密,大成天下,黑客

根据fireking的整理，我们可以大致看到，与索尼这次被攻击可能有关的事件，时间线索如下：

2011-01-02，George Hotz发布了破解PS3的Root Key，玩家在PS3上运行任何破解的游戏和代码成为可能；
2011-01-11，索尼以Hotz违反《数字千年版权法案》（Digital Millennium Copyright Act ）和《计算机欺诈与滥用法案》(Computer Fraud Abuse Act)为由起诉；通过法院，索尼得到了Hotz在Paypal的帐户信息、所有访问geohot.com网站的用户IP，还试图让Youtube交出所有看过Hotz上传视频的网民的IP地址——因为这些人都涉嫌破解PS3……
2011-03-24，索尼称Hotz为了逃避诉讼，躲到南美；
2011-3-31，索尼在线游戏在线解雇了205名员工，差不多是部门的1/3；
2011-04，逃亡南美的Hotz与索尼达成和解。和解协议中Hotz保证不再针对索尼主机从事破解活动，后者则答应就此罢手不再追究；
2011-04，黑客组织Anonymous黑了索尼的一个网站，写上了“索尼恭喜你！你已经得到了Anonymous的关注。你近期对我们的黑客伙伴乔治.霍茨的起诉，着实让我们醍醐灌顶，你的所做所为绝对不可原谅。”；
2011-04，Anonymous对Sony PlayStationNetwork和其一些网站进行DDoS攻击；
2011-04-17，索尼PS Network和Qriocity用户信息被盗；
2011-04-26，索尼北美承认受到攻击；
2011-05-02，索尼关闭Sony Online Game，无尽的任务，龙与地下城和自由国度等游戏均受影响；
2011-05-04，索尼聘请三家独立机构协助调查黑客入侵事件；
2011-05-10，到了索尼承诺Playstation Network重新恢复的时间，跳票了……
2011-05-30，索尼称已掌握黑客如何入侵其在线网络，将在6月2日出席美国国会听证会。

之后就是索尼各种被攻击的事件被陆续报导，有老外总结了一下，至少有五起：

1) PSN hack
2) SOE hack
3) Sweepstakes hack
4) PSN password glitch
5) Phishing site on sony.co.th

索尼承诺5-31完全恢复PSN网络正常运转，但这次一系列的黑客攻击事件，使用户对索尼PSN的信任度大大降低，除了直接损失（游戏停机、法律诉讼、漏洞修补等费用）外，最大的伤害估计是信用——许多用户开始质疑索尼“不注重保护用户隐私，只关心保护自己的利润”。

二、为什么是索尼？

对“为什么是索尼？”这个问题，笔者不负责任地猜测，黑客们之所以把攻击的目标集中到索尼头上，导火索是索尼起诉著名的黑客乔治·霍兹(George Hotz)，并且试图追究所有“看过破解视频的人”的法律责任——这越过了“黑客社区”的底线——随之而来的是：

黑客社区的愤怒，最直接的是“anonymous组织”对索尼的拒绝服务攻击，估计还伴随着大量的“入侵尝试”；
只要锄头挥得好，不怕墙角挖不倒——至少到目前为止，互联网上没有绝对的安全，索尼也不例外，黑客们的集中攻击，索尼PSN网络陷落了；
新闻一出，刺激了更多的黑客——甚至包括一些初级小孩，所谓的“脚本小子”也加入了对索尼的围攻，于是索尼的分子公司纷纷落马……

Hotz对索尼信息安全工作的评价其实很到位：脑残的索尼主管们，居然想要与整个黑客界对抗，这无疑是在自寻死路。他们更应该投入大量的资源聘请安全专家去巩固系统，而不是找来一堆律师到处抓黑客打官司。

本身信息安全/黑客领域是保持着微妙平衡的，而索尼一根筋地“追杀黑客”，甚至要“追杀看过破解视频者”，这显然“踩过线”了——估计是索尼内部的法务部门极其强势带来的直接“业绩”，从法律上看，这样做当然没问题，但社区并不理会这一套。最直接的例子就是，索尼曾试图将库什科·杜塔(Koushik Dutta)——首个破解摩托罗拉Xoom平板电脑的黑客，招致麾下，但是被拒绝。库什科·杜塔说：“很高兴他们能够联系到我，这个工作机会听起来也确实很有趣。但是鉴于索尼目前对另一名黑客George Hotz采取的措施，我实在不能昧着良心为索尼工作。”

三、“被索尼”后怎么办？

如果你是IT主管/首席安全官，需要思考两个问题：

1、怎样避免“被索尼”？
2、如果“被索尼”了，该怎么应对？

互联网上，有安全专家评价索尼“缺少一整套完善的数据管理和安全保护预案”，笔者看来，不仅如此。

微软出版<SDL: A Process for Developing Demonstrably More Secure Software>一书中，作者——微软的安全研究部门的2位高级经理写道：“你总会为你产品的安全漏洞付出代价的，或迟或早而已。为什么我能这么肯定呢？因为我们深受其苦，微软就曾经为安全问题付出过很多惨痛的代价”。或许作者还应该加上一句：“你总会为你掩盖安全漏洞事实，诋毁安全社区付出代价的，或迟或早而已”。

微软后来做了哪些举动来弥补这一切呢？举办蓝帽会议、邀请安全社区的人来讲座、出席blackhat号召黑客测试vista、在拉斯维加开酒会招待黑客、高薪聘请LSD的成员到微软工作……不是一个单一的举动，而是在统一策略下的一系列措施，从中可以看出微软在痛定思痛之后对安全社区态度的转化。

如果要避免“被索尼”，至少要做：

1、从公司战略层面注重信息安全（有高层直接主管，而不是光让法务部门起诉忙）；
2、注重与安全/黑客社区之间的互动（以最大的善意对待善意的漏洞发现者，当然，对“越界”的“盗窃者”也不必客气，把握好度）；
3、技术上的建设，包括数据管理和安全保护、应急响应预案；

如果已经“被索尼”了，美国众议院商业，制造业及贸易小组委员会（U.S. House Commerce, Manufacturing and Trade Subcommittee）有关索尼数据泄漏的所有13个问题，对思考“下一步该怎么做”非常有参考价值，这13个问题如下：

1.你们什么时候意识到有未经许可/违规地访问的？
2.你们是如何确认这次泄漏事件的？
3.什么时候上报相关的组织机构的？
4.被盗的数据和所有用户有关还是一部分用户？多少用户受到这次事件影响？你们是如何确认受影响用户数目的？
5.你们为什么不及时通知用户这次泄漏事件？
6.你们确认了泄漏是如何发生的吗？
7.有确认这次事件的个人责任吗？
8.是什么个人数据被泄漏？你们如何确认的？
9.多少用户向Sony Network提供信用卡信息？
10.你们声称没有迹象证明信用卡信息泄露，但也不能排除可能性。请解释为什么你们认为信用卡数据没有泄露，和如何得出没有被盗的结论的？
11.采取和计划了什么样的步骤去防止将来此类事件发生？
12.现在有无数据安全和保留期限的企业政策和规定？如果没有，为什么？准备怎么修改相关政策和规定？
13.采取、计划了什么样的步骤去减小这次的损失？是否有计划提供信用监视和其他服务来保护事件涉及的用户？

笔者在网上搜索了一下，索尼在信息安全方面的“纪录”，网上能找到的还有：

1、2004年索尼中国网站被黑；
2、索尼采用ROOTKIT技术进行音乐版权保护掀起轩然大波；
3、索尼对PS游戏机破解者法律诉讼；

如果您的企业遇到类似的安全事件，如果您是首席安全官，您会怎么做？欢迎参与话题讨论：http://bbs.unnoo.com/forum.php?m ... id=59&fromuid=1

参考资料：

Hotz的Wikipedia简介：http://en.wikipedia.org/wiki/George_Hotz
Sony PlayStation Network网络服务被攻击：http://bbs.unnoo.com/forum.php?m ... id=24&fromuid=1
黑客大战索尼通俗演义：http://www.guokr.com/article/20493/
索尼rootkit事件追踪：http://bbs.unnoo.com/forum.php?m ... id=25&fromuid=1