当诸如Anonymous 和LulzSec这样的安全破解团体在不断制造新闻时,企业的IT人员却忧心忡忡,提心吊胆。这类组织之所以出名,是因为他们总是将攻击目标锁定为那些大型企业,而对于这些企业来说,任何时候只要有微小的破坏就能导致严重的财务损失。而我在本文中之所以用 Anonymous 和 LulzSec来举例,是因为不久前这两个团体分别独立对Sony进行了攻击。
2011年6月25日,著名黑客组织LulzSec宣布解散,但是我们都不难想象,肯定会有类似的组织重新出现。事实上,与之类似的组织早已有很多了。而之前LulzSec曾经与另一个声名狼藉的黑客组织Anonymous 以类似的手法和动机,计划在全球范围针对政府IT资源展开所谓“Anti-Security运动”的大规模攻击。
在面对这种黑客团体时,很多IT人士都会惊慌失措,他们一般都会问:“我该解决系统中那些漏洞,才能防止黑客团队对我的系统展开攻击呢?”他们实际上是想知道“如果我将重点放在SQL注入漏洞的防护上,是不是就能防止未来类似于LulzSec这样的黑客组织对我的攻击呢?” 事实上,SQL注入确实是LulzSec常用的一种特色攻击手段。而一般来说,IT管理员所要做的是将全部漏洞都打上补丁,修补的顺序可以先考虑 SANS顶级网络安全风险上列出的漏洞。
而要想尽可能避免被与LulzSec 有类似攻击动机的黑客组织盯上,一个更简单的方法就是了解这些黑客组织的攻击动机,并由此找到避免成为攻击目标的方法。对于任何思路清晰,不抱有过多偏见的人来说,只需要仔细思考几分钟,基本都能根据黑客组织目前的状态以及活动规律分析出他们的攻击动机。
首先,也是最重要的,即 LulzSec表现的很活跃,或者说是毫不介意承认自己的网络犯罪行为。从某种角度看,这是一种幸灾乐祸的心态,即把自己的快乐建立在别人遭受的损失上。从这个角度看, LulzSec 是很特殊的一类黑客组织。
在Anti-Security 运动的宣言中, LulzSec表态说:
我们计划每周都发布有关军队和政府的机密文件,不仅仅是为了揭露他们的种族主义和腐败的本性,还要破坏他们为不公正的毒品战争所作的努力。全世界的黑客们应该团结起来,用直接的行动反抗我们共同的压迫者—全世界的政府、企业、警察和军队。
这份声明中所说的计划确实实施了:LulzSec通过入侵亚利桑那州安全部门获取了大量敏感信息,并将其公布出来。之所以要针对亚利桑那州安全部门进行攻击,可能有部分因素是因为该州的法律规定一些外地人需要随身携带身份证明,随时出示给该州执法官员检查。
而声明中所指的压迫者,包括了政府机构和大型企业,尤其是有政府背景的大型企业,因为这类企业的性质导致他们比一般企业“更残酷的对待客户”。但讽刺的是, LulzSec的很多攻击行为,也使得这类企业所残酷对待的客户遭受了间接伤害,因为LulzSec在攻击大型企业后将所获取的客户数据公之于众了。但一般来说,不论黑客组织获取了什么数据,或者是否攻击成功,他的攻击目标都是那些被认为曾经有过欺骗或更恶劣对待客户行为的大型企业。
Anonymous组织选择攻击目标的方法也是一样。Sony公司因此被这两个黑客组织分别选中成为了他们的攻击目标,通过黑客手段在用户电脑上安装rootkits的方法破坏Sony公司在全球的客户关系和企业声誉。Anonymous 还将Church of Scientology作为自己的攻击目标,因为这个机构曾经通过恐吓手段阻止机构前成员谈论机构的内幕。而不久前, Anonymous 还针对那些帮助关闭WikiLeaks 网站的企业进行过大范围的攻击。
只要有政府机构或企业单位出现欺压人民或客户的事件(或有类似的倾向),早晚都会成为黑客组织的攻击目标,因此商业机构和政府部门不要试图审查,恐吓或欺骗用户。而那些关心客户安全和隐私保护,并且尽力保护用户安全的企业,或者更泛泛的说,那些不是图阻止用户和数据迁移,不炫耀自己的IT安全水平的企业和机构,可能会较少被黑客组织锁定。而那些倾向于对政府的行政命令说“不”的企业,那些主张提升执政和经营透明度的企业,以及支持开源软件开发联盟的企业,被黑客组织盯上的几率就更低了。
虽然这并不能算是避免被黑客组织盯上的最佳方案,但是在你考虑该如何避免成为LulzSec这样的黑客组织的攻击目标时,可以问自己这样一个问题: 让自己避免成为攻击目标,与尝试做一个良好的互联网公民,这之间有什么差别吗?
换句话说,如果你想知道你的企业是否可能成为Anonymous 和 LulzSec 这样的黑客组织的攻击目标,可以问问自己,你的企业或机构是在监管别人,还是被别人监管。