从各企业被入侵谈起---企业引黑客入室?

面对黑客攻击,索尼的防御能力显得惨不忍睹:自4月份以来,其20%的网站被攻陷,它旗下的PlayStation Network也不得不因此关闭数周时间。索尼在金钱方面的损失约为1.7亿美元,声誉方面的损失则更大,霍华德爵士要想实现光荣退休的“宏愿”也不得不再往后等等。

三周前在东京举行的索尼(Sony)年度股东大会上,首席执行官霍华德 斯金格(Howard Stringer)为公司遭到黑客入侵向股东道歉。黑客入侵导致索尼股价在截至6月底的3个月里累计下跌24%。霍华德的薪酬也因此被削减了16%。与此同时,造成这一悲剧的罪魁祸首却兴高采烈地溜之大吉。

黑客六人组Lulz Security (LulzSec)写道:“是时候说再见了。我们所计划的50天网络漫游已经结束了。”LulzSec在此期间入侵了索尼、花旗集团(Citigroup)、任天堂(Nintendo)、美国中央情报局(CIA)以及网络安全公司HBGary Federal的网站。

玩消失或许是个审慎之举。与LulzSec有牵连的19岁少年瑞安 克利里(Ryan Cleary)日前在伦敦被控从事了黑客攻击,而美国联邦调查局(FBI)正在试图追踪到LulzSec中的美国成员。LulzSec宣称,他们这么干只是图个乐子。在早前的一个帖子中,他们写道:“这里是网络——一个大家为了找点乐子而互相制造麻烦的地方。”

面对黑客攻击,索尼的防御能力显得惨不忍睹:自4月份以来,其20%的网站被攻陷,它旗下的PlayStation Network也不得不因此关闭数周时间。索尼在金钱方面的损失约为1.7亿美元,声誉方面的损失则更大,霍华德爵士要想实现光荣退休的“宏愿”也不得不再往后等等。

如今,许多公司将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。面对这样一个世界,索尼之外的其他公司也同样缺乏准备。这些公司只采取了最基本的防范措施,令自身处在非常容易遭受黑客重创的境地。

大多数此类攻击的实施者,并不是搜索信用卡号码的东欧有组织犯罪集团,也不是由中国政府资助、试图对美国国防承包商进行渗透的中国黑客,而是像克利里这样的年轻人。据克利里的律师称,克利里有阿斯伯格综合征(一种不善交际、兴趣偏狭的内向征状——译者注)。这些年轻人发现,入侵这些本应算是先进企业的防御系统居然如此容易,禁不住沉迷其中。

就拿索尼网站以及HBGary Federal等其他公司网站上的“SQL注入”漏洞来说,黑客只用在标准的输入框(例如用户名输入框)内键入一行软件命令,短短几个字符而已,就能从底层数据库提取信息。

这远算不上什么高深的科学——在近日的安全漏洞指南中,美国国土安全部(US Department of Homeland Security)对该漏洞的评级是:“易于检测到”和易于修复。然而,在各公司的网站上,这种漏洞随处可见,可以被黑客们检测到(他们一般会用软件同时扫描数千个网站)。

安全漏洞指南的合著者、高科技集团Sans Institute研究主管艾伦 帕勒(Alan Paller)表示,这些都是“非常低级的编程错误,类似于医生因没有洗手而传播了传染病”。尽管如索尼发觉的那样,清除过往的软件错误既费时又费力,但对企业来说,这并不是什么不可逾越的障碍。

对于软件应用中存在的漏洞,企业高层不愿面对、甚至不知情,这才是一直以来的问题所在。日前,成为黑客攻击目标的某家公司的内部人士告诉我:“这就好比你总是敞开大门,因为家里从来没有进过贼。等家里进了贼,你就该学会锁门了。”

企业如今是如此依赖于保有和使用客户数据,在这种情况下,上述态度是幼稚的。从模拟世界向数字世界的转变意味着,数据(从客户的姓名、地址、信用卡信息到他们的购买记录)越来越有价值。

比如说,索尼一直通过PlayStation Network,将一次性客户转化为重复回访的付费用户、专有网络的会员、以及通过每次按动游戏手柄或敲击键盘向该公司提供行为数据的消费者。亚马逊(Amazon)对其消费者、Facebook对其用户、甚至在线报纸对其读者,也在做着同样的事情。

麦肯锡全球研究院(McKinsey Global Institute)估算,企业去年在磁盘驱动器上存储的新数据超过7EB(1EB=1G GB——译者注),1EB相当于美国国会图书馆(US Library of Congress)所藏全部信息的4000倍。该研究院称,有效利用这么“庞大的数据”,是提高生产力和利润率的关键所在。

这些说得都不错,然而,为了与客户进行交互,企业弱化了原有的用来防范黑客攻击的系统。WhiteHat Security首席技术官杰里迈亚 格罗斯曼(Jeremiah Grossman)表示:“企业放弃了那种‘城堡加护城河’的架构,在那种架构下,通往信息库的网络受到防火墙保护。”

如果所有人(客户以及黑客)皆可访问的网络应用没有受到保护,那么进入存储着许多敏感信息的数据库就变得更为容易。花旗集团的例子(20万名客户的银行卡信息被黑客盗取)证明,黑客攻击带来损失可能非常惨重。

就目前而言,企业没有履行它们与消费者达成的默认承诺:对于消费者出于善意提交的数据,企业将保证其安全。要履行这一承诺,企业不仅需要堵上其网络系统中那些明显的漏洞,还需要谨慎保护其存储的信息。

LulzSec已经退隐,但与之类似的黑客团伙还会卷土重来。对现实不满、幽默感怪异的的原生无政府主义年轻人数不胜数。如果不做好防范,那就是企业自己的错了。