作者:(英) 查尔斯·亚瑟(Charles Arthur) 著,许子颖 译
出版社:浙江大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络战争:颠覆商业世界的黑客事件试读:
致谢
首先,同前作《数码战争》(Digital Wars)一样,我要再次向科根出版社(Kogan Page)表示感谢,他们帮我找到了灵感,并提出了建议—写一本有关重大黑客事件的书,告诉读者有关黑客事件、黑客以及商业世界之间的内幕信息。
感谢热拉尔丁·科勒德的坚持,感谢编辑丽贝卡·布什,感谢安娜·莫斯提供了最初的灵感。
回首过去,我写黑客的故事已经30多年了,尽管故事情节和侵入方式可能会随着时间而发生改变,但人们的目标和失误却并没有改变。感谢这些年接受我访谈的人们,比如1995年的冷火组织、2011年的鲁兹安全组织,采访他们是十分有趣的。
感谢布赖恩·克雷布斯、格雷厄姆·克卢利、米科·海坡能、特洛伊·亨特、马特·格林、马特·泰特以及其他评论员,他们给了我很多建议以及观测数据。我也感谢很多无法透露姓名的人们,他们详细描述了所在公司遭到侵入时的情景。
非常感谢我的幸运女神——亚历克斯·克洛托斯基,在一次漫长的电话交谈中,她和我聊了一个完全不同的话题,却给我提供了很多研究成果和人脉。
这本书主要是在斯迪利·丹乐队的作品陪伴下完成的,十分感谢吉他手瓦尔特·贝克尔;唐纳德·法根,请继续加油;也感谢荷兰大叔和琼妮·米切尔。
当然,我最需要感谢的是妻子乔乔和孩子们,他们容忍了我给他们的邮箱和其他网络账号开启双重验证,我想这就是所谓的爱吧。序言网络战争
遭到黑客攻击是件尴尬的事。如果在你不知情、自然也是未许可的情况下,发现自己的邮箱或者社交媒体账号被他人侵入,并另做他用,你的第一反应可能是恐慌、暴躁、沮丧以及愤怒。用户名和密码能带来安全感,然而现在它们却不再安全。你的世界观也会因此受到冲击,你不仅没有自己想的那么安全,而且你的隐私大概率上已经受到了侵犯,谁知道要多久才能回到安全状态呢?对于大多数的个人和企业来说,被黑客攻击是一件令人震惊的事情。黑客会对一切有价值的东西进行攻击。然而,对黑客来说,他们所做的事情或许在外界看起来只是一场游戏,但他们却倾注了所有心血。而为了国家利益进行的某些黑客侵入活动,就像运动员在奥运会上为国家而比赛。
然而,即便你足够警惕,你的个人安全证书对黑客来说依然毫无价值。比如2017年3月,一位名为“SunTzu583”的黑客盗取了约50万个Gmail账号的用户名和密码,并发布在地下网站上,总共卖了0.02198个比特币,时价28.24美元。也就是说,1美元大约可以买16667份配套的账号跟密码,1美分可以买166份配套的账号跟密码。而如果你也是受害者之一,这意味着你的账号仅仅值0.006美分。
我们经常能听到黑客袭击的消息,仿佛黑客在我们的生活中无处不在。
黑客最初的意思是“用斧子做家具的人”。我们用刀对付一些棘手的东西,比如塑料、胶粘物、木头,设法让它们成为自己想要的形状。所以,“黑”掉某物,意味着强制性地让方钉和圆孔组合在一起。
如今,计算机黑客也是一样。尽管我们常说“黑进电脑系统”,但这一表达实际上并不准确。电脑对我们言听计从,它完全服从编程的设置。黑客未经许可侵入了电脑主人的系统,这是因为他(男性黑客居多)找到了一个方法,能让电脑去做他指定的事情。电脑主人没想到他人也能对其电脑下达指令,“这怎么可能?”这是被侵入者常有的反应。但是,电脑并不知道自己会被侵入,也不知道指令的意图,它会做的只是服从。
20世纪60年代,对计算机程序设计师而言,“黑客攻击”一词和最初的意思差不多,“黑”代表用一种代码或者一种方式达成目的,尽管并不光彩,却能达到目的。而在企业和非政府组织间,“黑”即是一种常见的解决问题的快速通道。
黑客中也有很多怀揣恶意的人。《黑客词典》在1975年提供了一份计算机黑客之间使用的专业术语清单,试图定义那些恶意的企图,帮助普通人理解这个领域,但是已经太晚了。“黑客”一词首次出现于1963年,用于描述那些侵入了麻省理工学院电话系统的人,他们最初被称为电话黑客。到了1976年,媒体开始广泛使用“黑客”一词,用于描述侵入电脑系统的人。记者史蒂文·列维在1984年出版的《黑客们》一书中,彻底改变了黑客的定义,黑客被形容为“推动计算机革命的英雄”,暗指黑客做的事情是好的,这使得这一词语因此而广为人知。与此同时,新闻机构也采用了这一陌生词语,因为计算机开始广泛用于办公室,很快也深入了家庭。
僵尸网络、恶意软件、勒索软件和黑客组织是最近几年才进入人们视线的,问题正日益复杂化。然而实际情况是,黑客行为已经存在几十年了。本书中出现的大量侵入行为都在几十年前的学术研究中出现过了,或是来源于以前的编程错误。黑客行为并不新鲜,其使用的技术也不新鲜。
例如,“计算机病毒”一词由计算机之父约翰·冯·诺依曼在1949年的一篇科学论文中首次提出,代表一种能让计算机不停自我复制的病毒代码,就像病毒在细胞层面不停地分裂一样。但这一理论存在一个问题,电脑没有足够的电源来支撑这个过程,而个人计算机的出现提供了机会来探究这一想法的极限。1982年,斯伦塔发布了首个真正意义上能够自我复制的计算机病毒—Elk Cloner,其目标是苹果二代电脑,通过加载程序所需的软盘侵入电脑。1983年,加州大学的一名研究生弗莱德·科恩展示了同样的想法,并在5分钟内感染了一台Unix大型计算机。1986年,他的博士论文详细论证了这一概念。同样是在1986年,无法通过重启解决的病毒产生了,它会重建“主引导记录”。1988年,网络蠕虫出现了,它通过自我复制,从一台机器传播到另一台机器,直到感染了大约3%的连接机器后,由于代码错误而自我崩溃。
20世纪90年代,个人电脑开始从公司进入家庭,这为恶意病毒提供了新的目标。互联网的迅猛发展也为其创造了新的途径。新生必然面临着毁灭,就像造船的同时也为沉船埋下了伏笔,计算机的普及也为不同段位的黑客提供了开拓边界的机会。
尽管黑客的威胁已经存在了几十年,其攻击的方式和手段也随着时间发生了变化,可我们对黑客甚至是电脑本身的认知都还停滞不前,其中最大的误解是我们总有一天会拥有绝对安全的设备。
然而事实却是,我们无法保证任何软件是绝对安全的。任何计算系统,无论是电脑,还是手机,都是由程序构成的,从芯片内置的加减算法(微架构),到固件(主要协调与运行硬件部件),再到操作系统(位于固件之上,为操作系统的运行提供了交互软件层),程序无处不在。以上的每个环节都可能存在漏洞,英特尔在1994年的第一个奔腾微处理器的微架构中就有一个错误,这造成了浮点计算值的偏差。浮点除(Floating Point Divide)失误的影响并不大,除非你是在建造航天器,其路径需要依靠特殊的计算结果。微架构里的一个漏洞叫F00F,它可以忽略操作系统,让处理器停止运行。一段时间内,它对网络整体基础设施产生了威胁,心怀不轨的人只需要在一台易遭受攻击的机器上装一个程序,就能达到破坏的目的。数据不会受到损害,但是系统会强制重启,这可能对重要的处理器造成威胁。
F00F带来了危险,却并未带来灾难。但这种危险无处不在,就像构成海床轮廓的岩石,偶尔会给船只带来危险。在系统愈发重要的当下,黑客能够轻易地在系统中找到潜在的威胁。
像所有探险家一样,黑客也了解自己的知识体系。他们知道历史上伟大的事件,熟悉事件的幕后主使(至少是化名)以及造成的影响,还了解因此而遭殃的公司或组织。在“回到1988年的莫里斯蠕虫”的采访过程中,有人准确地提出了这一最为著名的黑客事件的年份和相关黑客的姓名,“阿尔伯特·冈萨雷斯,他真的搞砸了,当时他为联邦调查局工作,却试图参与犯罪事件”。
黑客总热衷于谈论自己的丰功伟绩,谈论他们是如何侵入那些戒备森严的地方,然后又遭驱逐。一些人还发现,通过这种途径获得的钱,能带来异样的快感,虽然严格意义上说,他们很少(几乎没有)挣到钱。妄想很快与他们如影随形,他们开始担心自己过去的痕迹会成为现在的绊脚石。成功的黑客肯定是从某个地方开始的,然后意识到,在这个无所遁形的当下,你做的所有事都有可能对你不利。2017年5月,英国的恶意软件研究员马库斯·哈钦斯通过注册乱码的域名,无意中阻止了勒索病毒WannaCry全球范围的传播。然而,3个月后,在参加了美国的一次安全会议之后,他被控“创建、传播和销售”银行木马Kronos,窃取银行的详细信息,并被FBI逮捕, ;
但哈钦斯并未认罪。IRC聊天室(互联网中继聊天室)中有哈钦斯讨论代码的记录,还有他发布的一些Kronos代码,但目前的证据还远不足以定罪。即便如此,他出庭的场景依旧对一些潜在的黑客起到了震慑作用—一脸凶相的哈钦斯穿着黄色的囚服出庭,手脚都被铐住了。政府希望大家明白,他们会十分严肃地对待黑客以及他们所做的事情。
然而,企业仍需承担黑客带来的后果。公司让客户交出个人信息,但却忽视了互联网可能将这些信息暴露给每一个别有用心的人。许多企业都相信那句老掉牙的格言,“数据是新时代的石油”,认为数据是潜在的财富来源。英国的信息专员克里斯托弗·格雷厄姆负责监管英国各组织的信息安全,他曾表示,石油造成了全球变暖,而盲目地收集信息对企业也未必是好事——数据不仅仅是石油,它还是新时代的石棉。信息对企业是一种风险,是一种潜在的毒药。
本书将介绍那些受黑客困扰的企业与个人,以及黑客对其目标倾注的心血。书中的案例覆盖范围很广,从盗取普通民众信用卡的钱,到无痕访问政客的个人邮箱账号,还有一些出于政治目的的恶意破坏。
正如黑客的目标和造成的反响跨度很大,黑客的目的也各不相同,这里指的是欲望的阈值。那些处于底层的黑客(通常是些年轻人)通过侵入系统、窥探内部而获得快感。竞争很快愈演愈烈,演变成了同行间的键盘大战。在这场战争中,唯一受到威胁的,是每个黑客的自尊心。然而,黑客的世界十分残酷,他们部署强大的系统,只为了一较高低。这样的混战可能升级成“僵尸网络”,操纵成千上万的个人电脑和联网设备互相攻击。而一旦有人做到了这一点,他就能够利用这一技能赚取巨额财富。
单纯的娱乐和靠此谋利之间隔着一条卢比孔河。电子商务依赖信用卡,而信用卡的安全系数极低,通常只是一串16位数的账号数字、一个日期和一个名字。例如,犯罪分子使用盗来的信用卡购买亚马逊的代金券,再低价出售,这就足以让人无法追踪被盗信用卡的现金流状况。
诈骗变得越来越复杂,黑客需要留下尽可能少的跟踪审核条目。随着比特币的兴起,黑客通过互联网转移了大量匿名的资金,比特币是黑客的天堂,他们试图用比特币进行无法被追踪的敲诈。
还有一群黑客是对金钱毫无兴趣的,那就是国家黑客。他们有资源丰富的政府当靠山,多年来都是舆论的焦点。但直到最近几年,他们才走进公众的视线。伊朗核武器计划之所以失败,是因为当时美国联合小组制造了一种计算机病毒Stuxnet,它感染了相关计算机,干扰了轴心分离中心的控制系统,最终导致了该系统的自我毁灭。
政府雇用黑客的领域也进入了更为激烈的竞争阶段。政府雇用黑客侵入敌国电脑进行破坏,这会使得黑客成为国家的新武器。
这不是一场冷战,也不是一场热战。这是一场网络战争,而我们每个人都处在这场战争之中。
政府偏爱网络攻击,因为其有效、便捷且不易被追踪;而“不易被追踪”是最重要的属性。——米科·海坡能,F-Secure首席研究官
2014年11月14日,是美国人最繁忙的日子之一,每个人都赶着在感恩节前把一周的工作做完。对索尼影视娱乐公司(下称索尼影业)的6500名员工来说,这一工作周更加紧张了。
早上8点15分左右,正常工作的电脑突然黑屏了。黑色的屏幕上出现了一行红色的字,显示电脑正在遭受GOP侵入(GOP代表“和平卫士”)。
警告:
我们已经警告过你们了,并且这只是个开始。
我们将继续一系列活动,直到我们的要求得到满足。
我们已经掌握了所有的内部数据,包括你们的机密(也包括最高机密)。如果你们不服从我们的命令,这些机密就会被公布至全世界。
11月24日晚上11点(格林尼治标准时间)是你们的最后期限。
打开警告里的链接,显示出5个网站的文件,这些文件均显示了同样的文件名——SPEData.zip。
SPE代表索尼影业(Sony Pictures Entertainment),这些文件的内容都是一样的:LIST1,一个638MB的文本文件;LIST2,一个398MB的文本文件,其中包含了大约3700万个不同的文件名;还有一个“read me”文件,里面有10个邮箱地址,供想要这些文件的人联系。
人们看着屏幕的时候,电脑正在自动删除他们的文件,并干扰着boot区。
外界首先通过推特了解了这次侵入事件。侵入者控制了很多个用于宣传索尼电影的账户,并发布了同样的信息,“包括索尼首席执行官迈克尔·林顿在内的罪人一定会下地狱,没有人能帮你”。还附了一张图,林顿的头呈现出诡异的深蓝色,像一些廉价游戏中的角色。
这些蹩脚的图片和糟糕的英语似乎出自一些业余的黑客之手,也许是为了哗众取宠,也许是出于对林顿的个人怨恨。这已经不是索尼影业第一次遭到黑客的侵入了,但之前侵入的目标大多是游戏类网络,而不是公司的内部网络。公司推特账户被侵入也不是什么新鲜事,这也不能说明公司内部有多么糟糕。
林顿和往常一样在早晨6点多就抵达了公司,他已经有了一些头绪。首席财务官大卫·亨德勒给他打过电话了,告诉他发生了一起黑客侵入事件,为了保护数据可能需要下线系统。
索尼影业的员工说,除了一些特殊区域外,办公大厦大部分地方都不需要刷卡出入。在黑客侵入后,公司才安装了需要刷卡的旋转门。“你可以直接找到部门主管,而不需要任何出入证。”这位员工告诉我。
事情开始不太对劲了。员工们被告知,“不能打开电脑,不能打开任何电子产品”。公司可以说是一片混乱,每个人都在走廊里走着,不能打开任何电子产品,什么都不行。很长一段时间,员工们不能连接公司的企业网络,不能查看邮件,不能打开电脑,连手机的Wi-Fi都需要关闭。索尼影业全球范围内的网络系统关闭了,超过3000台个人电脑和800个服务器被注销了,备份也清除了。索尼面临着前所未有的挑战。
尽管遭到黑客侵入已经一目了然,但索尼的IT部门仍试图淡化事件的严重性。索尼告诉员工,这仅仅是“一个IT问题”。索尼影业的联席董事艾米·帕斯卡也来到了公司,被告知这是一个“一天就能解决的问题”。人们也都认为这只不过是一次偶然的事故,但这起事故对于公司、对于员工的影响却是深远的,索尼在不知不觉中成了新一轮地缘政治调整中的棋子。
收到一封新邮件
索尼被黑并陷入瘫痪的事情在第一天就迅速在网上传开了,索尼的一些员工也在社交媒体上发布了被黑的电脑屏幕的照片。尽管这些照片很快就被清除了,网上的讨论却持续升温,截图迅速传播了开来。意识到问题的严重性后,员工们也开始三缄其口。
黑客侵入的第二天,科技新闻网站Verge声称收到一封邮件,黑客告诉他们,“我们想要平等,而索尼不提供平等,这是一场实力悬殊的战争。索尼没有锁住系统的大门,我们和一些志同道合的索尼内部人士一起工作。很抱歉,我不能说更多了,我要保证我们队伍的安全”。
Verge的记者罗素·布兰顿向“read me”文件里的其中一个邮箱发了询问信。那句“我们和一些志同道合的索尼内部人士一起工作”让人怀疑索尼有内鬼,或是至少有帮凶。索尼很快发布了一条简短的官方声明,进一步证实了这一可能,“索尼影业经历了一次系统崩溃,我们正努力解决这一问题”。
即便如此,大多数员工都认为这一切很快就能得到解决。“直到下个星期,我们才意识到问题的严重性,”一位员工后来告诉《财富》杂志,“可能需要几周公司才能回到正轨。”
正如林顿回忆的那样,“我花了24~36个小时才完全明白,我们无法在接下来的一两周内恢复正常”。一位索尼员工说,“一开始的经历好像身处20世纪90年代初,电脑屏幕上跳出了黑客的信息,说着‘你被黑了,贱人!’这类的话。这是一次有些滑稽的历史倒退”。但现实是,我们离90年代很远。自助餐厅只能使用现金,不能使用信用卡。基于互联网的语音信箱不能用,电话还是可以用的,但前提是你知道正确的分机号码,电子电话簿肯定不能用了,人们大多只能在走廊上交谈。
然后,黑客做了件所有黑客都会做的事——泄露内容。
美国计算机应急准备小组在线评估了威胁,他们认为恶意软件是全新的、多功能的。首先,恶意软件试图使用Windows SMB协议进入目标电脑。对于这关键的第一步,它使用了一种极为简单粗暴的方法,尝试大量的用户名+密码组合,直到配对成功,并被允许访问网络。然后,恶意软件开始自行安装,并进行监视、复制和销毁。
一般来说,黑客并不会试图摧毁内容,他们只需要掌握内容,并威胁要进行传播。
由于引导扇区被删除了,索尼的IT部门很难让系统恢复正常运行。侵入事件发生时,索尼的IT部门只有11个人。旧的网络系统已经成为一个犯罪现场,恢复它可能会抹掉一些关键线索。没有电脑来处理交易,整个公司业务陷入了停顿。会计师总说,任何公司都有最危险的时刻,那就是每周五的下午和一个月的最后一个工作日,此时正是发薪日,他们需要大量的现金。如果你陷入停顿,整个公司将面临重大的风险。
整个IT部门重新部署了新的邮件服务器,并为工作人员复制了邮箱账户。黑莓的旧智能手机可以投入使用,但企业系统仍存在一系列问题。人们把切纸机拿出来裁切纸质工资条,但是欠款该怎么办呢?侵入前的事情都没有办法确认了。这是索尼从没有经历过的,事实上,这也是大多数人都未曾经历过的。“我的朋友们都说,‘天呐,我听说索尼被黑了’。然后我告诉他们,‘你无法想象公司内部现在是什么样子’。”一位前员工告诉我。
想象一下明早醒来,你发现电脑黑屏了。共享驱动器中任何你认为很安全的文件全都不见了,即便你存过档,你也找不到它们。你会是什么感受?
当然,你可以去找备份,但是它们已经不复存在了。你采取的所有行动都无济于事,你该怎么办?
跟我谈过话的员工都对首席信息官的行为表示了称赞,他通过制定定期简报来激励员工,简报里解释了已知的、未知的情况,以及告诉员工什么能做、什么不能做。制定工资单是至关重要的事情,值得注意的是,索尼并没有漏付任何一笔工资。对外的支付也很重要,其他业务流程也面临着分类的问题。缺乏电脑的支持,每个人都筋疲力尽。“这就好比一次入室抢劫,黑客拿走了所有的珠宝,然后把房子点着了。”网络安全公司趋势科技的首席网络安全官汤姆·凯勒曼说道。
线上的备份都已经被抹掉了,索尼只能求助离线备份。尽管这一方法更稳健,但传输和恢复数据也变得慢了起来。还有人担心,恶意软件可能是在已知有备份的情况下安装的,简单地恢复备份文件可能会使信息落入黑客手里。直到当年的12月底,都不能确定个人电脑和网络是完全安全的。
头脑特工队
原始文件中的链接一公布至公共网络,迅速吸引了人们的注意。有着数百万读者的讨论平台Reddit也开始关注文件的内容了,并开始梳理起这些内容。
大多数黑客都会秘密删除千兆字节的数据,这次的黑客却十分特别,他们窃取了千兆字节的数据。
电影文件共享站点收到了多个链接,泄露了尚未上映的电影——《狂怒》(由布拉德·皮特主演)、《安妮和透纳先生》,还有《写爱于臂上》。它们都来自索尼,这些数字文件被制成DVD,供人浏览。最尴尬的是,索尼的服务器竟悄悄被人用来分享影片的“种子”。
这些电影更像是未经计划随机选出的,《狂怒》有些知名度,其他的就不那么受关注了。那些在索尼服务器上下载最受欢迎的未上映电影的人们,可能只会对《狂怒》感兴趣。
12月1日,FBI探员注意到索尼影业的电影被泄露了,开始进行问询,并和员工召开了有关数据安全的会议。FBI发表声明,“FBI将继续查明、追捕并击溃任何对网络空间构成威胁的个人与团体”。
但这无法放慢黑客的速度。就在同一天,黑客发布了一个巨大的电子表格,其中包括6000名索尼员工的工资收入与家庭住址,还包括17名年薪超过100万美元的高管的详细信息。这一举措的时机和细节都十分精准,明显指向某些个人或群体,其行为包含了对索尼明显的恶意。
更多的公司文件被泄露了,这些信息被放到了Pastebin(一个很受黑客欢迎的文本粘贴网站)上。许多记者都收到了链接,他们争相在大量信息中寻找劲爆内容,披露索尼的内部情况,揭示种族和性别歧视导致的工资差距以及高管对演员、电影和政客的不当言行,黑客本身却被记者忽视了。黑客并不需要挖黑料,媒体会替他们做这件事,这是不停重复的一种模式。“我们从这些博客和网站上得到的信息比从迈克尔·林顿和艾米·帕斯卡(索尼影业的共同主席)那儿得到的要多。”一位记者坦言。
索尼制定了多项措施来处理人事问题,采取了身份盗窃保护措施,开设FBI安全讲座,还为担心数据外泄的员工设置了咨询热线。林顿在一次市政厅会议上说,“虽然我们没有范本可供参考,但我们不会被打倒”。尽管如此,他还是不愿回答记者更多的问题。
泄露文件中的诸多发现,给索尼带来了很多批判的声音。数千台电脑中的社交媒体账户(例如脸书、YouTube、推特)的登录信息被存储到了一系列Word、Excel和PDF中。这些文件都有很方便的命名,例如password list.xls或者YouTube login passwords.xslx。在一些情况下,受密码保护的文件的文件名就包括了密码,并且密码都是以纯文本格式存储的。
隐藏的要塞
还是那个问题:黑客是怎么做到的?越是大的组织越容易被黑。这是因为随着系统的扩散,确保“侵入界面”(需要考虑设备数量、操作系统和版本以及使用的应用程序与App等)的安全也变得困难了起来。一个漏洞就能让黑客进入网络,再多一个漏洞,黑客就能获得外部访问的权限,继而修改内部内容,获得所有区域的权限。黑客侵入始终是一个循序渐进的过程,第一步就是进入。
多年来,索尼的公司结构一直存在问题,历任首席执行官都试图打破内部部门互相竞争、互相使绊的局面,因为这些情况极有可能会损害集团的财务业绩。
索尼的PlayStation网站脱离了索尼影业,曾于2011年4月遭到黑客侵入,当时有7700万个账户被破解,其中可能包括部分账户持有人的信用卡明细。2011年6月,业余黑客组织鲁兹安全使用简单的SQL注入技术,侵入了索尼影业系统的数据库,并泄露了数以千计的个人信息。此次黑客行动窃取的都是和公司有竞争关系的相关方的信息,并不包括员工信息。“通过一次注入,我们能获得一切。为什么你们要如此相信一个这么容易被侵入的公司呢?”鲁兹安全甚至没有深入任何一个系统,就获得了如此多的信息。
2013年6月,从索尼电脑娱乐公司升职的平井一夫接管了索尼,整家公司依旧充斥着典型的日本文化——等级分明,难以解雇人。但索尼也正在努力适应现代互联网文化,试图充分利用先进的计算系统,并使用该系统保护自己。
索尼在上述侵入事件中出尽了丑,也因此于2013年年底加强了自身系统的安全性,转为由内部团队负责网络安全监控。在华盛顿,索尼有42道防火墙和24小时在线的安全中心。而在移交内部团队的过程中,他们丢掉了1道防火墙和148个组件的监控。
2014年索尼的一份审计报告指出,“这些安全意外会影响网络系统和基础设备,并且无法被检测和解决”。
罗道夫·罗西尼开始和索尼影业的子公司索尼在线合作,他当时就任于游戏开发公司Storybricks,拥有10年以上的线上安全维护经验。罗西尼如今正忙于研发人工智能系统,这些也将被应用于索尼的游戏系统中。罗西尼在2014年时说:
我们可以访问所有索尼内部的资源文件,尽管我们是外部公司,但索尼为我们提供的电脑能连上他们的网络。我们有后缀是sony.com的电子邮件账户,我们的权限和内部员工一样。所以,我们能看到索尼内部是如何处理信息安全问题的。
罗西尼对他的这一发现感到震惊。但他也意识到,在索尼影业现有的情况下,公司几乎不可能有什么变化。“99%的侵入都可以通过PDF、Flash和Java实现,索尼甚至没有集中更新机器。不集中更新,就无法知道所有的机器是否安装了什么恶意软件。”
他告诉我,他反映过这一信息,但是没有得到关注和回应。“这家公司从来没有解雇过人,许多不称职的行为没有受到惩罚,那些不能胜任工作的人也没有被开除。”
举个例子,他轻易就破解了电脑的安全设置,安装了一个文件储存程序Dropbox,可以将一台个人电脑上的本地文件同步到另一台电脑的备用存储设备上,“我花了30秒就成功了”。
2014年2月,他在Pastebin上发现了完整的定位地图,将其与索尼内部信息结合起来能随意开展黑客活动。
罗西尼陷入了恐慌,并试图引起索尼IT团队的注意:
我通知了(索尼在线的)IT经理,“有人进入了你们的内部系统,这意味着网络系统可能存在漏洞”。
结果却是,内部系统屏蔽了Pastebin网站,IT部门根本没有解决这个问题。
很快,他收到了管理层的邮件,“他让我关了那个鬼东西,说得非常明确。对于他们的后端安全问题,我毫无头绪”。
他们的态度刺伤了罗西尼,“我可以下载可执行程序,然后让它在个人电脑上运行,就能够访问所有文件和文件夹了”。更重要的是,任一黑客都可以这么做,可以得到同样的用户特权。
2014年黑客事件发生的时候,罗西尼还在与索尼合作。他平时用到的文件都不在被黑的数据库里,因为“黑客没侵入子公司”。
罗西尼不是唯一一个对索尼的安全系统感到失望的人,另一名前员工称之为“一个完全的笑话”。侵入事件发生一周后,他告诉记者,安全侵入的警告响过很多次,但是都被无视了。他提起了一个案例,一次公司的一个文件服务器被黑掉了,仅仅是因为一位欧洲员工去了一家网吧,接入了服务器,然后忘记退出了,而下一个坐在那个位置的人就掌握了全部的信息。
2013年年末,一位外部承包商发现了索尼网络系统中存在可疑的流量,调查组根据这一线索发现千亿字节的数据被加密了,黑客源至今没有查明。不过根据时机来看,很有可能是因为当时《人是你杀的?》这部电影刚刚拍摄完毕。
索尼影业在2014年2月意识到了侵入事件。2月12日,法律部门主管考特尼·沙伯格给3名同事发了邮件,声称“索尼系统可能被一个未授权的组织掌握了,他们接下来可能会安装恶意软件”。几天后,沙伯格开始淡化这件事的严重性。759个“和巴西剧院有关”的用户个人数据被泄露了,但是巴西法律没有要求出现这一情况必须通知相关人士,这说明问题并不严重。
大规模的数据窃取都是通过这种方式实现的——上传恶意软件,进行黑客侵入。比起反复侵入系统,黑客发现,单纯地在服务器上运行软件并悄悄收集数据,似乎更简单、安全,而这种软件并不是传统意义上的恶意软件。12月10日,FBI网络部门的助理局长告诉参议院委员会,该软件可能已经渗透了索尼90%的防御系统。
FBI得出的结论是,黑客窃取了一位拥有最高权限的系统管理员的登录信息,从而得以进入系统。这就是为什么会有人在私下议论该次事件背后有“内鬼”的存在,但事实并非如此,这是一场经典的外部黑客侵入。
那他们是怎么得到这些信息的呢?网络安全公司Cylance的斯图尔特·麦克卢尔分析了所有的邮件,发现了一些发给高层管理人员的网络钓鱼邮件,这些邮件要求用户验证苹果产品的ID,但苹果公司并没有发出过这类邮件。麦克卢尔强调,虽然只是一种推测,但这的确可能是一种侵入的手法。
2014年11月泄露的内容显示了索尼深层结构的失败。防火墙完全失效,黑客仿佛成了网络的上帝。很快,人们就意识到黑掉员工的网络与数据只是黑客侵入意图的一部分。黑客将公司最宝贵的秘密公布于众,这使得索尼在公众面前大大出糗。超过100兆字节的数据,包括了4部未上映的电影、3万份财务文件和内部报告、整套管理者密码和17万份邮件信息,甚至还包括了高级管理人员对演员、其他高管以及索尼电影质量的个人评价。
泄露的内容一个接着一个,总共8批,包含3800万个文件。特定的新闻网站收到了泄露邮件,并发送到了文件分享类网站,这造成了接连的传播。索尼聘请律师给新闻网站发了函,要求他们毁掉“被偷的信息”,并告诉他们“如果使用和传播信息,对于其造成的危害与损失,我们别无选择,只能追究你们的责任”。但这并没有阻止故事的进一步发展,美国法律为新闻界提供了广泛的保护,并且索尼很难证明某个特定的新闻组织对其造成了危害与损失。
黑客侵入事件发生后,一系列的爆料大大挫伤了公司的士气。“一些邮件的内容让你想爬到桌子底下去,”一位前员工告诉我,尽管内部网络依旧不能用,智能手机却可以使用,“我记得我们几个人待在办公室里,不停搜索自己和同事的名字,看看会出现些什么。”就好像用谷歌街景地图,第一反应就是搜自己家一样,索尼影业的每个人都开始搜索自己的名字。一个人曾这么告诉我,“你想跟能鼓舞你的人一起工作,他们值得信任、能给你带来动力、有信誉、尊重他人,但接连发生的事情让人恐慌”。令人感兴趣的一点是,对于邮箱这一默认不加密的媒介,人们对其安全性有着某种隐性的信任。然而十分好猜的用户名与密码,也为该媒介的安全性画上了问号。
其中一个人告诉我,“进入商界的第一条准则是:如果不希望你邮件里写的内容登上报纸的头条,那一开始就不要写”。很明显,索尼的高管们未能遵循这一格言。
这是工作模式的进化带来的结果,人们在各种场合下“工作”,无论是在派对中,还是在旅行间隙,大家都在回复邮件。因为手机或者电脑掌控在自己手中,大家自然觉得通信链的每一个环节都是安全的。如果索尼的高层只用WhatsApp或Signal交流,黑客就无法用这种方式侵入了。而对帕斯卡、林顿这种经常写邮件的人来说,他们在编写邮件时经常掺杂着错误的拼写和缩写,还时不时出现“发送自我的索尼Xperia Z2”。而安全的即时通信软件既能满足他们聊天的灵活性,又能保证他们对话内容的安全性。
事实上,索尼的律师也讨论过,他们认为邮箱存储的信息量过大。索尼影业的总顾问利亚·威尔早在2014年就曾表示,尽管部分邮件需要保留,“但大部分邮件都可以删除,IT部的同事告诉我,使用邮箱存储所有的邮件信息并不是个明智的做法”。
帕斯卡在邮件门事件中受到的影响最大,她在邮件中调侃奥巴马喜欢的电影类型,开种族主义的玩笑。她在书面道歉中称,那些邮件“不合适,并且无法反映真实的我”。她也在员工大会上对所有人道歉,“我真的很抱歉,我能做的只有真诚地道歉,请求你们的原谅”。林顿让大家不要读那些邮件,说它们可能对内部和外部产生了分裂作用。
不管怎么样,大家还是读了。“侵入事件发生后,我想‘我的天,整家公司都要完了,世界末日了,索尼(影业)绝对撑不过去’。”一位前员工回想道,“这种时候,谁还会跟索尼签合同?从信任的角度来看,我肯定不会。”
同时,工作人员开始使用智能手机查找任何能找到幕后黑手的线索。如果和平卫士(一个高段位的业余黑客组织)想要钱,他们为什么还不发送勒索请求?难道他们不会跟索尼的管理层谈判,以泄露邮件内容为筹码,要求他们支付经过匿名处理的比特币吗?为什么要洗劫机器,让整个公司只能依靠纸和笔工作?做这种事情的人,一定对公司本身怀着极大的仇恨。这根本不是一项商业行为,而是一次复仇。如果黑客的目的是钱,那么他们的行为就说不通了。
一个说法迅速传播了开来,这次黑客攻击是那些将要被解雇或者最近被解雇的内部人士干的。一位员工说,“我们每个人都密切关注着身边的人是否有参与其中”。
每一次的黑客攻击都有一定的原因,黑客可能来自内部,也可能来自外部。其动机可能是制造问题,可能是获得钱财,也可能是某种国家资助的间谍与破坏行为。通过观察黑客的行为和做法,人们通常能弄清楚他们的意图,知道在和什么样的黑客打交道。
如果黑客窃取数据并以发布该数据为威胁,要求对方以加密货币的方式支付赎金,这就是一种公认的商业行为。而单纯地传播信息与洗劫电脑是十分业余的行为,很可能是某种黑客主义。如若悄悄窃取数据、试图不引起注意,则可能是商业或者国家资助的间谍活动。
计算支出
黑客事件发生后不久,出现了大量预估索尼因此而遭受的损失的数字。金融研究公司麦格理研究预估,被盗的电影包括宣传预算的支出加起来可达9500万美元。2014年12月中旬,美国战略与国际研究中心的吉姆·刘易斯表示,索尼最终损失约达1亿美元,并需要6个月的时间才能完全摆脱黑客的阴影。
2015年2月4日,索尼公布了季度业绩,其中包括了黑客攻击造成的损失,他们公布的数据远远不到麦格理研究和刘易斯预估的数值。索尼公布,黑客事件发生的季度损失约为1500万美元,财政年度剩余时间内的损失约为2000万美元。索尼在东京的发言人表示,“这个数字还包括了恢复金融与IT系统的有关支出,这也表明这件事对索尼集团业绩的总体影响不是实质性的”。
几个月后,索尼的全年财政报告显示,索尼电影部门发生的问题造成了约49亿日元的支出,折合约4100万美元。和索尼经过数年亏损最终退出电脑市场以及在智能手机市场上的苦苦挣扎相比,前者的损失并不算什么。事实上,电影部门做得很好,一年的营业收入增加了6%,净利润增长了13%。如果黑客试图摧毁这家公司,那么他们失败了。
但高层却受到了影响。2015年2月,艾米·帕斯卡因为邮件门事件,卸任索尼影业联席董事长。但这并不全是坏事,索尼影业和她签了一份为期4年的合约,资助其新的制片事业,索尼保留了发行权。
同时,约4.7万名工作人员的个人资料(包括社会保障号码)都被发布到了网上。2015年9月,索尼以1500万美元的赔款解决了员工提起的一系列诉讼。
然而,对于索尼影业的员工来说,影响却是长期的,员工担心自己的银行账户安全。“我是否需要担心有人盗用我的账号?”其中一名员工在《财富》杂志中问道,“我再也不会用工作场合的电脑登录我的财务账户了。”他告诉该杂志,未来他只会用智能手机和家里的电脑处理个人事务,“不值得冒这个险,你永远觉得有人在监视你”。
在这种情况下工作带来的挑战,对各级员工产生了两极分化的影响,一部分人积极应对,另一部分人则完全接受不了。有人告诉我那段经历对一些人来说是一种终极考验。人力资源部请来了治疗师和心理顾问,一个前员工回忆道,“那段经历教会了我们学会同情,因为每个人都会有失去控制的时候”。通常情况下,来自个人生活和工作上的挑战会触发我们的神经,我们会陷入不知所措之中。“我们学会了这一切都是可能发生的,这没关系,并且每个人都可能经历这样的时刻。”他回忆道。
然而,和我谈话的人中也有从这段经历获得鼓舞的。“我认为,公司能有这样一段经历实属好事,并且我从中受益匪浅。”另一个人告诉我,“公司也从中吸取了很多教训,这会让公司变得更好。”
林顿自己也说,他从中学到的最重要的一课就是决策中什么最重要,“你不能被推到聚光灯下却无动于衷”,他这样告诉《华尔街日报》。小结|索尼影业黑客事件
黑客和普通人一样,也会读新闻,而且他们会密切关注那些对自己的野心产生影响的机会和威胁。
如果你觉得自己成了黑客的目标,请尽快联系当地的政府部门。
不要指望政府能介入并预防黑客侵入,这是十分困难的。不过他们会给你指导,告诉你威胁之所在。维护安全依旧是你自己的事情。
也许有一天,整个公司的计算系统会被洗劫一空,你需要提前做好准备和演练。不仅是黑客的问题,火灾和其他灾难也可能发生,并造成同样的结果。
你的异地备份服务器也可能遭到洗劫,同样需要做好准备和演练。在这种情况下,你需要认识到,工作人员的士气取决于复原工作是否顺利进行。而组织能否挺过这类灾难,则取决于工作人员如何应对这一切。
如果你不希望自己的邮件内容出现在报纸头版或是新闻网站上,一开始就不要写进邮件。电子邮件不是一个安全的媒介,之前随便的一句话可能会在未来阴魂不散。换一种方法,面对面交谈、电话交谈或是使用安全的聊天App。
听从组织底层发出的警告。
普及有关黑客和网络安全的专业知识。
不要把密码保存在很多人都能访问的单个文件里,那里基本是黑客第一时间开始找的东西。
这种做法是前所未有的。——不具名的微软程序员在1995年发现了SQL注入技术
2011年2月的一个周日的夜晚,是第45届“美式橄榄球超级碗决赛之夜”。正在进行的匹兹堡钢人队对绿湾包装工队的比赛,是美国电视史上最受欢迎的盛事之一。但是艾伦·巴尔并没有收看节目,此刻他正在试图接入HBG Federal的服务器。HBG Federal是他任职的一家网络安保公司,主要负责对美国政府提供网络安全保护。
下周,巴尔将在一次会议上做重要的演讲,此时他正在修改内容。《金融时报》对他进行了一次独家专访,并将内容发布到了网上。这次演讲的主题是社交媒体和相关网站的潜在安全问题,他将展示如果将脸书、推特和领英上的信息绑在一起,他人就能精准地识别出用户的真实身份。他告诉《金融时报》,他已经渗透进美国军事集团和美国核电站,并识别了其中一些成员的身份,甚至如果给他们发送附有恶意软件的钓鱼邮件,而他们一旦打开了链接,他就可以在他们的电脑上安装间谍软件。
巴尔还说,他可以使用同一技术识别出“匿名者”的核心成员。匿名者是一个业余黑客集团,曾侵入过大量网站,并于2010年12月让PayPal和Visa一度陷入故障。当时包括Paypal和Visa等企业正在对维基解密撤资,而匿名者对此进行了报复。
然而那天晚上,巴尔无法连接上HBG Federal的服务器。
2003年,网络安全已经是一个蓬勃发展的行业。随着宽带速度越来越快,公司具备了更强的计算能力,安全漏洞也随之变大,随时面临着遭受欺诈和盗窃的危险。越来越多的黑客偷走了大量公司的财富,斗争也跟着浮出水面。当时的格雷格·霍格伦德(Greg Hoglund)已是一名著名的网络安全研究员,1999年他以自己的名义在著名的黑客杂志上发表了关于rootkit的文章。Rootkit是一种特殊的恶意软件,能够无痕地监视Window NT系统的活动。对此,他在黑帽安全技术大会(Black Hat Conference)上做了一系列关于rootkit的技术演讲,并成立了一家网络安保公司—HBG。
随着公司的壮大,霍格伦德逐渐意识到,与美国政府的合作可以给他带来的丰厚利润,商业机遇很大,但公司的结构也出现了矛盾。
于是,2009年12月,他成立了分公司HBG Federal,专攻网络安全领域。其创始资本为25万美元,新上任的首席执行官艾伦·巴尔出资3.5万美元,首席运营官特德·维拉出资3.5万美元,霍格伦德的妻子佩妮·莱维·霍格伦德出资8.75万美元,剩余6.25万美元来自HBG本部,还有两个较小的股东共投入了3万美元。
巴尔曾在美国海军担任过12年的密码学家、程序员和系统分析员,之后他成了诺思罗普·格鲁曼公司的安防承包商,再后来他成了该公司网络安全方面的总工程师。他看到了机会,他拥有20年的计算机经验,他了解黑客文化,比起做一个大型国防承包商,他希望能参与网络安全方面的创业。
尽管发展势头不错,但网络安全公司的前景依旧不明朗,HBG Federal面临着激烈的市场竞争。公司很难拿到合约,也没有达到内部的收入预测指标。公司需要一场巨大的商业胜利,证明自己的长期潜力,或者使自己能以更有竞争力的价格被收购。
同时,巴尔对匿名者有着浓厚的兴趣。匿名者是一个无组织的黑客团体,兴起于讨论区,随后转战互联网中继聊天服务器,他们声称自己要帮助世界走向正确。
在信息安全论坛上,巴尔将焦点指向了基层用户,他决定详细介绍下社交媒体的安全风险。
在公司内部邮件中,他说明了自己的想法,并讲述了那些试图保持隐身的人可能遭遇的风险—只要你使用社交媒体,你就是可识别的。“社交媒体可能是下一个巨大的漏洞,”巴尔写道,“在考虑论坛的主题时,我想说明一下为什么社交媒体会带来巨大的风险。”
巴尔告诉邮件组的高管们,他知道匿名者是一个有争议的组织,他使用了专有的分析工具和社交媒体分析方法将该组织成员的IRC昵称与真名联系了起来。他表示,对于匿名者中的30余位核心成员,他能够识别大多数人的身份,实际上他还找到了更多的普通成员,但他不打算费心做进一步的研究。
他在邮件中强调,他没有恶意,他只想通过这一结果证明社交媒体是每个人都需要关注的重点。他无意揭露用户的信息,他只想证明,如果他能推断出这些匿名者的身份,那么行业重要人物也同样暴露在危险之中。“我希望匿名者组织能够理解我的意图,不要将我的研究过程放在心上。”
希望,正如他说的,希望萌生永恒。
请勿窃听蜂巢
很难找出是谁控制着匿名者,谁都可以进入匿名者的聊天室,旁观或是加入,其中不乏技术娴熟、知识渊博的专业黑客。也有一些人几乎没有什么黑客经验,只有一长串的理论。匿名者聊天室的信噪比很小,有才华的黑客通常会寻找同类,然后进入私人IRC聊天室,他们在里面讨论技术,而不被他人打扰。
匿名者采用类似蜂巢的行动方式。首先,他们通过内部的讨论,决定对外部事件的处理方式。其次,如果蜂巢遭到了来自外部的攻击,他们会对目标表示出很强的反攻击性。如果有足够多的黑客想要攻击你,你会惹上大麻烦。
约瑟夫·梅恩于2009年3月加入了《金融时报》,他负责技术领域方面的报道,主要研究信息安全和隐私保护。过去他在《洛杉矶时报》和《彭博新闻》工作了很多年,撰写有关商业与技术方面的新闻,并对新兴的黑客文化和商业黑客非常感兴趣。
HBG的公关部人员发来了一封电子邮件:巴尔要做一次演讲,讲述如何找出匿名者的关键成员,想和他谈谈吗?“我同意了这次采访,因为我觉得巴尔的议题很有趣,匿名者和当局都试图阻止这次演讲,这也是当下最热的话题之一。”梅恩解释道。
梅恩回想起来,从拟稿到采访再到撰稿,用了不到24小时。这是一次有趣的尝试,有很多有趣的新闻元素,但是调查的内容却不多。“对于他能做什么,他有一个合理的解释,我觉得这值得我去采访。”
报道的开头是,“我们进行了一次国际调查,曾恶意攻击过维基解密的商业网络活动分子的高层人员可能会被逮捕”。该报道援引了巴尔的话称,巴尔已经确定了该组织高级成员的等级和位置,人员遍布英国、美国、德国、荷兰、意大利和澳大利亚。尽管有近100名成员,但其中只有约30人稳定活跃,组织由10位最资深的核心成员领导着。巴尔说,为了向他人展示社交媒体和网络的安全风险,他已经渗透进了该组织。
但在匿名者看来,这不像一次例行公事的报道。在PayPal和Visa的攻击中,已经有英国成员遭到了逮捕,之后还可能会上法庭。巴尔已经渗透该组织的发言并没有吓倒他们,但报道中讲他很快就会在论坛上介绍自己的研究成果,这无疑给匿名者敲响了警钟,IRC聊天室开始草木皆兵。
对巴尔来说,他无意帮助美国或英国政府逮捕匿名者成员,他只是想证明自己的猜想,并让那些公开自己社交账户个人资料的人保持警觉。尽管社交媒体呼吁用户分享所有的生活细节、想法和经历,但巴尔却认为你根本无法控制自己的读者如何使用你分享的信息。为了证明这一点,他创建了一系列脸书僵尸账号,用于观察和交流。
服务器依旧没有任何响应,巴尔有些不安。起初他以为系统出现了故障,“然后我的推特和IRC都收到了消息”。
推特是最重要的线索,他的账户被黑了,黑客用他的账户说明了自己的身份。之后,很多人给他打电话,证明不仅是他的账号遭到了侵入,还有人闯入了HBG Federal的系统,试图浏览所有的内容,电子邮件、演示文稿等。
幕后主使也很快表明了身份—匿名者,但他们是如何侵入一家网络安全公司的系统的呢?
让我们回到1995年。
95种读取数据库的方法
安德鲁·柏拉图在微软做着最不有趣的工作。20世纪90年代中期,西雅图是这个世界上最让人兴奋的地方之一,所有在售的个人电脑都使用微软编写的软件,人们会在午夜排队,等着购买新的操作系统Windows 95,并将其安装在自己的个人电脑上。而几年前,几乎没有人知道操作系统是什么。
柏拉图当时26岁,是一名技术文档工程师,但他并不编写软件,他只负责记录软件的功能和工作原理,让人们理解该如何使用软件。“我负责产品开发的文书工作,给开发人员和数据库管理人员提供操作手册和使用手册。我的主要工作是编写数据字典,记录数据库的结构。”柏拉图说。
尽管Windows 95大获成功,微软还是在互联网的兴起中走进了“死胡同”。正如柏拉图说的,他们急于将其产品与新的、民主化的网络结合起来,其中的一个尝试就是SQL服务器。SQL是一种用于查询与更新数据库的语言,尽管它十分简单,但它可以整合复杂的数据库,提供精准的查询。
柏拉图做的是并不复杂的基础工作,他需要编写SQL查询,然后测试它的预期反应。“这个工作有些辛苦,”他说,“我有时需要验证数据库中数百甚至上千个表格,我总是试图寻找能提高效率的方法。”
为了节省时间,他在Windows的文本编辑器记事簿上存储了一些查询语言,然后粘贴到SQL服务器数据库的程序中。这是个十分乏味的工作。
1995年9月底,他犯了个错误,将SQL查询发布在了微软最新推出的MSN社交网站上。“我在注册账户的时候输入了自己的信息。”他没有意识到自己的错误,并按下了发布键,用于检查数据库内部工作的查询语言上传至了数百万MSN注册用户的线上数据库中。“而那些破译员看到SQL查询之后就会执行。他们做了,并反馈给了我,我的屏幕上出现了数据库字段里的所有数据。”
从某种意义上说,柏拉图对数据库进行了黑客攻击。更确切地说,他执行了SQL注入攻击,通过向浏览器注入SQL命令,发现了数据库的安全漏洞。
柏拉图一开始并没有意识到发生了什么。
一开始的时候,我觉得,“哇,这太酷了,我都不知道还能这么做”。并且这确实方便了我的工作,我不用从命令行窗口复制和粘贴内容了,而在浏览器中进行显然更容易些。
但他很快想到了一个问题。“如果这个网站可以这么做,别的网站也可以吗?如果我在一个网站上提交SQL查询并执行,我是不是就能看到其他数据库的全部内容?”
周末,他在甲骨文、IBM和惠普等多个网站上尝试了自己的想法:
我差不多黑了二三十个网站,并提取出了数据,我能搞到用户账号等详细信息。我只需要搞清楚数据库结构,这不是很难,因为你可以提交一个查询数据库结构的命令。“我知道桌面上人们存储信用卡账号的地方,”他在网站上输入了一个SQL查询,“然后我的浏览器窗口就出现了上千个信用卡账号清单。”
这是一个充满可能性的世界。柏拉图的面前打开了一扇门,邪恶的峡谷向他发出了召唤。他想,“我可以用这些信用卡信息买东西,我知道这是不对的。但是如果我能做到这一点,其他人也可以,我应该告诉别人这个问题”。
他告诉了他的上司这一点,上司回复说会在周二的晨会上说这件事,时间是10月10日。
周二的晨会是微软研发人员商量重要议题的场合,哪些部门出现了问题,哪些部门有发展前景,都会在会上讨论。微软研发人员是从数千人中选出的行业佼佼者,他们在微软的主导地位也愈发明显,更是表现出了傲慢的倾向。微软在计算机领域一骑绝尘,这使得研发人员都很有自信。“他们是神,可以为所欲为,尤其是高端开发人员,他们掌控着大量的资金。”柏拉图说,“那个时候,各种资源和项目都源源地涌入。”
柏拉图既激动又紧张。
我当时疯了。我想,他们会看到这个问题,并且会由衷地佩服我,我就可以炫耀我的编码技术了。我以为我可以升职了,我还可以跟比尔·盖茨一起工作了。我满脑子都是这些事。
周二早晨到了,柏拉图紧张地出席了会议。其中一位经理让他上前,“安德鲁,给我们展示一下你发现的漏洞”。周二的会议经常会讨论网站的漏洞,并商议如何修复这些漏洞。“我登录了网站,输入了基本的SQL查询,选择了全部用户,然后将一些基础表格命令放入表单域,按下enter键,然后所有的数据就出现在我面前了。”他解释了自己之前如何将SQL查询输入数据库,如果他可以,任何人都可以。
他等待着黎明的来临,等待着编程大神们能看到这个系统安全的漏洞,任何一个略懂SQL命令的人都可以利用这个漏洞。
沉默持续了一会儿,然后有人说话了:“我没有听懂,你想说什么?”“你可以直接通过浏览器查询后端数据库,”柏拉图回答道,“我在家也能做到。”“然后?”
不知是恼火、愤怒还是惊讶,柏拉图进一步威胁道,“我在浏览器上用SQL查询得到了信用卡数据。这非常严重”。他犹豫了一会,这不是一个弱点,更是一个漏洞,“这很严重,任何人都可以这么做”。
即便是在20年后,柏拉图回忆起那段经历,依旧情绪高涨。沉默又一次蔓延开了:
那个时候,一个大胡子研发员说话了,我有些佩服他。他总是穿着运动裤,但人非常聪明。我记得他会在微软的办公室里堆满12层高的易拉罐。那家伙总是像个流浪汉,但他真的很厉害。
那位超级聪明的研发员看着柏拉图。
我记得他说,“这纯属浪费时间,这根本不算什么”。因为大家都很佩服他,所以其他人也没把我的话当回事,我彻底跌入了谷底。
我隐约记得他说,“没有人会做这种事的”。另一个家伙也附和道,“你不是技术文档工程师吗?回去做你的工作吧,不要在这里浪费时间了”。我感觉自己做错了事,纯属浪费时间,自己就像个傻瓜。
柏拉图仍然记得那种羞辱感。
但是柏拉图没做错,他确实发现了一个严重的漏洞,并且这可能会影响所有联网的数据库驱动系统。几年后,罗布·格雷厄姆在讨论一种“新的”黑客技术——通过浏览器输入SQL命令,柏拉图心想,“浏览器跟SQL?这听起来太熟悉了”。
一流的在线杂志发表了一篇文章,柏拉图读了那篇文章,“这就是我4年前做的事情,好了,现在有人证明了这种方法,全世界的人都知道了”。
他当时为什么不发表自己的发现呢?“事后说起来自然容易,但我要去哪里发表呢?我要如何处理这些信息呢?我不知道。”
发表这篇文章的黑客真名叫杰夫·福里斯塔,目前经营着一家安全公司,正是他发现了SQL注入技术。但是第一个发现的人,事实上是安德鲁·柏拉图。
病毒软件的涌入“准备好,病毒软件将要涌入。”2011年年初,HBG在互联网数据中心(IDC)的演讲中曾发出过这样的警告。“这意味着零日攻击和APT攻击不再需要签名,我们需要警惕恶意软件。”报告还指出,“安全已经与情报息息相关。”
零日攻击指的是发现了一个从未公开发布的漏洞,而被攻击的对象也意识不到这个危险。APT攻击指的是高级可持续的攻击,软件潜入目标电脑的系统,输出数据,并留下后门。从HBG的预防策略可
试读结束[说明:试读内容隐藏了图片]