一、黑客盜了索尼的互聯網之夢

索尼向互聯網戰略轉型（剝離制造業，收購內容資源，重組以突出游戲與娛樂內容及網絡服務平臺業務）伊始，發生了一起可能是迄今為止最為嚴重的個人用戶信息泄露事件。

2011年4月17日至19日間，索尼PS3網絡受攻擊，七千多萬PS Network和Qriocity的用戶個人信息被黑客盜走（后來連續發生的攻擊事件，使被盜的用戶身份信息超過一億），索尼聲稱不排除信用卡信息也被盜 ——而互聯網上已經有黑客放出風聲說手頭有220萬信用卡號……

2011-01-02，George Hotz發布了破解PS3的Root Key，玩家在PS3上運行任何破解的游戲和代碼成為可能；

2011-01-11，索尼以Hotz違反《數字千年版權法案》（Digital Millennium Copyright Act ）和《計算機欺詐與濫用法案》(Computer Fraud Abuse Act)為由起訴；通過法院，索尼得到了Hotz在Paypal的帳戶信息、所有訪問geohot.com網站的用戶IP，還試圖讓Youtube交出所有看過Hotz上傳視頻的網民的IP地址——因為這些人都涉嫌破解PS3……

2011-03-24，索尼稱Hotz為了逃避訴訟，躲到南美；

2011-3-31，索尼在線游戲在線解雇了205名員工，差不多是部門的1/3；

2011-04，逃亡南美的Hotz與索尼達成和解。和解協議中Hotz保證不再針對索尼主機從事破解活動，后者則答應就此罷手不再追究；

2011-04，黑客組織Anonymous黑了索尼的一個網站，寫上了“索尼恭喜你！你已經得到了Anonymous的關注。你近期對我們的黑客伙伴喬治.霍茨的起訴，著實讓我們醍醐灌頂，你的所做所為絕對不可原諒。”；

2011-04，Anonymous對Sony PlayStationNetwork和其一些網站進行DDoS攻擊；

2011-04-17，索尼PS Network和Qriocity用戶信息被盜；

2011-04-26，索尼北美承認受到攻擊；

2011-05-02，索尼關閉Sony Online Game，無盡的任務，龍與地下城和自由國度等游戲均受影響；

2011-05-04，索尼聘請三家獨立機構協助調查黑客入侵事件；

2011-05-10，到了索尼承諾Playstation Network重新恢復的時間，跳票了……

2011-05-30，索尼稱已掌握黑客如何入侵其在線網絡，將在6月2日出席美國國會聽證會。

之后就是索尼各種被攻擊的事件被陸續報導，有老外總結了一下，至少有五起：

1) PSN hack

2) SOE hack

3) Sweepstakes hack

4) PSN password glitch

5) Phishing site on sony.co.th

索尼承諾5-31完全恢復PSN網絡正常運轉，但這次一系列的黑客攻擊事件，使用戶對索尼PSN的信任度大大降低，除了直接損失（游戲停機、法律訴訟、漏洞修補等費用）外，最大的傷害估計是信用——許多用戶開始質疑索尼“不注重保護用戶隱私，只關心保護自己的利潤”。#p#

二、為什么是索尼？

對“為什么是索尼？”這個問題，筆者不負責任地猜測，黑客們之所以把攻擊的目標集中到索尼頭上，導火索是索尼起訴著名的黑客喬治·霍茲(George Hotz)，并且試圖追究所有“看過破解視頻的人”的法律責任——這越過了“黑客社區”的底線——隨之而來的是：

黑客社區的憤怒，最直接的是“anonymous組織”對索尼的拒絕服務攻擊，估計還伴隨著大量的“入侵嘗試”；

只要鋤頭揮得好，不怕墻角挖不倒——至少到目前為止，互聯網上沒有絕對的安全，索尼也不例外，黑客們的集中攻擊，索尼PSN網絡陷落了；

新聞一出，刺激了更多的黑客——甚至包括一些初級小孩，所謂的“腳本小子”也加入了對索尼的圍攻，于是索尼的分子公司紛紛落馬……

Hotz對索尼信息安全工作的評價其實很到位：索尼主管們，居然想要與整個黑客界對抗，這無疑是在自尋死路。他們更應該投入大量的資源聘請安全專家去鞏固系統，而不是找來一堆律師到處抓黑客打官司。

本身信息安全/黑客領域是保持著微妙平衡的，而索尼一根筋地“追殺黑客”，甚至要“追殺看過破解視頻者”，這顯然“踩過線”了——估計是索尼內部的法務部門極其強勢帶來的直接“業績”，從法律上看，這樣做當然沒問題，但社區并不理會這一套。最直接的例子就是，索尼曾試圖將庫什科·杜塔(Koushik Dutta)——首個破解摩托羅拉Xoom平板電腦的黑客，招致麾下，但是被拒絕。庫什科·杜塔說：“很高興他們能夠聯系到我，這個工作機會聽起來也確實很有趣。但是鑒于索尼目前對另一名黑客George Hotz采取的措施，我實在不能昧著良心為索尼工作。”#p#

三、“被索尼”后怎么辦？

如果你是IT主管/首席安全官，需要思考兩個問題：

1、怎樣避免“被索尼”？

2、如果“被索尼”了，該怎么應對？

互聯網上，有安全專家評價索尼“缺少一整套完善的數據管理和安全保護預案”，筆者看來，不僅如此。

微軟出版《SDL: A Process for Developing Demonstrably More Secure Software》一書中，作者——微軟的安全研究部門的2位高級經理寫道：“你總會為你產品的安全漏洞付出代價的，或遲或早而已。為什么我能這么肯定呢？因為我們深受其苦，微軟就曾經為安全問題付出過很多慘痛的代價”。或許作者還應該加上一句：“你總會為你掩蓋安全漏洞事實，詆毀安全社區付出代價的，或遲或早而已”。

微軟后來做了哪些舉動來彌補這一切呢？舉辦藍帽會議、邀請安全社區的人來講座、出席blackhat號召黑客測試vista、在拉斯維加開酒會招待黑客、高薪聘請LSD的成員到微軟工作……不是一個單一的舉動，而是在統一策略下的一系列措施，從中可以看出微軟在痛定思痛之后對安全社區態度的轉化。

如果要避免“被索尼”，至少要做：

1、從公司戰略層面注重信息安全（有高層直接主管，而不是光讓法務部門起訴忙）；

2、注重與安全/黑客社區之間的互動（以最大的善意對待善意的漏洞發現者，當然，對“越界”的“盜竊者”也不必客氣，把握好度）；

3、技術上的建設，包括數據管理和安全保護、應急響應預案；

如果已經“被索尼”了，美國眾議院商業，制造業及貿易小組委員會（U.S. House Commerce, Manufacturing and Trade Subcommittee）有關索尼數據泄漏的所有13個問題，對思考“下一步該怎么做”非常有參考價值，這13個問題如下：

1.你們什么時候意識到有未經許可/違規地訪問的？

2.你們是如何確認這次泄漏事件的？

3.什么時候上報相關的組織機構的？

4.被盜的數據和所有用戶有關還是一部分用戶？多少用戶受到這次事件影響？你們是如何確認受影響用戶數目的？

5.你們為什么不及時通知用戶這次泄漏事件？

6.你們確認了泄漏是如何發生的嗎？

7.有確認這次事件的個人責任嗎？

8.是什么個人數據被泄漏？你們如何確認的？

9.多少用戶向Sony Network提供信用卡信息？

10.你們聲稱沒有跡象證明信用卡信息泄露，但也不能排除可能性。請解釋為什么你們認為信用卡數據沒有泄露，和如何得出沒有被盜的結論的？

11.采取和計劃了什么樣的步驟去防止將來此類事件發生？

12.現在有無數據安全和保留期限的企業政策和規定？如果沒有，為什么？準備怎么修改相關政策和規定？

13.采取、計劃了什么樣的步驟去減小這次的損失？是否有計劃提供信用監視和其他服務來保護事件涉及的用戶？

筆者在網上搜索了一下，索尼在信息安全方面的“紀錄”，網上能找到的還有：

1、2004年索尼中國網站被黑；

2、索尼采用ROOTKIT技術進行音樂版權保護掀起軒然大波；

3、索尼對PS游戲機破解者法律訴訟；

如果您的企業遇到類似的安全事件，如果您是首席安全官，您會怎么做？

參考資料：

Hotz的Wikipedia簡介：http://en.wikipedia.org/wiki/George_Hotz

Sony PlayStation Network網絡服務被攻擊：http://bbs.unnoo.com/forum.php?mod=viewthread&tid=24&fromuid=1

黑客大戰索尼通俗演義：http://www.guokr.com/article/20493/

索尼rootkit事件追蹤：http://bbs.unnoo.com/forum.php?mod=viewthread&tid=25&fromuid=1