黑客發(fā)布賽門鐵克產(chǎn)品源代碼 故事遠(yuǎn)未結(jié)束
黑客已經(jīng)發(fā)布賽門鐵克PCAnywhere產(chǎn)品源代碼,此舉在意料之中。因?yàn)橹昂诳徒M織Yamatough在打著Anonymous黑客組織的旗號(hào)下已經(jīng)與所謂的賽門鐵克代表通過(guò)一系列電子郵件進(jìn)行協(xié)商,要求賽門鐵克支付5萬(wàn)美元后,黑客保證不公布其源代碼。Yamatough實(shí)際上在與冒充賽門鐵克代表的執(zhí)法官員協(xié)商,執(zhí)法官員希望引出Yamatough組織。但Yamatough發(fā)言人表示,該組織從來(lái)沒有索取錢財(cái)?shù)囊鈭D,只是希望羞辱賽門鐵克,仍準(zhǔn)備發(fā)布源代碼。
賽門鐵克發(fā)言人克里斯·帕登(CrisPaden)向CNET證實(shí),黑客發(fā)布的源代碼就是PCAnywhere源代碼。但他重申源代碼遭竊發(fā)生在2006年,公司已經(jīng)推出系列補(bǔ)丁升級(jí)該軟件。
帕登說(shuō):“賽門鐵克已經(jīng)為黑客發(fā)布源代碼做好應(yīng)對(duì)措施,為保護(hù)我們的用戶應(yīng)對(duì)已知缺陷,我們自1月23日以來(lái)已經(jīng)開發(fā)并分發(fā)了一系列補(bǔ)丁。1月23日以來(lái),我們直接指導(dǎo)客戶,重申已發(fā)布相關(guān)補(bǔ)丁的重要性,讓客戶確認(rèn)已經(jīng)安裝PCAnywhere12.5版,并嚴(yán)格執(zhí)行常規(guī)安全最佳實(shí)踐準(zhǔn)則。”
1月23日,賽門鐵克發(fā)布一款保證PCAnywhere12.5版本安全性的補(bǔ)丁。1月27日,賽門鐵克針對(duì)PCAnywhere12.0和12.1版本推出另一款補(bǔ)丁。
那些自稱TheLordsofDharmaraja的黑客最初表示通過(guò)入侵印度軍事情報(bào)部門的服務(wù)器發(fā)現(xiàn)賽門鐵克源代碼。但賽門鐵克后來(lái)披露該組織通過(guò)2006年入侵賽門鐵克網(wǎng)絡(luò)竊取PCAnywhere和其它產(chǎn)品的源代碼。
賽門鐵克最初警告PCAnywhere客戶卸載該軟件,但后來(lái)表示發(fā)布安全補(bǔ)丁后,PCAnywhere已經(jīng)安全。
但故事遠(yuǎn)沒有結(jié)束
黑客還竊取了賽門鐵克其它軟件的源代碼,其中包括諾頓反病毒企業(yè)版、諾頓互聯(lián)網(wǎng)安全軟件和諾頓SystemWorks。因此,賽門鐵克預(yù)計(jì)會(huì)有更多源代碼被披露。
帕登向CNET表示:“我們預(yù)計(jì)Anonymous會(huì)發(fā)布他們已經(jīng)掌握的剩余源代碼。目前,黑客已發(fā)布2006版NortonUtilities和PCAnywhere源代碼。我們預(yù)計(jì)黑客還會(huì)發(fā)布2006版諾頓反病毒企業(yè)版和諾頓互聯(lián)網(wǎng)安全軟件的源代碼。”
賽門鐵克一直堅(jiān)持所有遭竊源代碼都是2006年發(fā)生的,當(dāng)前版本用戶沒有風(fēng)險(xiǎn)。或許賽門鐵克說(shuō)的是實(shí)情,但作為企業(yè)的保護(hù)神,賽門鐵克的關(guān)鍵源代碼遭竊的確令人擔(dān)憂。
帕登向CNET表示,賽門鐵克還在調(diào)查這一事件,目前不會(huì)披露任何信息。
他說(shuō):“正如Anonymous試圖敲詐指出的那樣,我們正在配合執(zhí)法機(jī)構(gòu)。由于調(diào)查正在進(jìn)行,我們目前還不能提供任何細(xì)節(jié)。”
但他指出,賽門鐵克為提高安全性已采取如下系列措施:
·提高網(wǎng)絡(luò)防御。其中包括強(qiáng)化網(wǎng)絡(luò)監(jiān)測(cè),提高終端安全性,采取額外的數(shù)據(jù)丟失保護(hù)策略和控制措施。
·區(qū)別對(duì)待信息訪問(wèn)。引入特殊控制措施,確保員工只能訪問(wèn)與其任務(wù)和責(zé)任相關(guān)的資源。
·提高源代碼安全性。針對(duì)源代碼庫(kù)強(qiáng)化網(wǎng)絡(luò)和服務(wù)器安全防御體系。
·提高程序控制。我們已刪除大量不重要的遺留域名,確保整個(gè)網(wǎng)絡(luò)的安全性,并重新編寫開發(fā)和安全控制領(lǐng)域的新程序。
·員工教育。賽門鐵克重新制定內(nèi)部安全意識(shí)和培訓(xùn)項(xiàng)目,幫助員工識(shí)別、處理可疑行為。
當(dāng)然,客戶不會(huì)知道新安全方法是否奏效。但賽門鐵克自2006年以來(lái)似乎已經(jīng)強(qiáng)化了防御系統(tǒng),有望減少類似事件的再次發(fā)生。
