索尼与黑客的恩怨情仇
2014/12/23 瞭望智库

     瞭望智库导读

     索尼被黑的历史可谓由来已久传承有序，至少就目前了解到的情况看，从2011年4月索尼PlayStation Network网络被攻击至今，黑客对索尼的攻击一波接着一波，根本停不下来。

     索尼怎么又被黑了？

     自2014年11月21日，索尼影业被披露出遭到了疑为 GOP 黑客组织(在其显示到索尼全员电脑上的图片上自报家门)的攻击，其集团内网上的信息：包括未上映5部电影的种子、员工沟通邮件、员工薪酬、社保，等一系列数据被曝光，在互联网上广为传播、下载。

     时至今日，有消息说黑客即将公布第七波索尼内部数据。军工起家根深叶茂的索尼此次损失惨重。事实上，索尼被黑的历史可谓由来已久传承有序，至少就目前了解到的情况看，从2011年4月索尼PlayStation Network网络被攻击至今，黑客对索尼的攻击一波接着一波，根本停不下来。

     最初的2011年4月的那次黑客攻击事件，令索尼PSN网络中断了23天，大约有1亿多用户帐户的个人资料被窃，包括用户名、密码和联系地址等，给索尼造成1.71亿美元损失。

     2014年11月再次被黑客袭击后，索尼聘请网络安全公司FireEye进行了调查，负责此次调查的专家团队负责人凯文?曼地亚(Kevin Mandia)在发送给索尼影业总裁迈克尔·林顿(Michael Lynton)的邮件中表示，此次针对索尼影业的袭击是一个“有组织的团体”发动的一次精心策划、前所未有的大规模网络袭击。

     “此次袭击事件与以往我们所遇到的网络攻击都不相同，其目的不仅仅是形成大规模的破坏，还试图将一些机密信息发布出来，”曼地亚在邮件中还说道，“毫不夸张地说，这是一次经过精心准备和策划的犯罪行为，而策划者应该是一个有组织的团体，他们趁索尼影业和其他公司不备而发起了此次前所未有的大规模袭击。”

     朝鲜无辜躺枪？找出幕后真凶有多难？

     就索尼这次事件来说，有观察人士猜测索尼此次遭袭可能是朝鲜“网络战部队”所为，原因是即将发行一部名为《采访》(The Interview)的喜剧电影，该电影包含刺杀金正恩的情节。

     不过尽管索尼及其外部安保顾问也在考虑“代表朝鲜的黑客发起报复性攻击”的可能性，并且考虑停止上映《采访》，但目前 FBI 也没调查清楚黑客的真实来源，而上述指向朝鲜的言论也大多来自基于事件背景的猜测而非技术手段。同时朝鲜的一位外交官也已经明确否认了与此次袭击事件有关。

     根据趋势科技安全专家的分析，这次黑客使用了所谓的格盘病毒，索尼员工桌面显示的图片就是由格盘病毒生成的，并且在公布索尼数据的时候，黑客聪明地使用了索尼自己的游戏平台服务器，故此，又有人猜测这是索尼自己设置的蜜罐，所谓的蜜罐就是构造一个目标，让黑客攻击，从而捕捉黑客的 IP 或者窃听黑客手段等等——好比插了奶酪的捕鼠夹。当然，老鼠可能成功吃到美食而逃脱，蜜罐也是可能被攻破的。

     根据种种情况，这次入侵的黑客明显是比较聪明和高手段的，所以这一次黑索尼的真凶到底是谁，还是要看FBI的手段了。

     其实查明黑客来源所需要进行的一系列操作本身就是一种技术手段的对抗，黑客利用自己的技术手段隐藏了自己，调查方就需要也利用技术手段去找出他们。故此，查明难易度取决于黑客攻击的手段，看谁更技高一筹。

     早些时候，有报道称，FireEye已追踪到了疑为黑客是在曼谷一家酒店进行的攻击。只是，到此一步就可以说接近真相大白了吗？显然没那么简单。在索尼此次被黑的博弈中，内行人很容易看出黑索尼的人或组织的技术段位是很高的。在这场技术对抗中，FBI 是地毯式排查，而黑客要做的是把自己藏起来，清扫、隐藏痕迹。

     聪明的黑客往往是会使用跳板来混淆视听抹乱行迹的。所谓的跳板就是如字面所理解的，黑客通过先访问一台电脑，再通过这台电脑进行入侵操作，中间这台电脑就是跳板。理论上跳板是可以多级的，意思就是先访问跳板，然后跳板再去访问其他跳板，依次类推。理论上是不限跳板的层数，但因网络延迟等因素，跳板超过一定的数量就容易导致网路通畅问题，易因信息传输的延迟时间太久而无法顺利进行想要的操作。但一般说来，3-4 层的跳板数总还是可以达到的。

     索尼因何如此脆弱？

     在这里就不得不提到一句在安全圈被大家广为认可的话——“被黑是迟早的，只是时间问题。”

     通过对现有新闻披露出的信息分析，安全圈的人不难从技术角度判断出此次攻击索尼的黑客所采用的攻击手段可被归类为是一次 APT(Advanced Persistent Threat)攻击，也就是高级持续性威胁。这种攻击形式是通过利用先进的攻击手段对特定目标进行长期持续性的网络攻击从而达到黑掉目标获取数据的目的。

     根据新闻报道，这次黑客用了一种叫做“格盘病毒”的恶意软件使索尼的数据被公之于众。而如何将格盘病毒注入到索尼的内网电脑，也许如一些报道中所猜测的，除了传统的，通过对索尼自身系统的漏洞隐患进行攻击从而进入其内部网络后进而再利用格盘病毒实施相关的恶意行为和数据窃取，也有可能是有内鬼协助，也有可能是利用钓鱼的方式，再有可能利用水坑攻击——比如摸清某个员工的一些习惯和信息，事先攻破一些该员工可能访问的目标，放上恶意代码让该员工中招，然后以该员工为跳板，转而攻破内部系统，等等。

     不过无论哪种切入点和攻击策略，很明显，索尼影视内部的网络安全措施做得不够好。之前有报道显示，索尼集团大环境下的多个小环境、分部门的安全设置等级参差不齐。遵循短板原理，这就很容易导致黑客从索尼防线上某处或多处最薄弱的点轻易突破后逐渐扩大、纵深攻击范围，随着时间的推移波及广泛影响恶劣。

     在对员工安全意识的培训上，通过此次事件，也暴露出索尼的安全意识不够周全，假如索尼有完善的对一些诸如电影资料、员工信息等重要敏感数据的加密加固措施及规定，至少可以在类似的攻击发生时为自身防止数据进一步被解密、暴露，争取一些时间。

     此次事件对我们有什么启示？

     这里分两类讨论。

     a.和索尼影业实力、级别相当的大型公司/机构：

     首先是加强安全意识问题，引起足够重视。其次是做好防护，包括加强对员工安全意识的培训，以及，要制定完整的安全策略部署。就像前面说的，短板原理，所以安全部署一定需要完整，并且能及时地关注到一些安全事件，对公司使用的一些组件等在出现漏洞的第一时间内进行修补，在对企业的内部系统、服务器等，做好权限分离和单元控制。这样，即使被黑客攻破了一台服务器，也许其他服务器还能保证安全不被侵犯。

     这里举个例子：在Blackhat，也就是黑帽大会，展示了一种叫 Bad USB 的威胁。这是一种 USB 攻击，将恶意代码写在了固件，将 USB 设备插到电脑上，就可以触发攻击行为，而这与传统的U盘病毒是不同的，因为是改写了固件，所以无法被安全软件所检测到。

     当企业遇到类似这样的攻击，如果事先有安全策略控制非可信来源的USB设备直接插入到办公网络的 PC人的问题，在 APT 攻击里有一个重要的组成部分就是社工，APT 经常是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，进行蓄谋已久的“恶意商业间谍威胁”。企业应该重视这种攻击方式，而社工是开展这种攻击的一个重要组成部分。

     社工全称是社会工程学，比如，前段时间 360 的播报平台上发表了一篇文章，讲到通过一些手段可以冒充别人的手机号码给任何人拨打电话，假如 A 通过这样的方式冒充了B的领导给 B 打电话，当B接到电话时显示的是领导的号码，A 再冒充是领导没空，拿B手机拨打，这时候要求B去做些事，比如传个资料，是不是也许 B就会很容易地把公司资料传给了 A ？像这样就是一次完整的社工。

     同样就刚才的例子来说，如果员工安全意识足够高，可能就会想到是冒充的电话而去用其他方式与领导确认，这样就可以避免一次入侵。企业的整个安全体系是尤为重要的，特别是对于一些大公司来说，在没有自己的安全团队的情况，寻求一些专业的安全团队的帮助是极有必要的。

     b.普通人

     由于黑客技术不断地推陈出新日新月异，昔日电影里才有的情形也在逐渐照入现实。比如前文提到过的基于固件(硬件)的黑客手段，其实施形式可能就是通过在你不留意间插入一个U盘，甚至，在公共场所，你用别人的充电器/电源线给手机充了下电。与这些相比，通过公共WiFi 截取连接 WiFi 的个人的手机信息(微博账号等)，简直太寻常了。

     但是，作为普通人也没有必要过分担心。因为任何攻击的产生都是利益驱使的，一定有其动机。虽然实际上只要连上了网络就可以说没有隐私可言，但对黑客来说，本本分分的平头百姓因为缺乏利用动机和攻击价值，在可能获得的有价值数据和攻击成本的判断权衡下，往往不会对其进行定向攻击。

     当然，这完全不意味着普通大众就可以掉以轻心全无安全意识。一些基本的，良好的个人安全意识、习惯是必须要有的。比如，重要文件及时备份处理、不要完全不假思索地依赖机器/电子产品/软件/“云”等、一些隐私信息尽量保存到实体盘、公共场所中需要进行一些涉密操作时不使用 WiFi 而走流量……

     还有两条金科玉律：低调做人，低调处事；不做亏心事，不怕鬼敲门。

     (本文综合知道创宇安全研究员张祖优采访、百度新闻、网易科技报道、路透社、《泰晤士报》相关内容报道)

    

    

    http://weixin.100md.com
返回 瞭望智库 返回首页 返回百拇医药