索尼与黑客的无尽战役

要说今年最著名的数据泄漏事件，我想非索尼被黑事件莫属了。就在近日，又有名为LulzSec的黑客组织宣称采用了SQL注入的方式，攻破了索尼电影公司的网站并窃取了多达100万名账户的资料和密码，还有75000个音乐获取码及350万个音乐优惠券。索尼才宣布饱受摧残的PSN恢复正常，这起泄密事件无疑又狠狠的扇了其信息安全部门一个大耳光。

无疑，此事件会更加严重的打击索尼的声望，如果说之前的调查中还只有一小部分用户对索尼产生了不信任，那么此次泄露事件则可能从根本上动摇了用户对索尼的信心。那么，是什么导致了黑客对于索尼这么无止尽的怨念？面对危机，索尼又该何去何从？

我认为，索尼此次应该吸取的最大的教训就是：低调做安全&别惹黑客。

SQL注入是最常见的信息盗取方式，为什么索尼还是中招？

今天“取胜”的黑客组织LulzSec声称，索尼保护用户密码的方式竟然是纯文本方式，而且没有任何加密，这让他们觉得不可思议的同时，也为索尼感到羞耻。事实上，换了任何人，可能都会对这件事感到不可思议。毕竟索尼是五百强级别的大公司，几十年来创造了居于世界前列的流行技术，并且与盗版势力做着艰苦卓绝的斗争，最终却输在了这种地方。前一段时间遭到入侵之后，索尼宣布聘请了几家世界顶级的信息安全公司来协助解决问题。现在看来，明显还没有收到成效。说到底，还是索尼高层对信息安全的重视程度不够。一直以来，相比用在信息安全上的资源，索尼显然将更多的精力投入到了与各种破解大师的斗争中，从PSP到PS，还有原来的DVD。

不与黑客妥协，但要注意方法

一直以来，索尼对于黑客的态度似乎是极其明确的：杀无赦。今年所有这些事件的导火索，被认为起因于年初索尼对于PS3的破解者George Hotz的“追杀”。被逼躲去南美的George Hotz确实承诺以后不再破解，同时，也为索尼打开了潘多拉的魔盒。

与黑客作斗争，从商业道义上来说，当然是无可厚非的。从PSP、PS到电影、音乐，索尼所售卖的，说到底不是某种有形的机器或者光盘，二是无形的智力资产。黑客和破解的存在，当然会引起严重的经济利益损失，因此索尼投入巨额资源的反盗版研究和法律诉讼也是有其价值所在。

然而，黑客是一个很特别的处在灰色地带的群体，更是一个不能轻易招惹的群体。大部分的黑客，都崇尚自由、共享的精神，更糟糕的是，对于技术的无限狂热是他们投入黑客阵营的前提，也为他们提供了无比强大的武器。因此，任何阻止了他们对于自由与技术的极端追求的行为，都被其视为挑战，与索尼等大公司的反盗版策略进行长期的斗争，也被他们视为乐趣。大部分的黑客就像一群万圣节恶作剧的小孩子，trick or treat，就是这么简单，而索尼对于黑客的步步紧逼，则让这些“孩子”更加倾向于trick。

另外不容忽视的一点，黑客阵营也很复杂，当中有上面提到的恶作剧的小孩子，也有有组织的以经济或其他利益为诉求的黑客组织。这一类组织有其目标和诉求，是更加危险的群体。当类似George Hotz这一类事件发生时，刚好为其提供了发动“圣战”的借口。恰恰是这类群体，对组织的信息安全构成了最重大的威胁。

索尼应该向微软学习

像索尼一样，微软也一直面临着巨大的盗版和黑客挑战。然而，除了偶尔会发生的法律维权事件，目前还没有特别重大的针对微软的攻击事件，这很大程度上得益于微软对于黑客的态度，那就是：以合作代替对抗。

Windows本身是个巨大的靶子，每天都有漏洞被人发现，利用，还有想尽办法但还是一出来就被攻破的反盗版机制。黑客显然为这些漏洞和盗版方法贡献了很多力量，但微软聪明的地方在于，他们不会对这些黑客采取极端的措施，相反，他们鼓励这些黑客进行技术研究，并与黑客和各种安全组织合作来发现潜在的安全威胁，黑客收获了成就感，微软收获了安全，双赢的结果，显然要比索尼更好。

前一段时间，一位14岁的天才黑客在攻击了微软的Xbox Live服务之后，并未受到微软的惩罚，反而得到了微软的正规训练。这显然与George Hotz从索尼获得的待遇有天差之别。微软态度的转变，带来了黑客阵营对于微软的态度转变。

结语：诚然，微软也不是总是以和事佬的姿态出现，该采取行动的时候，他们也毫不手软，比如针对中国网吧盗版的集中行动等，这其中的区别在于，微软知道什么人该惹，什么人不该惹，分寸也拿捏的很好。信息安全，本身就是一个充满了对抗的领域，有时称之为战争也不为过。高姿态的宣战，本身并不能取得战役的胜利，反而可能为自己树立更多强大的敌人；信息安全，还是应该低调的把更多的心思放在技术和策略上。