攤上事兒的網(wǎng)易郵箱和安全圈的那些“防御機制”

責任編輯:editor007

2015-10-20 21:31:44

摘自:比特網(wǎng)

話說這次攤上事兒的是網(wǎng)易郵箱,據(jù)烏云的預警消息稱:“有白帽子報告網(wǎng)易的用戶數(shù)據(jù)、庫疑似泄露,影響數(shù)量總共近5億條,泄露信息包括用戶名、密碼(MD5)、密碼提示問題 答案、注冊IP、生日等。

10月19日下午,烏云曝出的一條預警消息再次引爆了安全圈。

話說這次攤上事兒的是網(wǎng)易郵箱,據(jù)烏云的預警消息稱:“有白帽子報告網(wǎng)易的用戶數(shù)據(jù)、庫疑似泄露,影響數(shù)量總共近5億條,泄露信息包括用戶名、密碼(MD5)、密碼提示問題/答案、注冊IP、生日等。”

聯(lián)系到近來許多網(wǎng)友抱怨其iCloud賬號被黑,綁定的iPhone手機被鎖敲詐事件,而他們最大的共性,就是都采用了網(wǎng)易郵箱作為iCloud賬號。似乎網(wǎng)易郵箱這次攤上的事兒有點兒大。當然,目前僅憑這一點這并不能作為問題出在網(wǎng)易郵箱方面的證據(jù),其實早在前幾天,有關網(wǎng)易郵箱賬號發(fā)生數(shù)據(jù)泄露的事情就已經(jīng)傳出,網(wǎng)易對此還做出了回應聲明。

在這份最初的網(wǎng)易聲明公告中稱,網(wǎng)易郵箱數(shù)據(jù)庫并不存在被攻擊和泄露,出現(xiàn)問題的賬號是因為用戶在其他網(wǎng)站使用了與網(wǎng)易相同的賬戶名和密碼。也就是我們時常所說的“撞庫”。同時,網(wǎng)易還強調了自己已取得的各種安全證書及認證等等。總之小編我覺得這公告意思就是:“我怎么會有問題呢?你自己不小心,怪我咯?”

然而今天烏云的預警說明事態(tài)仍舊在蔓延中,烏云的預警發(fā)出后,這一消息通過微博、朋友圈等迅速傳開,就在大家紛紛關注事情的進一步確切進展時,網(wǎng)易再次發(fā)布了公告。公告再次否認了郵箱遭攻擊或發(fā)生數(shù)據(jù)泄露,并再次強調了之前聲明中的各方面措辭,除此之外,網(wǎng)易郵箱在公告開篇就特別指出:關于數(shù)據(jù)泄露的報道,不實!

網(wǎng)易的再次回應也再次引發(fā)了安全圈一片嘩然,因為就目前的情況來看,已有不少網(wǎng)友反映用網(wǎng)易郵箱綁定的支付寶、游戲賬戶以及iCloud賬戶等出現(xiàn)異常,并收到相關網(wǎng)站發(fā)來的安全警告郵件等等。而根據(jù)今日出現(xiàn)問題的icloud用戶致電蘋果客服得到的答復也表明:最近一周蘋果接到大量iCloud賬戶被盜投訴,其中99%的注冊郵箱為網(wǎng)易郵箱。

如此一來,一場膠著的拉扯似乎正在上演中。雖然目前各方誰也沒有拿出確鑿的證據(jù)證明問題確實是或者不是出在網(wǎng)易郵箱這里,但隨著所有問題的發(fā)展均指向網(wǎng)易郵箱時,網(wǎng)易的兩次回應都是一副“不關我事,我怎么可能會出問題”的底氣十足的姿態(tài),甚至連想要去探究一下問題出在哪里的意思都沒有,小編我也是看醉了。據(jù)小編剛剛得到的消息,目前國家互聯(lián)網(wǎng)應急中心已介入此事件,關于這一事件的后續(xù)發(fā)展小編也會持續(xù)關注,在此先不做過多評論。

攤上事兒的網(wǎng)易郵箱和安全圈的那些“防御機制”

那么接下來小編想要說的是,看到網(wǎng)易郵箱針對安全事件所做出的回應,大家有沒有覺得這步驟模式很是似曾相識?其實細細想來,在如今這個不被攻擊都不好意思出來混的時代,發(fā)生被攻擊了、數(shù)據(jù)泄露了并不稀奇,被攻擊說明你有被攻擊的價值,而因為自身原因出事兒的也正好可以借機加強安全防御,權當做個前車之鑒。只是每當發(fā)生此類安全事件,事件發(fā)展基本都是白帽子們最先揭露,然后經(jīng)過烏云等安全平臺以及媒體公布,涉事公司最先采取的反應幾乎都是各種措辭的否認。接下來,根據(jù)事情發(fā)展的態(tài)勢不同,各個涉事公司的態(tài)度也變化萬千,但基本的路數(shù)都是能找借口開脫的絕不會放棄辯解的機會,最后實在是在各方分析與鐵證面前無力辯駁了,才會道個歉之類的。

在這里小編想要說一句在安全圈早已說爛了的話:“所有安全的攻防對抗說道底都是人的對抗。”想想這話真是沒錯,因為所有的事件,攻擊也好,防御也好,還是遭遇安全事件后作出危機公關的回應也好,這一切都是由“人”本身來操作、來完成的。因此,接下來,小編想跟大家探討一下安事件中的“防御機制”問題。特別需要說明的是,這里我們所探討的“防御機制”并非安全技術和產(chǎn)品以及對抗思路方面的防御機制,而是作為安全事件中的每個“人”本身的“心理防御機制”。

那么,這人的心理防御機制又跟安全事件有神馬關系?小編我覺得這兩者實在是有很多可以類比的地方。首先普及一下,通俗的說,人的心理防御機制是指人們遭遇各種事件時所采取的各種不同心理應對方式,積極的應對方式如合理化、升華等等,會讓我們迅速祛除困擾,激發(fā)正能量。而消極的應對方式如否定、推諉、逃避等等則會起到一些負面的作用甚至引發(fā)更糟糕的狀況。

而每當發(fā)生安全事件,作為事件當事公司,便如同我們每個人遭遇應激事件時候的狀態(tài)非常相似。危機公關幾乎是這一時刻每個涉事公司最先需要做的事情,危機公關怎么做?這就如同我們人遭遇應激事件時要立即采取心理防御機制來應對差不多。那么,采取怎樣的“防御機制”來應對應激事件,這里面可就有的說了。

正如前文所說,在近兩年來引發(fā)公眾普遍關注的安全事件中,涉事公司一般在最初都會采取否認、推諉的做法,具體都是誰怎么做的小編在這里就不點名多說了,時常關注安全圈的你們都懂的。

不得不說,否認和推諉是一種原始而簡單的防御機制,將不好的事件進行“否定”、當做沒發(fā)生;或者“推諉”,將原因歸咎于其他理由或找別的東西承擔過錯,以獲取心理上的安慰,這對于人本身的成長而言真是沒有半點好處。那么在安全圈的現(xiàn)實事件中,類似的否認、推諉的做法除了可以作為遮羞布臨時很好的保全涉事公司自身的“面子”之外,小編我實在想不出還有其他的什么好處。當否定和推諉完之后,原本存在的安全問題仍舊會在那里放著,絲毫不會因為你的否認和推諉便自行消失,安全事業(yè)的車輪也不會因為你的否定和推諉會向前推進半步,最后遭殃的還是廣大的用戶以及涉事公司自身。小編就不明白了,這“面子”真就這么重要么?但就此類涉事公司而言,面對問題死不承認的“面子”能夠厚到如此程度也是蠻令人佩服的。

或許客官看到這里要有話說了:難道這安全圈有沒有積極的防御機制存在?就沒點而正能量的榜樣么?有!說到這小編不得不提到安全界的老大哥卡巴斯基,大家都知道人家在前幾個月遭遇了隱秘而又嚴重的APT攻擊。作為一家本身從事安全事業(yè)的公司,居然遭遇了攻擊,這事擱誰身上那都得是重大打擊。事情一經(jīng)曝出,網(wǎng)絡上也出現(xiàn)了“卡巴斯基被打臉”之類的說法,可以說這面子真是丟的一塌糊涂。在這樣的重大應激事件面前,卡巴斯基人家不但毫不避諱的承認了被“打臉”不說,還就此指出該事件說明這全球的安全形勢已經(jīng)嚴峻到一定程度了啊!小編認為這可以類比為“合理化”的防御機制,不僅僅如此,接下來卡巴斯基人家還發(fā)布了詳細的攻擊事件報告,以自身經(jīng)驗教訓分享給業(yè)界,以此警醒同仁注意。小編想說的是:這不就是華麗麗的“升華”嗎?

然而在小編的印象中,相對于卡巴斯基承認遭受攻擊和發(fā)布事件詳細報告的積極的防御機制的相關報道,事件最初被曝出時候的“打臉”的消息似乎更多地被人們所關注。小編也是好生奇怪,這正能量來了怎么就當做沒看見呢?不得不說羨慕嫉妒恨的情緒真是一點都不能推動人類文明的發(fā)展。

此外,小編我還想強調的是:作為用戶以及看上去是每次安全事件中受害者的你、我、他們,不要以為在所有的安全事件中我們真的就僅僅只是無辜的受害者。前面說了,所有安全的問他歸結到底都是人的問題,那么“人”也包括作為用戶個體的我們每一個人。

縱觀已發(fā)生的安全事件,堡壘從內部被攻破的例子真是不在少數(shù),特別是現(xiàn)在流行的APT攻擊。處在隨時隨處都有安全風險的黑暗森林時代的你我他,平時絲毫沒有安全防范意識,往往在在好奇心的驅使下點擊了釣魚鏈接、在毫無顧忌的情況下不管什么wifi見者必連;不知道什么是正確的安全操作步驟,認為安全只是IT或安全部門抑或只是安全廠商和安全設備的事情,這就好比家里裝了防盜門而從來不去鎖而被盜后卻又歸咎于鎖不管用保安沒給你看好門一樣。這些難道不都是當下你、我、他對于安全認知赤裸裸的寫實么? 所以,別總覺得點兒背怨社會,每一次安全事件總會在發(fā)生之前積累下重重你我從未意識到的隱患。所以,當我們認為自己成為了“受害人”時,也請不要采用“逃避”、將所有問題外歸因的防御機制去無視自己所要背負的那部分責任。

好了,從一個網(wǎng)易郵箱的話題引出了后面如此眾多看上去不太搭邊的話,最后言歸正傳一下,小編我在這篇文想要表達的意思就是:安全并非只是技術和設備層面的事情,對安全的意識形態(tài)層面的重視和正確認識不到位,再強大的技術和設備所能起到的作用也是極其有限的。這個世界還有很多未知的威脅等待我們去應對,只有當安全的技術與意識做到雙劍合璧,威力才會無窮。那么,致力于推動建立安全世界的你我他們,請從此刻開始正視每一次安全事件的發(fā)生,當面對危機時,拋棄那些消極的防御機制,從采取積極的防御機制做起吧!

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號