[PSN沦陷,云安全警钟再次敲响] 敲响了警钟

　　2011年4月，索尼经受了一场堪称灾难的洗礼――黑客侵入其旗下“游戏站”和云音乐服务Qriocity网络，窃取大量用户个人信息，包括姓名、地址、电子邮箱、登录名、登录密码、信用卡帐户等诸多信息，受影响用户大约7800万，上亿用户将会受到波及。作为迄今为止历史上影响人数最为重大的信息安全事故，影响已经远远超过了事件本身，公众对于自身隐私的敏感以及财产信息的重要性将公众的焦点引向对于云安全乃至收费战网商业模式的反思。
　　
　　事件回溯
　　
　　从目前掌握的信息显示，事件的导火索是因为索尼针对PS3破解黑客做出一系列的法律行动，包括在法院支持下对著名黑客“Geohot”进行的各种资料调取和资源锁定工作。这些行动引起了黑客群体的不满，最终酿成云安全史上最大的“泰坦尼克”惨剧。
　　现在让我们坐上多啦A梦的时光机，来回看一下这石破天惊大事件是如何步步升级的：2011年2月18日，新PSN改造完成，随后索尼开始了起诉PS3主机破解者GeoHot的行动，继而激怒的其它黑客。他们组成了匿名联盟，对PSN(PlayStationNetwork)发动攻击；48天后索尼的多个PSN服务器受到了全面攻击，但索尼官方通过声明表示本次PSN无法登陆是因为在进行系统维护与黑客攻击无关；4月29日索尼发言表示PSN网络将在一周内恢复；5月3日，索尼三位最高执行长官平井一夫(Kazuo Hirai)，shinji Hasejima和shiroKambe在就索尼PSN网络遭攻击，导致用户数据大规模外泄问题召开的新闻发布会上向广大用户致歉。而三位高层也为此鞠躬致歉达7秒之久。索尼官方新闻稿透露PSN被攻击事件涉案金额超过两千万美元，并通过提供保险和免费游戏下载的选择模式对用户做出补偿；3日后黑客组织将第三次攻击PSN，但是索尼表示“及时进行了防御”；12日，索尼表示五月底重开服务的计划将被推迟，开服时间不能确定。
　　索尼官方表示，经过多方侦查，这是一次精心策划、非常专业、极其老练的网络犯罪攻击针对其网站发动的攻击导致1亿多名用户个人信息泄露。期间索尼旗下的主要站点，包括PlayStation网站、Style网站都出现离线的现象，虽然索尼表示大部分的PSN网络服务将会在这周内恢复，然而经过13天的挣扎，索尼PSN网络现在仍处于瘫痪状态，针对此次事件，索尼还聘请了专门的安全机构：FBI联邦调查局网络犯罪部门、美国国土安全部来介入调查，并发布了涵盖40名黑客成员的逮捕令。
　　国会通过纽约时报致函索尼公司副总裁提出了一系列问题。虽然索尼当时拒绝出席美国国会听证会，但由于国会动用法律授权下的一系列强硬措施，索尼目前已宣布就由美国众议院能源和商业、制造业以及贸易小组委员会提出的一系列问题方面和美国国会展开合作。
　　
　　云的代价
　　
　　从谷歌、苹果搜集用户个人位置信息被曝光，到这次PSN被攻击导致用户信息和利益受到严重侵犯，云服务和云应用的便捷性和安全性之间的冲突再度引起人们的反思和争论。
　　自从云应用诞生之日起，就有观察家和用户对于其安全性提出过无数质疑。尽管我们大都信任谷歌、Zoho乃至微软这样的厂商有着“不作恶”的核心价值作为保障，这些公司也每每雇用了第三方的“白帽”黑客每月对其系统进行测试。但只需关注一下业内新闻，你几乎每天都可以看到某某网站被黑的消息(去年一名黑客就通过技术手段获得了大约300个存储在谷歌Apps上的机密文件。)这次索尼PSN被袭只不过是比较严重和影响较大的一次。而且，针对索尼在线娱乐系统的攻击中是黑客使用化名通过亚马逊EC2云服务租用了一台服务器。这无疑又为云应用的安全性上了一层阴霾。
　　从理论解释到实践例证我们都被告知，几乎所有的电脑系统都能够被黑掉。进入21世纪以来，黑客的组织化、精准化方面的发展成为趋势。黑客组织里领导、分工和技术的强化使之拥有更强大的破坏能力和反防范能力。对伊朗核设施到各国国家机密，再到美国宇航局和斯坦福大学的网站，以及此次的索尼PSN，黑客们无一不是精准打击，一切如探囊取物一般。加上黑客租用亚马逊服务器云服务一事，将进一步加剧用户对云服务的担忧，云服务器的安全性越来越受到大的挑战。
　　反观美国国会对索尼的5条诘问：1、何时得知被非法和未经授权入侵的?2、这些入侵的突破口在哪里?3、什么样的信息是被未经授权的个人或是团体得到，你们是如何界定这个信息就是被非法途径所获取的?4、有多少索尼SCE的PSN帐户提供了信用卡资料?5、解释下为什么不相信信用卡信息被非法使用，又为什么你们不能确认这些数据事实上已经被获取了?哪一条问题不是我们作为终端用户在初次接受云应用、服务之前心里打鼓一样所顾虑的?只不过越来越多便捷且看似非常“安全”的应用经历，让我们放松了对这些问题的警惕，认为我们当时这些顾虑都是杞人忧天。从如今悲剧不断的现状来看，一切“放心”和“安全”都只是用户一厢情愿罢了。
　　
　　蝴蝶效应
　　
　　事件发生后，索尼曾在声明中用略带警告的口吻向公众披露：“我们认为，已经有人非法获得了您的下列信息，包括姓名、地址、国籍、电邮地址、出生日期、PlayStation Network或Oriocity的用户名和密码。”这条声明的发出，彻底触怒了全球用户的底线。因为即使信用卡数据经过加密，但个人用户资料未经加密的前提下，这些“值钱”的信息都落入强盗的手里。绝大多数用户对未来可能产生到的负面影响表示担忧。
　　最该担忧的显然还是索尼自身，因为这次被袭给索尼带来的损失是无可估量的：直接损失方面，隐私及信息管理调查机构Ponemon Institute预计将达到20亿美元(索尼为处理每名用户安全漏洞问题上的花费为20美元。该机构称，20亿美元还是一个保守数字，因为1230万信用卡用户可能也会受到网络攻击的影响，若涉及赔偿索尼的损失要远超20亿美元，看不见的损失更是不可估量：被袭事件发生之前，索尼在游戏市场一直稳扎稳打，SCE也因赢利能力在集团内部拥有较高的地位，从PS到PSP再到PS3吸引了全球亿万拥趸。事件发生后其在游戏产业的地位必将受到影响，尤其是其在线游戏市场，它让用户担惊受怕，用户普遍认为只要上网玩在线游戏就有可能被此事波及。虽然索尼将在网络恢复后向用户提供“欢迎回归大礼包”，包括补丁下载和30天免费服务，PSN用户免费享受一个月PS+，PS+用户在原有基础上延长使用一个月，不同地区提供数款精选的免费下载内容。但这小恩小惠未必能大部分用户释怀，也许还会让部分用户转投微软的怀抱，也可能让更多的用户对所有在线游戏产生芥蒂。无论发生上述哪种情况，对索尼的相关市场都将形成巨大的打击。另―方面，其CEO霍华德・斯特灵格(Howard Strinqer)最近的日子也一定不好过，这次大规模安全攻击已促使批评者要求其下台。批评者表示，这是他们对这位CEO的忍耐极限，应该负责的不仅仅是IT高管，CEO也有不可推卸的责任。可以预测的管理层震动对公司可能造成的影响更加难以计算。
　　再次，PSN被黑将为用户和其他企业敲响警钟。平井在新闻发布会上承诺，索尼将加强对用户个人信息的保护，确保索尼再次获得用户的信任。他说，索尼将专门安排一名安全官员，与网络安全公司合作，“引入强力安全措施，进一步探查未授权活动，为用户个人信息提供更严密保护”。业界乃至其他提供云应用的跨界厂商也将行动起来，最大的竞争者微软也必将借此机会加强Xbox Live安全措施，确保其服务不会出现类似问题，各第三方安全厂商也将以此为契机推出保护个人信息的解决方案。
　　无论是上述哪一种结果，对于索尼乃至业界的影响和损失都将是无可估量的。这场悲剧给我们带来的最大最深远的影响在于黑客、攻击将在大型云应用提供商和每一位用户心中成为长久地挥之不散的阴霾。要想从根源上撕开这块阴霾，恐怕还得从制度和国际合作层面对黑客攻击的行为进行控制和打击。如果将云应用和服务比喻成新鲜的水果，上述良性制度的建立和国际合作机制的形成就是保护这些果苗健康成长的温室和各种外在保护。惟有支造好这样一个适合生长的温室，提供各种杀虫灭毒的保障方能提高黑客的犯罪成本。当黑客跨境作案行为因事前成本预期的增加和事后惩罚遏制，而得到切实有效的限制，才能为云服务和应用提供更好的保障。公众才能再度放心地将敏感的个人隐私和重要的财产信息交付云端的应用服务提供商。