兩大錯誤決定 索尼成為駭客頭號目標

--本文由日經BP社特別提供。

iCloud系統已經被攻破——2011年6月21日，駭客團體「Lul zSec」在網路上宣佈入侵了尚未啟動服務的蘋果雲端服務「iCloud」系統。伺服器和網路的結構、執行應用的原始碼、資料庫的認證密碼等重要資訊被悉數盜走。緊接著，7月5日，該團體又從蘋果網站「http://adb.apple.com/」盜走了管理員帳號和密碼，並發佈在網路上。

駭客盯上的不只是蘋果。2011年6月，美國花旗集團（Citigroup）等公司的網站都遭到了攻擊，被駭客盜走個人資訊。

但最初引起人們關注這一系列駭客破解行為的，是2011年4月發生的非法入侵索尼「Play Station Network（PSN）」和「Qriocity」事件。不法分子侵入PSN／Qriocity的伺服器，盜走了7700萬個帳號等個人資訊。在這次駭客行為獲得成功的刺激下，駭客之間一直在比拼系統的「入侵本領」。

破解的開端是入侵PS3

2010年1月，因iPhone的JailBreak（JailBreak＝越獄。iPhone只能安裝來自蘋果App Store的應用程式，經JailBreak之後，iPhone可以安裝各種來源的應用程式）而出名的駭客George Hotz，公開了從PS3（PlayStation 3）上執行Linux劫持PS3的方法。

為了應變，索尼電腦娛樂（SCE）決定禁止在PS3上安裝專用作業系統GameOS以外的OS，並且宣佈之後的版本都將採取同樣的措施。

但是，SCE這項措施招來了出乎預料的反抗，全球駭客憤怒地認為這是「挑戰自由」，為了使PS3能夠安裝其他的OS，駭客紛紛開始研究入侵PS3系統。

2010年12月，PS3的漏洞公諸於世。名為「fail0verflow」的駭客組織在入侵會議「Chaos Communication Congress」上，發表了導出應用簽名私鑰（公開密鑰加密方式備有公鑰和私鑰兩個加密數據。使用私鑰加密某一數據後，只能夠使用與之匹配的公鑰解讀。電子簽名使用這一機制判斷數據的合法性。）的方法。接著，2011年1月，George Hotz導出了原本只有SCE知曉的私鑰，並在網際網路上公開。

一般民眾也被變成對立面

由此感到威脅的索尼於2011年1月，在美國向美國聯邦法院起訴了fail0verflow的成員和George Hotz，並且要求獲得被告人瀏覽YouTube視訊、網站、Twitter帳號的個人電腦IP位址。美國聯邦司法官認可了索尼的請求。

這一裁決招來駭客社群之外的反感，認為「索尼有意侵犯普通民眾的自由」。不僅罷買運動在各地掀起，自稱「Anonymous」的駭客集團還向PSN發送bug，試圖癱瘓PSN的主機，並在網路上公佈索尼高層及其家人的個人資訊。

隨後，便發生了PSN／Qriocity的非法入侵事件。索尼在2011年5月3日召開說明會表示，Web應用伺服器的已知漏洞受到攻擊，攻擊者可能是藉由這個漏洞，以管理員許可權進入資料庫管理系統，盜走了個人資訊。

從「革命者的SONY」到「剝奪自由的SONY」

發生這起非法入侵事件原因何在？直接原因是PSN／Qriocity的伺服器在隨時可能受到攻擊的情況下，存在安全漏洞。

但分析事件的原委可以發現，索尼犯下了兩個大錯。

第一，為了保護自身的業務，採取了起訴駭客、使PS3無法安裝其他OS等措施，對於入侵行為的反應過激。一般社會也是如此，對人越為嚴厲，遭到的反抗也就越強。

過去，索尼曾就「Betamax」私自拷貝影像的做法與電影公司展開過爭鬥，是歐美人眼中的「革命者」。但是由於索尼採取了解析一般民眾IP位址的行為，青山學院大學調查研究員山根信二表示，「曾經帶給我們自由的索尼這次卻準備奪走自由」，因此招致了廣大人群的強烈排斥。

索尼犯下的第二個錯誤是過分相信PS3的安全措施不會瓦解，在瓦解後也疏于應對。

安全的根本崩潰

索尼之所以對於George Hotz公開私鑰反應激動，完全是因為公開的私鑰是PS3的安全的根本之處。按照設計，PS3的全部程式都是以私鑰的保密性為前提，私鑰洩露後，內容有可能隨意遭到非法拷貝。

但是，PS3並沒有私鑰洩露的情況下可以減少損失的機制。而且，個人資訊被盜的伺服器的系統安全，同樣依賴於PS3的牢固性。隨著George Hotz等人公開資訊，PS3的內部系統暴露無遺，訪問PSN的密鑰數據已經被盜取。攻擊者使用其訪問PSN後，即可輕鬆地一併取走使用者個資。

在這一方面，如果索尼能夠判定是PS3洩露了密鑰數據，並為伺服器採取足夠的安全措施的話，恐怕就不會導致個人資訊的洩露。（記者：中道 理、淺川 直輝，技術在線！）