--本文由日經BP社日經 Techon logo特別提供。

iCloud系統已經被攻破——2011年6月21日,駭客團體「Lul zSec」在網路上宣佈入侵了尚未啟動服務的蘋果雲端服務「iCloud」系統。伺服器和網路的結構、執行應用的原始碼、資料庫的認證密碼等重要資訊被悉數盜走。緊接著,7月5日,該團體又從蘋果網站「http://adb.apple.com/」盜走了管理員帳號和密碼,並發佈在網路上。

駭客盯上的不只是蘋果。2011年6月,美國花旗集團(Citigroup)等公司的網站都遭到了攻擊,被駭客盜走個人資訊。

但最初引起人們關注這一系列駭客破解行為的,是2011年4月發生的非法入侵索尼「Play Station Network(PSN)」和「Qriocity」事件。不法分子侵入PSN/Qriocity的伺服器,盜走了7700萬個帳號等個人資訊。在這次駭客行為獲得成功的刺激下,駭客之間一直在比拼系統的「入侵本領」。

破解的開端是入侵PS3

2010年1月,因iPhone的JailBreak(JailBreak=越獄。iPhone只能安裝來自蘋果App Store的應用程式,經JailBreak之後,iPhone可以安裝各種來源的應用程式)而出名的駭客George Hotz,公開了從PS3(PlayStation 3)上執行Linux劫持PS3的方法。

為了應變,索尼電腦娛樂(SCE)決定禁止在PS3上安裝專用作業系統GameOS以外的OS,並且宣佈之後的版本都將採取同樣的措施。

但是,SCE這項措施招來了出乎預料的反抗,全球駭客憤怒地認為這是「挑戰自由」,為了使PS3能夠安裝其他的OS,駭客紛紛開始研究入侵PS3系統。

2010年12月,PS3的漏洞公諸於世。名為「fail0verflow」的駭客組織在入侵會議「Chaos Communication Congress」上,發表了導出應用簽名私鑰(公開密鑰加密方式備有公鑰和私鑰兩個加密數據。使用私鑰加密某一數據後,只能夠使用與之匹配的公鑰解讀。電子簽名使用這一機制判斷數據的合法性。)的方法。接著,2011年1月,George Hotz導出了原本只有SCE知曉的私鑰,並在網際網路上公開。

一般民眾也被變成對立面

由此感到威脅的索尼於2011年1月,在美國向美國聯邦法院起訴了fail0verflow的成員和George Hotz,並且要求獲得被告人瀏覽YouTube視訊、網站、Twitter帳號的個人電腦IP位址。美國聯邦司法官認可了索尼的請求。

這一裁決招來駭客社群之外的反感,認為「索尼有意侵犯普通民眾的自由」。不僅罷買運動在各地掀起,自稱「Anonymous」的駭客集團還向PSN發送bug,試圖癱瘓PSN的主機,並在網路上公佈索尼高層及其家人的個人資訊。

隨後,便發生了PSN/Qriocity的非法入侵事件。索尼在2011年5月3日召開說明會表示,Web應用伺服器的已知漏洞受到攻擊,攻擊者可能是藉由這個漏洞,以管理員許可權進入資料庫管理系統,盜走了個人資訊。

從「革命者的SONY」到「剝奪自由的SONY」

發生這起非法入侵事件原因何在?直接原因是PSN/Qriocity的伺服器在隨時可能受到攻擊的情況下,存在安全漏洞。

但分析事件的原委可以發現,索尼犯下了兩個大錯。

第一,為了保護自身的業務,採取了起訴駭客、使PS3無法安裝其他OS等措施,對於入侵行為的反應過激。一般社會也是如此,對人越為嚴厲,遭到的反抗也就越強。

過去,索尼曾就「Betamax」私自拷貝影像的做法與電影公司展開過爭鬥,是歐美人眼中的「革命者」。但是由於索尼採取了解析一般民眾IP位址的行為,青山學院大學調查研究員山根信二表示,「曾經帶給我們自由的索尼這次卻準備奪走自由」,因此招致了廣大人群的強烈排斥。

索尼犯下的第二個錯誤是過分相信PS3的安全措施不會瓦解,在瓦解後也疏于應對。

安全的根本崩潰

索尼之所以對於George Hotz公開私鑰反應激動,完全是因為公開的私鑰是PS3的安全的根本之處。按照設計,PS3的全部程式都是以私鑰的保密性為前提,私鑰洩露後,內容有可能隨意遭到非法拷貝。

但是,PS3並沒有私鑰洩露的情況下可以減少損失的機制。而且,個人資訊被盜的伺服器的系統安全,同樣依賴於PS3的牢固性。隨著George Hotz等人公開資訊,PS3的內部系統暴露無遺,訪問PSN的密鑰數據已經被盜取。攻擊者使用其訪問PSN後,即可輕鬆地一併取走使用者個資。

在這一方面,如果索尼能夠判定是PS3洩露了密鑰數據,並為伺服器採取足夠的安全措施的話,恐怕就不會導致個人資訊的洩露。(記者:中道 理、淺川 直輝,技術在線!)