今年夏天,一家小型網路安全公司聲稱,他們發現俄羅斯網際網路竊賊透過一個騙局,從 420,000 個網站和 FTP 站點 大量竊取資訊。Hold Security LLC 聲稱,這個被稱為 “CyberVor” 的 駭客網路 擁有 12 億個獨特的憑據——使用者名稱和匹配的密碼,這些憑據屬於 5 億個電子郵件地址。
這些數字讓 網際網路安全 觀察員,甚至一些消費者都開始關注——畢竟人們使用這些憑據來訪問銀行、投資和社交媒體賬戶。如果屬實,CyberVor 的收穫將使去年 12 月零售商 Target 的資料洩露事件相形見絀,後者的洩露事件導致 4000 萬客戶信用卡被盜。儘管 《紐約時報》的報道 為 Hold Security 的宣告增添了可信度,但一些觀察人士質疑這家網路安全供應商的重大披露更多的是一場宣傳噱頭,而不是一項公共服務。該公司決定向潛在受害者收取 120 美元的 漏洞通知服務 費用,這無助於問題的解決。
恐慌和宣傳在網路安全工作中肯定發揮著作用,因為製造防毒軟體和其他保護性軟體的公司試圖讓計算機使用者感受到他們每天面臨的裝置和資料所面臨的無形威脅。但是,當這些公司將尋找和分析安全威脅的業務部分與銷售用於緩解這些威脅的軟體和服務的業務部分結合在一起時,就會產生疑問。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠出現關於塑造我們當今世界的發現和思想的有影響力的故事。
即使是像賽門鐵克公司這樣的大型老牌公司也曾被指控 誇大安全威脅的嚴重性 以促進銷售。十年前,美國監管機構 打擊了金融服務公司 的可疑行為,這些公司的股票研究和投資銀行部門相互合作,共同認可並隨後出售某些投資。對於網路安全公司,則不存在這樣的監督。雖然考慮到網路威脅相對新興的性質,這並不令人驚訝,但這種利益衝突意味著這些公司在保護計算機和其他網際網路連線裝置與利用人們擔心其個人資料隨時可能受到線上攻擊的恐懼之間走鋼絲。
據 Hold Security 稱,CyberVor 背後的團伙最初是在黑市上購買被盜憑據。在某個時候,該團伙改變了策略,購買了有關某些網站安全漏洞的資訊。這些資料是由殭屍網路收集的,殭屍網路是一組由駭客秘密控制的受病毒感染的計算機。然後,CyberVor 利用這些漏洞從這些網站竊取更多憑據。然而,目前尚不清楚這個過程持續了多久,或者這些憑據是否曾被用來進行欺詐或從憑據所有者那裡竊取財物。
Hold Security 沒有回應來自《大眾科學》的媒體詢問。但該公司網站上的常見問題解答頁面堅持認為,個人電子郵件使用者不必支付 120 美元來查詢他們是否在 CyberVor 名單上。只有網站所有者和網際網路服務提供商才需要為漏洞通知服務付費,該服務 “還為其他漏洞通知提供一整年的服務”。
一些網路安全高管認為,Hold Security 的行為暴露了某些網路安全公司運營方式的關鍵缺陷,但這並不代表整個行業。“人們總是對每天最新的網路犯罪持懷疑態度,” 防毒軟體和反間諜軟體服務以及研究提供商 Webroot 的產品和戰略執行副總裁 邁克爾·馬洛伊 承認。儘管如此,網路犯罪是一個真正的威脅——大型防毒軟體製造商必須每天保護其客戶的計算機免受數十萬種新威脅的侵害,他說。
關於 CyberVor 警告的一個危險訊號是,缺乏關於駭客網路構成多大威脅以及影響到誰的具體資訊。前 美國國家安全域性 技術主管,現任網路安全提供商 Darktrace 的網路技術和分析高階副總裁 賈斯珀·格雷厄姆 說,Hold Security 以保密協議為由,拒絕透露目標網站的名稱。但安全公司通常會提供 “諸如 30% 的資料是金融資料... 60% 的資料是社交媒體資料” 之類的細分資料。這些資料有助於其他網路安全研究人員及其客戶自行評估攻擊的嚴重性,但 Hold Security 甚至隱瞞了這種程度的細節。
資訊安全公司 Trail of Bits 的執行長,紐約大學理工學院的駐校駭客 丹·圭多 說,網路安全公司研究和炒作可能推動銷售的威脅並不罕見。他說,政府的監管和研究將有助於買家區分好的和壞的安全產品,並獲得關於新興網路威脅的客觀報告,這將使網路安全市場及其客戶受益。
而那些銷售安全的公司也參與了徹底的欺詐。2013 年 3 月,賽門鐵克同意 支付 1100 萬美元的賠償金,以結束一項集體訴訟。諾頓防毒軟體開發商被指控在執行免費掃描後,透過賽門鐵克工具識別計算機上不存在的問題,從而誘使使用者購買不必要的 “登錄檔清理程式”,價格為 29.95 美元。同樣,MediaFire、Alpha Red 和 Branch Software 等小型公司因使用彈出式廣告和其他策略恐嚇毫無戒心的計算機使用者購買防毒產品而遭到起訴,其中一些產品在安裝後實際上損壞了消費者的計算機。*
加州大學聖地亞哥分校系統和網路組的計算機科學家斯特凡·薩維奇說,理想情況下,網路安全公司應該以一種能夠衡量其成功或失敗的方式來執行其查詢和阻止惡意軟體及網路攻擊的工作。他說,建立一種人們可以確定和評估產品或服務質量和價值的方法,將大大有助於該行業消除人們對公司只是採取恐嚇策略的擔憂。
*編者注(2014 年 9 月 18 日):MediaFire 對最初在《華爾街日報》上報道的故事提出異議,並聲稱所涉使用者是眾多中國冒名頂替網站之一的受害者,而不是 MediaFire。