美国民营智库网络被黑内幕：安全防范几乎为零

[摘要]它不仅未锁前门，而且将窗户打开，并把珠宝放在厨房的桌子上。美国
民营智库网络被黑内幕：安全防范几乎为零6月17日消息，据国外网站Daily Dot报道，最近披露的政府秘密文件显示，美国民营智库战略预测公司（Strategic Forecasting Inc）在2011年12月遭遇黑客攻击，
是因为该公司的网络系统没有采取标准的安全措施，存在
众多的安全漏洞。2011年12月，一批技术精湛的黑客闯入战略预测公司的网络系统，窃取了86万客户——包括一位美国前任副总统、中情局局长和国务卿——的个人数据。通过这次攻击，黑客组织AntiSec的成员盗取了约6万名客户的信用卡号码及相关数据。据报道，他们利用这些信用卡数据获得了70万美元的欺诈性收费。黑客还获取了大约500万封内部电子邮件，这些邮件后来被维基解密以“全球情报文件”的名义公布。这次攻击给战略预测公司带来的损失总计大约为378万美元。这对该公司来说是一件尴尬的国际事件，因为这些损失原本可以通过常规的欺诈防范措施来避免。根据Daily Dot和Motherboard获得的机密内部文件，在遭遇黑客之前，战略预测公司采用的网络安全措施是完全不符合标准的。Daily Dot和Motherboard的调查基于一系列最近披露的政府秘密文件，其中包括大量的缓存聊天记录和各种政府报告。这些文件是黑客出身的FBI线人Hector “Sabu ”Monsegur收集的。Monsegur提供的证据曾被用来为黑客组织 Anonymous的8名成员定罪，其中包括目前正在服刑的杰里米·哈蒙德(Jeremy Hammond)。根据这些文件，2011年12月30日，战略预测公司与Verizon Business公司及其旗下 Cybertrust公司合作，对其遭遇的黑客攻击“进行取证调查”，并将调查结果与FBI共享。Verizon Business的安全团队检查了战略预测公司的办公室电脑，以及作为战略预测公司客户数据中心的CoreNAP公司的服务器。在2012年2月15日的一份长达66页的报告中，Verizon Business作出了调查结论，并提供了令人震惊的细节。根据这份报告，战略预测公司没有对重要的数据系统采取足够的安全保护措施，这些系统不但没有安装防火墙，而且缺乏适当的文件
完整性监控。该报告指出，正是由于几个明显的安全漏洞和不恰当的
网络配置，使黑客攻击和数据泄漏成为可能。首先，战略预测公司内部缺乏密码管理政策。密码在雇员之间共享，而且没有什么能够阻止雇员在多个设备上使用相同的密码。“在远程访问包含敏感信息的系统时，他们使用的密码通常与电子邮箱密码相同。”该报告称。在调查人员检查的那些电脑中，没有任何一个系统安装了反病毒软件，这使得它们不但很容易受到黑客攻击，而且也容易感染其他病毒。虽然战略预测公司的办公室电脑中装了网络防火墙，但它们没有被正确配置以保存有用的信息。此外，战略预测公司也没有采取正确的文件监控解决方案，否则的话，其用户数据和内部电子邮件在遭遇入侵时，系统会自动发出警报通知。战略预测公司遭遇黑客攻击的另一个“重大因素”是其电子商务系统的设计不合理，为黑客窃取客户的支付数据提供了便利。Verizon公司还在战略预测公司的
邮件服务器中发现了信用卡持卡人信息泄露的迹象。这表明，该公司的网络结构体系包含潜在缺陷。Verizon的结论是，战略预测公司的客户支付系统在遭遇攻击之前只采取了12项必要欺诈防范措施中的3项。在战略预测公司未采取的9项防范措施中，有8项措施的缺乏直接促
成了黑客攻击。“通常情况下，一个公司只会缺乏12项防范措施中的一两项。”全球领先的身份管理解决方案供应商SailPoint公司总裁和创始人凯文·坎宁安（Kevin Cunningham）说，“这是我从来没有见过的一个极端例子，也是一个重大
失误。”“安全措施既要防范风险，也要保持一定的灵活性。”他继续说。“你必须明确你的安全政策，并确保防范措施落实到位。就战略预测公司来说，它似乎没有任何明确的安全政策。打个比方来说，它不仅未锁前门，而且将窗户打开，并把珠宝放在厨房的桌子上。”“它的遭袭是迟早的事情。”AntiSec的黑客不但窃取了客户姓名、信用卡号码以及其他一些数据，甚至窃取了客户的信用卡验证值，即信用卡背面的三位数字。按照行业规定，商家在存储客户信用卡数据时应该进行加密。战略预测公司的创始人兼CEO曾经在一份官方声明中承认该公司存储了未加密的客户信用卡数据。2011年12月，这些未被加密的信用卡数据被AntiSec盗取。2012年6月，战略预测公司以175万美元的赔偿金和解受害客户发起的集体诉讼。此外，Verizon Business还发现了另一次黑客攻击的证据：“通过对Zimbra的电子邮件服务器的分析，我们发现，入侵者曾于11月16日创建了数据库转储文件（这个文件后来被黑客通过战略预测公司的网络系统窃取）。这一发现似乎证明了著名黑客Hyrriiya的声明。Hyrriiya是黑客组织Anonymous 的成员，曾因为对叙利亚政府网站进行攻击而出名。他在2012年5月致函哈蒙德的律师，声称对战略预测公司遭遇的黑客攻击负责。“在对战略预测公司进行最初的攻击之前，AntiSec的任何人（包括Sabu 和哈蒙德）都不知情，他们是在两个星期后才参与的。”Hyrriiya写道，“在入侵战略预测公司的数据库后，我意识到，它们是详细的客户数据，包括众多个人、公司、军事机构和间谍机构的信用卡信息。当我认识到这一点，我立刻决定，
我要公开这些信息。Daily Dot 先前的调查显示，与FBI的官方声明相反，战略预测公司遭遇的攻击是Hector Monsegur精心策划的。有关聊天记录显示，Hector Monsegur从Hyrriiya
那里秘密取得了关于战略预测公司网络系统缺陷的关键信息，再私下安排哈蒙德与Hyrriiya会面，并对进行战略预测公司攻击。