摘要:在本文中,一名小企業(yè)主為我們講述了她的企業(yè)是如何差點(diǎn)被網(wǎng)絡(luò)攻擊者毀掉的故事,以及她從那些網(wǎng)絡(luò)安全專家那里所汲取到得經(jīng)驗(yàn)教訓(xùn)。2013年,李·穆爾的小生意經(jīng)歷了長達(dá)七個(gè)月網(wǎng)絡(luò)攻擊。后來,在伍斯特大學(xué)計(jì)算機(jī)高級講師理查德·漢森的幫助下,她的企業(yè)的業(yè)務(wù)才逐漸恢復(fù)正常,但她的經(jīng)歷則向我們展示了在現(xiàn)如今這樣一個(gè)全球互聯(lián)且從滿網(wǎng)絡(luò)安全威脅的大環(huán)境下,小企業(yè)要學(xué)會怎么做生意。
網(wǎng)絡(luò)攻擊:李·穆爾的故事
當(dāng)我剛剛創(chuàng)建我的小公司時(shí),我很高興聘請了一名Web開發(fā)人員,專門負(fù)責(zé)為我解釋我對于不同網(wǎng)絡(luò)問題的疑惑和忽視。這名Web開發(fā)人員是經(jīng)我的一位女性朋友推薦來得,我的這位女性朋友非常喜歡他為她設(shè)計(jì)的網(wǎng)站,而我也十分信任他在這方面的能力。
我遵循著他的第一個(gè)指示:從不關(guān)我的電腦或無線路由器。我相信他的解釋:如果電腦因?yàn)楸魂P(guān)掉而無法在第一時(shí)間進(jìn)行最新殺毒軟件的安裝更新,那么其將很容易受到網(wǎng)絡(luò)病毒的攻擊。他還說,如果電腦/路由器每天都正常開關(guān),我將能夠節(jié)約更多的電費(fèi)。他堅(jiān)持要我通過他自己的網(wǎng)站用信用卡向他支付費(fèi)用。
現(xiàn)在我知道了我當(dāng)初其實(shí)應(yīng)該提出更多質(zhì)疑的。彼時(shí),我當(dāng)然不知道如果一直開著我的路由器會讓他知道我的IP地址。而由于路由器長期永久性地連接到互聯(lián)網(wǎng),IP地址保持不變,這使得他能夠更容易的冒充我,如果他愿意的話。
由于一心急著趕緊上線,并快速展開網(wǎng)上貿(mào)易,我忽略了自己對于完美修飾的追求。我當(dāng)時(shí)根本不知道自己新生的事業(yè)、品牌對于網(wǎng)絡(luò)攻擊是多么的脆弱。
新聞報(bào)刊上鮮有對于網(wǎng)絡(luò)犯罪的報(bào)道。而那些指導(dǎo)如何創(chuàng)業(yè)的公司也不會教給那些剛剛嶄露頭角的企業(yè)主們?nèi)绾螒?yīng)對網(wǎng)絡(luò)安全對于他們業(yè)務(wù)的威脅,也不會在其商業(yè)計(jì)劃中為他們推薦包括IT安全策略或信息風(fēng)險(xiǎn)評估之類的服務(wù)。
用Web開發(fā)者來描述他是相當(dāng)貼切的,他非常謹(jǐn)慎的將他的網(wǎng)站圍繞在我周圍。我也信任并允許他這么做。
在接下來的兩年里,他購買了我的域名。并將我個(gè)人和公司的網(wǎng)站及電子郵件賬戶托管到了他的服務(wù)器上。他創(chuàng)建了我的社交媒體賬戶。并了給我用戶名和不同的密碼用于訪問這些社交帳戶。他是如此的友好和樂于助人,使我逐漸讓這種職務(wù)關(guān)系發(fā)展為私人關(guān)系。他會與我分享一些個(gè)人信息,而我也會進(jìn)行回應(yīng)。
當(dāng)我告訴他我的丈夫病危之后,我收到了一封電子郵件,通知我說,我的網(wǎng)站已經(jīng)過期,容易受到黑客攻擊。他反駁了我對于被告知我的僅僅不到兩年的網(wǎng)站可能會感染托管在他的服務(wù)器上的其他網(wǎng)站,因而需要新建一個(gè)網(wǎng)站的不滿。而他則可以以1,250英鎊的‘友情折扣價(jià)’為我打造一個(gè)新的網(wǎng)站。
由于當(dāng)時(shí)沉浸在丈夫死亡的悲痛陰影中,也嫌麻煩不想再找一個(gè)網(wǎng)頁設(shè)計(jì)師,我同意了。并向他支付了1250英鎊。
電子郵件威脅
在新網(wǎng)站上線的24個(gè)小時(shí)之內(nèi),我收到了一個(gè)為期五天的未指定的額外工作需求,再加上25%的第一時(shí)間通知費(fèi)用。
我對于這樣一份意外強(qiáng)加的費(fèi)用征收提出了抗議,卻收到了“不付錢就讓我的生意完蛋”的電子郵件威脅。我請求貿(mào)易標(biāo)準(zhǔn)協(xié)會進(jìn)行調(diào)解,但他們的干預(yù)遭到進(jìn)一步的威脅,通過他們的代表反饋給我,“告訴李:不給錢將讓服務(wù)器掛掉”。
我還沒來得及回答,我發(fā)現(xiàn)我已經(jīng)不能再訪問我的社交媒體賬戶、我個(gè)人和公司網(wǎng)站或我的電子郵件了。這名Web開發(fā)者已經(jīng)改了所有的密碼。我的網(wǎng)站就只剩下一個(gè)頁面通知訪客說:我的公司和我已經(jīng)陷入持續(xù)的債務(wù)糾紛,而我本人也是一個(gè)高風(fēng)險(xiǎn)的生意人。
他還利用搜索引擎優(yōu)化技術(shù),讓我的名字出現(xiàn)在所有互聯(lián)網(wǎng)搜索引擎的頂部,并在谷歌上的我的照片之間插入了一個(gè)包含有他的logo的橫幅。而那些點(diǎn)擊了他的logo的訪客將被鏈接到他的網(wǎng)站的一個(gè)頁面,該頁面上,他不斷的對我本人和我的公司進(jìn)行誹謗評論。
由于無法再做生意,我選擇告上法庭,他則起訴了我和公司要求支付爭議款項(xiàng)。他不顧我的建議,并在維特上發(fā)貼辱罵我。
我創(chuàng)建了新的電子郵件地址和一家新的公司,但他在48小時(shí)內(nèi)就發(fā)現(xiàn)了,然后就開始用攻擊性電子郵件來騷擾我。而我一旦拉黑了他的一個(gè)電子郵件地址,他會另設(shè)一個(gè)來繼續(xù)騷擾。
他使用我的品牌、我的家庭地址注冊了域名和公司。然后使用該域名創(chuàng)建了另一個(gè)網(wǎng)頁來重復(fù)說我的公司和我本人是債務(wù)人。他將我的新公司名稱添加到所有關(guān)于我的誹謗網(wǎng)頁,而且持續(xù)六個(gè)月每天刷新。
后來,從我的PC上發(fā)現(xiàn)了一個(gè)木馬并被刪除。盡管并沒有證據(jù)表明是由于木馬使得我電腦上的文件被無端加密,而且許多郵件莫名其妙的消失。
警察說這屬于民事糾紛,不是刑事案件。
我找到了律師,該律師一項(xiàng)訴訟的報(bào)價(jià)就達(dá)15000英鎊,而我有三項(xiàng)訴訟。光法律費(fèi)用就高達(dá)六位數(shù)。
在我忍受了網(wǎng)絡(luò)攻擊好幾個(gè)月,同時(shí)在經(jīng)過了我的律師多次要求之后,警方找到了對我進(jìn)行網(wǎng)絡(luò)攻擊的人。他交給了警方據(jù)稱是我從我Twitter帳號所發(fā)布的冒犯他的帳戶頁面的復(fù)印件。于是,警方又撤銷了該案件。
最后,是理查德·漢森才幫我處理,并從此次網(wǎng)絡(luò)攻擊的影響中恢復(fù)過來。
網(wǎng)絡(luò)的教訓(xùn):來自理查德·漢森的反饋
您不會知道網(wǎng)絡(luò)攻擊會是什么感覺,直到其真實(shí)的發(fā)生在您自己身上。
李·穆爾的遭遇是相當(dāng)可怕的。近幾年來,我一直在參與為小企業(yè)提供網(wǎng)絡(luò)安全事務(wù)服務(wù),從我所遇到過的相關(guān)案例來看,李·穆爾的案例可以被歸納為不對稱的內(nèi)部攻擊的一個(gè)例子。我很詫異地發(fā)現(xiàn),僅僅是一名Web開發(fā)人員就可以很容易地讓一家企業(yè)及其主人受到這么大的傷害。
李·穆爾的公司被提供的服務(wù)沒有任何相關(guān)的服務(wù)保障措施。一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)和網(wǎng)站開發(fā)者(這可能是同一個(gè)人或同一家企業(yè))可以沒有任何特殊的原因,僅僅只是因?yàn)樗麄兛梢蕴峁┫嚓P(guān)的服務(wù)就能夠被企業(yè)客戶信任到如此驚人的程度。根本就沒有任何措施來保護(hù)小企業(yè)應(yīng)對他們的網(wǎng)絡(luò)提供商,除了《消費(fèi)者權(quán)益保護(hù)法(1987年)》,也沒有相關(guān)的法令能夠?qū)⑺麄冏鳛槠胀ㄏM(fèi)者來保證他們的權(quán)益。
英國沒有任何一部法規(guī)涉及到web開發(fā)人員操作實(shí)踐的規(guī)范,除了BCS之外,也沒有任何的專業(yè)機(jī)構(gòu)來對他們實(shí)施監(jiān)管。
對于中小企業(yè)而言,能夠充分檢測服務(wù)提供商的服務(wù)質(zhì)量是相當(dāng)重要的。在缺乏諸如業(yè)界排行榜的條件下,這往往靠口碑。
李·穆爾是被這名開發(fā)人員弄傻了眼僅僅是因?yàn)樗壤?middot;穆爾擁有更多的互聯(lián)網(wǎng)和Web應(yīng)用程序的相關(guān)知識——而這一現(xiàn)狀在當(dāng)前的小企業(yè)主中間非常普遍。人們可能已經(jīng)對于《數(shù)據(jù)保護(hù)法(1998)》有了一定的了解,也知道《計(jì)算機(jī)濫用法案(1990)》,但很少有企業(yè)有這樣的意識。
在相應(yīng)的監(jiān)管缺席的時(shí)候,違法者就能夠在任何情況下濫用自己的知識,并制造一些計(jì)算風(fēng)險(xiǎn)來掩蓋自己的違法痕跡,因?yàn)闆]有證據(jù)就沒有案件。
多年來,《計(jì)算機(jī)濫用法案》的落后已經(jīng)讓人民有一些驚訝了。這一法案在手機(jī)數(shù)字智能話之前就已經(jīng)被擬定了,其只在2006年進(jìn)行了修正,使其可以明確地針對電腦進(jìn)行規(guī)范。盡管媒體上有對于流氓國家網(wǎng)絡(luò)攻擊的炒作,但根據(jù)最近針對英國企業(yè)的網(wǎng)絡(luò)攻擊來源的研究表明,有超過70%的網(wǎng)絡(luò)攻擊是在英國內(nèi)部發(fā)起的。
中小企業(yè)需要網(wǎng)絡(luò)安全建議
警方偵查網(wǎng)絡(luò)犯罪是基于4P的方法,即預(yù)防(prevent)、保護(hù)(protect)、準(zhǔn)備(prepare)、追捕(pursue)。這顯示了企業(yè)了解潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要性。
但警方?jīng)]有足夠的資源來收集證據(jù),以確保根據(jù)《計(jì)算機(jī)濫用法》對任何針對中小企業(yè)的犯罪行為進(jìn)行定罪,因此這些企業(yè)要么將不得不自己收集證據(jù)或雇用別人作為自己的代表來收集證據(jù)。
違反《數(shù)據(jù)保護(hù)法》是由信息專員辦公室(ICO)專門監(jiān)管的,這可能會讓一些小企業(yè)主感到驚訝,因?yàn)楸I竊數(shù)字資產(chǎn)與盜竊有形實(shí)物資產(chǎn)同樣是非法的。對任何小企業(yè)而言,充分了解政府的網(wǎng)絡(luò)要點(diǎn)概述,并遵循建議的步驟無疑是非常好的建議。那些很容易成為網(wǎng)絡(luò)攻擊目標(biāo)的企業(yè)必須采取措施,以減少他們的脆弱性。
在選擇一家服務(wù)供應(yīng)商之前,進(jìn)行盡職盡責(zé)的事前調(diào)查無疑使企業(yè)自己的責(zé)任。目前,針對初創(chuàng)企業(yè)如何搭建自己的網(wǎng)站的建議一般并不包括信息安全、對供應(yīng)商資格檢查以了解該供應(yīng)商是否注冊了ICO或如何謹(jǐn)慎選擇一名網(wǎng)站設(shè)計(jì)師和ISP等方面的建議。
如果創(chuàng)業(yè)公司沒有被事先警告,他們不可能查找到這些問題,尤其是當(dāng)創(chuàng)業(yè)之初有這么多的事情要做,以便讓業(yè)務(wù)盡快走上正常軌道。
數(shù)據(jù)泄露和網(wǎng)絡(luò)犯罪等相關(guān)問題應(yīng)該成為計(jì)算機(jī)和法律相關(guān)專業(yè)人士的興趣所在,而不只是作為對于小企業(yè)的一種服務(wù),也可以作為一個(gè)獨(dú)立的商業(yè)機(jī)會。
一位精明的IT律師或法律網(wǎng)絡(luò)培訓(xùn)專家可以確保企業(yè)需要如何以獲取和存儲安全信息,如果發(fā)生違約,如何以一種合適的方式在法庭上呈現(xiàn)安全證據(jù)。新一代的能夠?yàn)樾∑髽I(yè)提供相關(guān)建議的IT專業(yè)人士可能已經(jīng)出現(xiàn),但這一過程需要加快,否則,將會有更多網(wǎng)絡(luò)犯罪和懲罰等不愉快經(jīng)歷發(fā)生。
何時(shí)考慮建立網(wǎng)上業(yè)務(wù)
李·穆爾的案例尤其突顯了一些小企業(yè)需要重點(diǎn)考慮的要素。這名Web開發(fā)人員有她的用戶名和密碼,并將其上傳到互聯(lián)網(wǎng)上的Web服務(wù)器。人們在將自己的用戶名/密碼告訴他人之前真的需要三思。這樣的用戶名/密碼組合將是確認(rèn)他們的在線身份,并讓身份盜竊瞄準(zhǔn)企業(yè)主的關(guān)鍵。
允許像這位Web開發(fā)者一樣可信任的人知道自己的用戶名/密碼組合,也許是企業(yè)希望借此與之建立起良好的業(yè)務(wù)關(guān)系。但這種信任的破壞和斷裂將難以發(fā)現(xiàn)和打擊制裁。
這名Web開發(fā)者也常負(fù)責(zé)該網(wǎng)站的經(jīng)營和管理,畢竟該網(wǎng)站沒有受外部監(jiān)管。但沒有標(biāo)準(zhǔn)以衡量該開發(fā)者是否是安全的或甚至是一個(gè)好的程序員。一個(gè)技術(shù)差的網(wǎng)站將對企業(yè)的聲譽(yù)造成很壞的影響,將有可能出現(xiàn)讓數(shù)據(jù)暴露給跨站點(diǎn)腳本、SQL注入或其他常見的漏洞。
Web開發(fā)人員通常建議小企業(yè)如何選擇路由器和配置路由器。這應(yīng)包括改變默認(rèn)密碼,但這又為開發(fā)人員提供了對業(yè)務(wù)更大的控制。還有諸如無線路由器、黑客攻擊、交換機(jī)的關(guān)閉、IP地址和網(wǎng)絡(luò)健康等問題。企業(yè)也需要意識到。
根據(jù)英國政府在2011年的研究顯示,每年因網(wǎng)絡(luò)犯罪所導(dǎo)致的英國企業(yè)和個(gè)人的損失估計(jì)高達(dá)270億英鎊。2014年的這一數(shù)據(jù)目前尚未統(tǒng)計(jì)。但隨著電子商務(wù)和黑客活動的增加,其不太可能下降。
這似乎背離了政府所提出的“讓英國成為世界上做生意最安全的地方”的目標(biāo)。
革命尚未成功,小企業(yè)和警方還有許多工作要做。英國并不缺乏專業(yè)知識,但這些知識迫切需要被充分利用起來。