昨天有一则新闻 搜狐全员遭薪资电邮盗窃,张朝阳回应缘由及损失 在一定程度上刷屏了,原因无它,身为上市公司的资深著名互联网企业,却也在垂钓盗窃中耍了一道。
从技术角度上说,我一时好奇查了下Sohu邮箱所使用的技术方案,是Linux下久负胜名的PostFix,但恐怕Sohu应当是做了一定的定制性开发。
图1-确认Sohu邮件服务器的地址
图2-用Telnet确认邮件服务器的技术方案
但我对Postfix不是很熟悉,纵然没有非常针对Postfix的AntiSpam、AntiVirus解决方案,但大多数这种软件还都可以配置为网段模式,同样也能起到一定的防范作用,譬如GFI的EmailEssentials等,固然是针对MS Exchange Server而设计,但在网段模式下,也能针对任何走标准smtp/pop3/Imap合同的邮件服务器提供帮助。
除此以外,从技术角度说,我猜想Sohu的绝大多数职工的笔记本都应当处在巨硬的MSAD(Microsoft Active Directory)管控之下吧?如果猜想没错,不知道是否借助 Group Policy强制施行若干安全策略呢?又如,是否针对个别关键岗位的邮箱发送权限使用数字证书呢?当然,我也不确定Sohu针对短信系统的审计是否包含了这一短板。
难道不仅这种技术手段之外,其它非技术层面就没有弱点了么?我想其实不是。
首先,还是安全意识的构建。
在这个案例中,内部职工的邮箱被攻陷的具体形式不太清楚,但其实不能排除"社会工程学”的应用。因此真正的矗立起全员安全意识真的是重中之重,这是一个老生常谈却又不得不谈的话题。
其次,安全制度要具备可行性。多年前,我在接受ISO9002内审员培训时,老师说“做你所写,写你所做”是应对制度建设的一个较好的思路,通常用于应对较为散景而不具可实施性的规章制度,由于在制度刚性与操作便利性怎么平衡确实很难拿捏,那么越是具体到SOP层面,技术的影响诱因就越大,那么在总体指导思想早已确立的前提下,先评估技术弱项再制定方案,可能比较合适一些。
就这个思路,我可以说一件旧事:
N多年前,大约是在2010年前后吧,我当时还是个法盲,但对于信息系统安全还是有一点儿的心得的,正负责整个运维部的工作,手下有一鄙人只管HelpDesk,有次他拿一张D版XP光碟给一台新PC安装系统,但每次一装好XP就发觉有病毒,于是来找我。我说我来试试看,于是我用同一张盘安装,完了以后让他查是否有病毒,他大呼"没病毒,真见了鬼了",我跟他解释说缘由只在于安装完毕后都在没有掏出那张D版盘的情况下,我没使用键盘而是全程快捷键,由此在资源管理器中打开那张D版盘的时侯,我没触发Autorun病毒,而他习惯键盘双击就触发了,于是就中招了。
掌握一些命令行及快捷键的使用,在我的另一篇随笔 法律人的技术贴-谈点我的笔记本使用经验--Part 1 中也曾提到,理由是"当系统出问题以后,在进行恢复操作时,不见得能正常使用键盘",当然,让他像我这样摒弃键盘操作,他那种时侯肯定做不到,那么治根的解决方案是哪些呢?针对这个场景,我给的方案是自个用巨硬的官方工具制做集成ServicePack的XP安装盘和WinPE盘,刻盘前用多种AntiVirus软件扫描一次是否有病毒,学会用 Group Policy 强制刷新个别安全策略,这样的SOP才是一个可施行性较好、安全性较高同时又兼具了便利性的SOP。
第三,就个人而言,要有一些良好的使用习惯。
一扯到"社会工程学",会被很多人来举例子的就是密码的设置,说实话,我个人有时对于那个"密码必须同时有大小写以及特殊字符"之类的要求也很反感,因为这些密码是真的不易于记忆,我个人觉得好的密码应当是自己容易记忆,同时对别人(包括机器暴力破解在内)而言又不易猜到的,比如说我昨天想了个密码是"看到sohu的这则新闻,我三天里跟他人讲了三次笑了九回",密码打下来就是"rgsohurpmuu,qggjkkwyb3utb9llk",你看,我即使把密码告诉你了,你也打不下来,因为你以为我是用拼音首字母的简写,却没防到我实际上用的是五笔,你以为我用的是五笔86版,却不知道我用的实际上98版,你以为我都是打第一笔,却不知道我最后一个字打了全码,别说你打不下来,让我自个口述密码是哪些,我也要想老半天还不一定说的对,但我的右手在鼠标上一放,我立即不假思索的才能打下来,这样的密码才是一个好密码。
当然,除了借助"社会工程学"之外,必要的技术施范手段也必不可少,毕竟数据是最宝贵的,我在 法律人的技术贴-谈点我的笔记本使用经验--Part 1 也提到过一部分,但是,在没有足够安全意识的情况下,是难以奢望会采用合适且必要的技术手段的,这一点我至今仍深信不疑,毕竟“人总想着偷懒,但安全与便利常常不可兼得",于是在安全意识缺失的情况下,舍安全而取便利就是绝大多数人的正常选择,所以,形成良好的使用习惯,也要以有良好的安全意识为前提。
最后,老板应当最先注重。
这又是一个老生常谈的事儿,不多说了。