今年夏天,一家小型网络安全公司声称,他们发现俄罗斯互联网窃贼通过一个骗局,从 420,000 个网站和 FTP 站点 大量窃取信息。Hold Security LLC 声称,这个被称为 “CyberVor” 的 黑客网络 拥有 12 亿个独特的凭据——用户名和匹配的密码,这些凭据属于 5 亿个电子邮件地址。
这些数字让 互联网安全 观察员,甚至一些消费者都开始关注——毕竟人们使用这些凭据来访问银行、投资和社交媒体账户。如果属实,CyberVor 的收获将使去年 12 月零售商 Target 的数据泄露事件相形见绌,后者的泄露事件导致 4000 万客户信用卡被盗。尽管 《纽约时报》的报道 为 Hold Security 的声明增添了可信度,但一些观察人士质疑这家网络安全供应商的重大披露更多的是一场宣传噱头,而不是一项公共服务。该公司决定向潜在受害者收取 120 美元的 漏洞通知服务 费用,这无助于问题的解决。
恐慌和宣传在网络安全工作中肯定发挥着作用,因为制造杀毒软件和其他保护性软件的公司试图让计算机用户感受到他们每天面临的设备和数据所面临的无形威胁。但是,当这些公司将寻找和分析安全威胁的业务部分与销售用于缓解这些威胁的软件和服务的业务部分结合在一起时,就会产生疑问。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来能够出现关于塑造我们当今世界的发现和思想的有影响力的故事。
即使是像赛门铁克公司这样的大型老牌公司也曾被指控 夸大安全威胁的严重性 以促进销售。十年前,美国监管机构 打击了金融服务公司 的可疑行为,这些公司的股票研究和投资银行部门相互合作,共同认可并随后出售某些投资。对于网络安全公司,则不存在这样的监督。虽然考虑到网络威胁相对新兴的性质,这并不令人惊讶,但这种利益冲突意味着这些公司在保护计算机和其他互联网连接设备与利用人们担心其个人数据随时可能受到在线攻击的恐惧之间走钢丝。
据 Hold Security 称,CyberVor 背后的团伙最初是在黑市上购买被盗凭据。在某个时候,该团伙改变了策略,购买了有关某些网站安全漏洞的信息。这些数据是由僵尸网络收集的,僵尸网络是一组由黑客秘密控制的受病毒感染的计算机。然后,CyberVor 利用这些漏洞从这些网站窃取更多凭据。然而,目前尚不清楚这个过程持续了多久,或者这些凭据是否曾被用来进行欺诈或从凭据所有者那里窃取财物。
Hold Security 没有回应来自《大众科学》的媒体询问。但该公司网站上的常见问题解答页面坚持认为,个人电子邮件用户不必支付 120 美元来查找他们是否在 CyberVor 名单上。只有网站所有者和互联网服务提供商才需要为漏洞通知服务付费,该服务 “还为其他漏洞通知提供一整年的服务”。
一些网络安全高管认为,Hold Security 的行为暴露了某些网络安全公司运营方式的关键缺陷,但这并不代表整个行业。“人们总是对每天最新的网络犯罪持怀疑态度,” 杀毒软件和反间谍软件服务以及研究提供商 Webroot 的产品和战略执行副总裁 迈克尔·马洛伊 承认。尽管如此,网络犯罪是一个真正的威胁——大型杀毒软件制造商必须每天保护其客户的计算机免受数十万种新威胁的侵害,他说。
关于 CyberVor 警告的一个危险信号是,缺乏关于黑客网络构成多大威胁以及影响到谁的具体信息。前 美国国家安全局 技术主管,现任网络安全提供商 Darktrace 的网络技术和分析高级副总裁 贾斯珀·格雷厄姆 说,Hold Security 以保密协议为由,拒绝透露目标网站的名称。但安全公司通常会提供 “诸如 30% 的数据是金融数据... 60% 的数据是社交媒体数据” 之类的细分数据。这些数据有助于其他网络安全研究人员及其客户自行评估攻击的严重性,但 Hold Security 甚至隐瞒了这种程度的细节。
信息安全公司 Trail of Bits 的首席执行官,纽约大学理工学院的驻校黑客 丹·圭多 说,网络安全公司研究和炒作可能推动销售的威胁并不罕见。他说,政府的监管和研究将有助于买家区分好的和坏的安全产品,并获得关于新兴网络威胁的客观报告,这将使网络安全市场及其客户受益。
而那些销售安全的公司也参与了彻底的欺诈。2013 年 3 月,赛门铁克同意 支付 1100 万美元的赔偿金,以结束一项集体诉讼。诺顿杀毒软件开发商被指控在运行免费扫描后,通过赛门铁克工具识别计算机上不存在的问题,从而诱使用户购买不必要的 “注册表清理程序”,价格为 29.95 美元。同样,MediaFire、Alpha Red 和 Branch Software 等小型公司因使用弹出式广告和其他策略恐吓毫无戒心的计算机用户购买杀毒产品而遭到起诉,其中一些产品在安装后实际上损坏了消费者的计算机。*
加州大学圣地亚哥分校系统和网络组的计算机科学家斯特凡·萨维奇说,理想情况下,网络安全公司应该以一种能够衡量其成功或失败的方式来执行其查找和阻止恶意软件及网络攻击的工作。他说,建立一种人们可以确定和评估产品或服务质量和价值的方法,将大大有助于该行业消除人们对公司只是采取恐吓策略的担忧。
*编者注(2014 年 9 月 18 日):MediaFire 对最初在《华尔街日报》上报道的故事提出异议,并声称所涉用户是众多中国冒名顶替网站之一的受害者,而不是 MediaFire。