真实案例:一位网页开发者几乎毁掉一家小公司
别以为小企业就可以忽视网络安全,下面的故事真实讲述了网络攻击者如何差点毁掉一位小企业主的公司。看看我们能从中吸取哪些经验教训。
2013年,英国一位名为里·穆尔的小企业主,她创立的公司遭受了长达七个月的网络攻击,借助一位高级安全顾问的帮助,才得以恢复业务。
里·穆尔的故事
当这位女企业家建立自己的公司时,遇到一位热心解答她在互联网方面的各种无脑问题的网页开发人员,这位开发者是穆尔的一位朋友推荐的。
他给穆尔的第一个建议是永远不要关掉电脑或路由器,他的解释是经常关闭电脑可能会导致杀毒软件没办法在第一时间更新,导致存在漏洞。另外,这位开发人员还坚持让穆尔通过他的个人网站用银行卡发薪。出于信任和无知,穆尔接受了这些建议。
隐患之一:如果路由器始终连接到互联网并保持不断线,IP地址是不会更新的。从而很容易被攻击者定位或冒充。
隐患之二:通过个人网站用银行卡发薪?这已经不能称之为隐患了。
穆尔把运营企业需要的一切准备妥当,接入互联网,然后开始运行业务,但却丝毫没有意识到她的新生业务、品牌以及她本人在面临网络攻击时是多么的脆弱。这是因为,虽然媒体经常会报道各种网络攻击事件,但具体过程和细节却很难走进公众的意识。而且,那些为初创企业提供建议的机构并不会对新兴企业家们警告网络入侵的风险,也不会要求在商业计划书中加入关于IT安全策略或信息风险评估的内容。
在之后两年的期间里,那位网页开发人员买下了穆尔公司的域名,并将穆尔的个人网站、公司网站以及Email账户运行在他的服务器上。同时还建立了穆尔的社交网络帐号,并为她设置了用户名和不同的登录密码。这位开发人员非常的友好且乐于助人,并与穆尔从工作关系变成了个人朋友关系。
某日,穆尔收到了开发者的一封邮件,说她公司的网站已经过时,容易遭受黑客攻击,还会传染其它网站。仅仅过了两年就被告知需要建立一个新网站,穆尔感到不快,但出于信任她并不想再找一个网页设计师,并且也害怕自己的网站感染别人,于是穆尔同意了开发者提供的“优惠”价格,为新网站付出了1250英镑。
但是,新网站上线还没有一天,穆尔又收到了这个开发者增加五天工作量的消息,并因此要追加25%的费用,而且也没有说明这五天工作的具体内容。穆尔表示拒绝,但对方此时露出了真正面目。
他威胁穆尔付钱,否则对后果不负责任。穆尔开始求助相关机构进行调解,但机构的介入又遭到了此人进一步的威胁。这时,穆尔发现她的社交媒体账户、个人和公司网站、Email邮箱均已无法访问。这个网页设计人员更改了她所有的密码,网站都被替换成了单页的警告信息,告诉访问者穆尔欠钱不还,和她做生意有很大的风险。
他使用了搜索引擎优化技术让穆尔的名字持续出现在所有互联网搜索引擎的置顶位置,并在谷歌显示穆尔的照片之间插入了他的个人Logo,点击这个Logo的访问者将会链接到他的个人网站,网站上重复了他对穆尔及其公司的诽谤。不仅如此,这个所谓的网页设计师还使用穆尔的品牌注册了域名和公司,并关联到了穆尔的家庭地址。然后还用这个域名创建了又一个骚扰页面,重复宣称穆尔及其公司欠债不还。他在所有诽谤的网页上均贴上穆尔新注册公司的名字,并在长达半年的时间里每天更新这些页面。
期间,穆尔还在自己的计算机上发现了木马,电脑上的文件被加密,很多Email记录消失,但没有证据表明这个木马就是那个网页设计师植入的。穆尔求助警方,警方认为这是民事案件,不属于刑事领域。穆尔接触律师,却被告知获取一条强制令的报价是1.5万英镑,而穆尔需要三条这样的法令,加上其他费用,用法律解决的成本可能会达到六位数。
除非发生在你身上,不然你不会知道那是什么感觉。
穆尔故事的启示
小企业在运营时可能面临各种方面的问题,穆尔的经历可以大体上归类为内部攻击。但不管怎样,一个Web开发人员能够如此容易地对企业和企业主造成如此大的破坏是令人感到非常惊讶的。
穆尔购买了一项服务,但没有要求与这项服务匹配的保障措施。一位身兼互联网服务提供者和网站开发职责的人居然被信任到如此惊人的程度,而原因除了他可以提供网络服务之外无并无其它。没有相关的法规可以保护小企业免受网络服务提供者的侵害,英国的法规对Web开发人员并没有提供专门的准则,除了BCS认证(BCS,the Chartered Institute for IT)之外,英国也没有相应的专业机构,只有1987年颁布的英国消费者保护法案似乎还起些作用。
对小企业而言,检查自己的网页服务提供者的个人背景是非常有用。穆尔女士被这位网页开发者蒙蔽,因为他在互联网及网页应用相关的很多方面都比她要懂行。这种情况对于很多小企业而言可能都成立。人们可能对1998年的数据保护法案(Data Protection Act)和1990年的滥用计算机法案(Computer Misuse Act)有所认识,但很少有公司会对这些提起注意。
在缺乏监管的情况下,犯罪者可以随意滥用自己的知识,他还可能自己计算过风险,并认为能够毁灭证据。如果没有证据,就没法立案。
这些年来,通过《滥用计算机法案》进行定罪的案例非常之少。这个法案是在手机还没数字化的年代颁布的,并仅在2006年修改过一次,以将手机明确地定义为计算设备。尽管最近对所谓网络流氓国家的炒作非常多,但根据一项近期英国企业遭受互联网攻击来源的调查,超过七成的攻击都源自英国本土。
对中小企业的网络安全建议
警方处理网络犯罪事件的方式遵循四P原则:预防、保护、准备、追踪(Prevent Protect Prepare Pursue),这四条原则也揭示了让企业了解潜在的网络风险的重要性。
但警方并没有足够的资源对每一家中小企业中发生的安全事件收集证据并定罪,因此企业只有两种选择,其一,亲自收集证据;其二,雇人来代表他们这么做。
在遭受入侵后,对企业而言最重要的事情就是尽快恢复运转,但企业同时也需要具备足够的技术和法律知识,了解在重新部署服务之前需要保存哪些证据。
在上线一项新的服务之前进行调查是企业的责任。如今初创企业在开发在线服务的过程中获得的建议里并不包括注意信息安全和检查资质,因此在选择网页设计师和网络服务提供商时应尽量小心。如果初创企业没有被事先警告,也就不会注意这些问题,特别是在他们让企业顺利运转方面还需要投入大量精力的时候。
关于数据泄露和网络犯罪的议题应该成为法律和计算机专家的兴趣点,安全不应当只是作为向小企业提供的一项服务,其本身也是创业的一个很棒的切入点。
如果数据泄露的确发生了的话,精通IT知识的律师或受过法律训练的网络专家可以确保用于诉讼的证据通过合适的方式进行获取和存储。IT安全专家们向小企业提供建议的业务已经有所增长,但这一过程需要加速,与此同时一定会有更多不愉快的事情发生,还会有一些网络犯罪无法得到惩罚。
建立网上业务时需要注意的要点
穆尔的案例提醒人们,在将自己的用户名/密码交给其他任何人时都需要多加考虑。那位网站开发者拥有李女士的用户名和密码,可以向互联网上的Web服务器上传数据。允许那位Web开发人员同时掌握用户名和密码是出于信任,而在建立信任的过程中并没有经过建立良好商业关系本应经过的步骤。这种信任一旦受到破坏,很难被察觉和制裁。
Web开发人员经常制作商业网站,并在线上进行管理——然而到目前为止这一切都并不受外部监管。这目前是一个靠行业自律运转的行业,也没有什么标准能够判断一位开发人员是否安全,甚至也都没办法判断一位程序员是否优秀。技术上实现得很糟糕的网站对公司的声誉会产生糟糕的影响,还可能为跨站脚本攻击、SQL注入以及其它常见的漏洞大开后门。
在小企业中,网页设计师通常会对选择路由器和配置路由器提出建议,这样会为开发者带来更大的控制权限。业需要注意这些事情,它们应当交给有资质的专业人士处理。具备某种认证或类似的资质应当是招收网页开发人员的最低标准,这个行业的认证有可能是IT领域未来的发展方向。
根据英国政府在2011年进行的一个调查,英国每年由于网络相关犯罪导致的企业和个人损失估计为270亿英镑。2014年的情况还不得而知,但考虑到电子商务和黑客活动都变得愈加频繁,这个数字很可能会让人大吃一惊。
英国政府曾表示,要“将英国变成世界上对企业最安全的场所之一”,现状来看,依然是遥遥无期。
作者:Venvoo
来源:51CTO