世纪黑客事件内幕

    “没有设置任何极端的障碍。”

    美国联邦调查局的局长詹姆斯·科米（James Comey）认为，攻击索尼的网络黑客先是在9月突破了公司的网络，采用的是一种叫“鱼叉式网络钓鱼”的常见策略—即引诱某位员工点击某个电子邮件附件或是网页链接。

    索尼传统的防病毒程序没有挡住黑客的恶意软件，因为它们只能阻拦从前已知的攻击手段，而黑客们知道对代码做一些小改动。事实上，如今在网络界，人们普遍认为，攻击者可以渗透几乎所有公司的防线。

    关键在于在入侵者能够造成严重损害前迅速发现它们。据曼迪亚的公司在2015年发布的一份报告，通常一家公司要过205天才发现自己已经被渗透，只有不到三分之一的公司是自己发现被突破的。这并不意味着阻止这些攻击不可能。有证据表明，大多数公司没有采纳正确的预防措施。

    进入网络后，攻击索尼的黑客下一步就要“升级特权”，即盗取系统管理员的信任证书，扩大访问范围。黑客在网络畅通无阻地漫游了两个多月，寻找他们想盗取的材料。他们之所以能够这么做，是因为索尼影业几乎无一例外地对其最重要的机密都没有实施隔离或是提供额外的安全保护。事实上，由于索尼没有给门上锁，入侵者一旦能够通过网络关口，就基本上随心所欲，想去哪儿就去哪儿，这很像公司让它的信息安全部大门敞开、无人看管。

    密歇根大学（University of Michigan）的一位计算机科学教授阿历克斯·哈德尔曼（J. Alex Halderman）说，“令人震惊”的是，黑客们居然能够神不知鬼不觉地删除了这么多的文件。大多数的公司网络使用了入侵侦察软件，一旦发现了不寻常的文件传输（比如大文件在不寻常的时间被发送到奇怪的地点），或是系统用户行为异常，读取他们通常不碰的材料，就会发出警报。这使得有些人怀疑，攻击索尼的黑客有内线相助，提供了系统的入口；还有人怀疑，秘密文件并不是通过互联网发送的，而是有人把它们下载到了移动硬盘上，就像爱德华·斯诺登（Edward Snowden）在美国国家安全局（NSA）所做的那样。

    索尼聘请来调查此次黑客事件的著名取证专家凯文·曼迪亚坚持认为，这种怀疑没有证据。他指出，黑客能够逃过侦察，靠的是花费数周时间，耐心地把数据一部分一部分地从公司不同的服务器挪出来，发到世界各处由黑客控制的地点。索尼是一家媒体公司，传输大文件对它来说是家常便饭，这就让它更加难以发现文件被盗。

    索尼不准FireEye公司的首席运营官曼迪亚接受《财富》杂志的采访，只让他提供了一份简短的书面说明。索尼经常引用曼迪亚提供给林顿的一封短信。信中认定，对于这样的攻击，没有公司“能够做好充分的准备”。但这封信的文字经过了仔细斟酌。比如，信里说，“行业标准反病毒软件”不会发现这种恶意软件。这种说法的意义不大。在网络专家看来，用传统的防病毒保护对付黑客，就如同今天用抵挡火枪弹丸的装备去对付一帮拿着AK-47冲锋枪的恶棍。

    事实上，有几家网络安全设备提供商声称，他们的产品可以阻止（或者至少极大地减轻）索尼公司遭受的破坏，其中包括FireEye。公司的发言人维托尔·德·索萨（Vitor De Souza）说：“如果用我们的解决方案，我们会发现攻击当中所使用的恶意软件。”德·索萨还说，索尼要是使用了双重认证，情况就大不相同。他说：“它给攻击者造成了巨大的障碍。不用双重认证，黑客就能够渗透到你的网络，你就有大麻烦了。”德·索萨承认，如果受阻，黑客可能会使用其他方法。他说：“政府的人就有办法进来。问题在于，你的应对能有多快？你不能在被盗走了十分之一的数据之后，才开始行动。”

    在盗走索尼的文件后，入侵者又卷走了5位索尼影业公司高管的电子邮件；最近的邮件距离黑客发动攻击只有两天。在那时，黑客已经偷到了7套系统管理员的信任证书，绘制出索尼影业公司的整个网络。信任信息被写成了这款破坏性恶意软件的“硬代码”，使得它感染了公司的IT经理有权接触到的所有计算机。

    11月24日星期一，黑客们向索尼的网络上传了他们特制的恶意删除软件igfxtrayex.exe。该软件所到之处，所有硬盘的数据都被清除，换成了那个带着骷髅图像和警告的威胁网页。已经登陆电脑的人无可奈何地看着他们的文件全部消失。这款恶意软件还清除了告诉计算机如何运行的引导文件。电脑在两个小时后会重启，显示另外一条让人心惊的信息：没有找到操作系统。

    为了避免被发现，黑客在发起破坏行动后立即退出了索尼的网络。恶意软件将战况反馈到网络空间里的“命令与控制”服务器，入侵者无论在哪里都可以统计他们的战果。黑客们一般使用最简单的手段，去完成他们的使命。专家们说，索尼的黑客事件中没有任何的特别高明之处。埃德·斯库迪斯（Ed Skoudis）是一名“白帽”黑客（只查找系统漏洞但并不发动攻击的黑客—译注），在美国系统网络安全协会（SANS Institute）向企业IT部门的安全专业人员传授网络防御测试课程。他说，攻击索尼用的技术看起来“相当一般”。他认为，入侵者的水平与他的中级班学生相当。斯库迪斯说：“此事说明，索尼的防护做得不是特别好。我没觉得那些坏人跳过了什么极端的障碍，因为那里根本没有设置任何极端的障碍。”

    结果就造成了极端的破坏。

    “赔偿伤害，否则轰炸索尼影业。”

    起初，索尼影业公司的管理层和员工们完全不知道是何种打击，也不知道后续会如何发展。公司最早在11月24日的公开评论居然是一句轻描淡写的话：“我们正在调查一起IT事件。”

    入侵者在红色骷髅下面的滚动文字中表达了他们的意图，上面写着：“这是#GOP（“和平卫士”组织的缩写—译注）干的。我们已经警告过你，这只是开始。我们会继续，直到要求得到满足。我们已经拿到了你们所有的内部数据，包括你们的机密和绝密。如果你们不听我们的，我们将向全世界发布以下数据。”

    “听我们的”到底是什么意思，谁也不清楚。在黑客最初的文字里，还表扬了另外一个组织：“非常感谢God'sApstls（近似于“上帝的使徒”—译注），因为你们为世界和平做出了巨大的努力。”后来，黑客在给指定记者的电子邮件里，自称是“和平卫士”（Guardians of Peace）。

    事后证实，“God'sApstls”在攻击的前三天向林顿、帕斯卡尔和索尼的其他三位高管发了电子邮件，索要赔偿。“我们受到了索尼影业的巨大伤害。我们要赔偿，用钱赔偿。赔偿伤害，否则整个索尼影业都将遭到轰炸。你们很了解我们。我们绝不会等太久。你们最好放聪明点。”这条威胁信息并没有提出具体的赔偿数额。公司的发言人劳森称，高管们把这封电子邮件转给了联邦调查局。

    无论是“God'sApstls”（后来再无音讯）还是GOP，都没有提到电影《刺杀金正恩》。

    在索尼的电脑黑屏后数小时，尼科尔·塞利格曼通知了联邦调查局。当天下午，联邦调查局洛杉矶网络分支的一个特工小组进驻公司。索尼还是留下了取证调查专家曼迪亚。

    在索尼影业公司内部，员工不得不用纸和笔办公。公司向重要员工发放了190部黑莓（BlackBerry）手机。公司里的商店只收现金。索尼对员工提议道：“此次破坏的部分甚至全部影响将会持续到感恩节。我们支持你们到别处办公。”

    接着，从12月1日起，在又一次通过电子邮件提醒记者后，黑客开始在文件共享网站上大量倾倒偷来的文件，其中很多涉及到了个人隐私。第一批文件包括索尼的秘密绩效评估、家庭医疗纪录、犯罪背景调查、办公室事件的纪律备忘录、护照信息、所有员工的详细薪水。公司对于身份窃贼盗走的敏感信息都未曾有过管控。例如，数据保护公司Identity Finder的分析表明，索尼将47,426个社会保险号码（其中不少人在多年之前就离开了索尼）放在了600多个没有密码保护或未被加密的文件里。

    每隔几天，便有更多的文件被倾倒在网上。记者从中得以内窥索尼的业务，尤其是一些不可告人的秘密，从而引发了新的危机。一位在公司制片厂工作的高管说：“这是一场噩梦。正当你以为一件事已经搞定，刚开始消停下来时—咣当，另外一件更加疯狂的事情又来了。”

    帕斯卡尔与制片人斯科特·鲁丁（Scott Rudin）的电子邮件交流尤其令人尴尬，被媒体广为传播。邮件里有针对一些明星的恶言，鲁丁说安吉丽娜·朱莉（Angelina Jolie）是“最没有才华、被宠坏的熊孩子”。他们毫不在意地调侃奥巴马总统的观影口味，想当然地认为他应该喜欢以黑人为主题的电影。帕斯卡尔写道：“我该不该问他，是否喜欢《被解救的姜戈》（Django，一部关于黑奴解放的电影—译注）？”邮件还曝光了他们如何在电影协议上讲价钱。（有一回，帕斯卡尔警告鲁丁说：“你别他妈的威胁我。”按照惯例，帕斯卡尔把最后这封邮件转发给了林顿。林顿骂道：“在电子邮件里这么说话，你们俩都疯了。”

    在上了几次令人难堪的头条后，帕斯卡尔做出了公开道歉，然后又分别与索尼员工、黑人民权领袖阿尔·夏普顿牧师（Rev. Al Sharpton）会面，请求他们的原谅。因为帕斯卡尔对奥巴马的那些评论，夏普顿甚至威胁要她的脑袋。帕斯卡尔在私下里对公司的一位访客说：“我感觉自己先是被强奸了，然后又被人说，这是我造成的。”

    索尼徒劳地试图封锁一切消息。12月中旬，索尼影业聘请了律师戴维·博伊斯（David Boies）。博伊斯向40家媒体组织（包括《财富》杂志）发出警告，不要使用被窃取的信息，否则它们将对“由此造成的任何损害或损失负责”。博伊斯声称，这些文件各自属于“私人”、“秘密”和“商业机密”，受到美国和国外法律的保护。尽管如此，许多新闻媒体都刊登了利用这些电子邮件撰写的文章，比如《华尔街日报》（Wall Street Journal）、彭博社（Bloomberg）、路透社（Reuters）。博伊斯甚至还写信给推特公司（Twitter），试图封杀独立乐队Bikini Robot Army的领袖瓦尔·布鲁克斯米特（Val Broeksmit）。布鲁克斯米特在推特上发布了索尼外泄电子邮件的截图，赢得了1.9万名粉丝。推特仅仅将他的账号封了一天。博伊斯还联系了布鲁克斯米特，结果自讨没趣。

    这些事情都是次要的，索尼最大的麻烦在于《刺杀金正恩》。攻击发生4天后的11月28日，媒体第一次提出，可能是朝鲜因为这部电影而对索尼发动攻击。GOP在12月8日终于提到了这部电影，在索尼“拒绝接受”其之前的条件后，它要求索尼“立即停止上映这部恐怖主义电影。”与此同时，罗根和弗兰科仍然在继续进行该片的巡回推广，他们保持着索尼的表态。正如罗根于12月15日在《早安美国》（Good Morning America）节目上所说的,《刺杀金正恩》“无意以任何方式引发争议”。

    GOP加大了威胁力度。它声称，如果不满足它的要求，将对公司员工家人的安全产生不利影响。12月16日，黑客发誓，“那些从恐怖当中找乐的人的下场将更惨”，声称要攻击放映“索尼影业娱乐公司拍的这部烂片”的电影院。他们还警告称，“世界将充满恐惧，别忘了2001年9月11日。我们建议大家到时远离那些地方。”

    这些由一个貌似影响力巨大的匿名组织发出的激烈声明达到了预期的效果。恐惧在电影业扩散。全美五大院线都对索尼说，它们不会放映这部片子，除了安全原因，它们还害怕毁掉假期票房。《刺杀金正恩》原本计划在3,500块屏幕上放映,紧张情绪打乱了一切。美国国土安全部表示：“没有可靠情报显示，有人在积极策划针对电影院的行动。”

    12月17日，索尼发表了一份声明，称它对“这种阻止影片发行的无耻行径深感痛心”，并坚称“站在制作人员一边，支持他们的自由表达的权利。”但索尼并没有站在这部电影一边，而是将它搁置起来。公司宣布：“鉴于大多数影院决定不放映《刺杀金正恩》，决定取消圣诞节的公映。”

    林顿事后坚称，是院线的撤退让他别无选择。他说：“这不是我们的决定。”实际上，至少有150家独立影院渴望放映这部影片。位于奥斯汀（Austin）的连锁电影院Alamo Drafthouse Cinema的首席执行官蒂姆·利格（Tim League）透露，他很快通知了索尼，这家有19处电影院的连锁公司想要放映《刺杀金正恩》。它是美国艺术影院联合体（Art House Convergence）的成员。该组织的影院遍布美国各地，其他成员也希望放映此片。但是，索尼拒绝提供。

    在12月17日的晚些时候，当有记者问及，是否以视频点播或像奈飞（Netflix）等流媒体服务的形式发行这部电影，以回避对于影院的威胁时，索尼影业公司发表了第二份声明，排除了任何的可能性：“索尼还没有这部影片的进一步放映计划。”

    一天之后，GOP要求索尼还要撤下“与《刺杀金正恩》影片有关的一切，包括预告片。”影业公司也照做了，撤下了电视广告，取消了媒体看片会，甚至还放弃了在Facebook和推特上的推广账号。（索尼的发言人表示：“这不是在取悦黑客。我们不会在全国公映，因而中止营销，这是明智的做法。”）媒体都报道说，《刺杀金正恩》将不见天日，黑客获胜。