燕麥云何洋開講丨「真假海盜」遭遇戰:黑客不但杠上好萊塢,還要把電影變成現實
來自專欄 何洋開講
《加勒比海盜》系列電影是美國迪士尼影業的超級IP和吸金神器,它的前4部為迪士尼帶來了超過37億美元的票房,更不必說還有主題遊樂園的巨額收入。該系列的最新力作《加勒比海盜5:死無對證》已於上周末全球同步上映。但本片引起國內外主流媒體注目的最大原因之一,竟是「電影海盜」在現實中遭遇「信息海盜」——在電影上映2周前,片源疑似遭到黑客惡意竊取及勒索。
就在不久前Wannacry病毒在全球範圍快速擴散時,迪士尼公開宣稱曾接到黑客的勒索電話,有一部尚在製作中的樣片遭竊取;但情況卻在最近出現反轉,迪士尼CEO出面否認片源被黑客竊取,並拒絕警方介入調查。
片方是否在電影上映前為吸引媒體關注而進行「狼來了」式炒作,我們尚不得而知;但是,隨著好萊塢電影工業的數字化程度迅速提升,高附加值的影視「數字資產」,確實有被掘金黑客們盯上的趨勢。
實際上,「影視作品被竊」案件是有規律可循的——好萊塢工業化流程製片,專業性強、環節複雜、合作公司眾多,片源泄露極有可能源於製作過程中的某個環節,《加勒比海盜5》此前即被認定為是從某個合作製作工作室處被竊取的。
事件發生後,不少影視行業專家表示,黑客們在高收益誘惑下容易鋌而走險竊取作品文件,如果對此不加重視,類似泄露案件只會越來越普遍。
好萊塢泄密案例
2002年,經典科幻大片《星球大戰前傳2:克隆人的進攻》上映前兩個月,極客影迷們就在http://aint-it-cool-news.com看到這部影片的第一條評論;在電影上映前一周,網路上已經到處充斥著低畫質的完整影片。偵破發現,這是一起「監守自盜」案件——在《星球大戰》製片公司盧卡斯影業工作的Shea O』Brien Foley,竊取了價值在45~1700萬美元不等的電影音效、故事板和劇本等機密文件,Foley因此被判處一年徒刑。
2003年,李安版《綠巨人》未完成的影像被泄露給一家廣告公司,根據數字拷貝文件中的電子標籤,警方很快鎖定了文件泄露源頭,盜版人Kerry Gonzalez被判處六個月監禁和7000美元的罰款。
《黑客帝國2:重裝上陣》上映的前一天,高清完整版本就在網上被瘋傳。分析了文件的數字嵌入代碼後,警方不但揪出六名福克斯電影公司的「內鬼」,隨後還粉碎了兩個臭名昭著的非法盜版鏈條。
最廣為人知的好萊塢黑客案件莫過於《X戰警前傳:金剛狼》文件泄露案。在影片上映前一個月,一個「特效未完成版」影片文件被泄露,它的流傳範圍之廣,使得許多人在電影公映前就已經在網上看了片子,給本片全球票房造成重大損失。
2014年,索尼影業被一個叫「和平衛士」(Guardians of Peace)的黑客組織襲擊,旗下的眾多影片、甚至包括公司內部郵件、員工薪酬和眾多員工個人信息都在網上被曝光。索尼在這次信息襲擊中顏面盡失且損失慘重,導致接下來的2015年需要預留1500萬美元預算以應對後續餘波。
2017年,美國娛樂內容巨頭Netflix和迪士尼都受到一個名為「黑暗霸主」 (Dark Overlord)的黑客集團威脅。今年初,Netflix熱播劇《女子監獄》(Orange Is the New Black)被竊,黑客揚言要將之提前泄露;這一黑客集團還威脅要提前把影片《加勒比海盜5》前20分鐘放到網上——除非迪士尼支付8萬美元贖金。於是,才有了文章開頭的「大片泄露門」事件。
聚光燈下的好萊塢屢遭黑客襲擊而備受關注,而聚光燈以外的企業,也不可避免的在信息時代受到信息安全的威脅。
未來商業競爭就是信息科技的競爭,只有提前做好預防措施,才能從根本上抵禦隨時可能發生的信息安全威脅。企業需要將數據資產和商業秘密的保護重視起來,才能在企業發展的道路上立於不敗之地。不久前發生在國內的《人民的名義》送審樣片泄露、「老乾媽」機密配方被盜、Wannacry勒索病毒等事件,已經給我們敲了足夠響的警鐘。
目前市面上關於企業信息安全的產品和解決方案可謂是琳琅滿目,這通常讓企業感到無所適從。針對這種情況,我以多年從事企業信息安全管理的經驗,和大家分享三點乾貨:
?「安全機制」比「零散的安全功能」更靠譜。
經常看到一些用戶過份地強調某個細分場景下的安全功能,認為只要有了某個功能就可以高枕無憂。但我不得不遺憾地指出,沒有絕對的安全,只有相對的安全,因為威脅往往是全方位的。例如,在大部分的文件管理軟體中,防止word文件內容的拷貝功能,僅能防住小白用戶在界面層的操作,卻防不了專業人員對於文件格式底層的數據轉移。退一萬步來說,就算能在技術上防住,有心人也大可以截圖或拍照,利用OCR(Optical Character Recognition)文字識別技術來實現非法拷貝。
因此,我們需要的是建立一套安全機制,在各個點上都加入控制手段,這樣才能有效地保護企業的數據資產和商業秘密。以下我舉三個例子:
??文件許可權的細粒度管理,它可以確保每位企業成員僅能看到自己許可權範圍內的文件;
??文件的動態水印,如果出現文件被惡意截圖的情況,動態水印可以快速幫助企業追溯到泄密源;
??文件的使用審計,企業會將所有文件的使用記錄都留存下來,以便在事故發生時可以逐條審計。
?從「被動防護」到「主動防護」。
殺毒軟體、防火牆、安全補丁等我們常見的安全產品,事實上是一種被動防護。被動防護就像是打預防針時需要用到的疫苗,可以很好的抵禦已知病毒威脅。但被動防護也有局限性,以傳統殺毒軟體為例,正如醫療機構在研發疫苗前必須先研究病毒一樣,廠商需要先對電腦病毒進行分析,才能制定有針對性的殺毒方案。這一過程從幾個小時到數年不等,而絕大多數的新型威脅正是利用了這個時間差,給用戶造成重大損失。
而主動防護則可以跳脫出後知後覺的尷尬,它可以是一種對網路或系統行為的智能分析預測、一個威脅發生時的可追蹤方案、或一個損失發生後的兜底方案。主動防護的重點,是將威脅扼殺在發生之前,或者即使威脅已發生,也能掌握控制權。
對於企業的數據資產和商業秘密來說,一個安全靠譜的文件保管和備份方案是必須的,因為它可以做到即使個人電腦被黑客攻破,仍可以保證核心文件數據的安全。另外,如果威脅更進一步,存儲文件數據的硬體都遭到了毀壞,那麼至少我們還有一套完整的數據可供使用。
?認清私有雲的價值,提升IT認知。
曾經見過一些公有雲企業的銷售,在並沒有將產品特性解說清楚的情況下,惡意貶低私有雲,並不斷勸導客戶將敏感數據上傳至公有雲,很多企業也糊塗照辦。但事情的真相卻是,購買私有雲就像買房子,私有雲是你的物業財產,受物權法保護;而公有雲的「租賃」特性則決定了客戶對雲平台只有使用權而沒有所有權,就像租房子,由於物業不是自己的,哪怕有租約在身,房東執行違約條款強行讓你搬家時,你也無可奈何。
需要明確的一點是,我並非認為公有雲不好或不安全,燕麥雲也有公有雲產品,但我認為公有雲的價值應該體現在靈活、便捷、分享和短周期上,而對於在安全方面有要求的客戶,我會堅定地建議使用私有雲。數據資產和商業秘密,應該由企業自身去掌握,在這個過程中,企業管理層對信息化和IT的認知和重視程度就會成為關鍵。
最後我有個小貼士貢獻給大家,那就是盡量去選擇輕量易安裝的私有雲產品。輕量意味著不給企業帶來額外IT負擔,而且可以同時去滿足企業對於文件安全和管控的需求,企業管理者們可以好好利用和學習。
推薦閱讀:
※快訊:英國議會電郵網路遭到持續攻擊
※信息系統安全等級保護(等保)評測如何開展
※醫療記錄的價值:解密地下黑市電子醫療數據的價值
※介紹幾種常見的提權方法,你用過幾個?
※使用BurpSuite的Collaborator查找.Onion隱藏服務的真實IP地址