网络社区安全难题待解
对于聚集了大量用户的网络社区来说,在快速发展的同时,安全问题也随之而来。无论是恶意代码的肆虐,还是利用网络交互功能进行的犯罪,都在威胁着网络社区的用户及广告客户,且这种威胁正随着网络社区的发展而进一步泛滥。既然已经进入了网上交互时代,而这类网络社区也不是昙花一现的产物,显然就需要更好地解决这些安全难题了。
那么,网络社区该如何提高网络安全性,且又不破坏正使它大受欢迎的开放性呢?国内外网络社区都在摸索之中。为此,本栏目特组织“网络社区安全”专题,针对目前全球最大的网络社区MySpace进行分析,希望其在安全方面的经验对国内网络社区的发展有所借鉴。
网络社区的CSO需要为用户及广告客户提高网络安全性,但又不能破坏正使网络社区大受欢迎的开放性。
有人说,MySpace网站是Web 2.0的鼓吹者,但也有人说它是数字化的魔鬼。
就在商业界关注这一网络社区与Google(谷歌)达成后者花9亿美元买下广告权的交易、业务扩大到澳大利亚、被《时代》杂志提名为50个最酷网站之一等新闻的同时,安全领域却被另一类新闻标题所吸引。一则标题是《两名少年因非法攻击MySpace而被捕》,另一则标题是《三名少年被指控对他们在MySpace网站上结识的女孩实施性侵犯》,还有一则是《一名男子被指控强奸在MySpace上约会的女孩》。
在取得巨大商业成功、为用户带来极大便利的同时,MySpace这类网络社区也面临着安全困境。作为一个开放性的网络社区,MySpace需要为用户及广告客户提高网络安全性,但又不能破坏正使它大受欢迎的开放性。也就是说,网络社区的首席安全官(CSO)需要在商业与安全之间很好地掌握平衡。
问题亟需解决
在美国达拉斯的会议上,Hemanshu Nigam要向关注安全问题的听众发表演讲。他很快就会发现,担任福克斯互动媒体公司(新闻集团下属企业)的CSO后,自己面前的舞台有多大——新闻集团老板Rupert Murdoch将数字未来方面的计划寄托在MySpace上。在Nigam出席第一次会议前一小时,他和一名下属直奔设在希尔顿酒店的会议室,他们在会议室门口看到那里排着一队人。
Nigam回忆道:“我们问排队的人‘你们在等什么?’他们回答‘我们在等MySpace的解释。’门一打开,许多人蜂拥而入。一下子,你几乎寸步难行,会议室里面到处站满了人。”
一些后来的人只好被劝退。事实上,大家都想听一听MySpace是如何帮助执法部门开展刑事调查的。
现年42岁的Nigam在印度出生,在美国康涅狄格州长大。之前他是一名美国联邦检察官,在打击儿童犯罪方面有着丰富经验。他怀着使命感和同情心,上台介绍了MySpace开设的24小时热线电话、过去帮助找到强奸犯和离家出走的少年方面取得的成绩,以及尽快向执法官员提供IP地址和其他重要信息付出的努力。他的演讲似乎收到了预期效果:事后,90%以上的与会者对他的演讲给予了积极评价。
大会组织者Larry Robbins说:“他显得很坦率,他说‘我们知道有问题需要解决,我们正在着手解决。’我不觉得他试图在隐瞒什么。”
测试了MySpace响应能力的执法官员说,该网站并非只是嘴皮上说说而已。美国警察局副局长Robert Charette说:“其实我感到很惊喜。”最近,他与MySpace联手追查并逮捕了被两个州通缉的一名男子,该男子从费城的一家公立图书馆登录进入了MySpace账户。“以前命令电话公司交出相关信息,可能要等上几天甚至几周,对此我们已经习惯了。我还以为MySpace办事也会像电话公司一样拖沓。没想到它马上就响应了,而且极其合作,与他们合作很愉快。”
实际上,该公司也需要如此。MySpace现在人气很旺。据研究服务公司Hitwise声称,2006年7月, MySpace超过Yahoo Mail成为美国访问量最大的网站。但随着在其网络社区建立的个人档案数量激增——据MySpace声称,目前个人档案多达1.5亿份,它同样吸引着形形色色的人,包括毒贩、恋童癖患者和杀人犯。毕竟,不法分子成为会员就如同10多岁的孩子想共享踢球照片或者聊聊流行音乐歌手一样容易。
Nigam面临的难题是,为用户以及广告商提高网站的安全性,又不破坏正使它大受欢迎的那种开放性。这使得Nigam不但成了安全会议的焦点,也恰恰成了文化、商业和安全这几方面的交叉点。尽管MySpace在出了问题后似乎能够及时响应,但至于Nigam能不能大大提高网站的安全性、所做的努力能不能足以安抚MySpace的批评人士(包括要求MySpace加强访问机制的32名州首席检察官组成的小组),完全是个未知数。
Nigam在去年5月上任后,“许多人终于松了口气,他们觉得,现在至少有些事会得到解决。大门是开着的,他们随时可以找他联系。”派拉蒙数字娱乐公司的高级副总裁Derek Broes说,“他面临的最大难题将是实现MySpace想要实现的安全目标,又不影响公司本身、不带来糟糕的用户体验。”
这显然绝非易事。
CSO的新舞台
早在新闻集团于2005年10月斥资5.8亿美元收购MySpace,并把它并入福克斯互动媒体公司后不久,集团高层主管就开始物色人员,希望帮助这家一度惹是生非的新兴公司加强安全。尽管存在儿童安全、恶意代码和版权侵犯等问题,但MySpace、Facebook和Xanga这些网络社区一直在飞速发展。
虽然以前MySpace等网站还很难成为人们关注的焦点,但现在情况不一样了。不但其中最大的网络社区MySpace的新母公司财大气粗(新闻集团2006年收入为253亿美元),而且Murdoch也把MySpace看成是公司发展战略的一粒重要棋子。实际上,新闻集团的这位主席兼CEO曾告诉投资者,MySpace是一笔价值60亿美元的资产,且IDG控股的一家中国公司正与MySpace商谈投资中国版MySpace的事宜。
长期担任全国失踪及被剥削儿童中心主任的Ernie Allen很快接到了福克斯互动媒体公司打来的电话。对方希望他能推荐一名人选来担任MySpace的CSO,要求是既善于处理儿童安全问题,又要深入了解技术。Allen立马就想到了Nigam。
他们俩认识已有十多年,早到可追溯至Nigam在美国司法部担任联邦检察官的时候,当时他专门接手与互联网有关的儿童色情、儿童侵犯、妇女儿童拐卖以及计算机犯罪等案件。后来Nigam在微软公司担任消费者安全服务和儿童安全计算部门主任时,两人也共过事。Allen对Nigam的诚实为人和办事能力给予了高度评价。他回忆道:“我想他的背景正是他们所需要的。”
当时在微软的Nigam接到了电话。他说:“对方说,因为你了解儿童安全,那么可以跟我在MySpace的朋友聊聊吗?后来就成了,你希望来MySpace工作吗?随后我打电话给Allen,想听听他的意见。我想过去,是因为我确实想发挥作用。”
Allen确信,福克斯互动媒体公司向Nigam提供这份工作,这表明它在物色的不只是有名无实的负责人,以便负责安抚股东或与媒体沟通。Allen回忆:“我对他们说,如果纯粹是为了搞公关,那么你们还是不要聘请Nigam这样的人,因为他向来是个实干家。他能办成事儿,会着手处理并设法解决难题。”
尽管这份工作将意味着Nigam需要把妻子和四个孩子从美国华盛顿调到洛杉矶,但这个机会对他很有吸引力。Nigam说:“实际上,这家公司当时遭到了极大的打击,但恰恰这也是出现问题的最好时机,因为它还处在发展初期阶段,现在正是可以打下基础的时候。要是他们三年后打电话给我,我根本不会考虑。”
公众对Nigam被任命迅速作出了积极反应。由于他具有法律背景、技术才能以及捍卫儿童权益的声誉,他的所有经验似乎都有助于他走上这个岗位。
美国北卡罗来纳州首席检察官Roy Cooper的特别顾问Jay Chaudhuri说:“我们都对MySpace任命Nigam一事持乐观态度,因为我们觉得,他们将来能够实施有效措施。”Roy Cooper领导的由32名首席检察官组成的小组一直在竭力要求MySpace改进安全做法。
不过,挑战也是巨大的。Chaudhuri说:“在过去的半年里,MySpace无疑作出了一些变化,但它们是否足以在网上保护儿童?大多数首席检察官是否认为MySpace就像他们所说的那样是个安全的‘交友场所’呢?我认为,答案是否定的。”
网络社区的开放性使得MySpace在短期内聚集了大量用户
谋求新变化
在Nigam2006年5月1日走马上任后的几周内,MySpace就宣布推出加强会员和网站安全的新措施。
首先,网站将禁止自称年龄在18岁以上的会员联系年龄为14岁或15岁的会员,除非成年会员知道年轻会员的全名或者电子邮件地址(虽然MySpace声称会员年龄必须至少是14岁,实际上不核查年龄,这仍是存在很大争论的话题);其次,网站将允许任何年龄的会员(而不仅仅是十四五岁的会员)可以将个人档案设置成保密状态,这样只有属于“朋友”网络圈的人才能查看他们的全部信息;第三,公司将开始根据年龄选择广告受众。确保年龄不足18岁的会员不会看到烟酒类广告或者约会服务,年龄不足21岁的会员不会看到酒类广告。
当然,这种有针对性地投放广告的做法无疑符合一项更庞大的战略。德勤咨询公司技术、媒体和电信部门的全国总经理Eric Openshaw认为,会员们向MySpace提供的大量信息使得该网站成了一座“蕴藏大量营销数据的金矿”,新闻集团最终有望收回投资。
MySpace还进行了动静比较小的其他变化。譬如说,MySpace的员工注意到:有些年轻会员自称年龄是69岁(“69”代表一种性爱姿势)。年龄较大的会员会寻找身高不到四英尺的69岁的人,企图找到对性感兴趣的年轻会员。现在,会员再也无法浏览查找年龄在68岁以上的人。
Nigam对这几种变化采取了务实的态度。他与工作团队一起拟订了他所说的问题列表(issue list)。他说:“我们分析黑客们在干什么?色狼们在干什么?然后,我们去找工程师,说‘假定你不用担心资源问题,我们怎样能够解决这些问题?我们是否可以进行改变或者添加某项功能?’”一旦这些工程师手里有了这份列表,就会设法弄清楚去做哪5项工作或者哪10项工作可以把某个问题的80%给解决掉,然后由此拟订一份工作优先表。
从这份问题列表得出的最大变化也许就是,力图阻止已知的性犯罪者登录网站。儿童被诱骗与他们在MySpace上聊天的不怀好意的成年人会面,这类新闻报道屡见不鲜,结果使得该网站名誉扫地。有位妇女和她14岁的女儿起诉MySpace并索赔3000万美元,起因是该女孩在MySpace上结识的19岁男子涉嫌对她进行了性侵犯(此案已在今年2月撤诉)。《连线》杂志在去年10月公布的一项调查发现,数百名登记在案的性犯罪者用真名在MySpace上建立个人档案,其中一些人正忙于征集年轻“朋友”。于是在去年12月,MySpace宣布将与背景核查公司Sentinel Tech Holding合作,共同建立记录有已知性犯罪者信息的全国中央数据库——这些信息之前散布在联邦和各州的数据库中。名为Sentinel Safe的这项技术有望让MySpace阻止这些用户登录网站。不过MySpace也表示,它的竞争对手同样可以使用该数据库。
批评人士过去往往指出,此举只会迫使登记在案的性犯罪者使用别名,但MySpace在这方面也一直在向有关方面游说。它在宣布Sentinel Safe后不久打了一场漂亮的公关战:John McCain和Charles Schumer这两名参议员宣布计划提议立法,将迫使登记在案的性犯罪者向执法部门公布自己的电子邮件地址,使用未登记的电子邮件地址将属于违反缓刑或者假释条例。该法一旦通过,将为MySpace提供更多信息,到时它就可以用来比对。弗吉尼亚州的首席检察官竭力要求本州推行类似立法。
打一场持久战
与此同时,恶意代码在MySpace网站上肆虐的说法也极为让人关注。在较早的一件案子中,有位名叫“Samy”的少年就利用了一个脚本漏洞,把一段代码添加到他的个人档案中,结果在20个小时内就感染了100多万用户的个人档案——自动发出100多万次请求,希望成为每个用户的“朋友”。另一名妇女利用了Apple QuickTime中的一个漏洞,窃取了众多用户的登录资料,随后肆意发送垃圾邮件。
因而,Nigam现在把更多的注意力放在了计算机安全问题上,并专门成立了一个小组,负责响应事件、致力于加强教育和意识方面的工作。这项工作针对MySpace的工程师,他们需要在如何编写安全的Web应用方面另外接受培训。同时它也针对会员,他们可以通过安装防病毒软件和防火墙、给软件打上补丁来保护自己。
在这样的背景下,基本的侦查工作仍在继续。MySpace的服务条款禁止会员发布含有裸体画面、仇恨言论或非法使用毒品等内容的照片或者视频,或者侵犯版权法的照片或视频,但要让这几种内容远离网站,需要打一场持久战。
一个全天候支持工作小组(目前占到MySpace 300名员工的40%左右)人工检查会员们每天发布的7000万个图像和视频。他们还进行搜索,尽量找出从发布信息可以看出年龄至少不足14岁的未成年用户,譬如他们就读小学的名称等信息。该公司声称,目前它每周要关闭大约3万名未成年用户的个人档案。不过,Nigam不愿透露版权侵犯方面的任何详细内容,只提到了一起正在进行的诉讼:环球唱片公司在去年11月提起诉讼,指控MySpace的家底是“用户从别人地方窃取的知识产权”。
不过仍传出网站上时常出现坏人的报道,只要访问MyCrimeSpace.com就可以证明这一点,该网站跟踪与MySpace及其他社交网站有关的犯罪活动。北卡罗来纳州的Trench Reynolds(博客名)在业余时间打理这个网站,他说:“我不认为Nigam实施的各种安全措施非常有效。从MySpace方面来说,他们只能做这么多,家长们也需要加强对孩子上网活动的监控力度。”
Nigam承认:“只要你让用户们在某个地方相互交流,最终会有坏人出现。”被问到网站存在的种种问题时,他显得非常坦率。他解释道,对他来说,实施的安全计划没有取得100%的效果,这已经不在讨论范围之内了。
Nigam说:“坏人有许多办法来避开我们实施的系统。不过从我们的角度来看,这并不是说你可以不用实施系统。你要竭尽所能。你要积极预测、要先发制人、要补救问题、要随时应变、要为坏人设置难题。你在设置难题的同时,也在不断让人们意识到当前情况。” (ccw)
- 1升级后的网络管理
- 2协同OA软件成为公司真实存在的资产记录
- 3KappaKids梦想航班正式起航(图)
- 4第八届橱柜行业总裁论坛解读趋势,行业热点再解析
- 5多地感受今冬最冷一天 专家称,最冷时段还未到来
- 6企业信息化大讲堂之路由器基础知识
- 7打造亲民时尚,“七之莲”让围裙如此绚烂
- 8办公软件包括哪些重点功能模块呢?
- 9美国防部管理绝密内容的新技术
- 10计世独家:开源软件服务需打造体验文化
- 11羊肉卷中夹杂鸭胸等肉 在业内已成公开秘密(图)
- 12雪莲2013春夏订货会圆满落幕(图)
- 13VoIP叫板企业通信
- 14RFID在务实中演进
- 15泛普OA软件中共享的设置权限由角色中配置
- 16加密电子邮件
- 17协同OA软件对部分相关字段属性的解释说明:
- 18日拟发表“安倍谈话” 修改历史观
- 19几种无线技术的融合分析
- 20风险评估和最佳实践
- 21谁是最大的信息安全漏洞?
- 22涂料企业 通过细节来强化细分市场
- 23揭示2008年最流行的十大SaaS术语
- 24新安全威胁下2007杀毒软件呈现六大趋势
- 25美国国务卿希拉里因病晕倒 撞到头部致脑震荡
- 26应用驱动WLAN发展
- 27开源的道路 Intel解剖开源商业模式
- 28硅谷最看重的12项技能
- 29三亚近百名城管上街“执法”一小时 被指作秀
- 30三方法优化MySQL数据库查询