问与答:
PayPal首席安全主管就Epsilon网络安全事件的看法及更多的评论
CNET科技资讯评论员通过电话对PayPal网上支付信用服务公司的首席安全主管迈克·巴雷特(Michael Barrett)进行了采访,并要求他对网络安全发表了意见。
问:高科技持久性的威胁(Advanced Persistent Threads or APTs)主要是针对特定组织或公司,通常的事件窃取数据,最近这些方面新闻很多。 PayPal是否受到这样的攻击?
巴雷特:我不认为我们受过成功的袭击。 但我肯定,我们的网络上曾出现过恶意的软件。
问:这次事件是通过对RSA(这是目前最有影响力的公钥加密算法)侵入进行的,由此破解SecurityID钥匙,这对PayPal会有什么影响?
巴雷特:我们的客户不使用这种方法,但我们在内部使用。在内部网络,因为我们有一个多层防御,我们没有重新换码,至少不会仓促行事。 我们可以有选择性对某些的员工进行有目标性的重新确认。 RSA的本身就是针对抵抗攻击设计的,但由于执法机构调查的介入,所有密码的验证还不能完全确定。
问:你对Comodo公司(美国一软件公司,专门提供网络安全证书)发出的伪造证书上有什么评论?
巴雷特:在许多方面,我们认为这是提供证书业务公司经营者的软肋。 这不是Comodo公司被侵入,这是证书认证机构转售Comodo的证书。 但也有为数不良行为公司在经营证书(CA)生意,你看到的是他们其中之一。 有相当多的证据表明,CA的业务偏向于收入,从而以牺牲安全为代价。 CA商业有需要进行一些清理工作,这类事件的发生就是一个典型的例子。
问:Epsilon数据的侵入已经成为本周的头条新闻。 这说明委托外部公司提供邮件服务是一个问题吗?
巴雷特:在最近几个月里,该行业有一些违规侵入行为。 我不把它看作该整个行业有问题。 相反,在我看来,所有的企业都必须意识到,他们具有价值的数据都可能是潜在的攻击对象。 人们常说“这不可能发生在我身上”, 但是犯罪分子几乎对所有的人都进行侵犯。 所有公司在的数据处理过程中都需要认真严肃对待数据的控制水平。 我们看到企业的意识正在转变之中。
我们使用外部供应商,但我不能提供名字。 我们没有使用Epsilon公司。我要强调的是,我们做事的准则之一我们尽职尽责确认这些供应商都是安全。 在给任何电子邮件服务商提供姓氏和电子邮件地址,你必须确保他们是按照行业的规范做法。 有的公司确实比其他公司做得更好。
- 谁是Epsilon,为什么它有我的数据?
- RSA的攻击所使用的是Excel中即日迅速侵入
- 黑客利用在Web甲板中的缝隙进行侵入
问:移动通讯平台现在十分火热,你看到什么趋势呢?
巴雷特:从安全角度来看,移动平台是令人羡慕的,因为目前的攻击很少。另一方面,对攻击者来说,各种侵入的可能性现在还没有成为一种现实, 所以这是一个非常有趣的空间。 例如,非越狱iPhone手机上的攻击并没有出现很多,因此他们看来是相当安全的。Android可能是一个安全性略差的平台,侵入攻击曾有发生过。它只是更加开放,谷歌对应用程序没有任何控制,而苹果采取的是控制的方式。 双刃剑两边锋利,也会伤到自己。谷歌采取的是更加开放的态度,我认为这是一个哲学问题。我这里不是批评谷歌或赞美苹果。一种方式可能导致更开放的生态系统,但可能也带来更多的风险。你不能光是从安全特性来看,你要看生态系统的整体健康,比如有什么样的应用程序和其他的东西。就我个人而言,我喜欢黑莓,因为我可以用我拇指输入。
如果人们在智能手机上做电子商务,他们真正需要的是用一个密码来脚锁定它,你将会吃惊地发现有多少人没有这样做。你需要锁定它,将它备份起来。 每当更新出现,我们一直强烈推荐消费者下载并安装新版本的应用程序。
问:PayPal如何处理法庭的传票和政府查看数据的要求?
巴雷特:我们与执法部门的立场已经非常简单。 我们是一家公司,尊重法律,我们的工作与执法部门相当积极配合。 当他们拿出适当的请求,我们合作。 如果我们相信他们只是想游钓和查询客户的数据,我们就不会(合作)。
问:网络钓鱼(伪造网络行骗)仍然是PayPal和你们客户的困扰问题吗?
巴雷特:刚好5年前我加入了PayPal,公平地说,公司当时并没有在这一点上意识到网络钓鱼的害处。但自我加入公司以来,我们已经建立了多种防御来对付这个问题。这个问题可能永远不会完全消失,但它可以大大地减少。在最多钓鱼网站排列中我们正处于第八,这比第一要好得多。我不满意被放在第八,我真的很想完全消灭这种犯罪,但我意识到,这将需要五年的时间。 几年前,我们的对外邮件开始全部采用数字签名,我们与雅虎和谷歌合作,如果他们看到了声称是来自我们但没有电子签字的电子邮件,这些邮件将会被阻止。自从这之后,取得了相当惊人的成功。现在我们正试图让整个行业接受这种做法,但这将会需要花数年的时间让其它行业这样做。
问:你有任何其它议题可以说说吗?
巴雷特:有的,法规。我们相信,我们现在正进入的网络时代将不可避免地需要更多的互联网管理法规,问题是应该建立什么样子的安全框架,使得互联网成比现在更为安全? 这可能是美国政府今年会做一些事情。你会发现网络上的执法经费严重不足,我希望这方面资金的投入应该加大大增加。