在過去的幾周內(nèi)，并沒有出現(xiàn)什么重大的安全漏洞，所以，John McCormick有機(jī)會(huì)將他的重點(diǎn)放在最近發(fā)生的一系列的重要數(shù)據(jù)安全的事件上。通過研究這些事件，可以從中找出創(chuàng)建更強(qiáng)的安全策略的重要性
，并且可以從中看到最近在安全領(lǐng)域內(nèi)都發(fā)生了什么事情。

雖然在這一周沒有出現(xiàn)重大的安全漏洞，但是最近發(fā)生的幾起關(guān)鍵數(shù)據(jù)安全的事件向人們強(qiáng)調(diào)了在討論外包和收購的過程中創(chuàng)建有效的安全策略的重要性。

細(xì)節(jié)

由于在最近幾周中沒有出現(xiàn)重大的安全漏洞，因此我想將我的注意力集中于最近發(fā)生的那些影響到安全策略的事件上，而不是放在攻擊安全漏洞的新聞上。但是在本文的末尾，你可以找到一些與安全漏洞相關(guān)的信息。

如果你想對外包給出另外一個(gè)管理警告的理由的話，最近在印度的花旗銀行（Citybank）發(fā)生的新聞可以給你提供更多的理由。為了加快項(xiàng)目的速度，花旗銀行將他們呼叫中心的客戶服務(wù)業(yè)務(wù)外包給印度的一個(gè)本地化團(tuán)隊(duì)，但是這個(gè)團(tuán)隊(duì)中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導(dǎo)致了大量的欺騙性采購，花旗銀行為此損失了425,000美金。到目前為止，當(dāng)局目前已經(jīng)逮捕了16個(gè)人（對于這個(gè)問題，要想得到印度方面的觀點(diǎn)，可以從印度的快報(bào)的網(wǎng)站上得到這個(gè)故事的詳細(xì)情況。）

當(dāng)然，問題并不是印度的呼叫中心的工人會(huì)盜用而美國本土員工就一定不會(huì)盜用，現(xiàn)在的騙子還是很多的。更合適一點(diǎn)的說法是，這個(gè)事件只能突出這樣一個(gè)事實(shí)：使用本地工人比外包到海外要安全的多。

還有要記住的很重要的一點(diǎn)是：各個(gè)國家保護(hù)公司防止被欺騙以及懲罰那些犯罪分子而使用的法律都有著很大的不同。換句話說，在美國看來是非法的事情可能在另一個(gè)國家根本就不是一種犯罪。

我在這個(gè)專欄中寫出這篇文章，并不是要將大家的注意力集中到印度這個(gè)國家。事實(shí)上，印度當(dāng)局對這個(gè)欺騙事件非常關(guān)注，并且可能會(huì)使用所有必要的法律武器來懲罰這些犯錯(cuò)誤的人。但是這也不是一個(gè)孤立的事件：我們使用外國勞動(dòng)力的機(jī)會(huì)在不斷增加，而第三世界國家也認(rèn)識(shí)到他們可以從中分一杯羹，并且他們可以不斷增加外包份額。

由于安全方面的原因造成一定的損失而要起訴一個(gè)本地的公司的話，這將是非常困難的。你無法想象，要想從一個(gè)完全不同的法律體系的國家中的公司或者個(gè)人那里獲得賠償是多么的困難？

從另一方面來說，有些經(jīng)理可能會(huì)看到印度當(dāng)局所采取的快速行動(dòng)，并且作為補(bǔ)充，他們可能還會(huì)注意到印度當(dāng)局發(fā)現(xiàn)欺騙的速度，如果這些事情發(fā)生在美國，并且如果不涉及到某些本國居民的話，他們可能永遠(yuǎn)不會(huì)看到這種案件的曙光，因?yàn)檫@些案件首先要經(jīng)過政府那強(qiáng)有力的盜竊身份的法律確認(rèn)，而要實(shí)現(xiàn)這一點(diǎn)往往是遙遙無期的。

如果你的公司在印度有業(yè)務(wù)，或者準(zhǔn)備將關(guān)鍵任務(wù)外包到印度的話，你首先應(yīng)該看一看印度的有關(guān)網(wǎng)絡(luò)方面的法律--可以在Naavi.org這個(gè)網(wǎng)站上看一看有關(guān)的報(bào)告。在這里我所能夠說的是，我還不清楚在這個(gè)案例中，這個(gè)印度的呼叫中心公司的財(cái)政要承擔(dān)的責(zé)任是什么，但是我敢打賭，花旗銀行在這個(gè)案例中所花費(fèi)的律師費(fèi)遠(yuǎn)遠(yuǎn)比實(shí)際損失的客戶的要多得多。

與此同時(shí)，在與上述故事無關(guān)的另一個(gè)案例中，最近在LexisNexis 公司出現(xiàn)的安全問題造成的損失是該公司最初報(bào)告的十倍還要多。一開始，該公司并沒有重視這個(gè)威脅，這個(gè)威脅與the ChoicePoint debacle非常相似。LexisNexis最初報(bào)告了這個(gè)并不嚴(yán)格的安全手續(xù)，并且說明這個(gè)不嚴(yán)格的安全手續(xù)可能導(dǎo)致公司損失了超過30,000人次的數(shù)據(jù)記錄。然而，在四月12日，公司再一次公開發(fā)布的報(bào)告中承認(rèn)大約有接近310，000個(gè)美國公民受到這個(gè)不嚴(yán)格的安全手續(xù)的影響。

這個(gè)問題中最麻煩的部分不是安全手續(xù)太過脆弱，而最重大的新聞也不是大多數(shù)公司的大多數(shù)安全手續(xù)都很脆弱。最重大的新聞是那些公司既沒有認(rèn)識(shí)到這個(gè)問題所影響的范圍，或者說它們可能知道這個(gè)問題但是幾個(gè)星期以來一直沒有通知公眾。

對于那些不知道的人來說，特別是LexisNexis公司所犯下的錯(cuò)誤，他們沒有正確的對通過收購所獲得的數(shù)據(jù)倉庫公司——位于佛羅里達(dá)的Seisint公司的現(xiàn)存客戶基進(jìn)行篩選。這個(gè)細(xì)微的失誤因此也導(dǎo)致了重要的安全漏洞，這也很可能會(huì)影響到很多其他的公司。各個(gè)企業(yè)不能僅僅滿足于對收購所獲得的數(shù)據(jù)庫的安全手續(xù)進(jìn)行后向檢驗(yàn)，因?yàn)樗麄冏约旱陌踩掷m(xù)往往都是很堅(jiān)實(shí)的。

（個(gè)人聲明：LexisNexis是一個(gè)包含大量商業(yè)信息的數(shù)據(jù)庫，并且這個(gè)數(shù)據(jù)庫是一個(gè)合法的數(shù)據(jù)庫。我原來為總公司--Reed Elsevier LLC工作，但是現(xiàn)在我不再為這個(gè)公司工作，并且我從來沒有與LexisNexis數(shù)據(jù)庫自身連接過。）

最后的話語

需要大家記住的是，我并不是在這里要專門挑剔印度的外包呼叫中心。我在這里只是從法律和財(cái)務(wù)的觀點(diǎn)出發(fā)，強(qiáng)調(diào)外包不僅僅是一個(gè)節(jié)約費(fèi)用的問題，它比我們所要求的復(fù)雜的多。

任何正在集成數(shù)據(jù)或者客戶列表的公司都應(yīng)該注意這方面的問題，因?yàn)槿魏钨徺I數(shù)據(jù)庫或者進(jìn)行公司收購的公司的心中都應(yīng)該記住LexisNexis公司的那個(gè)報(bào)告。因?yàn)槟悴恢滥莻€(gè)最初創(chuàng)建授權(quán)客戶列表的公司中安全狀況是好還是壞。

相關(guān)參看

在這里我想用一個(gè)簡短的提示來提醒那些閱讀本專欄的政府或者承包政府網(wǎng)站的網(wǎng)站管理員們。在這個(gè)月的早些時(shí)候，F(xiàn)BI在阿邁阿密逮捕了一個(gè)很重要的黑客--委內(nèi)瑞拉的Rafael Nunez-Aponte（"RaFa"）。RaFa曾經(jīng)讓美國空軍陷入窘境，并且在黑客團(tuán)體中有很多朋友，這次逮捕RaFa將有可能導(dǎo)致協(xié)同攻擊政府的網(wǎng)站，而且那些通過咨詢與政府有密切關(guān)系的網(wǎng)站以及其他與政府有合同關(guān)系的網(wǎng)站都有可能遭受這種攻擊。

世界上最著名的計(jì)算機(jī)學(xué)校之一，也是CERT的發(fā)源地，位于匹茲堡的卡耐基梅隆大學(xué)已經(jīng)報(bào)告了這樣一種危害：有人危及到他們保存?zhèn)€人信息的學(xué)校數(shù)據(jù)庫。包括已經(jīng)記錄的1600名現(xiàn)有的研究生以及從1997年到2004年已經(jīng)獲得研究生學(xué)位的校友錄、從2002年九月開始到2004年五月為止的申請碩士學(xué)位的規(guī)劃，以及從2003年開始申請博士學(xué)位的規(guī)劃，還有Tepper商學(xué)院的管理員工記錄。

在4月15日，微軟悄悄的發(fā)布了一個(gè)補(bǔ)丁，修補(bǔ)了Windows 媒體播放器中的一個(gè)已知的安全漏洞，相關(guān)信息查閱知識(shí)庫文章892313。這個(gè)安全威脅適用于媒體播放器的9和10版本，可能讓黑客通過數(shù)據(jù)版權(quán)管理特征來進(jìn)入系統(tǒng)。

微軟還發(fā)布了另一個(gè)安全公告MS05-002的2.0版本，從另一個(gè)角度說明這個(gè)更新是為Windows 98、Windows SE、以及Windows ME所提供的。查看一下公告上的新版本，看一看這個(gè)漏洞是否影響到了你的系統(tǒng)。

另外，微軟還更新了安全公告MS05-009的2.0版本。這個(gè)更新是為Windows的信使4.7.0.2009 （只有Windows XP SP1有這個(gè)版本）提供的，因?yàn)樵撓到y(tǒng)在使用SMS或者自動(dòng)更新時(shí)無法安裝原有的補(bǔ)丁。

微軟已經(jīng)使用一個(gè)次要的修訂版（1.2）修改了安全公告MS05-010，其中包含了有關(guān)緩解因素的新信息。

微軟的安全公告MS05-017、MS05-021以及MS05-023也已經(jīng)有了次要修訂版。

IBM 已經(jīng)為Lotus Notes以及Domino系統(tǒng)中新發(fā)現(xiàn)的多個(gè)安全漏洞發(fā)布了補(bǔ)丁，最嚴(yán)重的安全漏洞是緩沖區(qū)溢出，這個(gè)漏洞可能導(dǎo)致DoS攻擊，至少IBM 是這么認(rèn)為的。是下一代安全軟件（NGSS）組織發(fā)現(xiàn)了這個(gè)安全威脅，并且將其報(bào)告給了IBM，據(jù)說這個(gè)安全漏洞可能允許執(zhí)行任意代碼，當(dāng)然這是一個(gè)非常嚴(yán)重的問題。為了安全起見，NGSS將在隨后的幾個(gè)月中保留這六個(gè)安全漏洞的詳細(xì)說明，但是Secunia已經(jīng)將他們定級(jí)為高級(jí)別的安全問題。

很顯然，黑客惡意軟件方面的blog也在增生擴(kuò)散，因?yàn)樗麄兺耆恍枰?jīng)過檢驗(yàn)、并且是匿名和免費(fèi)的。根據(jù)最近的幾個(gè)報(bào)告，比如說來自Vulnet.com的報(bào)告，網(wǎng)絡(luò)犯罪分子開始轉(zhuǎn)向使用blog來存儲(chǔ)任何大小的惡意代碼，從而實(shí)現(xiàn)黑客能夠利用其特洛伊木馬訪問其他網(wǎng)絡(luò)的目的。

根據(jù)News.com的報(bào)告，已經(jīng)發(fā)現(xiàn)了更為嚴(yán)重的Mozilla Firefox 安全漏洞，而且Secunia已經(jīng)將他們定級(jí)為高級(jí)別的安全問題。在最近發(fā)布的公告（Firefox 1.0.3）中，公布了九個(gè)安全漏洞，其中包括跨站腳本漏洞（cross-site scripting ）以及安全旁路（security bypass ）等安全漏洞，以及一個(gè)許可證完全系統(tǒng)的漏洞。我認(rèn)為，實(shí)際上還有很多新的問題，但是很難確定在Firefox的布告中是否包含了所有新發(fā)現(xiàn)的安全缺陷。

美國戰(zhàn)略指揮部（STRATCOM）的司令官James Cartwright上將最近宣布，他將向國會(huì)介紹在他領(lǐng)導(dǎo)之下的一個(gè)中堅(jiān)黑客部隊(duì)。這個(gè)黑客部隊(duì)名為"網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部（Joint Functional Component Command for Network Warfare，JFCCNW）"，這個(gè)部隊(duì)將負(fù)責(zé)保護(hù)五角大樓的系統(tǒng)，但是它也包括具備針對那些外國軍隊(duì)和政府目標(biāo)的黑客攻擊能力。

作者簡介
John McCormick是一個(gè)安全咨詢專家，并且是IT領(lǐng)域的一個(gè)知名作家，公開發(fā)表了17000篇文章。他為TechRepublic的ITLocksmith專欄寫了四年多的文章。