在過去的幾周內，并沒有出現什么重大的安全漏洞，所以，John McCormick有機會將他的重點放在最近發生的一系列的重要數據安全的事件上。通過研究這些事件，可以從中找出創建更強的安全策略的重要性
，并且可以從中看到最近在安全領域內都發生了什么事情。

雖然在這一周沒有出現重大的安全漏洞，但是最近發生的幾起關鍵數據安全的事件向人們強調了在討論外包和收購的過程中創建有效的安全策略的重要性。

細節

由于在最近幾周中沒有出現重大的安全漏洞，因此我想將我的注意力集中于最近發生的那些影響到安全策略的事件上，而不是放在攻擊安全漏洞的新聞上。但是在本文的末尾，你可以找到一些與安全漏洞相關的信息。

如果你想對外包給出另外一個管理警告的理由的話，最近在印度的花旗銀行（Citybank）發生的新聞可以給你提供更多的理由。為了加快項目的速度，花旗銀行將他們呼叫中心的客戶服務業務外包給印度的一個本地化團隊，但是這個團隊中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導致了大量的欺騙性采購，花旗銀行為此損失了425,000美金。到目前為止，當局目前已經逮捕了16個人（對于這個問題，要想得到印度方面的觀點，可以從印度的快報的網站上得到這個故事的詳細情況。）

當然，問題并不是印度的呼叫中心的工人會盜用而美國本土員工就一定不會盜用，現在的騙子還是很多的。更合適一點的說法是，這個事件只能突出這樣一個事實：使用本地工人比外包到海外要安全的多。

還有要記住的很重要的一點是：各個國家保護公司防止被欺騙以及懲罰那些犯罪分子而使用的法律都有著很大的不同。換句話說，在美國看來是非法的事情可能在另一個國家根本就不是一種犯罪。

我在這個專欄中寫出這篇文章，并不是要將大家的注意力集中到印度這個國家。事實上，印度當局對這個欺騙事件非常關注，并且可能會使用所有必要的法律武器來懲罰這些犯錯誤的人。但是這也不是一個孤立的事件：我們使用外國勞動力的機會在不斷增加，而第三世界國家也認識到他們可以從中分一杯羹，并且他們可以不斷增加外包份額。

由于安全方面的原因造成一定的損失而要起訴一個本地的公司的話，這將是非常困難的。你無法想象，要想從一個完全不同的法律體系的國家中的公司或者個人那里獲得賠償是多么的困難？

從另一方面來說，有些經理可能會看到印度當局所采取的快速行動，并且作為補充，他們可能還會注意到印度當局發現欺騙的速度，如果這些事情發生在美國，并且如果不涉及到某些本國居民的話，他們可能永遠不會看到這種案件的曙光，因為這些案件首先要經過政府那強有力的盜竊身份的法律確認，而要實現這一點往往是遙遙無期的。

如果你的公司在印度有業務，或者準備將關鍵任務外包到印度的話，你首先應該看一看印度的有關網絡方面的法律--可以在Naavi.org這個網站上看一看有關的報告。在這里我所能夠說的是，我還不清楚在這個案例中，這個印度的呼叫中心公司的財政要承擔的責任是什么，但是我敢打賭，花旗銀行在這個案例中所花費的律師費遠遠比實際損失的客戶的要多得多。

與此同時，在與上述故事無關的另一個案例中，最近在LexisNexis 公司出現的安全問題造成的損失是該公司最初報告的十倍還要多。一開始，該公司并沒有重視這個威脅，這個威脅與the ChoicePoint debacle非常相似。LexisNexis最初報告了這個并不嚴格的安全手續，并且說明這個不嚴格的安全手續可能導致公司損失了超過30,000人次的數據記錄。然而，在四月12日，公司再一次公開發布的報告中承認大約有接近310，000個美國公民受到這個不嚴格的安全手續的影響。

這個問題中最麻煩的部分不是安全手續太過脆弱，而最重大的新聞也不是大多數公司的大多數安全手續都很脆弱。最重大的新聞是那些公司既沒有認識到這個問題所影響的范圍，或者說它們可能知道這個問題但是幾個星期以來一直沒有通知公眾。

對于那些不知道的人來說，特別是LexisNexis公司所犯下的錯誤，他們沒有正確的對通過收購所獲得的數據倉庫公司——位于佛羅里達的Seisint公司的現存客戶基進行篩選。這個細微的失誤因此也導致了重要的安全漏洞，這也很可能會影響到很多其他的公司。各個企業不能僅僅滿足于對收購所獲得的數據庫的安全手續進行后向檢驗，因為他們自己的安全手續往往都是很堅實的。

（個人聲明：LexisNexis是一個包含大量商業信息的數據庫，并且這個數據庫是一個合法的數據庫。我原來為總公司--Reed Elsevier LLC工作，但是現在我不再為這個公司工作，并且我從來沒有與LexisNexis數據庫自身連接過。）

最后的話語

需要大家記住的是，我并不是在這里要專門挑剔印度的外包呼叫中心。我在這里只是從法律和財務的觀點出發，強調外包不僅僅是一個節約費用的問題，它比我們所要求的復雜的多。

任何正在集成數據或者客戶列表的公司都應該注意這方面的問題，因為任何購買數據庫或者進行公司收購的公司的心中都應該記住LexisNexis公司的那個報告。因為你不知道那個最初創建授權客戶列表的公司中安全狀況是好還是壞。

相關參看

在這里我想用一個簡短的提示來提醒那些閱讀本專欄的政府或者承包政府網站的網站管理員們。在這個月的早些時候，FBI在阿邁阿密逮捕了一個很重要的黑客--委內瑞拉的Rafael Nunez-Aponte（"RaFa"）。RaFa曾經讓美國空軍陷入窘境，并且在黑客團體中有很多朋友，這次逮捕RaFa將有可能導致協同攻擊政府的網站，而且那些通過咨詢與政府有密切關系的網站以及其他與政府有合同關系的網站都有可能遭受這種攻擊。

世界上最著名的計算機學校之一，也是CERT的發源地，位于匹茲堡的卡耐基梅隆大學已經報告了這樣一種危害：有人危及到他們保存個人信息的學校數據庫。包括已經記錄的1600名現有的研究生以及從1997年到2004年已經獲得研究生學位的校友錄、從2002年九月開始到2004年五月為止的申請碩士學位的規劃，以及從2003年開始申請博士學位的規劃，還有Tepper商學院的管理員工記錄。

在4月15日，微軟悄悄的發布了一個補丁，修補了Windows 媒體播放器中的一個已知的安全漏洞，相關信息查閱知識庫文章892313。這個安全威脅適用于媒體播放器的9和10版本，可能讓黑客通過數據版權管理特征來進入系統。

微軟還發布了另一個安全公告MS05-002的2.0版本，從另一個角度說明這個更新是為Windows 98、Windows SE、以及Windows ME所提供的。查看一下公告上的新版本，看一看這個漏洞是否影響到了你的系統。

另外，微軟還更新了安全公告MS05-009的2.0版本。這個更新是為Windows的信使4.7.0.2009 （只有Windows XP SP1有這個版本）提供的，因為該系統在使用SMS或者自動更新時無法安裝原有的補丁。

微軟已經使用一個次要的修訂版（1.2）修改了安全公告MS05-010，其中包含了有關緩解因素的新信息。

微軟的安全公告MS05-017、MS05-021以及MS05-023也已經有了次要修訂版。

IBM 已經為Lotus Notes以及Domino系統中新發現的多個安全漏洞發布了補丁，最嚴重的安全漏洞是緩沖區溢出，這個漏洞可能導致DoS攻擊，至少IBM 是這么認為的。是下一代安全軟件（NGSS）組織發現了這個安全威脅，并且將其報告給了IBM，據說這個安全漏洞可能允許執行任意代碼，當然這是一個非常嚴重的問題。為了安全起見，NGSS將在隨后的幾個月中保留這六個安全漏洞的詳細說明，但是Secunia已經將他們定級為高級別的安全問題。

很顯然，黑客惡意軟件方面的blog也在增生擴散，因為他們完全不需要經過檢驗、并且是匿名和免費的。根據最近的幾個報告，比如說來自Vulnet.com的報告，網絡犯罪分子開始轉向使用blog來存儲任何大小的惡意代碼，從而實現黑客能夠利用其特洛伊木馬訪問其他網絡的目的。

根據News.com的報告，已經發現了更為嚴重的Mozilla Firefox 安全漏洞，而且Secunia已經將他們定級為高級別的安全問題。在最近發布的公告（Firefox 1.0.3）中，公布了九個安全漏洞，其中包括跨站腳本漏洞（cross-site scripting ）以及安全旁路（security bypass ）等安全漏洞，以及一個許可證完全系統的漏洞。我認為，實際上還有很多新的問題，但是很難確定在Firefox的布告中是否包含了所有新發現的安全缺陷。

美國戰略指揮部（STRATCOM）的司令官James Cartwright上將最近宣布，他將向國會介紹在他領導之下的一個中堅黑客部隊。這個黑客部隊名為"網絡戰聯合功能構成司令部（Joint Functional Component Command for Network Warfare，JFCCNW）"，這個部隊將負責保護五角大樓的系統，但是它也包括具備針對那些外國軍隊和政府目標的黑客攻擊能力。

作者簡介
John McCormick是一個安全咨詢專家，并且是IT領域的一個知名作家，公開發表了17000篇文章。他為TechRepublic的ITLocksmith專欄寫了四年多的文章。