希拉里在邮箱门事件中到底做错了什么？

2016-04-15 10:55

按：本文作者Song，雷锋网(搜索“雷锋网”公众号关注)专栏特约作者，西雅图Newsky Security公司联合创始人兼CTO，业内知名防病毒专家，黑客。

回顾希拉里邮箱门事件
一年多以前，就在美国群众开始琢磨，奥巴马下台以后谁来接手的时候，一条新闻很配合的跳了出来。国务卿希拉里.克林顿，居然在自己家里开了个邮件服务器。
在这次邮箱门事件中，希拉里并没有公开报道她的邮件服务器真的被黑，所有公开报道的，都是她违反了各种安全规定，是和她通信的记者的邮件被黑。
然后事关美国的重要邮件，居然都是从这个位于她家地下室（也有传闻是车库的，不过官方说法是地下室）的服务器流过的。一起流过的，还有希拉里的各种私人邮件。当然，这是希拉里和她的律师定义的私人邮件。
这件事情传开以后，美国稍微懂点技术的人民纷纷拿出表情包：

事情继续发酵，过了几天，新的数据出来了，希拉里跟她的律师觉得有三万两千封邮件是私人的，所以从这个服务器上面给删了，删了......希拉里的回复是，用私人邮箱？合理合法啊。
不过，等大家发现，这台可以从互联网上直接访问的，没事就在希拉里她家的地下室里面嗡嗡叫的邮件服务器上面，有两千一百封是属于“保密”级别，这里面有65封是“秘密”，22封是“绝密”。这时候美国人民的内心是这样的：

从网络上面可以找到的公开资料看，这台服务器是2008年希拉里竞选总统的时候买的，后来奥巴马当选总统，希拉里任国务卿的时候，就雇了一个叫贾斯丁.比伯，对不起，贾斯丁.库珀的人来管理这台服务器。这人是比尔.克林顿的老朋友了，不过，这人从来没有什么安全背景。所以，看到clintonemail.com, wjcoffice.com, 还有 presidentclinton.com 这三个域名都指向这台服务器，也就没什么奇怪的了。
除了服务器的问题，希拉里在这个事件中的另外一个严重错误，就是用了黑莓手机。（黑莓躺枪）
这是她在任国务卿之前，和她朋友联系的手机。上任以后国家安全人员警告她这是个安全威胁，她不能带着这个手机去私人办公室。于是，希拉里就把这个手机上面的邮箱，给放到她自己的邮件服务器上面了。
当然，这种私人的事情，是不会和国家安全人员说的。
这里需要提醒的是，希拉里的黑莓手机不是政府指定使用的手机，所以黑莓手机作为希拉里的私人手机被使用就此躺枪。
另外，不是随便就能在店里买到美国国务卿用的手机设备，比如消费者设备上的加密密钥长度，就远不及政府。要知道美国总统、国务卿这些人都能指挥军队，他们使用的加密密钥长度是军用级别，破解难度也是指数级增长。
美国国家安全人员在2009年抱怨了一下国务卿的治下估计有安全问题。不过真正出事是在2013年3月，一个叫Sidney Blumenthal的邮件被黑了，大家才从黑客嘴里知道，好多关于美国外交的事情，居然是从希拉里的clintonemail.com邮箱发出来给这个记者的。当然，这个记者也是克林顿家的老朋友，他自然也没有通过安全调查。顺藤摸瓜，安全审计人员发现了不少希拉里用这个邮件服务器发送工作相关邮件的证据。我估计当时调查人员的表情是这样的：

而被民主党憋了8年，正准备东山再起的共和党的表情是这样的：

至于共和党被川普搞了个措手不及，那又是后话了。
我们从中学到了什么？
好了，看过美国的笑话，我们中国人，特别是政府官员，应该从中学到什么呢？
首先，大家不要以为安全是很难很高深的事情。希拉里这次出的邮件安全事件，主要是以下三条没有认真做到。
1. 遵守所在单位的信息安全规范。
2. 相信专业安全人员，而不是为了方便而忽视安全。
3. 正确使用计算机通信工具，保证公私分开。
下面我们分别解说一下。
1. 遵守所在单位的信息安全规范。
在信息时代，无论是为美国政府工作，还是为中国政府工作，或者是为某家科技公司工作，所在单位都有对应的信息安全规范。这些规范或许比较繁琐，但是都是多年信息安全实战经验的总结。遵守企业的规范，是一个人最基本的职业守则。
你问我创业了做了老板是不是就不用遵守职业守则了？拜托，这些守则就是老板花钱制定的好不好？我跟你说，我创业以后做恶梦都是网站被人入侵了。
2.相信专业安全人员，而不是为了方便而忽视安全。
不少人觉得信息安全人员故弄玄虚，经常造成工作上面的不便。
比如让大家每三个月换一次密码啦，比如在家上班必须登录VPN啦，比如进公司必须刷门禁卡啦。但是，相信我，那个在IT部门整天盯着屏幕，一脑袋乱头发，一身T恤好像从来没换过的小子，虽然他看起来挺土的，但是他在保护公司信息安全方面，是站在前人的肩膀上的。前人踩的坑，犯的错，他能告诉大家，避免重蹈覆辙。
3.正确使用计算机通信工具，保证公私分开。
要做到正确使用计算机通信工具，还是有不少细节的。我们按照希拉里犯的错，一个个来说。
首先希拉里没有使用符合公司/政府要求的终端，而是用了自己用惯了的黑莓手机，没有按照美国政府的要求，使用符合安全保密规范的终端。
一般科技公司都会给员工配备笔记本。如果员工要用自己的终端设备，英文叫BYOD (Bring Your Own Device，自带设备)，公司也会要求员工的设备符合公司的规范，比如需要定期扫描是否有病毒等恶意软件，需要安装公司的加密通信客户端，通常是VPN。最后，如果设备丢失或者员工离职，要允许公司远程的擦除设备信息。
按照规定使用符合安全保密规范的终端，高官们受到保护的不只是加密这点，扫描白宫或者五角大楼的邮件服务器不是那么容易的。扫不到还好，万一扫到了，国家机器会来找麻烦的。私人邮件服务器基本上没有保护，从互联网上就能扫描，这个文章上面已经提过。
第二，希拉里用了自己家的网络，自己家的服务器。
记住，如果你是公司高管或者政府要员，永远不要相信免费wifi，永远不要相信免费wifi，永远不要相信免费wifi！重要的事情说三遍。为啥？因为作为公司高管或者政府要员，你周围的黑客基本上都是这样的：

他们在干啥？钓！鱼！国内的黑产连一般人的银行账号QQ号都不放过，你觉得他们会放过你手机上的重要信息吗？
如果需要在手机上处理重要邮件，记住一定要用加密信道，开启VPN，最好是用单位网络或者3G/4G网络。
第三，希拉里公私邮件混用，没事把重要文件发给记者。
这也就是希拉里，换成下面工作人员这么胡来，早送上法庭了。公私邮件混用不仅容易把自己搞昏头，把本来应该保密的邮件发给不应该看到的人，还很容易被钓鱼邮件骗，或者被恶意软件截屏，盗取密码等等。
说到底，养成好的信息安全习惯，就像养成好的卫生习惯一样，对于保护公司和政府信息健康，是有很大帮助的。
所以，你们知道为啥顶级安全人员往往是学医出身了吧？

共有评论0条

<返回

<返回首页