世纪黑客事件内幕
“好在它发表的不是《撒旦诗篇》。”
当时,人们并不知晓,索尼的行为并非仅仅因为害怕,也有商业上的考虑。影片的高额营销预算基本上都花出去了,林顿迫切想避免6,500万美元的投资打水漂。他想让恐慌的员工平静下来。所以,林顿选择不马上公映电影。
索尼希望,各大院线能够推翻原先的决定,或者同意换个日子上映,所以不愿意让它在小众的艺术影院里放映,这类影院带来的票房收入微不足道。如果采取视频点播的形式,这部电影就永远进不了大院线了,因为它们坚持拥有排他性的放映时段。那份“没有进一步的放映计划”的声明是为了让大院线放心(它们肯定对视频点播的传言感到愤怒),为林顿挽回它们争取时间。
在取消放映后的48个小时里,索尼再次成为了众矢之的。从好莱坞到华盛顿,批评者都对索尼的屈服表示震惊。作家斯蒂芬·金(Stephen King)发推文说:“从很多方面来看,索尼取消上映《刺杀金正恩》的决定让人感到不安,好在它发表的不是《撒旦诗篇》(The Satanic Verses,英国作家拉什迪的作品,他因这部作品受到了追杀的威胁—译注)。”在12月19日的一次新闻发布会上,总统奥巴马抨击了索尼,说它“犯了一个错误。”奥巴马还说:“我们这个社会不能允许某个国家的独裁者把它的审查制度强加给美国。”
此时,形势已经发生了变化。电影院线仍然没有行动的迹象。实际上,在取消圣诞节的上映计划后,林顿便开始暗中尝试将视频点播作为后备方案。可是,他找不到接收方。在线服务企业不愿意使自己成为黑客们的下一个目标。索尼本可以在自家的PlayStation网络上播放,但是它也担心安全问题。[在圣诞节那天,索尼的PlayStation和微软(Microsoft)的Xbox Live都受到了黑客的网络攻击。一个自称“蜥蜴小分队”(Lizard Squad)的组织宣称负责。]
在奥巴马发表评论之后的数小时,自黑客事件后一直避见媒体的林顿现身美国有线电视新闻网(CNN),与他的朋友法里德·扎卡里亚(Fareed Zakaria,著名主持人—译注)做了他的首次“独家”访谈。他在采访当中坚称“我们并没有屈服……一直在坚持,没有退缩。”他说,只要找到放映方,索尼仍然会努力发行《刺杀金正恩》。林顿告诉扎卡里亚:“一直没有大的视频点播发行商或是大的电子商务网站能够站出来,说愿意为我们发行这部影片。”
到了12月24日,林顿彻底放弃了登陆全国性院线的计划,寻求视频点播发行商接手。索尼还允许艺术影院在圣诞节当天放映《刺杀金正恩》。放映此片的艺术影院最后达到了300多家。林顿还找到了谷歌(Google)和微软,在它们的视频点播平台上播放这部电影。这两家公司都首次加强了它们的网络防护。从24日起,网民就可以在谷歌的YouTube、Google Play以及微软的Xbox Video上观看《刺杀金正恩》了。微软的官员透露,索尼最初想将会员价格确定在24小时租期17美元的高价。但最终,公司意识到这将是另外一次公关失误,于是将价格下调至5.99美元,同时把该片的上线宣传为“我们对电影工作者和自由言论的承诺”的证据。
“非常自信”是朝鲜干的。
是谁干的?在索尼被黑25天后,联邦调查局将攻击事件归罪于朝鲜。如此迅速地将一国政府认定为元凶,对它来说实属罕见。
在书面声明以及公开评论中,联邦调查局的官员列出的理由有:此次事件与“黑暗首尔”事件的若干相似之处;一处证据:攻击索尼的恶意软件是在朝鲜语的环境中制作的;攻击经过的互联网转进点;由“敏感来源和敏感方法”得来的情报(这条最让人感兴趣)。在福特汉姆大学(Fordham University)召开的一次网络安全大会上,联邦调查局的局长科米说他对这一结论“非常自信”。[《纽约时报》(New York Times)后来报道称,监视朝鲜的美国情报部门已经发现了该国参与此事的证据。]
然而,许多专家仍然不能信服。他们指出,黑客很容易植入假线索。如果攻击者的目标真的是罗根的这部电影,他们为何不马上提及?朝鲜人怎么知道该泄露哪些数据?他们如何做到熟练地通过索尼的网络?他们为何在《刺杀金正恩》放映后陷入了沉默?
网络安全公司Cylance的首席执行官斯图尔特·麦克卢尔(Stuart McClure)说:“全是狗屎。这里有朝鲜,那里像朝鲜,所以一定是朝鲜。没有客观的证据。”
此外,在爱德华·斯诺登曝光美国政府秘密搜集数据后,电子世界的人不愿意再相信美国政府的话了(联邦调查局拒绝公开证据)。福特汉姆大学的法学教授、一位信息技术学者乔尔·雷登伯格(Joel Reidenberg)在科米发表讲话时在场。他说:“这就像是‘请相信我们,但我们不会让你去查证。’”
这一切都助长了另外一个理论:黑客事件是索尼内部人士所为,据估计,有四分之一的网络攻击是自己人干的。诺斯公司是这种理论最卖力的鼓吹者,该公司在黑客入侵事件发生前曾经前往索尼推销其产品。诺斯声称,它自己的调查牵扯到几名精通IT技术的、被裁的索尼员工。12月29日,诺斯的多位高管抵达联邦调查局位于华盛顿的总部,在长达三个小时的会议当中列举了他们的理由。会后,联邦调查局很快发布了一份公开声明,坚称“没有可靠信息”显示事件涉及朝鲜以外的人。
有一个人也在最早怀疑朝鲜是元凶的人之列:艾米·帕斯卡尔。她不愿意相信,她给予支持的电影会造成如此大的破坏。1月21日,她也私下会见了诺斯公司。她和丈夫坐在洛杉矶的家里,听斯蒂安森详细解释他的理论。帕斯卡尔后来跟一位客人说:“在极长的一段时间里,我都认为是员工干的。”她对朋友们说,自那以后,她就是不确定该怎么想了。诺斯的高管们称,他们现在认为,朝鲜在索尼前员工提供的“某种帮助”下实现了这次攻击。
对于帕斯卡尔来说,在首席执行官任上感到不快活已经有一段时间了。但她并不准备放弃,即便承受了“让全世界看到她的电子邮件”这样的公开羞辱。2014年12月末,帕斯卡尔结束了与家人在佛蒙特州的旅行,重新开始努力续约。她对索尼说,这将是她的最后一份合同。在过去4年,她拿到了4,700万美元。她希望新合同能够比得上从前的。自6月开始,她就在与索尼洽谈新的合同了。
但是,林顿不打算续约了。毕竟,在过去两年,电影票房没有实现预期,这可是衡量帕斯卡尔绩效的终极标准。此外,林顿还有另外一个考虑。正如他看到的,黑客攻击造成的各种事件似乎在精神上重创了她。他对别人说,圣诞节后,很少在公司见到帕斯卡尔,对所有人来说,那都是一个伤情时刻。林顿认为,缺乏领导才能给她在员工当中的声望造成了无可挽回的伤害。(帕斯卡尔曾经私下里称这种说法是“胡说”。)
所以,当1月底,帕斯卡尔请求给予最终答复时,林顿决定对她说“不”。他曾经与平井一夫商议如何回复。随后,1月31日星期六,林顿在帕斯卡尔家中与她见面,告知不会给她提供影业公司首席执行官的新合同,她更适合成为索尼的重要制片人,他们也一直在讨论这件事情。据帕斯卡尔的一位朋友说,她当时“惊恐万状”。
在随后的星期四,帕斯卡尔离职的消息公布。在一份新闻稿里说,双方都表示离职是帕斯卡尔自己的决定。但是在数天后旧金山的一个妇女大会上,帕斯卡尔坦言,她是被“解雇的”。不过,帕斯卡尔仍然喜欢这种温和的终结,因为她曾经参与制作了包括《蜘蛛侠》在内的索尼多部最卖座的电影。内部人士证实,根据这些电影的表现,为索尼工作了4年的帕斯卡尔的离职费将达到3,000万至4,000万美元,外加一定比例的这些电影所创造的利润。2月,林顿任命汤姆·罗思曼(Tom Rothman)取代帕斯卡尔。罗斯曼是福克斯公司(Fox)的前高管,善于精打细算,之前负责索尼的TriStar品牌。
林顿自己与索尼续约成功,在2月签下了展期合同。尽管妻子和女儿们要搬到曼哈顿居住,但他本人将在美国东西海岸之间通勤。在2月25日举行的全体员工大会上,林顿向员工们保证:“大家可能听说了我走人的传闻。我不会离开,我会留在这里。”
《刺杀金正恩》额外创造了一个历史纪录。它先是在视频点播平台上放映了数日,在没有发生什么严重后果后,苹果(Apple)、PlayStation和奈飞等其他在线提供商也相继推出了这部影片。到目前为止,《刺杀金正恩》通过视频点播平台给索尼带来了4,000多万美元,全球各地的票房收入也有1,200万美元,它由此成为了索尼历史上数字渠道销售收入最多的电影,不过还是让影业公司亏了钱。
如果算上因为黑客事件造成的支出,这笔账更加难看:公司说,到2015年3月底,相关支出已经达到4,100万美元。以索尼公司的规模来看,这样的数额还是可以承受的。可是,未来还有更多的费用,比如调查黑客攻击事件、IT系统修复的支出和电影利润的损失,索尼还因为网络安全系统糟糕导致员工的私人信息被曝光而面临官司。相关案件共有7起,后来合并成为集体诉讼,提交给洛杉矶联邦法院。
索尼一边努力修复其声誉,一边面临着重建漏洞百出的计算机网络的挑战,这一次索尼采取了一系列预防措施,以切实抵挡住下一波的黑客攻击。它的“安全重建”战略预计耗时一年,需要堵住大量被攻击者轻易利用的漏洞,让公司慢慢恢复常态。
这一计划的前提是“零信任”。它所采用的预防措施,放在从前,索尼是不会支持的,因为既不方便,也过于昂贵。该计划的目标是让坏人进不来,即使进来后也接触不到任何有价值的东西,接触到有价值的东西后也偷不走。
为了恢复安全运营,索尼开始建造全新的“白色网络”,彻底杜绝被原来的“黑色网络”感染的可能。访问互联网从一开始就受到了严格的限制。索尼将会尽量在有源网络中少存放信息。其余的信息将经过加密,再与互联网断开,实现安全存储。电子邮件每隔几周就会存档。系统管理员只能访问有工作需要的区域。员工未经事先批准不能安装应用软件。索尼将要求所有员工采用双重认证程序。防火墙将会按照最严格的标准来设置。索尼将采用一系列的“下一代”网络防护技术。
如果这些措施得到落实,将是索尼在网络安全方面的一次重大升级。但这足以防止下一场大灾难吗?网络安全专家刘易斯说,这是一个错误的问题。他说,“应该将它想成是一个风险的连续体。如果你什么都不做,那么你会处于100%的风险中。或者,你付出很大努力,可以将风险降至10%或15%。”去年,索尼非常接近100%的风险,现在的风险正在大幅降低。这是不可否认的进步。现在,索尼必须要做的就只是想办法抵挡敌对的黑客和心存报复的独裁者。(财富中文网)
译者:穆淑