对于聚集了大量用户的网络社区来说,在快速发展的同时,安全问题也随之而来。无论是恶意代码的肆虐,还是利用网络交互功能进行的犯罪,都在威胁着网络社区的用户及广告客户,且这种威胁正随着网络社区的发展而进一步泛滥。既然已经进入了网上交互时代,而这类网络社区也不是昙花一现的产物,显然就需要更好地解决这些安全难题了。
那么,网络社区该如何提高网络安全性,且又不破坏正使它大受欢迎的开放性呢?国内外网络社区都在摸索之中。为此,本栏目特组织“网络社区安全”专题,针对目前全球最大的网络社区MySpace进行分析,希望其在安全方面的经验对国内网络社区的发展有所借鉴。
网络社区的CSO需要为用户及广告客户提高网络安全性,但又不能破坏正使网络社区大受欢迎的开放性。
有人说,MySpace网站是Web 2.0的鼓吹者,但也有人说它是数字化的魔鬼。
就在商业界关注这一网络社区与Google(谷歌)达成后者花9亿美元买下广告权的交易、业务扩大到澳大利亚、被《时代》杂志提名为50个最酷网站之一等新闻的同时,安全领域却被另一类新闻标题所吸引。一则标题是《两名少年因非法攻击MySpace而被捕》,另一则标题是《三名少年被指控对他们在MySpace网站上结识的女孩实施性侵犯》,还有一则是《一名男子被指控强奸在MySpace上约会的女孩》。
在取得巨大商业成功、为用户带来极大便利的同时,MySpace这类网络社区也面临着安全困境。作为一个开放性的网络社区,MySpace需要为用户及广告客户提高网络安全性,但又不能破坏正使它大受欢迎的开放性。也就是说,网络社区的首席安全官(CSO)需要在商业与安全之间很好地掌握平衡。
问题亟需解决
在美国达拉斯的会议上,Hemanshu Nigam要向关注安全问题的听众发表演讲。他很快就会发现,担任福克斯互动媒体公司(新闻集团下属企业)的CSO后,自己面前的舞台有多大——新闻集团老板Rupert Murdoch将数字未来方面的计划寄托在MySpace上。在Nigam出席第一次会议前一小时,他和一名下属直奔设在希尔顿酒店的会议室,他们在会议室门口看到那里排着一队人。
Nigam回忆道:“我们问排队的人‘你们在等什么?’他们回答‘我们在等MySpace的解释。’门一打开,许多人蜂拥而入。一下子,你几乎寸步难行,会议室里面到处站满了人。”
一些后来的人只好被劝退。事实上,大家都想听一听MySpace是如何帮助执法部门开展刑事调查的。
现年42岁的Nigam在印度出生,在美国康涅狄格州长大。之前他是一名美国联邦检察官,在打击儿童犯罪方面有着丰富经验。他怀着使命感和同情心,上台介绍了MySpace开设的24小时热线电话、过去帮助找到强奸犯和离家出走的少年方面取得的成绩,以及尽快向执法官员提供IP地址和其他重要信息付出的努力。他的演讲似乎收到了预期效果:事后,90%以上的与会者对他的演讲给予了积极评价。
大会组织者Larry Robbins说:“他显得很坦率,他说‘我们知道有问题需要解决,我们正在着手解决。’我不觉得他试图在隐瞒什么。”
测试了MySpace响应能力的执法官员说,该网站并非只是嘴皮上说说而已。美国警察局副局长Robert Charette说:“其实我感到很惊喜。”最近,他与MySpace联手追查并逮捕了被两个州通缉的一名男子,该男子从费城的一家公立图书馆登录进入了MySpace账户。“以前命令电话公司交出相关信息,可能要等上几天甚至几周,对此我们已经习惯了。我还以为MySpace办事也会像电话公司一样拖沓。没想到它马上就响应了,而且极其合作,与他们合作很愉快。”
实际上,该公司也需要如此。MySpace现在人气很旺。据研究服务公司Hitwise声称,2006年7月, MySpace超过Yahoo Mail成为美国访问量最大的网站。但随着在其网络社区建立的个人档案数量激增——据MySpace声称,目前个人档案多达1.5亿份,它同样吸引着形形色色的人,包括毒贩、恋童癖患者和杀人犯。毕竟,不法分子成为会员就如同10多岁的孩子想共享踢球照片或者聊聊流行音乐歌手一样容易。
Nigam面临的难题是,为用户以及广告商提高网站的安全性,又不破坏正使它大受欢迎的那种开放性。这使得Nigam不但成了安全会议的焦点,也恰恰成了文化、商业和安全这几方面的交叉点。尽管MySpace在出了问题后似乎能够及时响应,但至于Nigam能不能大大提高网站的安全性、所做的努力能不能足以安抚MySpace的批评人士(包括要求MySpace加强访问机制的32名州首席检察官组成的小组),完全是个未知数。
Nigam在去年5月上任后,“许多人终于松了口气,他们觉得,现在至少有些事会得到解决。大门是开着的,他们随时可以找他联系。”派拉蒙数字娱乐公司的高级副总裁Derek Broes说,“他面临的最大难题将是实现MySpace想要实现的安全目标,又不影响公司本身、不带来糟糕的用户体验。”
这显然绝非易事。
CSO的新舞台
早在新闻集团于2005年10月斥资5.8亿美元收购MySpace,并把它并入福克斯互动媒体公司后不久,集团高层主管就开始物色人员,希望帮助这家一度惹是生非的新兴公司加强安全。尽管存在儿童安全、恶意代码和版权侵犯等问题,但MySpace、Facebook和Xanga这些网络社区一直在飞速发展。
虽然以前MySpace等网站还很难成为人们关注的焦点,但现在情况不一样了。不但其中最大的网络社区MySpace的新母公司财大气粗(新闻集团2006年收入为253亿美元),而且Murdoch也把MySpace看成是公司发展战略的一粒重要棋子。实际上,新闻集团的这位主席兼CEO曾告诉投资者,MySpace是一笔价值60亿美元的资产,且IDG控股的一家中国公司正与MySpace商谈投资中国版MySpace的事宜。
长期担任全国失踪及被剥削儿童中心主任的Ernie Allen很快接到了福克斯互动媒体公司打来的电话。对方希望他能推荐一名人选来担任MySpace的CSO,要求是既善于处理儿童安全问题,又要深入了解技术。Allen立马就想到了Nigam。
他们俩认识已有十多年,早到可追溯至Nigam在美国司法部担任联邦检察官的时候,当时他专门接手与互联网有关的儿童色情、儿童侵犯、妇女儿童拐卖以及计算机犯罪等案件。后来Nigam在微软公司担任消费者安全服务和儿童安全计算部门主任时,两人也共过事。Allen对Nigam的诚实为人和办事能力给予了高度评价。他回忆道:“我想他的背景正是他们所需要的。”
当时在微软的Nigam接到了电话。他说:“对方说,因为你了解儿童安全,那么可以跟我在MySpace的朋友聊聊吗?后来就成了,你希望来MySpace工作吗?随后我打电话给Allen,想听听他的意见。我想过去,是因为我确实想发挥作用。”
Allen确信,福克斯互动媒体公司向Nigam提供这份工作,这表明它在物色的不只是有名无实的负责人,以便负责安抚股东或与媒体沟通。Allen回忆:“我对他们说,如果纯粹是为了搞公关,那么你们还是不要聘请Nigam这样的人,因为他向来是个实干家。他能办成事儿,会着手处理并设法解决难题。”
尽管这份工作将意味着Nigam需要把妻子和四个孩子从美国华盛顿调到洛杉矶,但这个机会对他很有吸引力。Nigam说:“实际上,这家公司当时遭到了极大的打击,但恰恰这也是出现问题的最好时机,因为它还处在发展初期阶段,现在正是可以打下基础的时候。要是他们三年后打电话给我,我根本不会考虑。”
公众对Nigam被任命迅速作出了积极反应。由于他具有法律背景、技术才能以及捍卫儿童权益的声誉,他的所有经验似乎都有助于他走上这个岗位。
美国北卡罗来纳州首席检察官Roy Cooper的特别顾问Jay Chaudhuri说:“我们都对MySpace任命Nigam一事持乐观态度,因为我们觉得,他们将来能够实施有效措施。”Roy Cooper领导的由32名首席检察官组成的小组一直在竭力要求MySpace改进安全做法。
不过,挑战也是巨大的。Chaudhuri说:“在过去的半年里,MySpace无疑作出了一些变化,但它们是否足以在网上保护儿童?大多数首席检察官是否认为MySpace就像他们所说的那样是个安全的‘交友场所’呢?我认为,答案是否定的。”
谋求新变化
在Nigam2006年5月1日走马上任后的几周内,MySpace就宣布推出加强会员和网站安全的新措施。
首先,网站将禁止自称年龄在18岁以上的会员联系年龄为14岁或15岁的会员,除非成年会员知道年轻会员的全名或者电子邮件地址(虽然MySpace声称会员年龄必须至少是14岁,实际上不核查年龄,这仍是存在很大争论的话题);其次,网站将允许任何年龄的会员(而不仅仅是十四五岁的会员)可以将个人档案设置成保密状态,这样只有属于“朋友”网络圈的人才能查看他们的全部信息;第三,公司将开始根据年龄选择广告受众。确保年龄不足18岁的会员不会看到烟酒类广告或者约会服务,年龄不足21岁的会员不会看到酒类广告。
当然,这种有针对性地投放广告的做法无疑符合一项更庞大的战略。德勤咨询公司技术、媒体和电信部门的全国总经理Eric Openshaw认为,会员们向MySpace提供的大量信息使得该网站成了一座“蕴藏大量营销数据的金矿”,新闻集团最终有望收回投资。
MySpace还进行了动静比较小的其他变化。譬如说,MySpace的员工注意到:有些年轻会员自称年龄是69岁(“69”代表一种性爱姿势)。年龄较大的会员会寻找身高不到四英尺的69岁的人,企图找到对性感兴趣的年轻会员。现在,会员再也无法浏览查找年龄在68岁以上的人。
Nigam对这几种变化采取了务实的态度。他与工作团队一起拟订了他所说的问题列表(issue list)。他说:“我们分析黑客们在干什么?色狼们在干什么?然后,我们去找工程师,说‘假定你不用担心资源问题,我们怎样能够解决这些问题?我们是否可以进行改变或者添加某项功能?’”一旦这些工程师手里有了这份列表,就会设法弄清楚去做哪5项工作或者哪10项工作可以把某个问题的80%给解决掉,然后由此拟订一份工作优先表。
从这份问题列表得出的最大变化也许就是,力图阻止已知的性犯罪者登录网站。儿童被诱骗与他们在MySpace上聊天的不怀好意的成年人会面,这类新闻报道屡见不鲜,结果使得该网站名誉扫地。有位妇女和她14岁的女儿起诉MySpace并索赔3000万美元,起因是该女孩在MySpace上结识的19岁男子涉嫌对她进行了性侵犯(此案已在今年2月撤诉)。《连线》杂志在去年10月公布的一项调查发现,数百名登记在案的性犯罪者用真名在MySpace上建立个人档案,其中一些人正忙于征集年轻“朋友”。于是在去年12月,MySpace宣布将与背景核查公司Sentinel Tech Holding合作,共同建立记录有已知性犯罪者信息的全国中央数据库——这些信息之前散布在联邦和各州的数据库中。名为Sentinel Safe的这项技术有望让MySpace阻止这些用户登录网站。不过MySpace也表示,它的竞争对手同样可以使用该数据库。
批评人士过去往往指出,此举只会迫使登记在案的性犯罪者使用别名,但MySpace在这方面也一直在向有关方面游说。它在宣布Sentinel Safe后不久打了一场漂亮的公关战:John McCain和Charles Schumer这两名参议员宣布计划提议立法,将迫使登记在案的性犯罪者向执法部门公布自己的电子邮件地址,使用未登记的电子邮件地址将属于违反缓刑或者假释条例。该法一旦通过,将为MySpace提供更多信息,到时它就可以用来比对。弗吉尼亚州的首席检察官竭力要求本州推行类似立法。
打一场持久战
与此同时,恶意代码在MySpace网站上肆虐的说法也极为让人关注。在较早的一件案子中,有位名叫“Samy”的少年就利用了一个脚本漏洞,把一段代码添加到他的个人档案中,结果在20个小时内就感染了100多万用户的个人档案——自动发出100多万次请求,希望成为每个用户的“朋友”。另一名妇女利用了Apple QuickTime中的一个漏洞,窃取了众多用户的登录资料,随后肆意发送垃圾邮件。
因而,Nigam现在把更多的注意力放在了计算机安全问题上,并专门成立了一个小组,负责响应事件、致力于加强教育和意识方面的工作。这项工作针对MySpace的工程师,他们需要在如何编写安全的Web应用方面另外接受培训。同时它也针对会员,他们可以通过安装防病毒软件和防火墙、给软件打上补丁来保护自己。
在这样的背景下,基本的侦查工作仍在继续。MySpace的服务条款禁止会员发布含有裸体画面、仇恨言论或非法使用毒品等内容的照片或者视频,或者侵犯版权法的照片或视频,但要让这几种内容远离网站,需要打一场持久战。
一个全天候支持工作小组(目前占到MySpace 300名员工的40%左右)人工检查会员们每天发布的7000万个图像和视频。他们还进行搜索,尽量找出从发布信息可以看出年龄至少不足14岁的未成年用户,譬如他们就读小学的名称等信息。该公司声称,目前它每周要关闭大约3万名未成年用户的个人档案。不过,Nigam不愿透露版权侵犯方面的任何详细内容,只提到了一起正在进行的诉讼:环球唱片公司在去年11月提起诉讼,指控MySpace的家底是“用户从别人地方窃取的知识产权”。
不过仍传出网站上时常出现坏人的报道,只要访问MyCrimeSpace.com就可以证明这一点,该网站跟踪与MySpace及其他社交网站有关的犯罪活动。北卡罗来纳州的Trench Reynolds(博客名)在业余时间打理这个网站,他说:“我不认为Nigam实施的各种安全措施非常有效。从MySpace方面来说,他们只能做这么多,家长们也需要加强对孩子上网活动的监控力度。”
Nigam承认:“只要你让用户们在某个地方相互交流,最终会有坏人出现。”被问到网站存在的种种问题时,他显得非常坦率。他解释道,对他来说,实施的安全计划没有取得100%的效果,这已经不在讨论范围之内了。
Nigam说:“坏人有许多办法来避开我们实施的系统。不过从我们的角度来看,这并不是说你可以不用实施系统。你要竭尽所能。你要积极预测、要先发制人、要补救问题、要随时应变、要为坏人设置难题。你在设置难题的同时,也在不断让人们意识到当前情况。”
相关链接:MySpace发展历程
● 2004年1月,MySpace网站正式推出。
● 2004年2月,会员人数达100万。
● 2004年11月,会员人数达500万。
● 2005年10月,被新闻集团斥资5.8亿美元收购。
● 2006年5月,Hemanshu Nigam被聘请为CSO。
● 2006年6月,会员人数达8000万。同时MySpace宣布,它将阻止成年人在不知道对方电子邮件地址或者全名的情况下联系十四五岁的人,为所有用户提供隐私方面的设置,并且阻止向未成年用户投放烟酒类广告。
● 2006年8月,会员人数达1亿。
● 2006年10月,《连线》杂志报道,数百名登记在案的性犯罪者用真名在MySpace上建立页面。
● 2006年12月,会员人数达1.35亿。在这段时间,一种利用QuickTime漏洞的蠕虫通过MySpace蔓延开来。同时,MySpace也宣布计划阻止被定罪的性犯罪者登录网站。
● 2007年1月,四户家庭起诉MySpace,指控各自的未成年女儿遭到她们在其网站上结识的成年人的性虐待。随后,MySpace宣布开发免费软件,家长们可以用来监控子女在其网站上发布的公共信息。
● 2007年2月,会员人数达1.5亿。