9月1日����,詹妮弗·勞倫斯等好萊塢明星裸照泄露于網(wǎng)上,經(jīng)證實(shí)是黑客攻擊了多個(gè)iCloud賬號(hào)所致�,再加上上半年曝光的ios后門(mén)事件,讓蘋(píng)果安全性再次受到質(zhì)疑�。
但采訪(fǎng)中��,許多安全廠(chǎng)商均認(rèn)為�����,ios的安全系數(shù)比安卓相對(duì)較高�����,而這次出現(xiàn)的云安全問(wèn)題�,其實(shí)是無(wú)法理解的。
“從這次事件來(lái)看����,問(wèn)題沒(méi)出在數(shù)據(jù)中心,而是用戶(hù)端。”金山網(wǎng)絡(luò)私有云產(chǎn)品高級(jí)總監(jiān)林凱告訴記者��,“在云安全上�,人為因素比技術(shù)因素隱患更大。即使無(wú)法暴力破解����,黑客也能通過(guò)人際關(guān)系、社會(huì)工程學(xué)之類(lèi)去獲取密碼�����,尤其對(duì)于明星��,隱私保護(hù)更難���。”他表示���,安全永遠(yuǎn)是用已知技術(shù)對(duì)付未知黑馬。只要接入Internet渠道的任何內(nèi)容都存在泄密可能���,用戶(hù)應(yīng)該做的是不要把私密內(nèi)容放在云端服務(wù)器上����。
蘋(píng)果安全登錄策略不足
此次明星私照泄密后40多小時(shí)后,蘋(píng)果隨即發(fā)表聲明:“我們發(fā)現(xiàn)某些名人賬號(hào)遭到了針對(duì)用戶(hù)名���、密碼和安全問(wèn)題的定向攻擊�,這在網(wǎng)上已變得非常普遍����。我們調(diào)查的所有案例都并非由于iC loud或F ind M yiPhone等蘋(píng)果公司的系統(tǒng)遭到了入侵。”并希望用戶(hù)“使用強(qiáng)度較高的密碼”��。
林認(rèn)為�����,蘋(píng)果在這個(gè)事情上確實(shí)沒(méi)太多責(zé)任�,更多的是用戶(hù)自己安全意識(shí)不足���。“但廠(chǎng)家不可能對(duì)用戶(hù)進(jìn)行安全意識(shí)培訓(xùn)��。如果用戶(hù)能夠設(shè)置更復(fù)雜密碼��、定期更改密碼以及注意異常登錄提醒����,可能減少這種事情發(fā)生。”
但理才網(wǎng)技術(shù)總監(jiān)夏慧軍則認(rèn)為���,從這次泄密看�,蘋(píng)果沒(méi)有健全的用戶(hù)登錄安全策略���。“這次事件是黑客通過(guò)Find M yiPhone使用的A PI允許無(wú)限制地嘗試iCloud賬號(hào)密碼獲取密碼�。但如果蘋(píng)果能設(shè)置登錄次數(shù)至少不會(huì)出現(xiàn)暴力破解現(xiàn)象��。而在‘找回密碼’的方式上�,通過(guò)可以手機(jī)驗(yàn)證等方式二次驗(yàn)證。”
眾所周知���,登錄公共云云盤(pán)的唯一安全保障就是密碼�����,而有密碼就必須有“找回密碼”及“忘記密碼”等���,因此密鑰保管的內(nèi)部管理人員泄密亦是潛在隱患。林凱認(rèn)為�����,這涉及到公司管理問(wèn)題,但目前看是難以完全杜絕的����。
更大隱患在數(shù)據(jù)中心
在云存儲(chǔ)過(guò)程中,用戶(hù)數(shù)據(jù)經(jīng)過(guò)終端A PP�����,云服務(wù)提供商進(jìn)入數(shù)據(jù)中心����,動(dòng)態(tài)傳輸及靜態(tài)存儲(chǔ)都存在相應(yīng)的安全隱患。“此次事件是小規(guī)模特定用戶(hù)的動(dòng)態(tài)傳輸泄露��,但近期更多的云平臺(tái)事故出現(xiàn)在靜態(tài)存儲(chǔ)中心��。”8月25日�����,宏碁推出“自建云”戰(zhàn)略���,把云服務(wù)存儲(chǔ)中心置于PC電腦,也是主要出于安全考慮���。
但林凱及夏慧軍均認(rèn)為�,私有云適合于企業(yè)軟件,但對(duì)于消費(fèi)者市場(chǎng)難以適用�����。林凱說(shuō)��,“其實(shí)現(xiàn)在市場(chǎng)上大部分安全廠(chǎng)商使用的安全技術(shù)差異性并不大����。私有云結(jié)構(gòu)相比公有云相對(duì)受到攻擊更少,原因是有能力進(jìn)入數(shù)據(jù)中心的人更少�����。一般私有云會(huì)采用內(nèi)外網(wǎng)隔離及管理權(quán)限分級(jí)等形式保護(hù)數(shù)據(jù)安全�����,但這與終端市場(chǎng)強(qiáng)調(diào)的簡(jiǎn)易型是相違背的����。”
夏慧軍補(bǔ)充說(shuō),“云的核心價(jià)值是數(shù)據(jù)集中與共享��,如果所有人按‘私有云’形式去實(shí)現(xiàn),與其核心價(jià)值是背道而馳的���。何況云中心在硬件上的技術(shù)要求是PC不可能實(shí)現(xiàn)的�����。”
