9月1日,詹妮弗·勞倫斯等好萊塢明星裸照泄露于網(wǎng)上,經(jīng)證實(shí)是黑客攻擊了多個(gè)iCloud賬號所致,再加上上半年曝光的ios后門(mén)事件,讓蘋(píng)果安全性再次受到質(zhì)疑。
但采訪(fǎng)中,許多安全廠(chǎng)商均認為,ios的安全系數比安卓相對較高,而這次出現的云安全問(wèn)題,其實(shí)是無(wú)法理解的。
“從這次事件來(lái)看,問(wèn)題沒(méi)出在數據中心,而是用戶(hù)端。”金山網(wǎng)絡(luò )私有云產(chǎn)品高級總監林凱告訴記者,“在云安全上,人為因素比技術(shù)因素隱患更大。即使無(wú)法暴力破解,黑客也能通過(guò)人際關(guān)系、社會(huì )工程學(xué)之類(lèi)去獲取密碼,尤其對于明星,隱私保護更難。”他表示,安全永遠是用已知技術(shù)對付未知黑馬。只要接入Internet渠道的任何內容都存在泄密可能,用戶(hù)應該做的是不要把私密內容放在云端服務(wù)器上。
蘋(píng)果安全登錄策略不足
此次明星私照泄密后40多小時(shí)后,蘋(píng)果隨即發(fā)表聲明:“我們發(fā)現某些名人賬號遭到了針對用戶(hù)名、密碼和安全問(wèn)題的定向攻擊,這在網(wǎng)上已變得非常普遍。我們調查的所有案例都并非由于iC loud或F ind M yiPhone等蘋(píng)果公司的系統遭到了入侵。”并希望用戶(hù)“使用強度較高的密碼”。
林認為,蘋(píng)果在這個(gè)事情上確實(shí)沒(méi)太多責任,更多的是用戶(hù)自己安全意識不足。“但廠(chǎng)家不可能對用戶(hù)進(jìn)行安全意識培訓。如果用戶(hù)能夠設置更復雜密碼、定期更改密碼以及注意異常登錄提醒,可能減少這種事情發(fā)生。”
但理才網(wǎng)技術(shù)總監夏慧軍則認為,從這次泄密看,蘋(píng)果沒(méi)有健全的用戶(hù)登錄安全策略。“這次事件是黑客通過(guò)Find M yiPhone使用的A PI允許無(wú)限制地嘗試iCloud賬號密碼獲取密碼。但如果蘋(píng)果能設置登錄次數至少不會(huì )出現暴力破解現象。而在‘找回密碼’的方式上,通過(guò)可以手機驗證等方式二次驗證。”
眾所周知,登錄公共云云盤(pán)的唯一安全保障就是密碼,而有密碼就必須有“找回密碼”及“忘記密碼”等,因此密鑰保管的內部管理人員泄密亦是潛在隱患。林凱認為,這涉及到公司管理問(wèn)題,但目前看是難以完全杜絕的。
更大隱患在數據中心
在云存儲過(guò)程中,用戶(hù)數據經(jīng)過(guò)終端APP,云服務(wù)提供商進(jìn)入數據中心,動(dòng)態(tài)傳輸及靜態(tài)存儲都存在相應的安全隱患。“此次事件是小規模特定用戶(hù)的動(dòng)態(tài)傳輸泄露,但近期更多的云平臺事故出現在靜態(tài)存儲中心。”8月25日,宏碁推出“自建云”戰略,把云服務(wù)存儲中心置于PC電腦,也是主要出于安全考慮。
但林凱及夏慧軍均認為,私有云適合于企業(yè)軟件,但對于消費者市場(chǎng)難以適用。林凱說(shuō),“其實(shí)現在市場(chǎng)上大部分安全廠(chǎng)商使用的安全技術(shù)差異性并不大。私有云結構相比公有云相對受到攻擊更少,原因是有能力進(jìn)入數據中心的人更少。一般私有云會(huì )采用內外網(wǎng)隔離及管理權限分級等形式保護數據安全,但這與終端市場(chǎng)強調的簡(jiǎn)易型是相違背的。”
夏慧軍補充說(shuō),“云的核心價(jià)值是數據集中與共享,如果所有人按‘私有云’形式去實(shí)現,與其核心價(jià)值是背道而馳的。何況云中心在硬件上的技術(shù)要求是PC不可能實(shí)現的。”
