142014年9月12日星期五Tel(押010)62580828
关注
主编:魏刚编辑:袁一雪校对:王心怡E-mail押gwei@
好莱坞明星照片泄露事件,将云技术安全与否的问题再次推入公众视线。
然而,互联网云技术的发展大潮汹涌澎湃,用户与企业能否在隐私与共享中取得平衡? 窃窥风“云” 姻本报见习记者袁一雪 对于奥斯卡影后詹妮弗·劳伦斯和名模凯特·阿普顿等人来说,9月1日,是黑暗的一天。
这一天,一名黑客在名为4chan的网站上,匿名发布了上百张好莱坞女明星的裸照,其中就包括当今好莱坞最红女星詹妮弗·劳伦斯和名模凯特·阿普顿。
尽管目前上传裸照,涉及的人数为17人,但据美国媒体披露,该事件中受害的名人多达101位。
其中不乏国人熟识的歌手蕾哈娜、加拿大小天后艾薇儿、女星斯嘉丽·约翰逊、《歌舞青春》女主角凡妮莎·哈金斯、《超人归来》女主角凯特·波茨沃斯等等。
从目前的情况来看,黑客似乎是利用了苹果公司iCloud云存储(也有可能包括了来自其他云存储服务)的漏洞获取了这些照片。
可怕的是,这并不是终点。
毕竟与101人相比,17人只是很少的一部分。
换句话说,新一波裸照风暴可能随时来袭。
那些在“榜单”中但却还未被公布照片的明星,更是担惊受怕,生怕会成为下一个受害者。
在明星们惴惴不安的同时,这些隐私照片却被影迷们疯狂下载。
9月5日,此次云泄密事件再次升级。
据《E!
News》网站报道,美国一群艺术家为了抗议搜寻引擎谷歌将网站所有免费功能整合,等同于使用者资料及喜好全部被掌握,发起了“恐惧谷歌(FearGoogle)”的活动,更展示相关物品,以抗议众人的隐私受到侵犯。
活动的主办单位为了给予大家警示,宣称将选用詹妮弗·劳伦斯和凯特·阿普顿外流的裸照当成展览作品向公众展示。
照片将被印在真人大小的画布上,并不作任何多余改变或加工,以原始形态出现。
“苹果云泄露问题出现后,我们也做了相关调研工作。
云技术的出现无疑让人们生活、工作更加便捷,如照片可以随时进行分享。
但是随之而来的就是云安全问题。
”中科院信息工程研究所副研究员翟立东在接受《中国科学报》记者采访时表示,“云技术安全问题肯定会出现,只是时间早晚的问题。
” 蒋志海制图 照片被偷暴露了什么? 面对公众对于iCloud安全性的质疑,苹果公司给出的答复显然并不能让人们满意。
9月9日,苹果公司在声明中说:“这是一种盗窃的行为,对此我们表示十分愤怒并立刻指派工程师对照片泄露的源头进行调查。
客户的隐私以及安全是我们一直非常重视的。
经过40多小时的检查,我们发现某些名人的苹果账号受到了针对性攻击,攻击范围包括用户名、密码等方面,这种类似的攻击在互联网中十分普遍。
同时,没有迹象表明我们的‘云储存’(iCloud)或‘查找我的手机’(FindMyiPhone)等系统已被破坏。
我们会继续与执法部门合作来帮助他们尽快找到罪犯。
” 但是,苹果公司真的如声明中所说那么“无辜”吗?翟立东认为,苹果公司为了出于方便和安全考虑,设定了一个“FindMyiPhone”的服务。
“有了这项服务,人们可以找到自己购买并注册的苹果产品的位置,现在淘宝中有些店铺也提供这种服务。
”翟立东说,“但是,开设这样的服务就提供了泄密的可能。
个人可以无限制地使用同一个IP不断查询信息。
更可怕的是,苹果公司这项服务中,甚至不需要人工输入密码尝试,而是可以使用API自动化程序,这相当于暴力破解。
”他继续解释说,其实有些公司已经推出举措,防止这样的恶意事件发生,“比如百度或者谷歌公司,他们都不允许企业或者个人在使用一个IP的情况下,无限制地非法获取信息。
一旦发生,就会立刻锁死,几个小时后才能解锁。
” 美国纽约州立大学布法罗分校副教授KuiRen在接受《中国科学报》记者采访时说:“此次的泄密事件,应该是黑客通过攻击受害人的iCloud账号,通过暴力猜解,获取到密码。
最终黑客是通过正确的账号密码组合,假装合法用户,绕过了密码安全问题,直接入侵账户登陆云端的数据中心获取的信息。
”也就是说,云端的数据中心本身并没有被入侵,而是用户端的用户登录安全策略不健全且用户本身安全意识差最终导致的数据泄密。
KuiRen表示:“除此之外,苹果系统的两步验证机制以及相关的数据同步机制也存在安全隐患。
这次事件,一方面是个人用户设置的密码太简单,强度不够,导致暴力破解成为可能。
另一方面也是因为苹果在云端服务的API设计上面缺乏一个有效的安全策略。
如果苹果能够一开始就限制用户登录API的滥用,就不会出现暴力破解现象。
” 广西云安全与云服务工程技术研究中心主任王勇告诉《中国科学报》记者,目前云计算发展面临一些问题,而安全问题首当其冲。
云计算的按需自服务、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点,直接影响到了云计算环境的安全和相关的安全保护策略。
并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。
“这次iCloud泄密事件,我认为有企业的原因,也有用户原因,用户安全意识比较薄弱,企业也没有采取强有力的手段保护用户的隐私,尤其是名人的隐私。
”王勇说。
图片来源:百度图片 安全都是相对的 一直以来,苹果系统都给消费者留下系统相对封闭、程序下载安全、数据保存妥当的印象。
很多人选择苹果公司的产品,除了心仪它们的外观,崇尚iOS操作系统,更重要的也是看重“安全”二字。
诚然,与底层平台相对开放的安卓系统来说,苹果公司自己开发的iOS系统独树一帜,但是翟立东表示:“系统是否安全,不能由主观判断,实际的、客观的安全才是真的安全。
” 早在2011年,就有国外媒体报道,苹果产品安全问题专家、uvantLabs的研究员查理米勒(CharlieMiller)称,苹果iOS平台上存在一个安全漏洞,黑客们可能会利用这个漏洞通过一些恶意软件在消费者的苹果产品上悄悄 安装程序,进而窃取数据、发送短信息或销毁信息。
这不禁让人感慨:原来拥有全封闭iOS系统的iPhone也不安全。
今年6月,苹果公司发布了新版本的iOS,把用户的iPhone、iPad和MacBook通过iCloud紧密地联系起来。
其中最显著的一点就是iCloudDrive,可以将iCloud的备份和同步变得更便捷。
更重要的是,苹果发布了开发工具包CloudKit,为开发人员打造基于iCloud的第三方应用服务,让他们能够将数据存储、同步和用户账户登录这些工作统统交给iCloud处理。
不论这些功能被描述得多么美好,在好莱坞艳照门面前都不堪一击,因为应用程序能够 获取用户的AppleID———也就是获得女演员iCloud图片的账户,只需攻破了这个账户,那么将轻而易举地得到存储在这个账户上的一切内容。
更让人担心的是,iOS系统漏洞并不止这一处。
KuiRen说:“根据已经掌握的信息,我们认为这次大规模泄密很可能就是因为‘FindMyiPhone’服务的API(应用程序编程接口)设计存在漏洞。
相关的攻击脚本曾经被发布在社交编程及代码托管网站Github上面,接近200行的Python(一种面向对象、解释型计算机程序设计语言)脚本利用该API反复进行模拟登录。
在苹果修复漏洞前,任何人都有可能使用其提供的脚本进行暴力破解。
” “云”信任难建立 随着智能手机的广泛普及和移动互联网的迅速发展,智能手机的安全形势也变得格外严峻,云技术的出现,更让黑客们找到了“突破点”。
“尽管目前云计算的一些关键技术已经取得突破,进入商业化应用阶段,但用户对云安全的担忧是云计算普及的最大障碍。
”王勇表示。
“除了苹果系统,其他系统也存在云的安全问题。
特别是现在越来越多的移动设备与各种第三方基于云及桌面的服务进行同步连接。
如果这些第三方云服务在设计上存在漏洞,那么黑客很有可能通过这些漏洞获取到用户的个人资料。
”KuiRen表示,“而且,由于云平台上数据高度集中,一旦遭受攻击,则面临大规模数据丢失和隐私泄露的风险。
通过云服务,用户将本地数据通过网络上传到云端。
在整个过程中,任何环节的疏漏都可能被黑客所利用,这些都增加了云服务安全防护的难度。
” 今年8月,在拉斯维加斯举行的黑帽大会(BlackHat2014)上,一位颇为著名的研究人员称,安全专业人士并未对托管在AWS(亚马逊云服务)云基础架构上的应用的安全性给予充分的关注,因此AWS用户可能更容易遭受到攻击。
咨询公司BonsaiInformationSecurity的创始人AndresRiancho也在会议上详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。
尽管之前Riancho并没有太多关于亚马逊云服务的经验,但他还是一针见血地指出AWS云基础 图片来源:百度图片 架构有大量的潜在弱点,且不当的操作会让运行其中的企业遭受灭顶之灾。
“云安全问题非常严重,包括亚马逊云、阿里云在内,服务商都没有太多做云安全的整体前瞻式部署和规划。
”翟立东说。
翟立东解释道,云安全分为四个层次。
第一层是可以使用。
也就是说云技术会给用户带来便利。
“就像当年蒸汽机火车刚被发明时,甚至还没有马车跑得快,那么人们肯定还是会选择乘坐马车,但是现在就不一样了。
火车带给人们生活非常大的便捷。
”翟立东说。
第二层则是要做安全的云。
云端往往存储大量数据,
一 旦被攻击,可能就会造成瘫痪,导致恐慌。
第三层是建造可信的云。
“这次iCloud的问题就是信用问题。
好比我选择银行存钱,当然会选择信用好,且不会将我的钱占为己有或者弄丢的银行。
”翟立东说,“而且可信是需要第三方评估和监管的,并不能由服务商或者消费者单独认定。
”但是,显然距离可信云还有一段距离,因为目前市场尚未建立健全的可信体系。
第四层就是可控的云。
可控云的含义是服务商要做到事前能够预防,事中及时处理,事后能够追根溯源。
“再次要提醒大家,最好不要下载此次事件中泄露的照片,因为很可能被黑客利用植入了病毒。
” 当然,用户自己“多加小心”也是必要的。
“云计算用户尤其是通过手机使用云服务的用户应尽可能学会通过一些常规技术手段保护自己的数据安全、手机安全、个人隐私等,正确设置密码,避免使用不安全的密码如几个相同的数字或字母,电话号码、生日等作为密码。
选择技术实力比较强、安全防护比较好的云服务提供商。
同时云服务提供商应承担起保护用户数据安全的义务,而不是苛求所有云用户都具备较强的安全意识。
”王勇说。
“云技术的发展肯定是不断向前,出了泄露事件也可以让服务商更好地完善云安全。
”翟立东表示。
KuiRen也认为消费者们不能因噎废食,“但是使用者们最好能够使用比较复杂的密码,并且定期更换密码。
” 延伸阅读 对iCloud隐私泄露说“不” 针对苹果iCloud的网络攻击被认为是几乎每一家科技企业都必须做好防范准备的网络安全问题,由于iCloud往往同用户的金融支付、个人健康以及私家车辆等等信息相互联通,因此无论是从用户角度还是苹果公司的角度都很有必要做好iCloud的“防黑”工作。
用户最好这样做:尽量使用复杂密码:iCloud用户应该尽快在MyAppleID选项中修改iCloud账户密码,密码的组成尽量使用一些特殊符号或者标点,此外用户应该定期更新iCloud账户的密码。
账户二次验证:苹果公司向iCloud用户提供账户二次验证的服务。
当用户需要修改iCloud信息时,苹果公司要求用户必须在所 使用的设备上进行二次身份验证。
修改安全问题:用户账户安全问题是为 了避免账户被他人登录以及在联系苹果公司客服人员时能够通过身份验证。
安全问题的答案都比较隐私,因此建议用户修改安全问题的答案时不要输入真实的答案,只需输入一个容易记住的假答案即可。
利用iTunes进行备份:尽管有很多设备都可以备份iCloud中的资料,但建议用户还是使用iTunes进行备份以获得更好的安全保障。
对于苹果公司来说可以在以下几方面做足功课以改善iCloud的安全性: 二次验证:将账户二次验证设定为iCloud账户的默认安全认证办法。
地理围栏:如今智能手机和Mac都可 以记录下用户所在的地理位置,而这一功能可以转化成为对于iCloud账户安全性能的保护。
用户可以规定iCloud在特定的地理区域内记录用户对于智能设备的使用记录。
这一点对于iCloud用户中的“驴友”尤为有用。
TouchID:当有用户试图通过智能设备进入iCloud账户时,其必须通过TouchID的指纹扫描。
面部识别:苹果公司的iPhoto支持面部识别,这一功能在iCloud账户的保护方面亦能发挥巨大作用。
签名识别:苹果推出的Preview应用程序能够对用户的签名字迹进行拍照识别,其可以在试图进入iCloud账户的行为发生之前起到一定的查证作用。
(来源:赛迪网) 尽管云技术有亟待改进的种种问题,但不可否认的是,云技术依然是目前互联网行业发展的方向。
面对大片的“云”来袭,普通用户们又该何去何从呢? 云,还是少用为妙? 有媒体报道称,据Gartner于2013年初的研究显示,目前已有超过19%的企业,将大部分的管理模 ﹃云﹄, 式迁至云端处理。
很多企业都准备放弃传统的文件共享或者FTP服务,进而实现大文件云分享、跨系统实时同步等效率更高的团队协作目标。
然而,在企业导入公有云的过程当中,缺乏数据私密性、安全性的考虑却让很多用户遭到黑客攻击,并为此付出了数据泄露的昂贵代价。
2013年6月,黑客成功入侵韩国知名的在线存储服务SimDisk,替换了客户端软件SimDisk.exe,并利用自动更新机制部署到所有用户端;两个月后,日本经济新闻报道说,数家日本企业的内部文件在中国某搜索引擎的文件共享服务中被泄露,甚至包括了 想姻 本 说报 记者 爱胡 珉 你不容易琦 一款尚未上市汽车的图片 和具体参数的销售材料,这 些日企包括本田汽车和松下。
但是,就如硬币的两面,也有专家认为, 担心云安全是言过其实。
今年6月底,参加 RSA安全会议一个小组委员会讨论会的专家 就认为,人们对于云安全的担心就像早些时 候对虚拟化技术的担心一样。
对于安全的担 心不应该阻碍企业使用公共云服务。
如果选 择正确的云服务提供商,大多数企业工作量 和数据都能够安全地迁移到云环境。
北京航空航天大学电子信息工程学院教 授伍前红在接受《中国科学报》记者采访时表 示:“现在的情况是,一方面服务商提供有偿 云服务时,会给用户提供相对的安全,另一方 面则基于政策,根据法律法规的要求为数据 加密。
”然而,这种云安全只能防范第三方获 取用户数据,服务商是可以看到用户数据的。
因此,一旦云服务器被黑客侵入,那么用户数 据也就向黑客暴露。
对云安全理解不同 “目前,实现云安全最大的障碍之一就是用户与服务商们对于安全的理解不一样。
”伍前红说。
就服务商而言,安全措施的部署必须从属于营业利润增加这一目标。
一些服务商的商业模式就是通过收集用户释放到云端的信息,“拼凑”出每个用户的兴趣爱好、集中活动区域,然后准确地向每个人投放他们感兴趣的广告,以用户个人信息利用作为最大的利益点。
但是显然,用户们并不这么认为。
“我们希望的安全保护是关于我个人的信息,只属于我,管辖权也是我,或者我授权别人,别人才可以看到。
”伍前红说,“这就与服务商的利益产生了矛盾。
” 如果个人用户不希望别人看到自己的信息,那么最好先进行加密再上传到云端。
在此次的iCloud泄密事件中,也有明星称自己已经删除的一些照片也被窃走公开到网上。
对此,专家认为,服务商在提供云备份时,可能会让移动终端的照片自动上传。
当然这是有后台选项支持的,只是个人很少会主动选择上传与否。
当数据被自动上传后,个人很难发现哪些内容被云存储,哪些没有,进而造成人们在删除某项数据时,可能只删除了终端上保存的内容,而忽略了另外备份的那些。
这就像使用电脑,尽管可能将某个应用从桌面删除了,但是在电脑中依然存在。
“你看不见,不代表数据不在,当然你也可以使用专业工具删除,但是就像矛和盾的关系,还有更专业的软件能够恢复。
”伍前红说。
云安全尚需时日 在2011年的“基于安全可控软硬件产品云计算解决方案推介大会”上,北京大学软件与微电子学院信息安全系主任卿斯汉表示,在目前传统网络安全和系统安全防护手段中,针对云安全的保护措施几乎没有。
在云安全方面甚至还有一些硬伤,比如,明显没有信息安全的专业人员或公司参与,设立云计算超级管理用户等。
另外,虚拟化技术和安全性在云计算中非常重要,但国内技术和国外主流技术相比差距还是比较大的,这也是国产化云计算项目中扶植推广的一大障碍。
卿斯汉认为,云安全的主要挑战是数据与应用的操作性,安全性是云计算能否大规模推广的主要瓶颈,中国云安全的共性问题是大部分仍采取常规信息安全措施。
针对云计算的威胁、云服务的滥用、传统的威胁都有很多课题,比如风险管理与兼容问题、身份认证与访问管理问题、服务与终端完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等等。
在欧洲,欧盟就有隐私法律,今年4月,欧盟确认了微软云服务的合同承诺满足了欧盟的“示范条款”。
或许在将来,我国也可以推出符合国情的隐私法律,让云服务真正健康地发展起来。
然而,互联网云技术的发展大潮汹涌澎湃,用户与企业能否在隐私与共享中取得平衡? 窃窥风“云” 姻本报见习记者袁一雪 对于奥斯卡影后詹妮弗·劳伦斯和名模凯特·阿普顿等人来说,9月1日,是黑暗的一天。
这一天,一名黑客在名为4chan的网站上,匿名发布了上百张好莱坞女明星的裸照,其中就包括当今好莱坞最红女星詹妮弗·劳伦斯和名模凯特·阿普顿。
尽管目前上传裸照,涉及的人数为17人,但据美国媒体披露,该事件中受害的名人多达101位。
其中不乏国人熟识的歌手蕾哈娜、加拿大小天后艾薇儿、女星斯嘉丽·约翰逊、《歌舞青春》女主角凡妮莎·哈金斯、《超人归来》女主角凯特·波茨沃斯等等。
从目前的情况来看,黑客似乎是利用了苹果公司iCloud云存储(也有可能包括了来自其他云存储服务)的漏洞获取了这些照片。
可怕的是,这并不是终点。
毕竟与101人相比,17人只是很少的一部分。
换句话说,新一波裸照风暴可能随时来袭。
那些在“榜单”中但却还未被公布照片的明星,更是担惊受怕,生怕会成为下一个受害者。
在明星们惴惴不安的同时,这些隐私照片却被影迷们疯狂下载。
9月5日,此次云泄密事件再次升级。
据《E!
News》网站报道,美国一群艺术家为了抗议搜寻引擎谷歌将网站所有免费功能整合,等同于使用者资料及喜好全部被掌握,发起了“恐惧谷歌(FearGoogle)”的活动,更展示相关物品,以抗议众人的隐私受到侵犯。
活动的主办单位为了给予大家警示,宣称将选用詹妮弗·劳伦斯和凯特·阿普顿外流的裸照当成展览作品向公众展示。
照片将被印在真人大小的画布上,并不作任何多余改变或加工,以原始形态出现。
“苹果云泄露问题出现后,我们也做了相关调研工作。
云技术的出现无疑让人们生活、工作更加便捷,如照片可以随时进行分享。
但是随之而来的就是云安全问题。
”中科院信息工程研究所副研究员翟立东在接受《中国科学报》记者采访时表示,“云技术安全问题肯定会出现,只是时间早晚的问题。
” 蒋志海制图 照片被偷暴露了什么? 面对公众对于iCloud安全性的质疑,苹果公司给出的答复显然并不能让人们满意。
9月9日,苹果公司在声明中说:“这是一种盗窃的行为,对此我们表示十分愤怒并立刻指派工程师对照片泄露的源头进行调查。
客户的隐私以及安全是我们一直非常重视的。
经过40多小时的检查,我们发现某些名人的苹果账号受到了针对性攻击,攻击范围包括用户名、密码等方面,这种类似的攻击在互联网中十分普遍。
同时,没有迹象表明我们的‘云储存’(iCloud)或‘查找我的手机’(FindMyiPhone)等系统已被破坏。
我们会继续与执法部门合作来帮助他们尽快找到罪犯。
” 但是,苹果公司真的如声明中所说那么“无辜”吗?翟立东认为,苹果公司为了出于方便和安全考虑,设定了一个“FindMyiPhone”的服务。
“有了这项服务,人们可以找到自己购买并注册的苹果产品的位置,现在淘宝中有些店铺也提供这种服务。
”翟立东说,“但是,开设这样的服务就提供了泄密的可能。
个人可以无限制地使用同一个IP不断查询信息。
更可怕的是,苹果公司这项服务中,甚至不需要人工输入密码尝试,而是可以使用API自动化程序,这相当于暴力破解。
”他继续解释说,其实有些公司已经推出举措,防止这样的恶意事件发生,“比如百度或者谷歌公司,他们都不允许企业或者个人在使用一个IP的情况下,无限制地非法获取信息。
一旦发生,就会立刻锁死,几个小时后才能解锁。
” 美国纽约州立大学布法罗分校副教授KuiRen在接受《中国科学报》记者采访时说:“此次的泄密事件,应该是黑客通过攻击受害人的iCloud账号,通过暴力猜解,获取到密码。
最终黑客是通过正确的账号密码组合,假装合法用户,绕过了密码安全问题,直接入侵账户登陆云端的数据中心获取的信息。
”也就是说,云端的数据中心本身并没有被入侵,而是用户端的用户登录安全策略不健全且用户本身安全意识差最终导致的数据泄密。
KuiRen表示:“除此之外,苹果系统的两步验证机制以及相关的数据同步机制也存在安全隐患。
这次事件,一方面是个人用户设置的密码太简单,强度不够,导致暴力破解成为可能。
另一方面也是因为苹果在云端服务的API设计上面缺乏一个有效的安全策略。
如果苹果能够一开始就限制用户登录API的滥用,就不会出现暴力破解现象。
” 广西云安全与云服务工程技术研究中心主任王勇告诉《中国科学报》记者,目前云计算发展面临一些问题,而安全问题首当其冲。
云计算的按需自服务、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点,直接影响到了云计算环境的安全和相关的安全保护策略。
并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。
“这次iCloud泄密事件,我认为有企业的原因,也有用户原因,用户安全意识比较薄弱,企业也没有采取强有力的手段保护用户的隐私,尤其是名人的隐私。
”王勇说。
图片来源:百度图片 安全都是相对的 一直以来,苹果系统都给消费者留下系统相对封闭、程序下载安全、数据保存妥当的印象。
很多人选择苹果公司的产品,除了心仪它们的外观,崇尚iOS操作系统,更重要的也是看重“安全”二字。
诚然,与底层平台相对开放的安卓系统来说,苹果公司自己开发的iOS系统独树一帜,但是翟立东表示:“系统是否安全,不能由主观判断,实际的、客观的安全才是真的安全。
” 早在2011年,就有国外媒体报道,苹果产品安全问题专家、uvantLabs的研究员查理米勒(CharlieMiller)称,苹果iOS平台上存在一个安全漏洞,黑客们可能会利用这个漏洞通过一些恶意软件在消费者的苹果产品上悄悄 安装程序,进而窃取数据、发送短信息或销毁信息。
这不禁让人感慨:原来拥有全封闭iOS系统的iPhone也不安全。
今年6月,苹果公司发布了新版本的iOS,把用户的iPhone、iPad和MacBook通过iCloud紧密地联系起来。
其中最显著的一点就是iCloudDrive,可以将iCloud的备份和同步变得更便捷。
更重要的是,苹果发布了开发工具包CloudKit,为开发人员打造基于iCloud的第三方应用服务,让他们能够将数据存储、同步和用户账户登录这些工作统统交给iCloud处理。
不论这些功能被描述得多么美好,在好莱坞艳照门面前都不堪一击,因为应用程序能够 获取用户的AppleID———也就是获得女演员iCloud图片的账户,只需攻破了这个账户,那么将轻而易举地得到存储在这个账户上的一切内容。
更让人担心的是,iOS系统漏洞并不止这一处。
KuiRen说:“根据已经掌握的信息,我们认为这次大规模泄密很可能就是因为‘FindMyiPhone’服务的API(应用程序编程接口)设计存在漏洞。
相关的攻击脚本曾经被发布在社交编程及代码托管网站Github上面,接近200行的Python(一种面向对象、解释型计算机程序设计语言)脚本利用该API反复进行模拟登录。
在苹果修复漏洞前,任何人都有可能使用其提供的脚本进行暴力破解。
” “云”信任难建立 随着智能手机的广泛普及和移动互联网的迅速发展,智能手机的安全形势也变得格外严峻,云技术的出现,更让黑客们找到了“突破点”。
“尽管目前云计算的一些关键技术已经取得突破,进入商业化应用阶段,但用户对云安全的担忧是云计算普及的最大障碍。
”王勇表示。
“除了苹果系统,其他系统也存在云的安全问题。
特别是现在越来越多的移动设备与各种第三方基于云及桌面的服务进行同步连接。
如果这些第三方云服务在设计上存在漏洞,那么黑客很有可能通过这些漏洞获取到用户的个人资料。
”KuiRen表示,“而且,由于云平台上数据高度集中,一旦遭受攻击,则面临大规模数据丢失和隐私泄露的风险。
通过云服务,用户将本地数据通过网络上传到云端。
在整个过程中,任何环节的疏漏都可能被黑客所利用,这些都增加了云服务安全防护的难度。
” 今年8月,在拉斯维加斯举行的黑帽大会(BlackHat2014)上,一位颇为著名的研究人员称,安全专业人士并未对托管在AWS(亚马逊云服务)云基础架构上的应用的安全性给予充分的关注,因此AWS用户可能更容易遭受到攻击。
咨询公司BonsaiInformationSecurity的创始人AndresRiancho也在会议上详细阐明了他为一个“将Web应用托管在AWS基础架构上”的客户提供渗透测试的全经历。
尽管之前Riancho并没有太多关于亚马逊云服务的经验,但他还是一针见血地指出AWS云基础 图片来源:百度图片 架构有大量的潜在弱点,且不当的操作会让运行其中的企业遭受灭顶之灾。
“云安全问题非常严重,包括亚马逊云、阿里云在内,服务商都没有太多做云安全的整体前瞻式部署和规划。
”翟立东说。
翟立东解释道,云安全分为四个层次。
第一层是可以使用。
也就是说云技术会给用户带来便利。
“就像当年蒸汽机火车刚被发明时,甚至还没有马车跑得快,那么人们肯定还是会选择乘坐马车,但是现在就不一样了。
火车带给人们生活非常大的便捷。
”翟立东说。
第二层则是要做安全的云。
云端往往存储大量数据,
一 旦被攻击,可能就会造成瘫痪,导致恐慌。
第三层是建造可信的云。
“这次iCloud的问题就是信用问题。
好比我选择银行存钱,当然会选择信用好,且不会将我的钱占为己有或者弄丢的银行。
”翟立东说,“而且可信是需要第三方评估和监管的,并不能由服务商或者消费者单独认定。
”但是,显然距离可信云还有一段距离,因为目前市场尚未建立健全的可信体系。
第四层就是可控的云。
可控云的含义是服务商要做到事前能够预防,事中及时处理,事后能够追根溯源。
“再次要提醒大家,最好不要下载此次事件中泄露的照片,因为很可能被黑客利用植入了病毒。
” 当然,用户自己“多加小心”也是必要的。
“云计算用户尤其是通过手机使用云服务的用户应尽可能学会通过一些常规技术手段保护自己的数据安全、手机安全、个人隐私等,正确设置密码,避免使用不安全的密码如几个相同的数字或字母,电话号码、生日等作为密码。
选择技术实力比较强、安全防护比较好的云服务提供商。
同时云服务提供商应承担起保护用户数据安全的义务,而不是苛求所有云用户都具备较强的安全意识。
”王勇说。
“云技术的发展肯定是不断向前,出了泄露事件也可以让服务商更好地完善云安全。
”翟立东表示。
KuiRen也认为消费者们不能因噎废食,“但是使用者们最好能够使用比较复杂的密码,并且定期更换密码。
” 延伸阅读 对iCloud隐私泄露说“不” 针对苹果iCloud的网络攻击被认为是几乎每一家科技企业都必须做好防范准备的网络安全问题,由于iCloud往往同用户的金融支付、个人健康以及私家车辆等等信息相互联通,因此无论是从用户角度还是苹果公司的角度都很有必要做好iCloud的“防黑”工作。
用户最好这样做:尽量使用复杂密码:iCloud用户应该尽快在MyAppleID选项中修改iCloud账户密码,密码的组成尽量使用一些特殊符号或者标点,此外用户应该定期更新iCloud账户的密码。
账户二次验证:苹果公司向iCloud用户提供账户二次验证的服务。
当用户需要修改iCloud信息时,苹果公司要求用户必须在所 使用的设备上进行二次身份验证。
修改安全问题:用户账户安全问题是为 了避免账户被他人登录以及在联系苹果公司客服人员时能够通过身份验证。
安全问题的答案都比较隐私,因此建议用户修改安全问题的答案时不要输入真实的答案,只需输入一个容易记住的假答案即可。
利用iTunes进行备份:尽管有很多设备都可以备份iCloud中的资料,但建议用户还是使用iTunes进行备份以获得更好的安全保障。
对于苹果公司来说可以在以下几方面做足功课以改善iCloud的安全性: 二次验证:将账户二次验证设定为iCloud账户的默认安全认证办法。
地理围栏:如今智能手机和Mac都可 以记录下用户所在的地理位置,而这一功能可以转化成为对于iCloud账户安全性能的保护。
用户可以规定iCloud在特定的地理区域内记录用户对于智能设备的使用记录。
这一点对于iCloud用户中的“驴友”尤为有用。
TouchID:当有用户试图通过智能设备进入iCloud账户时,其必须通过TouchID的指纹扫描。
面部识别:苹果公司的iPhoto支持面部识别,这一功能在iCloud账户的保护方面亦能发挥巨大作用。
签名识别:苹果推出的Preview应用程序能够对用户的签名字迹进行拍照识别,其可以在试图进入iCloud账户的行为发生之前起到一定的查证作用。
(来源:赛迪网) 尽管云技术有亟待改进的种种问题,但不可否认的是,云技术依然是目前互联网行业发展的方向。
面对大片的“云”来袭,普通用户们又该何去何从呢? 云,还是少用为妙? 有媒体报道称,据Gartner于2013年初的研究显示,目前已有超过19%的企业,将大部分的管理模 ﹃云﹄, 式迁至云端处理。
很多企业都准备放弃传统的文件共享或者FTP服务,进而实现大文件云分享、跨系统实时同步等效率更高的团队协作目标。
然而,在企业导入公有云的过程当中,缺乏数据私密性、安全性的考虑却让很多用户遭到黑客攻击,并为此付出了数据泄露的昂贵代价。
2013年6月,黑客成功入侵韩国知名的在线存储服务SimDisk,替换了客户端软件SimDisk.exe,并利用自动更新机制部署到所有用户端;两个月后,日本经济新闻报道说,数家日本企业的内部文件在中国某搜索引擎的文件共享服务中被泄露,甚至包括了 想姻 本 说报 记者 爱胡 珉 你不容易琦 一款尚未上市汽车的图片 和具体参数的销售材料,这 些日企包括本田汽车和松下。
但是,就如硬币的两面,也有专家认为, 担心云安全是言过其实。
今年6月底,参加 RSA安全会议一个小组委员会讨论会的专家 就认为,人们对于云安全的担心就像早些时 候对虚拟化技术的担心一样。
对于安全的担 心不应该阻碍企业使用公共云服务。
如果选 择正确的云服务提供商,大多数企业工作量 和数据都能够安全地迁移到云环境。
北京航空航天大学电子信息工程学院教 授伍前红在接受《中国科学报》记者采访时表 示:“现在的情况是,一方面服务商提供有偿 云服务时,会给用户提供相对的安全,另一方 面则基于政策,根据法律法规的要求为数据 加密。
”然而,这种云安全只能防范第三方获 取用户数据,服务商是可以看到用户数据的。
因此,一旦云服务器被黑客侵入,那么用户数 据也就向黑客暴露。
对云安全理解不同 “目前,实现云安全最大的障碍之一就是用户与服务商们对于安全的理解不一样。
”伍前红说。
就服务商而言,安全措施的部署必须从属于营业利润增加这一目标。
一些服务商的商业模式就是通过收集用户释放到云端的信息,“拼凑”出每个用户的兴趣爱好、集中活动区域,然后准确地向每个人投放他们感兴趣的广告,以用户个人信息利用作为最大的利益点。
但是显然,用户们并不这么认为。
“我们希望的安全保护是关于我个人的信息,只属于我,管辖权也是我,或者我授权别人,别人才可以看到。
”伍前红说,“这就与服务商的利益产生了矛盾。
” 如果个人用户不希望别人看到自己的信息,那么最好先进行加密再上传到云端。
在此次的iCloud泄密事件中,也有明星称自己已经删除的一些照片也被窃走公开到网上。
对此,专家认为,服务商在提供云备份时,可能会让移动终端的照片自动上传。
当然这是有后台选项支持的,只是个人很少会主动选择上传与否。
当数据被自动上传后,个人很难发现哪些内容被云存储,哪些没有,进而造成人们在删除某项数据时,可能只删除了终端上保存的内容,而忽略了另外备份的那些。
这就像使用电脑,尽管可能将某个应用从桌面删除了,但是在电脑中依然存在。
“你看不见,不代表数据不在,当然你也可以使用专业工具删除,但是就像矛和盾的关系,还有更专业的软件能够恢复。
”伍前红说。
云安全尚需时日 在2011年的“基于安全可控软硬件产品云计算解决方案推介大会”上,北京大学软件与微电子学院信息安全系主任卿斯汉表示,在目前传统网络安全和系统安全防护手段中,针对云安全的保护措施几乎没有。
在云安全方面甚至还有一些硬伤,比如,明显没有信息安全的专业人员或公司参与,设立云计算超级管理用户等。
另外,虚拟化技术和安全性在云计算中非常重要,但国内技术和国外主流技术相比差距还是比较大的,这也是国产化云计算项目中扶植推广的一大障碍。
卿斯汉认为,云安全的主要挑战是数据与应用的操作性,安全性是云计算能否大规模推广的主要瓶颈,中国云安全的共性问题是大部分仍采取常规信息安全措施。
针对云计算的威胁、云服务的滥用、传统的威胁都有很多课题,比如风险管理与兼容问题、身份认证与访问管理问题、服务与终端完整性问题、虚拟机应用的安全问题、数据保护与隐私保护问题等等。
在欧洲,欧盟就有隐私法律,今年4月,欧盟确认了微软云服务的合同承诺满足了欧盟的“示范条款”。
或许在将来,我国也可以推出符合国情的隐私法律,让云服务真正健康地发展起来。
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
