9月1日,詹妮弗·勞倫斯等好萊塢明星裸照洩露于網上,經證實是駭客攻擊了多個iCloud賬號所致,再加上上半年曝光的ios後門事件,讓蘋果安全性再次受到質疑。
但採訪中,許多安全廠商均認為,ios的安全系數比安卓相對較高,而這次出現的雲安全問題,其實是無法理解的。
“從這次事件來看,問題沒出在數據中心,而是用戶端。”金山網路私有雲産品高級總監林凱告訴記者,“在雲安全上,人為因素比技術因素隱患更大。即使無法暴力破解,駭客也能通過人際關係、社會工程學之類去獲取密碼,尤其對於明星,隱私保護更難。”他表示,安全永遠是用已知技術對付未知黑馬。只要接入Internet渠道的任何內容都存在泄密可能,用戶應該做的是不要把私密內容放在雲端伺服器上。
蘋果安全登錄策略不足
此次明星私照泄密後40多小時後,蘋果隨即發表聲明:“我們發現某些名人賬號遭到了針對用戶名、密碼和安全問題的定向攻擊,這在網上已變得非常普遍。我們調查的所有案例都並非由於iC loud或F ind M yiPhone等蘋果公司的系統遭到了入侵。”並希望用戶“使用強度較高的密碼”。
林認為,蘋果在這個事情上確實沒太多責任,更多的是用戶自己安全意識不足。“但廠家不可能對用戶進行安全意識培訓。如果用戶能夠設置更複雜密碼、定期更改密碼以及注意異常登錄提醒,可能減少這種事情發生。”
但理才網技術總監夏慧軍則認為,從這次泄密看,蘋果沒有健全的用戶登錄安全策略。“這次事件是駭客通過Find M yiPhone使用的A PI允許無限制地嘗試iCloud賬號密碼獲取密碼。但如果蘋果能設置登錄次數至少不會出現暴力破解現象。而在‘找回密碼’的方式上,通過可以手機驗證等方式二次驗證。”
眾所週知,登錄公共云云盤的唯一安全保障就是密碼,而有密碼就必須有“找回密碼”及“忘記密碼”等,因此密鑰保管的內部管理人員泄密亦是潛在隱患。林凱認為,這涉及到公司管理問題,但目前看是難以完全杜絕的。
更大隱患在數據中心
在雲存儲過程中,用戶數據經過終端A PP,雲服務提供商進入數據中心,動態傳輸及靜態存儲都存在相應的安全隱患。“此次事件是小規模特定用戶的動態傳輸洩露,但近期更多的雲平臺事故出現在靜態存儲中心。”8月25日,宏碁推出“自建雲”戰略,把雲服務存儲中心置於PC電腦,也是主要出於安全考慮。
但林凱及夏慧軍均認為,私有雲適合於企業軟體,但對於消費者市場難以適用。林凱説,“其實現在市場上大部分安全廠商使用的安全技術差異性並不大。私有雲結構相比公有雲相對受到攻擊更少,原因是有能力進入數據中心的人更少。一般私有雲會採用內外網隔離及管理許可權分級等形式保護數據安全,但這與終端市場強調的簡易型是相違背的。”
夏慧軍補充説,“雲的核心價值是數據集中與共用,如果所有人按‘私有雲’形式去實現,與其核心價值是背道而馳的。何況雲中心在硬體上的技術要求是PC不可能實現的。”
[責任編輯: 林天泉]