[[105835]]

世界進(jìn)入云計(jì)算時(shí)代的標(biāo)志之一就是無(wú)所不在的iPhone、iPad和Mac上的iCloud服務(wù)。如今，無(wú)論你是否情愿，個(gè)人隱私數(shù)據(jù)正在一步步被轉(zhuǎn)移到云端，然后面臨被黑客一鍋端掉的危險(xiǎn)。這不是危言聳聽(tīng)，亞馬遜和蘋果iCloud等公有云的安全性到底有多差?個(gè)人如何在云計(jì)算時(shí)代保護(hù)隱私數(shù)據(jù)?也許連線雜志資深記者M(jìn)at Honan的遭遇可以給你一點(diǎn)啟示。

連線雜志的高級(jí)記者M(jìn)at Honan最近出名了。 他的Twitter賬號(hào)， 蘋果賬號(hào)， 亞馬遜賬號(hào)在幾個(gè)月前被“匿名”組織的黑客攻破了。 一個(gè)叫Phobia的黑客進(jìn)入了他的Twitter賬號(hào)， 發(fā)表了一系列種族主義言論。 黑客把他的iPhone， MacBook的數(shù)據(jù)， 連同在iCloud上的備份統(tǒng)統(tǒng)刪掉了。 而Phobia這么做， 只是為了抗議美國(guó)拘捕了著名的“匿名”組織黑客Luiz。

無(wú)需暴力破解，黑客自揭社交工程手法

Mat Honan又注冊(cè)了一個(gè)Twitter賬號(hào)， 告訴大家他的賬號(hào)密碼可能被黑客用暴力破解了。 也有人懷疑是他被盜號(hào)木馬盜號(hào)了。 這時(shí)， Phobia在Twitter上 @了他。 告訴他根本沒(méi)有用暴力破解的方式獲得密碼。 出于記者的好奇， Honan跟Phobia進(jìn)行了交流， 黑客告訴了他是如何通過(guò)社交工程的方式， 通過(guò)亞馬遜， 蘋果的技術(shù)支持進(jìn)入Honan的一系列賬號(hào)的。

Phobia選擇Honan實(shí)屬偶然。 這個(gè)倒霉的家伙有個(gè)好的Twitter賬號(hào)， 只有3位字母的@mat. Phobia說(shuō)他跟Honan無(wú)冤無(wú)仇， 就是喜歡這個(gè)賬號(hào)而已。

確定了目標(biāo)之后， 黑客做了一些背景研究。 Honan的Twitter賬號(hào)和他的個(gè)人網(wǎng)頁(yè)相關(guān)聯(lián)， 從他的個(gè)人網(wǎng)頁(yè)上， Phobia找了了他的Gmail賬號(hào)。 然后他去了Google的重置密碼頁(yè)面。 由于Honan沒(méi)有啟用Gmail的雙因素身份認(rèn)證， 黑客可以看到Gmail用來(lái)設(shè)置密碼找回的備用郵箱。 盡管Google把一些字母隱掉了， 但是從m****n@me.com上， 黑客很容易根據(jù)Mat Honan的名字， 猜出郵件名。 此外， 根據(jù)蘋果 的me.com的后綴， 黑客知道這個(gè)賬號(hào)很可能關(guān)聯(lián)了一個(gè)Apple ID。

在Phobia給Honan的郵件里， Phobia說(shuō)道：

“老實(shí)說(shuō)， 你可以進(jìn)入與任何郵件關(guān)聯(lián)的蘋果賬號(hào)”。

Honan用了Phobia所說(shuō)的辦法， 發(fā)現(xiàn)確實(shí)不難。

蘋果的賬號(hào)重置只需要知道郵件， 賬單地址以及信用卡的后四位。 Phobia已經(jīng)有了郵件地址， 剩下的就是賬單地址和信用卡后四位了。

黑客先從簡(jiǎn)單的來(lái)， 他上網(wǎng)查了Honan個(gè)人網(wǎng)站的域名信息， 從那里很容易就查到了Honan的賬單地址。

信用卡后四位稍微麻煩一些， 他們首先用了一個(gè)打電話給亞馬遜的客服， 要求在現(xiàn)在的賬號(hào)下加一張信用卡。 亞馬遜客服需要知道的是姓名， 郵件， 賬單地址和需要加的信用卡號(hào)當(dāng)然是假的， 是根據(jù)信用卡號(hào)生成的算法生成的一個(gè)假的信用卡號(hào)。 亞馬遜的系統(tǒng)可以允許這樣的號(hào)碼，因?yàn)樗谶@個(gè)非交易階段， 不會(huì)去跟信用卡公司核對(duì)。 緊接著， 他們又打電話給亞馬遜的客服說(shuō)把密碼弄丟了。 他們給亞馬遜客服提供了用戶， 賬單地址以及剛才新加的信用卡號(hào)， 亞馬遜允許關(guān)聯(lián)一個(gè)新的郵件地址。 然后黑客去亞馬遜的重置密碼頁(yè)面。 把重置密碼發(fā)到這個(gè)新的郵件地址去。 從這封重置密碼的郵件里， 亞馬遜列出了所有與該賬號(hào)關(guān)聯(lián)的信用卡的號(hào)碼(當(dāng)然只有后4位)。

但是， 就是這亞馬遜認(rèn)為不重要的信用卡后4位， 是蘋果賬號(hào)身份認(rèn)證的一個(gè)重要信息。 這樣， Phobia就有了Honan的郵件， 賬單地址和信用卡后四位。 他打電話給蘋果客服， 要求重置密碼。 然后， Honan的一切蘋果賬號(hào)就都被攻破了。 而且， 可憐的Honan還是用了AppleCare的Find My iPhone 和 Find My Mac， 結(jié)果， 他所有的資料都被刪了， 包括他女兒的所有照片。

Honan現(xiàn)在想起來(lái)還覺(jué)得自己還算幸運(yùn)。 Phobia只是想讓Honan難堪而已。 Honan說(shuō)：

他們完全可以通過(guò)我的郵件進(jìn)入我的網(wǎng)上銀行。 或者利用我的郵件， 通過(guò)社交工程的方法去欺騙別人。 Honan是連線雜志的資深記者， 他的聯(lián)系人里有很多硅谷的大佬。 要是這些人也被黑了那就糗大了。

不過(guò)， 后來(lái)， Phobia在郵件里還是對(duì)把Honan女兒的照片全部刪掉表示了深深的歉意。 Honan說(shuō)他甚至都沒(méi)有對(duì)Phobia的行為感到生氣。 他只是氣自己作為一個(gè)資深I(lǐng)T記者， 竟然如此沒(méi)有防范意識(shí)。 讓一個(gè)單點(diǎn)失效導(dǎo)致所有數(shù)據(jù)丟失。

對(duì)這類密碼重置的社交工程攻擊， 需要網(wǎng)站和用戶共同來(lái)防御， 下面是幾點(diǎn)建議：

1) 網(wǎng)站在身份驗(yàn)證的時(shí)候， 采用背景驗(yàn)證的安全方式。 比如“以下5個(gè)地址哪個(gè)與你的名字相關(guān)”， 類似RSA身份驗(yàn)證這樣的服務(wù)可以梳理掉那些很容易從網(wǎng)上找到的關(guān)于某用戶的信息。 從而使社交工程攻擊者的攻擊難度加大。

2) 用戶自己創(chuàng)造秘密問(wèn)題, 幾乎所有的網(wǎng)站都會(huì)千篇一律的問(wèn)“你的寵物的名字”， “你的小學(xué)老師的名字”這樣的秘密驗(yàn)證問(wèn)題。 網(wǎng)站可以在用戶注冊(cè)的時(shí)候， 讓用戶自己去創(chuàng)造一個(gè)秘密問(wèn)題。 這樣可以減少被社交工程攻擊的風(fēng)險(xiǎn)。

3) 對(duì)重置密碼的請(qǐng)求保持高度警覺(jué)。 如果有重置密碼的請(qǐng)求， 網(wǎng)站可以對(duì)用戶的所有設(shè)備進(jìn)行提示， 這樣可以避免像Honan那樣被人改了密碼還蒙在鼓里

4) 對(duì)用戶來(lái)說(shuō)， 盡量在不同網(wǎng)站使用不同的信用卡。 使不同的帳戶關(guān)聯(lián)不同的信用卡號(hào)。

5) 對(duì)采用Gmail啟用雙重因素身份認(rèn)證。

原文鏈接：http://www.ctocio.com/points/10227.html