云計算 更安全還是更不安全?
日前,轟動全球的好萊塢艷照風暴正在像病毒一樣蔓延,眾多全球當紅女星艷照在網絡風傳。據外媒報道,此次蘋果手機用戶數據嚴重泄漏事件中,共有101位好萊塢女明星被卷入其中。此次事件后,專家疑蘋果iCloud云端系統漏洞被黑客利用,對此觀點蘋果公司始終否認iCloud有安全隱患。即便是被很多安全專家詬病的未限制登錄次數的安全機制也被蘋果否認。蘋果稱,黑客獲得這些照片,是通過普遍采用的入侵手段(common practice),而包括iCloud以及Find my iPhone功能都沒問題。
蘋果:艷照門與iCloud無關
那么,蘋果所說的“普遍手段”到底是什么樣的手段呢?簡單地說,社工。
蘋果認為,黑客之所以可以獲得如此之多的照片,就是長期社工的結果。登錄iCloud系統除了輸入賬號、密碼之外,還有另外的手段可以登入:正確輸入電子郵件地址、生日以及回答三個安全問題中的兩個。
然而,就在艷照門曝光的前一天,俄羅斯圣彼得堡的Defcon大會上,來自HackApp公司的兩名安全專家公開iPhone和iCloud都有安全隱患。問題在于不對用戶登錄次數做限制,以及過于簡單的Security Code(只有4位)。結論是,這可能導致黑客通過暴力破解入侵系統。
iCloud系統由于多項安全防護措施不完善,存在未對用戶登錄嘗試次數進行限制,以及安全碼過短等隱患,導致iCloud系統被成功破解。黑客采用窮舉法獲得了影星們的iCloud賬號密碼,登錄系統,獲得了大量艷照。
蘋果對此的解釋是,根據蘋果iCloud的iCloud Keychain硬件防護機制,如果用戶嘗試登錄密碼的次數超過一定數量,iCloud會自動阻止該用戶的登錄,用戶要登錄必須要更換手機。然而,安全人員對iCloud的測試顯示并非蘋果所闡述的那樣,iCloud事實上并沒有登錄次數的限制。
在近日的烏云首屆安全峰會上,烏云主站負責人“瘋狗”認為,黑客通過收集網絡上已泄露的用戶名及密碼信息,生成對應的“字典表”,到其他網站嘗試批量登錄,得到一批可以登錄的用戶賬號及密碼。用戶在不同網站使用同一套用戶名和密碼,相當于給自己配了把萬能鑰匙,一旦丟失后果不堪設想。
在明星照片泄漏事故后,各大媒體和業內專家都在紛紛質疑云計算的安全性。很多資深云計算評論家都表示,“我早就告訴過你,云計算存在危險!”并期望這個世界回到內部部署解決方案。同時,有相當一部分人始終持此種觀點:1)云計算從未被標榜為完全安全;2)云計算將會繼續發展壯大。安全并不是賣點,功能和價格才是賣點。
云計算更安全還是更不安全?
所以,讓我們回歸到核心問題:云計算比內部部署的解決方案更安全還是更不安全?
為了回答這個問題,我們要比較一下內部部署解決方案和云計算產品提供的安全性。然而,在現實世界,我們很難做到這一點,因為大多數企業不知道自己內部部署解決方案的安全狀態,同時大多數云計算供應商不允許系統進行直接的安全審計。這變成了一個猜謎游戲。
從筆者的經驗來看,總體而言,云服務提供商越大,其服務就有更好的安全性。他們有著更好的物理安全性;修復其服務器;使用嚴格的防火墻控制;管理員訪問使用2FA身份驗證;具有強化的配置和良好的備份,并在很大程度上安全性要優于大部分內部部署的解決方案。
對于典型的內部部署的解決方案,卻很難找到完全修復的服務器,這是非常可怕的安全做法。
當然,云計算有著獨特的挑戰(+本站微信networkworldweixin),也存在安全問題,主要是因為云服務提供商需要擔心多租戶模式,其中一個客戶受攻擊可能會導致其他客戶受攻擊。
云服務提供商提供的服務和應用程序通常捆綁在一起。惡意攻擊者創建賬戶,并開始搜尋漏洞,如果他們幸運地找到一個漏洞,很多帳號都會受到牽連。但這個最大的問題仍然是未知的:云計算仍然處于起步階段,我們仍然還在探索學習云計算特有的安全問題。
幾乎所有滲透測試團隊都可以在幾天內輕松入侵其目標。如果滲透測試團隊可以這樣做,為什么攻擊者不這樣做呢?何況這些攻擊者每天都在嘗試攻擊。很多用戶無法察覺自己已經受到APT攻擊,而事實上APT已經入侵其企業多年,甚至是10年。
原始云:信用卡數據
長期以來,關鍵數據就已經不完全在企業控制范圍之內,早在云計算出現之前就是這樣。信用卡公司可能也被多個APT組織攻擊,你的信用卡信息可能已經在不知不覺中被盜。為什么黑客已經獲得你的信用卡/借記卡而不使用呢?首先,他們有太多信用卡,沒辦法全部使用。這也是為什么你被盜的信用卡被銀行兩三年換一次,而不是每年換一次。
攻擊者竊取或者購買行用卡,并保存在大型數據庫,然后提供轉售給其他人。你的信用卡可能出現在多個犯罪分子的銷售清單中,收費為2.5美元到50美元,取決于買家潛在的凈收入。信用卡銷售業務有拍賣版、滿意度、購物車、客戶支持服務和退款保證。
這些操作的成熟度和老練度非常令人驚嘆。有些人甚至直接從信用卡評級機構購買信用卡信息。
不安全的現狀
現在計算機安全狀態基本被默認為不安全。這樣說并非想嚇唬人,這樣的狀態已經持續了很長的時間。現在,社會已經接受了這樣的不安全狀態,作為其經營業務的成本。而且,事情會變得更加糟糕。在過去20年,安全管理者一直在回答同樣的問題:“今年計算機安全會變得更好嗎?”而答案總是否定的。
云計算帶來了新的安全漏洞,但云計算提供商的安全做法比大多數企業自己的做法更安全。云計算本身并沒有問題。
