9月1日,詹妮弗·勞倫斯等好萊塢明星裸照泄露于網上,經證實是黑客攻擊了多個iCloud賬號所致,再加上上半年曝光的ios后門事件,讓蘋果安全性再次受到質疑。
但采訪中,許多安全廠商均認為,ios的安全系數比安卓相對較高,而這次出現的云安全問題,其實是無法理解的。
“從這次事件來看,問題沒出在數據中心,而是用戶端。”金山網絡私有云產品高級總監林凱告訴記者,“在云安全上,人為因素比技術因素隱患更大。即使無法暴力破解,黑客也能通過人際關系、社會工程學之類去獲取密碼,尤其對于明星,隱私保護更難。”他表示,安全永遠是用已知技術對付未知黑馬。只要接入Internet渠道的任何內容都存在泄密可能,用戶應該做的是不要把私密內容放在云端服務器上。
蘋果安全登錄策略不足
此次明星私照泄密后40多小時后,蘋果隨即發表聲明:“我們發現某些名人賬號遭到了針對用戶名、密碼和安全問題的定向攻擊,這在網上已變得非常普遍。我們調查的所有案例都并非由于iC loud或F ind M yiPhone等蘋果公司的系統遭到了入侵。”并希望用戶“使用強度較高的密碼”。
林認為,蘋果在這個事情上確實沒太多責任,更多的是用戶自己安全意識不足。“但廠家不可能對用戶進行安全意識培訓。如果用戶能夠設置更復雜密碼、定期更改密碼以及注意異常登錄提醒,可能減少這種事情發生。”
但理才網技術總監夏慧軍則認為,從這次泄密看,蘋果沒有健全的用戶登錄安全策略。“這次事件是黑客通過Find M yiPhone使用的A PI允許無限制地嘗試iCloud賬號密碼獲取密碼。但如果蘋果能設置登錄次數至少不會出現暴力破解現象。而在‘找回密碼’的方式上,通過可以手機驗證等方式二次驗證。”
眾所周知,登錄公共云云盤的唯一安全保障就是密碼,而有密碼就必須有“找回密碼”及“忘記密碼”等,因此密鑰保管的內部管理人員泄密亦是潛在隱患。林凱認為,這涉及到公司管理問題,但目前看是難以完全杜絕的。
更大隱患在數據中心
在云存儲過程中,用戶數據經過終端A PP,云服務提供商進入數據中心,動態傳輸及靜態存儲都存在相應的安全隱患。“此次事件是小規模特定用戶的動態傳輸泄露,但近期更多的云平臺事故出現在靜態存儲中心。”8月25日,宏碁推出“自建云”戰略,把云服務存儲中心置于PC電腦,也是主要出于安全考慮。
但林凱及夏慧軍均認為,私有云適合于企業軟件,但對于消費者市場難以適用。林凱說,“其實現在市場上大部分安全廠商使用的安全技術差異性并不大。私有云結構相比公有云相對受到攻擊更少,原因是有能力進入數據中心的人更少。一般私有云會采用內外網隔離及管理權限分級等形式保護數據安全,但這與終端市場強調的簡易型是相違背的。”
夏慧軍補充說,“云的核心價值是數據集中與共享,如果所有人按‘私有云’形式去實現,與其核心價值是背道而馳的。何況云中心在硬件上的技術要求是PC不可能實現的。”
京公網安備 11010502049343號