當前位置：云計算 → 云安全 → 正文

云時代的命門移動終端成黑客們的新戰場

責任編輯：hli 作者：劉佳 |來源：企業網D1Net 2012-01-05 09:38:46 本文摘自：第一財經日報

“自從知道了那些人心惶惶的泄密事件后，我把支付寶、財付通之類的在線支付賬戶全都清空了。”在北京中關村工作的白領孟靈對《第一財經日報》說。她告訴記者，她查到自己的天涯賬號被盜之后，決定起碼半年之內，網上購物除了不得不使用網銀U盾支付外，只要能貨到付款的就不會再選擇網上支付的方式。

她的遭遇或許并非個例。這場從CSDN開始引發的泄密潮，在越來越多存在風險的行業引發蝴蝶效應。盡管有支付企業稱泄露的用戶信息中只有賬號沒有密碼，但由于不少在線支付用戶的賬戶就是電子郵箱，而如果用戶的電子郵箱和密碼已經泄密，那么第三方支付的賬號也可能變得不再安全。

對于CSDN、天涯等網站大規模泄密而言，網站只需要發封道歉信，通知用戶修改密碼就行，但如果關乎用戶財產安全的網上銀行、支付寶信息被黑客盜取，實在讓人難以淡定。

糟糕的不止這些。當越來越多的企業熱炒云計算，當移動互聯網迎面而來時，擔憂接踵而來：我們的信息真的安全嗎？

云時代的命門

“泄密門”正在對云計算形成挑戰，索尼就是前車之鑒。

從去年4月17日至今，索尼旗下游戲平臺Play Station Network(PSN)至少遭遇了三次黑客襲擊。黑客已經盜用了超1億用戶的個人信息，包括PSN注冊ID、郵箱賬號、登錄密碼甚至是與信用卡賬號相關的信息。

在索尼PSN公有云平臺被入侵后不久，即有黑客在論壇上掛牌銷售上百萬個來自索尼PSN網絡數據泄露受害者的個人信息，盡管此前索尼聲稱信用卡信息已經加密，但事實上數據庫里的內容已經被讀出。

云計算往往意味著“隨需應變”的自助服務、大量的資源共享池、更低的成本以及更高的工作效率。但在這些優勢的背后，海量的數據被轉移到用戶掌控范圍之外的機器上，如何確保存儲海量重要信息的“云”的安全，卻在無意間被人們忽視了。

“一系列泄密事件不難看出，在很多互聯網企業內部安全環節都比較薄弱，如果企業未來把海量信息放到‘云’上，首先對企業自身的心理承受能力就是巨大的挑戰。” 云計算安全廠商星云融創營銷總監孫大偉對記者說。

云計算一般可歸納為IaaS（基礎設施即服務）、PaaS（平臺即服務）和SaaS(軟件即服務)三個層面，孫大偉告訴記者，90%的黑客攻擊發生在SaaS層面，不過事實上從底層到上層，有著各種不同的黑客攻擊路線。

網秦首席安全專家鄒仕洪博士則向記者坦言，個人或企業對于云端的信息安全疑慮，成為了云計算普及的最大難題之一。“在云時代，保護數據的邊界很難劃清，而且業內對云計算如何存儲和保護數據還沒有統一的執行標準。”

按照服務對象的不同，云計算一般分為公有云和私有云兩大類，前者指的是面向大眾范圍內的服務對象的云計算服務，而后者一般是指社會單位為自身需要所建設的自有云計算服務模式。孫大偉告訴記者，不少金融機構以及醫療等就是出于安全問題的考慮，不敢采用公有云模式，而是在其內部搭建私有云系統。

不過孫大偉、鄒仕洪都認為，這次的泄密事件是一次安全問題由隱性到顯性的預演，不能因泄密事件因噎廢食，否認云計算對于企業和個人的價值。此前賽迪顧問發布的《中國云計算產業發展白皮書》預計，到2012年，我國云計算市場規模將達606.78億元，“十二五”期間，我國云計算產業鏈規模可達7500億至1萬億元人民幣。

“移動”的風險

移動終端已經成為黑客們的“新戰場”。

中國最早的黑客組織綠色兵團創始人、現COG信息安全組織創建人龔蔚預言，這次泄密事件只是一場更大規模安全事故的前戲，預計重大事件將在2012年爆發，影響中國幾億的移動終端用戶。

這不是危言聳聽。鄒仕洪告訴記者，僅去年一年就新增手機惡意軟件24794款，惡意軟件樣本2943個，其中在中國地區全年累計感染智能手機1078萬部。

根據360安全中心發布的相關中國手機安全報告，手機木馬的危害主要由系統破壞轉向惡意扣費和竊取用戶隱私。例如之前鬧得沸沸揚揚的木馬“X臥底”，本質上是一款黑客間諜軟件，不僅會回傳用戶短信，甚至還能監聽用戶通話。

“惡意扣費就更不用說了，手機木馬會偷偷在后臺發送定制SP業務的短信，用戶手機話費在神不知鬼不覺的情況下被吸走。”360安全專家石曉虹說。

其中，占據智能手機半壁江山的Android成了“重災區”。石曉虹告訴記者，由于Android系統開源、開放、免費的特性，木馬可以通過系統漏洞進行提權，獲取到手機最高權限（root權限），從而可以在用戶無感知的情況下進行系統文件操作，包括刪除系統文件、竊取隱私數據、植入更多木馬等等；而iOS對系統底層文件的調用限制特別嚴格，相對安全，不過一旦“越獄”，軟件也會被授予更多權限，安全問題不容樂觀。

不久前就有國外安全廠商表示，在不到半年的時間里，平臺的惡意程序數量增加了一倍之多，數量首次突破四位數。這些可疑的應用程序大多出現在第三方應用程序商店，這可能導致身份信息泄露、手機短信費用上升等問題，而在部分嚴重的地區例如俄羅斯、以色列和中國，惡意軟件數量甚至達到總數的4%。

移動支付的興起也在激發黑客更高的興趣。此前，易觀國際預計稱，2012年移動支付用戶有望達到2.2億戶，市場收入規模將增長78.8%，達到52.4億元。2013年則有望突破200億元，達到235.1億元。

易觀分析指出，雖然移動支付市場前景一片大好，但賬戶的安全性是用戶選擇手機支付方式的主要門檻——用戶對互聯網上支付的安全性都存質疑，更何況是在新的移動支付領域。

“移動支付令用戶在智能手機上的活動直接與利益掛鉤，黑客完全可以利用惡意軟件誘騙用戶安裝，從而獲取更多隱私信息，現在已經出現這種苗頭。”鄒仕洪說。

石曉虹建議，手機用戶應盡可能學會通過一些常規技術手段保護自己的手機安全、個人隱私等合法權益，不過泄密事件的主要責任在于沒有保護好用戶數據的網站。國內部分網民安全意識薄弱，習慣使用同一套注冊郵箱和密碼，進一步放大了網站泄密的危害。“從根本上，各大互聯網站應承擔起保護用戶數據安全的義務，而不是苛責所有網民都能立刻具備安全意識。”

近年來重大網絡泄密事件一覽

2011年12月

CSDN網站用戶數據庫被黑客在網上公開，600余萬個郵箱賬號及密碼泄露。此后數天，包括天涯社區、新浪微博、當當等眾多互聯網站均被卷入。

2011年7月

韓國三大門戶網站之一Nate和社交網站“賽我網”遭到黑客攻擊，3500萬用戶信息泄漏。

2011年4月~5月

索尼旗下PlayStation網站遭入侵，黑客竊取了索尼PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息，波及57個國家和地區的上億人。

2008年

韓國知名電子商務網站Auction遭黑客攻擊，發生約1800萬用戶信息外泄事故。

2004年

日本雅虎公司某外包員工偷盜了450萬份個人信息，造成用戶的個人信息外泄。

微博妙語