云计算 更安全还是更不安全?

安全
日前,轰动全球的好莱坞艳照风暴正在像病毒一样蔓延,众多全球当红女星艳照在网络风传。据外媒报道,此次苹果手机用户数据严重泄漏事件中,共有101位好莱坞女明星被卷入其中。

日前,轰动全球的好莱坞艳照风暴正在像病毒一样蔓延,众多全球当红女星艳照在网络风传。据外媒报道,此次苹果手机用户数据严重泄漏事件中,共有101位好莱坞女明星被卷入其中。此次事件后,专家疑苹果iCloud云端系统漏洞被黑客利用,对此观点苹果公司始终否认iCloud有安全隐患。即便是被很多安全专家诟病的未限制登录次数的安全机制也被苹果否认。苹果称,黑客获得这些照片,是通过普遍采用的入侵手段(common practice),而包括iCloud以及Find my iPhone功能都没问题。

苹果:艳照门与iCloud无关

那么,苹果所说的“普遍手段”到底是什么样的手段呢?简单地说,社工。

苹果认为,黑客之所以可以获得如此之多的照片,就是长期社工的结果。登录iCloud系统除了输入账号、密码之外,还有另外的手段可以登入:正确输入电子邮件地址、生日以及回答三个安全问题中的两个。

然而,就在艳照门曝光的前一天,俄罗斯圣彼得堡的Defcon大会上,来自HackApp公司的两名安全专家公开iPhone和iCloud都有安全隐患。问题在于不对用户登录次数做限制,以及过于简单的Security Code(只有4位)。结论是,这可能导致黑客通过暴力破解入侵系统。

iCloud系统由于多项安全防护措施不完善,存在未对用户登录尝试次数进行限制,以及安全码过短等隐患,导致iCloud系统被成功破解。黑客采用穷举法获得了影星们的iCloud账号密码,登录系统,获得了大量艳照。

苹果对此的解释是,根据苹果iCloud的iCloud Keychain硬件防护机制,如果用户尝试登录密码的次数超过一定数量,iCloud会自动阻止该用户的登录,用户要登录必须要更换手机。然而,安全人员对iCloud的测试显示并非苹果所阐述的那样,iCloud事实上并没有登录次数的限制。

在近日的乌云首届安全峰会上,乌云主站负责人“疯狗”认为,黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。用户在不同网站使用同一套用户名和密码,相当于给自己配了把万能钥匙,一旦丢失后果不堪设想。

在明星照片泄漏事故后,各大媒体和业内专家都在纷纷质疑云计算的安全性。很多资深云计算评论家都表示,“我早就告诉过你,云计算存在危险!”并期望这个世界回到内部部署解决方案。同时,有相当一部分人始终持此种观点:1)云计算从未被标榜为完全安全;2)云计算将会继续发展壮大。安全并不是卖点,功能和价格才是卖点。

云计算更安全还是更不安全?

所以,让我们回归到核心问题:云计算比内部部署的解决方案更安全还是更不安全?

为了回答这个问题,我们要比较一下内部部署解决方案和云计算产品提供的安全性。然而,在现实世界,我们很难做到这一点,因为大多数企业不知道自己内部部署解决方案的安全状态,同时大多数云计算供应商不允许系统进行直接的安全审计。这变成了一个猜谜游戏。

从笔者的经验来看,总体而言,云服务提供商越大,其服务就有更好的安全性。他们有着更好的物理安全性;修复其服务器;使用严格的防火墙控制;管理员访问使用2FA身份验证;具有强化的配置和良好的备份,并在很大程度上安全性要优于大部分内部部署的解决方案。

对于典型的内部部署的解决方案,却很难找到完全修复的服务器,这是非常可怕的安全做法。

当然,云计算有着独特的挑战(+本站微信networkworldweixin),也存在安全问题,主要是因为云服务提供商需要担心多租户模式,其中一个客户受攻击可能会导致其他客户受攻击。

云服务提供商提供的服务和应用程序通常捆绑在一起。恶意攻击者创建账户,并开始搜寻漏洞,如果他们幸运地找到一个漏洞,很多帐号都会受到牵连。但这个最大的问题仍然是未知的:云计算仍然处于起步阶段,我们仍然还在探索学习云计算特有的安全问题。

几乎所有渗透测试团队都可以在几天内轻松入侵其目标。如果渗透测试团队可以这样做,为什么攻击者不这样做呢?何况这些攻击者每天都在尝试攻击。很多用户无法察觉自己已经受到APT攻击,而事实上APT已经入侵其企业多年,甚至是10年。

原始云:信用卡数据

长期以来,关键数据就已经不完全在企业控制范围之内,早在云计算出现之前就是这样。信用卡公司可能也被多个APT组织攻击,你的信用卡信息可能已经在不知不觉中被盗。为什么黑客已经获得你的信用卡/借记卡而不使用呢?首先,他们有太多信用卡,没办法全部使用。这也是为什么你被盗的信用卡被银行两三年换一次,而不是每年换一次。

攻击者窃取或者购买行用卡,并保存在大型数据库,然后提供转售给其他人。你的信用卡可能出现在多个犯罪分子的销售清单中,收费为2.5美元到50美元,取决于买家潜在的净收入。信用卡销售业务有拍卖版、满意度、购物车、客户支持服务和退款保证。

这些操作的成熟度和老练度非常令人惊叹。有些人甚至直接从信用卡评级机构购买信用卡信息。

不安全的现状

现在计算机安全状态基本被默认为不安全。这样说并非想吓唬人,这样的状态已经持续了很长的时间。现在,社会已经接受了这样的不安全状态,作为其经营业务的成本。而且,事情会变得更加糟糕。在过去20年,安全管理者一直在回答同样的问题:“今年计算机安全会变得更好吗?”而答案总是否定的。

云计算带来了新的安全漏洞,但云计算提供商的安全做法比大多数企业自己的做法更安全。云计算本身并没有问题。

责任编辑:林琳 来源: 网界网
相关推荐

2014-05-13 10:35:07

2011-06-22 14:28:22

云计算云端服务

2022-02-28 07:49:20

Windows微软

2015-07-01 14:48:51

2012-04-16 10:12:54

Java线程

2018-08-10 14:29:53

云服务云计算操作系统

2014-04-09 09:37:29

2014-01-13 10:08:25

移动支付支付安全手机支付

2011-07-11 09:07:21

2024-01-19 08:42:45

Java线程字符串

2009-08-03 16:58:59

C#不安全代码

2023-06-01 19:24:16

2021-04-04 23:16:52

安全刷脸银行

2020-11-03 12:32:25

影子物联网物联网IOT

2020-04-22 20:35:02

HashMap线程安全

2017-02-16 08:50:00

2015-05-27 16:13:05

2009-03-12 10:48:21

2010-08-16 10:01:01

2009-11-18 10:05:13

点赞
收藏

51CTO技术栈公众号