對(duì)于那些在短期內(nèi)需要一些計(jì)算容量，但又不想在固定資產(chǎn)方面長(zhǎng)期投資的企業(yè)來(lái)說(shuō)，隨需提供的云計(jì)算是一種非常神奇的工具。由于相同的原因，云計(jì)算對(duì)于黑客來(lái)說(shuō)也非常有用——很多黑客活動(dòng)都牽涉到口令、密鑰破解，以及其它形式的暴力破解，所有這些活動(dòng)需要的都是昂貴和高度并行的計(jì)算。

對(duì)于黑客來(lái)說(shuō)，隨需的計(jì)算資源有兩個(gè)主要來(lái)源：由消費(fèi)者PC構(gòu)成的僵尸網(wǎng)絡(luò)和服務(wù)商提供的基礎(chǔ)設(shè)施即服務(wù)（IaaS）。每種形式都可以提供暴力計(jì)算所需的隨需計(jì)算能力。僵尸網(wǎng)絡(luò)的可靠性較差，并且采用異型設(shè)備，“提供服務(wù)”所需的時(shí)間較長(zhǎng)。但它們完全是免費(fèi)使用的，并且可以擴(kuò)展到非常大的規(guī)模；一些研究人員發(fā)現(xiàn)，有些僵尸網(wǎng)絡(luò)甚至由數(shù)十萬(wàn)臺(tái)PC機(jī)組成。作為商品提供的云計(jì)算提供服務(wù)的速度更快，性能可以預(yù)測(cè)，而且可以通過(guò)盜用的信用卡來(lái)付賬。

如果您真正了解攻擊者在當(dāng)前能夠以極低的成本獲得多少高性能計(jì)算能力，您就會(huì)發(fā)現(xiàn)，安全控制和攻擊方法之間的力量平衡正在悄然發(fā)生戲劇性的變化。以口令為例?？诹畹拈L(zhǎng)度和復(fù)雜性決定了對(duì)其進(jìn)行暴力解破所需要的精力。假設(shè)攻擊者能夠訪問(wèn)口令數(shù)據(jù)庫(kù)中的“亂數(shù)”值，而存在漏洞的Web服務(wù)器或驗(yàn)證服務(wù)器都有可能泄露這種數(shù)據(jù)庫(kù)。亂數(shù)通?；诩用軄y數(shù)算法等類型的算法，而且不可逆轉(zhuǎn)，但可以通過(guò)嘗試所有可能的口令值對(duì)其進(jìn)行暴力破解。這種暴力計(jì)算會(huì)在遠(yuǎn)離驗(yàn)證服務(wù)器的地方進(jìn)行，因此不會(huì)受到三次嘗試后鎖死機(jī)制的限制。

如果采用單核CPU，破解一個(gè)8個(gè)字符的口令需要很長(zhǎng)的時(shí)間。根據(jù)算法和口令復(fù)雜性的不同，可能需要幾個(gè)月，也可能是幾年。但這個(gè)問(wèn)題可以通過(guò)高度并行的方式來(lái)解決：搜索空間可以按需要分割為許多“批次”，并且交給多個(gè)CPU以并行方式加以處理。使用僵尸網(wǎng)絡(luò)或IaaS時(shí)，攻擊者可以在幾分鐘或幾小時(shí)的時(shí)間里計(jì)算出過(guò)去需要幾年才能得到的結(jié)果。

一位德國(guó)的研究人員使用Amazon的彈性計(jì)算云，以及專門為CPU密集型圖形計(jì)算而設(shè)計(jì)的新型集群計(jì)算服務(wù)在這方面進(jìn)行了演示。從算法的角度來(lái)看，圖形和口令破解的計(jì)算過(guò)程非常相似：矩陣和矢量數(shù)學(xué)計(jì)算。結(jié)果很有啟發(fā)性：使用單個(gè)集群實(shí)例，該研究人員只用49分鐘便破解了最多6個(gè)字母組成的口令。此次試驗(yàn)的總成本：每小時(shí)的計(jì)算2.10美元（最短可按小時(shí)收費(fèi)）。

隨著云計(jì)算的盛行，云計(jì)算也像任何其它技術(shù)一樣，會(huì)被壞人發(fā)現(xiàn)并成為他們的新工具。在考慮風(fēng)險(xiǎn)和收益的平衡時(shí)，我們必須進(jìn)行安全控制的成本/利益評(píng)價(jià)，并且考慮到所有人的計(jì)算成本已經(jīng)大幅度降低，當(dāng)然也包括攻擊者在內(nèi)。在這種情況下，我們必須對(duì)口令、無(wú)線密鑰、靜態(tài)加密，甚至老式的SSL算法都進(jìn)行重新評(píng)價(jià)。您認(rèn)為“不可行”的難題或許對(duì)于“普通”黑客來(lái)說(shuō)已經(jīng)變成非常輕松平常的事情。

【編輯推薦】

1. 架設(shè)Web信譽(yù)查詢服務(wù)器 為國(guó)內(nèi)"云安全"提速50倍
2. 新時(shí)代的威脅趨勢(shì)　云安全勢(shì)在必行