日前，轟動(dòng)全球的好萊塢艷照風(fēng)暴正在像病毒一樣蔓延，眾多全球當(dāng)紅女星艷照在網(wǎng)絡(luò)風(fēng)傳。據(jù)外媒報(bào)道，此次蘋果手機(jī)用戶數(shù)據(jù)嚴(yán)重泄漏事件中，共有101位好萊塢女明星被卷入其中。此次事件后，專家疑蘋果iCloud云端系統(tǒng)漏洞被黑客利用，對(duì)此觀點(diǎn)蘋果公司始終否認(rèn)iCloud有安全隱患。即便是被很多安全專家詬病的未限制登錄次數(shù)的安全機(jī)制也被蘋果否認(rèn)。蘋果稱，黑客獲得這些照片，是通過普遍采用的入侵手段(common practice)，而包括iCloud以及Find my iPhone功能都沒問題。

蘋果：艷照門與iCloud無關(guān)

那么，蘋果所說的“普遍手段”到底是什么樣的手段呢?簡單地說，社工。

蘋果認(rèn)為，黑客之所以可以獲得如此之多的照片，就是長期社工的結(jié)果。登錄iCloud系統(tǒng)除了輸入賬號(hào)、密碼之外，還有另外的手段可以登入：正確輸入電子郵件地址、生日以及回答三個(gè)安全問題中的兩個(gè)。

然而，就在艷照門曝光的前一天，俄羅斯圣彼得堡的Defcon大會(huì)上，來自HackApp公司的兩名安全專家公開iPhone和iCloud都有安全隱患。問題在于不對(duì)用戶登錄次數(shù)做限制，以及過于簡單的Security Code(只有4位)。結(jié)論是，這可能導(dǎo)致黑客通過暴力破解入侵系統(tǒng)。

iCloud系統(tǒng)由于多項(xiàng)安全防護(hù)措施不完善，存在未對(duì)用戶登錄嘗試次數(shù)進(jìn)行限制，以及安全碼過短等隱患，導(dǎo)致iCloud系統(tǒng)被成功破解。黑客采用窮舉法獲得了影星們的iCloud賬號(hào)密碼，登錄系統(tǒng)，獲得了大量艷照。

蘋果對(duì)此的解釋是，根據(jù)蘋果iCloud的iCloud Keychain硬件防護(hù)機(jī)制，如果用戶嘗試登錄密碼的次數(shù)超過一定數(shù)量，iCloud會(huì)自動(dòng)阻止該用戶的登錄，用戶要登錄必須要更換手機(jī)。然而，安全人員對(duì)iCloud的測試顯示并非蘋果所闡述的那樣，iCloud事實(shí)上并沒有登錄次數(shù)的限制。

在近日的烏云首屆安全峰會(huì)上，烏云主站負(fù)責(zé)人“瘋狗”認(rèn)為，黑客通過收集網(wǎng)絡(luò)上已泄露的用戶名及密碼信息，生成對(duì)應(yīng)的“字典表”，到其他網(wǎng)站嘗試批量登錄，得到一批可以登錄的用戶賬號(hào)及密碼。用戶在不同網(wǎng)站使用同一套用戶名和密碼，相當(dāng)于給自己配了把萬能鑰匙，一旦丟失后果不堪設(shè)想。

在明星照片泄漏事故后，各大媒體和業(yè)內(nèi)專家都在紛紛質(zhì)疑云計(jì)算的安全性。很多資深云計(jì)算評(píng)論家都表示，“我早就告訴過你，云計(jì)算存在危險(xiǎn)!”并期望這個(gè)世界回到內(nèi)部部署解決方案。同時(shí)，有相當(dāng)一部分人始終持此種觀點(diǎn)：1)云計(jì)算從未被標(biāo)榜為完全安全;2)云計(jì)算將會(huì)繼續(xù)發(fā)展壯大。安全并不是賣點(diǎn)，功能和價(jià)格才是賣點(diǎn)。

云計(jì)算更安全還是更不安全?

所以，讓我們回歸到核心問題：云計(jì)算比內(nèi)部部署的解決方案更安全還是更不安全?

為了回答這個(gè)問題，我們要比較一下內(nèi)部部署解決方案和云計(jì)算產(chǎn)品提供的安全性。然而，在現(xiàn)實(shí)世界，我們很難做到這一點(diǎn)，因?yàn)榇蠖鄶?shù)企業(yè)不知道自己內(nèi)部部署解決方案的安全狀態(tài)，同時(shí)大多數(shù)云計(jì)算供應(yīng)商不允許系統(tǒng)進(jìn)行直接的安全審計(jì)。這變成了一個(gè)猜謎游戲。

從筆者的經(jīng)驗(yàn)來看，總體而言，云服務(wù)提供商越大，其服務(wù)就有更好的安全性。他們有著更好的物理安全性;修復(fù)其服務(wù)器;使用嚴(yán)格的防火墻控制;管理員訪問使用2FA身份驗(yàn)證;具有強(qiáng)化的配置和良好的備份，并在很大程度上安全性要優(yōu)于大部分內(nèi)部部署的解決方案。

對(duì)于典型的內(nèi)部部署的解決方案，卻很難找到完全修復(fù)的服務(wù)器，這是非?？膳碌陌踩龇ā?/p>

當(dāng)然，云計(jì)算有著獨(dú)特的挑戰(zhàn)(+本站微信networkworldweixin)，也存在安全問題，主要是因?yàn)樵品?wù)提供商需要擔(dān)心多租戶模式，其中一個(gè)客戶受攻擊可能會(huì)導(dǎo)致其他客戶受攻擊。

云服務(wù)提供商提供的服務(wù)和應(yīng)用程序通常捆綁在一起。惡意攻擊者創(chuàng)建賬戶，并開始搜尋漏洞，如果他們幸運(yùn)地找到一個(gè)漏洞，很多帳號(hào)都會(huì)受到牽連。但這個(gè)最大的問題仍然是未知的：云計(jì)算仍然處于起步階段，我們?nèi)匀贿€在探索學(xué)習(xí)云計(jì)算特有的安全問題。

幾乎所有滲透測試團(tuán)隊(duì)都可以在幾天內(nèi)輕松入侵其目標(biāo)。如果滲透測試團(tuán)隊(duì)可以這樣做，為什么攻擊者不這樣做呢?何況這些攻擊者每天都在嘗試攻擊。很多用戶無法察覺自己已經(jīng)受到APT攻擊，而事實(shí)上APT已經(jīng)入侵其企業(yè)多年，甚至是10年。

原始云：信用卡數(shù)據(jù)

長期以來，關(guān)鍵數(shù)據(jù)就已經(jīng)不完全在企業(yè)控制范圍之內(nèi)，早在云計(jì)算出現(xiàn)之前就是這樣。信用卡公司可能也被多個(gè)APT組織攻擊，你的信用卡信息可能已經(jīng)在不知不覺中被盜。為什么黑客已經(jīng)獲得你的信用卡/借記卡而不使用呢?首先，他們有太多信用卡，沒辦法全部使用。這也是為什么你被盜的信用卡被銀行兩三年換一次，而不是每年換一次。

攻擊者竊取或者購買行用卡，并保存在大型數(shù)據(jù)庫，然后提供轉(zhuǎn)售給其他人。你的信用卡可能出現(xiàn)在多個(gè)犯罪分子的銷售清單中，收費(fèi)為2.5美元到50美元，取決于買家潛在的凈收入。信用卡銷售業(yè)務(wù)有拍賣版、滿意度、購物車、客戶支持服務(wù)和退款保證。

這些操作的成熟度和老練度非常令人驚嘆。有些人甚至直接從信用卡評(píng)級(jí)機(jī)構(gòu)購買信用卡信息。

不安全的現(xiàn)狀

現(xiàn)在計(jì)算機(jī)安全狀態(tài)基本被默認(rèn)為不安全。這樣說并非想嚇唬人，這樣的狀態(tài)已經(jīng)持續(xù)了很長的時(shí)間。現(xiàn)在，社會(huì)已經(jīng)接受了這樣的不安全狀態(tài)，作為其經(jīng)營業(yè)務(wù)的成本。而且，事情會(huì)變得更加糟糕。在過去20年，安全管理者一直在回答同樣的問題：“今年計(jì)算機(jī)安全會(huì)變得更好嗎?”而答案總是否定的。

云計(jì)算帶來了新的安全漏洞，但云計(jì)算提供商的安全做法比大多數(shù)企業(yè)自己的做法更安全。云計(jì)算本身并沒有問題。